About DF(Digital Forensics)
일반 증거와 디지털 증거
증거의 종류
일반 증거
- 물리적 증거, 생물학적 증거
- 현상을 오관의 작용에 의하여 인지하는 단순 검증 과정
디지털 증거
- 유체물이 아닌 디지털 매체에 저장되거나 전송중인 정보
- 저장되어 있는 데이터 중, 증거로 판단되는 현상을 분별해야 함.
형사소송법 제307조 제 1항 "사실의 인정은 증거에 의하여야 한다"
디지털 증거의 특징
매체독립성
- 디지털 증거는 '유체물'이 아니고 각종 디지털 저장매체에 저장되어 있거나 네트워크를 통하여 전송 중인 정보 그 자체를 의미한다.
- 정보는 값이 같다면 어느 매체에 저장되어 있든 동일한 가치를 지닌다.
- 따라서, 디지털증거는 사본과 원본의 구별이 불가능하다.
비가시성, 비가독성
- 디지털 저장매체에 저장된 디지털증거 그 자체는 사람의 지각으로 바로 인식이 불가능하며 일정한 변환 절차를 거쳐 모니터 화면으로 출력되거나 프린터를 통해 인쇄된 형태로 출력되었을 때 가시성과 가독성을 가진다.
따라서, 디지털 증거와 출력된 자료와의 동일성 여부가 중요하다.취약성
- 단단한 매체 안에 존재하나 디스크 내부 magnetic 성질에 의하여 쓰여있기 때문에 전자기적 특성에 의하여
쉽게 삭제, 변경될 가능성이 존재한다.- 하나의 명령만으로 하드디스크 전체를 포맷하거나 파일 삭제가 가능함, 또한 파일을 열어보는 것 만으로 파일 속성이 변경된다.
- 수사기관에 의한 증거조작의 가능성도 배제할 수 없으므로 디지털 증거에 대한 무결성 문제가 대두
대량성
- 저장 기술의 발전으로 방대한 분량의 정보를 하나의 저장 매체에 모두 저장할 수 있게 되었다, 회사의 업무처리에 있어 컴퓨터의 사용은 필수적이고, 회사의 모든 자료가 컴퓨터에 저장된다.
- 그 결과 수사기관에 의하여 컴퓨터 등이 압수되는 경우 그 업무수행에 지장을 줄 수 있음.
전문성
- 디지털 방식으로 자료를 저장하고 이를 출력하는데 컴퓨터 기술과 프로그램이 사용된다.
- 디지털 증거의 수집과 분석에도 전문적인 기술이 사용되므로, 디지털 증거의 압수/ 분석 등에 있어 디지털 포렌식 전문가가 필수적이다.
네트워크 관련성
디지털 환경은 각각의 컴퓨터가 고립되어 있는 것이 아니라 인터넷을 비롯한 각종 네트워크를 통하여 서로 연결되어 있다.
디지털 증거는 공간의 벽을 넘어 전송되고 있으며, 그 결과 관할권을 어느정도까지 인정할 것인지 대두.
국경을 넘는 경우 국가의 주권문제까지도 연관됨.
디지털 데이터의 증거능력 요건
디지털 데이터가 증거 능력을 보장하기 위한 특성
진정성(Authenticity)
- 증거 데이터의 저장, 수집 과정에서 오류가 없으며, 의도된 결과가 정확히 획득되었고, 그로 인해 생성된
자료임이 인정됨을 의미한다.- 해당 증거가 특정인이 특정 시간에 생성한 파일이 맞는지에 대한 여부
무결성(Integrity)
- 증거 데이터가 수집 및 분석과정을 거쳐 법정에 제출되기 까지 수정, 변경, 손상이 없음을 의미한다.
신뢰성(Reliability)
- 증거 데이터의 분석 등 처리 과정에서 디지털 증거가 위/변조되지 않았고 의도되거나 의도되지 않은 오류를 포함하지 않음을 의미한다.
원본성(Originality)
- Hash값이 같고 출력값이 같으면 사본 또한 원본과 동일한 효력을 갖는다.
- 자체적으로 가시성과 가독성이 없는 디지털 증거를 변환하여 제출하는 과정에서 제출되는 증거 데이터가 원 매체에 있는 데이터와 동일함을 의미한다.
- 실제 법정에 제출되는 원본과 다른 사본 증거에 대한 증거 능력을 부여할 수 있는가?
디지털 증거가 법적 효력을 가지고 증거능력을 인정받기 위해서는 디지털 증거의 진정성(무결성, 신뢰성), 원본성이 기본적으로 보장되어야 한다.
디지털 포렌식 기본 원칙
정당성의 원칙
- 입수 증거가 적법절차를 거쳐 수집되었는가?
- 위법수집증거배제법 : 적법한 절차에 의해 수집된 증거만이 증거로 사용이 가능하다.
- 독수독과이론
- 위법하여 수집된 증거에서 얻어진 2차 증거 또한 증거 능력이 없음.
- 불법 해킹을 통해 얻어진 패스워드를 통하여, 파일을 해독했을 경우 복호화 된 파일은 증거 능력이 없음.
재현의 원칙
- 같은 조건과 상황 하에서 항상 같은 결과가 나오는가?
- 해킹 용의자의 해킹 도구가 증거능력을 가지기 위해서는 해당 툴을 피해 시스템에 적용했을 때 피해 당시와 같은 결과가 나와야 한다.
신속성의 원칙
- 디지털 포렌식의 전과정이 지체 없이 신속하게 진행되었는가?
- 컴퓨터 내 휘발성 정보들은 수사 진행상 신속성으로 획득 여부가 결정되는 경우가 많음.
절차연속성(Chain Of Custody)의 원칙
- 증거물 획득 - 이송 - 분석 - 보관 - 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야 한다.
- 만일, 수집된 하드 디스크가 이송단계에서 물리적 손상이 있었다면 이송 담당자는 이를 확인하고 해당 내용을 인수인계, 이후 과정에서 복구 및 보고서 작성 등 적절한 조치를 취할 수 있어야 한다.
무결성의 원칙
- 수집된 증거가 위/변조 되지 않았는가?
- 수집 당시 하드디스크의 hash값과 법정 제출 당시 하드디스크의 hash값이 같다면 hash함수의 특성에 따라 무결성을 입증한다.
'Hacking & Security > Digital Forensic' 카테고리의 다른 글
Digital Forensic Process (0) | 2019.11.30 |
---|---|
Web Browser Forensics (0) | 2019.11.29 |