디지털 포렌식 증거수집 절차, 포렌식이란?, 파일 시스템, 로카르드의 교환법칙

증거수집 절차

1. 디지털 포렌식 조사 준비 단계

디지털 포렌식 조사는 사건 발생 전에 철저한 준비가 필수적입니다. 준비 단계에서는 다음과 같은 작업이 이루어집니다:

• 도구 및 장비 점검: 수사에 필요한 도구와 장비를 점검하고 사용법과 기술적 한계를 학습합니다.
• 조사팀 구성 및 교육: 권한 획득, 팀 구성, 도구 개발 및 검증, 분석 기술 교육을 진행합니다.
• 압수·수색 계획: 사건 개요를 파악하고 대상 시스템과 네트워크 유형을 확인하여 조사 과정에서 발생할 수 있는 문제를 최소화합니다.

조사팀은 과잉금지의 원칙을 준수하며 최소한의 범위 내에서만 데이터를 수집해야 합니다. 또한 공정성과 무결성을 보장하기 위해 공증 인원의 참여가 필수적입니다.

---

2. 디지털 포렌식 증거 수집 단계

증거 수집은 사건 현장에서 체계적으로 이루어져야 하며 아래 절차를 포함합니다:

• 디지털 기기 및 네트워크 확인: 현장에서 증거물로 간주될 수 있는 기기와 네트워크를 확인합니다.
• 증거 목록 작성 및 압수: 영장을 기준으로 증거물을 압수하고 고유 식별 값을 생성하며 서명 날인을 통해 연계 보관성을 유지합니다.
• 휘발성 데이터와 비휘발성 데이터 수집:
  • 휘발성 데이터: 메모리, 네트워크 연결 정보 등 실시간 데이터.
  • 비휘발성 데이터: 로그 파일, 메타데이터 등 장기 보관 데이터.

디지털 증거 수집은 로카르드의 교환법칙에 따라 철저한 절차와 기록 하에 진행되어야 합니다.

---

3. 포장 및 이송 단계

수집된 디지털 증거물은 외부 요인으로부터 보호되어야 하며 다음과 같은 조치가 필요합니다:

• 안전한 포장: 하드 디스크 충격 보호 케이스나 완충 랩을 사용하여 외부 충격을 방지합니다.
• 안전한 이송: 증거물이 훼손되지 않도록 세심하게 관리하며, 전문가가 분석하기 전까지 무결성을 유지합니다.

---

4. 디지털 포렌식 증거 분석 단계

수집된 디지털 기기는 다양한 포렌식 기술을 통해 분석됩니다. 주요 과정은 다음과 같습니다:

• 원본 무결성 보장: 쓰기 방지 장치를 사용하여 복제본을 생성하고 원본과 복제본의 해시 값을 기록합니다.
• 분석 기술 활용: 복제본에서 삭제 파일 복구, 암호화 데이터 해독, 로그 분석 등 다양한 기술을 적용합니다.
• 분석 후 보관: 분석이 완료된 디지털 증거물은 안전한 환경에서 보관합니다.

---

5. 디지털 포렌식 보고서 작성 단계

보고서는 분석 결과를 체계적으로 정리하여 법정에서 활용할 수 있도록 작성됩니다. 주요 사항은 다음과 같습니다:

• 절차 연속성 입증: 증거 수집부터 분석, 보관, 법정 제출까지의 모든 절차가 위변조 없이 문서화됩니다.
• 법적 효력 보장: 전문가뿐만 아니라 비전문가도 이해할 수 있는 형태로 작성되며, 제3자 검증 시에도 신뢰성을 보장해야 합니다.

---

디지털 포렌식이란?

디지털 포렌식은 디지털 데이터를 수집, 분석, 보관하여 사건을 규명하는 과학적 수사 기법입니다.

• 활용 범위: 사이버 범죄, 금융 범죄, 악성 코드, 서비스 거부 공격 등
• 중요성: 과학적 원칙에 따라 수행된 절차와 규정은 법적 효력을 가집니다.
• 주요 역할: 컴퓨터, 이메일, 휴대전화 등에서 남긴 디지털 흔적을 분석하여 범죄자를 추적하고 사건을 해결합니다.

모든 절차는 철저히 문서화되어야 하며, 불법적인 증거 취급을 방지하기 위해 관리됩니다.

---

파일 시스템

파일 시스템은 컴퓨터에서 데이터를 저장하고 관리하는 방법을 정의합니다:

• 기본 구조: 데이터를 일정 크기의 블록으로 나누어 저장하고, 메타데이터와 위치 정보를 기록.
• 종류: FAT, NTFS, ext4, HFS 등.
• 역할: 저장 장치와 운영 체제 간 인터페이스 역할을 수행하며 데이터의 효율적 저장과 검색을 지원합니다.
• 최적화 필요성: SSD와 같은 장치에 맞는 최적화를 통해 데이터 처리 속도를 향상시킵니다.

---

로카르드의 교환법칙

로카르드의 교환법칙은 "범인은 사건 현장에 무엇인가를 남기거나 가져간다"는 원칙으로, 디지털 포렌식에서도 중요한 도구로 활용됩니다:

• USB 장치를 이용한 사건 예시:
  • setupapi.log 파일 분석으로 USB 장치의 연결 시점과 고유 식별 정보를 파악.
  • 레지스트리 분석으로 장치 사용 시점 및 제거 시점을 확인함으로써 사건 발생 시점과 범인의 행적을 추적할 수 있습니다.

디지털 포렌식 툴을 사용하여 수집된 정보와 setupapi.log 파일의 세부 정보를 통해 수사관은 범죄에 사용된 USB 장치를 추적하고 사건을 해결할 수 있습니다.