About Digital Forensics

About DF(Digital Forensics)

---

일반 증거와 디지털 증거

---

증거의 종류

• 일반 증거

  • 물리적 증거, 생물학적 증거
    • 현상을 오관의 작용에 의하여 인지하는 단순 검증 과정

• 디지털 증거

  • 유체물이 아닌 디지털 매체에 저장되거나 전송중인 정보
  • 저장되어 있는 데이터 중, 증거로 판단되는 현상을 분별해야 함.

• 형사소송법 제307조 제 1항 "사실의 인정은 증거에 의하여야 한다"

디지털 증거의 특징

---

매체독립성

• 디지털 증거는 '유체물'이 아니고 각종 디지털 저장매체에 저장되어 있거나 네트워크를 통하여 전송 중인 정보 그 자체를 의미한다.
• 정보는 값이 같다면 어느 매체에 저장되어 있든 동일한 가치를 지닌다.
• 따라서, 디지털증거는 사본과 원본의 구별이 불가능하다.

비가시성, 비가독성

• 디지털 저장매체에 저장된 디지털증거 그 자체는 사람의 지각으로 바로 인식이 불가능하며 일정한 변환 절차를 거쳐 모니터 화면으로 출력되거나 프린터를 통해 인쇄된 형태로 출력되었을 때 가시성과 가독성을 가진다.
  따라서, 디지털 증거와 출력된 자료와의 동일성 여부가 중요하다.

취약성

• 단단한 매체 안에 존재하나 디스크 내부 magnetic 성질에 의하여 쓰여있기 때문에 전자기적 특성에 의하여
  쉽게 삭제, 변경될 가능성이 존재한다.
• 하나의 명령만으로 하드디스크 전체를 포맷하거나 파일 삭제가 가능함, 또한 파일을 열어보는 것 만으로 파일 속성이 변경된다.
• 수사기관에 의한 증거조작의 가능성도 배제할 수 없으므로 디지털 증거에 대한 무결성 문제가 대두

대량성

• 저장 기술의 발전으로 방대한 분량의 정보를 하나의 저장 매체에 모두 저장할 수 있게 되었다, 회사의 업무처리에 있어 컴퓨터의 사용은 필수적이고, 회사의 모든 자료가 컴퓨터에 저장된다.
• 그 결과 수사기관에 의하여 컴퓨터 등이 압수되는 경우 그 업무수행에 지장을 줄 수 있음.

전문성

• 디지털 방식으로 자료를 저장하고 이를 출력하는데 컴퓨터 기술과 프로그램이 사용된다.
• 디지털 증거의 수집과 분석에도 전문적인 기술이 사용되므로, 디지털 증거의 압수/ 분석 등에 있어 디지털 포렌식 전문가가 필수적이다.

네트워크 관련성

• 디지털 환경은 각각의 컴퓨터가 고립되어 있는 것이 아니라 인터넷을 비롯한 각종 네트워크를 통하여 서로 연결되어 있다.

• 디지털 증거는 공간의 벽을 넘어 전송되고 있으며, 그 결과 관할권을 어느정도까지 인정할 것인지 대두.

  국경을 넘는 경우 국가의 주권문제까지도 연관됨.

디지털 데이터의 증거능력 요건

---

디지털 데이터가 증거 능력을 보장하기 위한 특성

진정성(Authenticity)

• 증거 데이터의 저장, 수집 과정에서 오류가 없으며, 의도된 결과가 정확히 획득되었고, 그로 인해 생성된
  자료임이 인정됨을 의미한다.
• 해당 증거가 특정인이 특정 시간에 생성한 파일이 맞는지에 대한 여부

무결성(Integrity)

• 증거 데이터가 수집 및 분석과정을 거쳐 법정에 제출되기 까지 수정, 변경, 손상이 없음을 의미한다.

신뢰성(Reliability)

• 증거 데이터의 분석 등 처리 과정에서 디지털 증거가 위/변조되지 않았고 의도되거나 의도되지 않은 오류를 포함하지 않음을 의미한다.

원본성(Originality)

• Hash값이 같고 출력값이 같으면 사본 또한 원본과 동일한 효력을 갖는다.
• 자체적으로 가시성과 가독성이 없는 디지털 증거를 변환하여 제출하는 과정에서 제출되는 증거 데이터가 원 매체에 있는 데이터와 동일함을 의미한다.
• 실제 법정에 제출되는 원본과 다른 사본 증거에 대한 증거 능력을 부여할 수 있는가?

디지털 증거가 법적 효력을 가지고 증거능력을 인정받기 위해서는 디지털 증거의 진정성(무결성, 신뢰성), 원본성이 기본적으로 보장되어야 한다.

디지털 포렌식 기본 원칙

---

정당성의 원칙

• 입수 증거가 적법절차를 거쳐 수집되었는가?
• 위법수집증거배제법 : 적법한 절차에 의해 수집된 증거만이 증거로 사용이 가능하다.
• 독수독과이론
  • 위법하여 수집된 증거에서 얻어진 2차 증거 또한 증거 능력이 없음.
  • 불법 해킹을 통해 얻어진 패스워드를 통하여, 파일을 해독했을 경우 복호화 된 파일은 증거 능력이 없음.

재현의 원칙

• 같은 조건과 상황 하에서 항상 같은 결과가 나오는가?
  • 해킹 용의자의 해킹 도구가 증거능력을 가지기 위해서는 해당 툴을 피해 시스템에 적용했을 때 피해 당시와 같은 결과가 나와야 한다.

신속성의 원칙

• 디지털 포렌식의 전과정이 지체 없이 신속하게 진행되었는가?
  • 컴퓨터 내 휘발성 정보들은 수사 진행상 신속성으로 획득 여부가 결정되는 경우가 많음.

절차연속성(Chain Of Custody)의 원칙

• 증거물 획득 - 이송 - 분석 - 보관 - 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야 한다.
  • 만일, 수집된 하드 디스크가 이송단계에서 물리적 손상이 있었다면 이송 담당자는 이를 확인하고 해당 내용을 인수인계, 이후 과정에서 복구 및 보고서 작성 등 적절한 조치를 취할 수 있어야 한다.

무결성의 원칙

• 수집된 증거가 위/변조 되지 않았는가?
  • 수집 당시 하드디스크의 hash값과 법정 제출 당시 하드디스크의 hash값이 같다면 hash함수의 특성에 따라 무결성을 입증한다.