디지털 포렌식(Digital Forensics)이란?
디지털 포렌식(Digital Forensics)은 법정 제출용 디지털 증거를 수집하여 분석하는 기술을 말하며 인권을 강조하는 요즘 IT 관련 기관과 기업을 중심으로 많은 관심이 집중되고 있습니다. 디지털 증거수집 및 분석과정은 기술적으로 복잡하고 난해하여 분석가의 전문성에 의해 증거의 무결성과 신뢰성이 결정됩니다.
첨단 과학기술을 이용하는 디지털 포렌식은 사법기관의 인권보호와 사법 정의 구현에도 크게 기여할 수 있을 것입니다.
<출처: 위키백과>
위 정의에 따르면 "디지털 포렌식(Digital Forensics)은 법정 제출용 디지털 증거를 수집하여 분석하는 기술"이라고 정의될 수 있는데, 여기서 법정 제출이란 의미가 매우 중요합니다. 법정으로 제출된다는 것은 재판(justice)에 관여하는 데이터가 된다는 것으로 유,무죄 판단의 결정적인 역할을 하게 될 수도 있다는 의미입니다.
디지털포렌식의 유형
디지털포렌식은 디지털 데이터를 수집하는 것입니다. 디지털데이터의 정의는 컴퓨터, 휴대폰 등의 디지털 기기에 존재하는 모든 데이터를 의미합니다. 때문에 디지털포렌식은 개인용 컴퓨터, 서버용 컴퓨터, 휴대폰, 데이터베이스, 디지털 카메라, PDA, CCTV, 네비게이션, 라우터, 스위치 등등의 디지털 데이터가 남을 수 있는 모든 디지털 기기에 적용될 수 있습니다.
그래서 유형 또한 많이 존재합니다. 비휘발성 저장매체(HDD, SSD, USB, CD 등)을 대상으로 증거를 수집하고 분석하는 디스크 포렌식, 휘발성 데이터를 대상으로 증거를 수집하고 분석하는 라이브 포렌식, 네트워크로 전송되는 데이터를 대상으로 증거를 수집하고 분석하는 네트워크 포렌식 등의 유형이 존재합니다. 디지털포렌식의 적용 범위가 광범위하기 때문에 디지털포렌식 전문가들은 많은 지식을 가지고 있어야 합니다. 다만 우리는 사람이기 때문에 이들을 모두 알 수는 없습니다.
하지만 디지털포렌식 전문가로서 많은 지식을 보유하면 디지털 데이터를 수집하고 분석하는데 유리할 것입니다.
디지털포렌식 기술
1. 저장매체에 대한 디지털포렌식 기술
증거 복구 : 하드디스크 복구, 메모리 복구 등.
증거 수집 및 보관 : 하드디스크 복제 기술, 저장매체 복제 장비.
증거 분석 : 저장 매체 사용흔적 분석, 메모리 정보 분석.
2. 시스템에 대한 디지털포렌식 기술
증거 복구 : 삭제된 파일 복구, 파일 시스템 복구, 시스템 로그온 우회 기법.
증거 수집 및 보관 : 휘발성 데이터 수집, 시스템 초기 대응, 라이브 포렌식.
증거 분석 : 윈도우 레지스트리 분석, 시스템 로그 분석, 백업 데이터 분석.
3. 응용프로그램 및 네트워크에 대한 디지털포렌식 기술
증거 복구 : 파일 포맷 기반 복구, 암호 통신 내용 해독.
증거 수집 및 보관 : 네트워크 정보 수집, 역추적.
증거 분석 : 네트워크 로그 분석, 해시 데이터베이스, 악성코드 분석.
이외에도 타임라인 분석, 리버스엔지니어링 등의 디지털포렌식과 관련된 다양한 기술들이 존재합니다.
디지털포렌식 조사의 기본 5대원칙
디지털포렌식 수행 과정
1. 사전 준비 단계는 사건이 일어나기 전에 행해지는 활동으로 도구의 준비, 검증, 분석 교육 등의 활동입니다.
2. 증거 수집 단계는 사건과 관련된 디지털기기에서 디지털 데이터를 수집하는 과정으로 수집 과정에서 데이터가 변조되지 않아야 합니다.
3. 포장 및 이송 단계는 수집된 데이터를 포장하여 분석실로 이송하는 과정으로 외부의 요인에 의해 변조되지 않도록 해야 합니다.
4. 조사 분석 단계는 수집한 디지털 데이터를 분석하는 과정으로 다양한 디지털포렌식 분석 기술이 사용됩니다. 흔히, 디지털포렌식은 이 분야의 연구를 지칭하기도 합니다.
5. 정밀 검토 단계는 분석되기까지의 각 단계의 검증을 비롯하여 분석 결과가 정확한지 검토하는 단계입니다.
6. 보고서 작성 단계는 정밀 검토를 마친 결과를 바탕으로 분석된 결과를 법정에 제출하기 위해 객관적인 보고서를 작성하는 단계입니다.