imredzZ

[개념 정리] 1.1 디지털 증거 수집 본문

[Digital Forensics]/개념

[개념 정리] 1.1 디지털 증거 수집

hhaye_ 2024. 9. 8. 00:49

디지털 포렌식의 대상 : 디지털 증거&전자증거 

 

(1) 디지털 증거 및 전자저 증거의 특성

특징 내용
비가시성 사람의 시각으로 바로 식별이 불가하고 변환 장치나 판독 장치를 이용하여야 판독이 가능함.
내부 데이터만으로 내용을 바로 확인하기 어려우며 디코딩, 암호복호, 압축 해제 등의 과정이 필요함
취약성 삭제, 변경 등이 용이하여 위변조하기 쉬워서 무결서의 무제가 대두됨
대용량성 최근 저장 기술의 발전으로 저장 매체의 크기가 커져 있으며, 하나의 방대한 데이터가 저장되어 있어서 수작업으로 필요한 정보를 찾기는 어려움
네트워크성 현재의 정보 기기는 고립되어 있지 않고 각종 네트워크에 서로 연결되어 있음
그러므로 증거 자료 및 행위가 국경을 넘는 경우가 많아서 사법 처리에 한계가 있기도 하며, 해킹을 당하기도 쉬워서 국제적인 사법 공조가 필요하기도 함
매체 독립성 디지털 증거는 유체물이 아니고 각종 디지털 저장 매체에 저장되어 있거나 네트워크를 통해서 전송 중인 정보 그 자체를 의미함. 이러한 정보는 0과 1로만 구성되는 2진수로 변환해서 저장되기 때문에 저장된 정보의 값이 같다면, 어느 매체에 저장되어 있든지 동일한 가치를 지님

 

(2) 디지털 증거 처리 기본 원칙

기본 원칙 내용
무결성의 원칙 디지털의 증거 내용은 변경되어서는 안 된다는 원칙
증거물 수집 및 분석 절차에서 발생 가능한 변경을 방지하고, 무결성을 증명하는 조치가 수행되어야 한다는 것
재현의 원칙 분석관이 여러 가지 다양한 증거 분석 도구를 사용하기 때문에 다른 분석관이 다른 프로그램을 사용하게 되더라도 동일한 시스템을 분석하였을 경우, 동일한 결과가 나와야 한다는 원칙
보관의 연속성
(Chain of Custody)
증거물 수집, 이송, 보관, 법정 제출 단계에서 담당자, 책임자, 입회자를 명확히 기록하고 증거 분석 시 모든 과정을 상세히 기록하는 문서화 작업을 하여 추후 사후 검증 요구 시 신뢰성을 명확하게 확보하는 것을 의미
정당성의 원칙 증거를 획득할 때는 적법 절차를 통하여 얻어야 한다는 원칙
* 현 형사 소송법에 따르면, 위법 절차를 통해 수집된 증거의 증거 능력을 부정하는 위법 수집 증거 배제 법칙이 있음
신속성의 원칙 불필요한 과정 없이 지체 없이 신속하게 진행되어야 한다는 원칙
* 전자정보 특성상 삭제가 쉽고, 휘발성 데이터는 시간이 지나면 소멸되기 때문에 신속한 대응 여부에 따라 디지털 증거의 획득 여부가 결정됨

 

(3) 이미징

  • 디지털 포렌식에서 가장 중요한 부분이라고 할 수 있는 것은 무결성을 보장해서 증거 능력이 훼손되지 않게 하는 것인데, 기술적으로 이를 수행하기 위해서는 실무에서는 쓰기 방지 장치를 이용해서 저장 매체 복제나 이미징을 통해서 무성을 가진 증거를 획득하고 사후 검증을 위해서 해시값과 문서화를 통해서 이를 검증할 수 있음
    ex) Enacse 사용 시, FastBloc 기능 동작하기 / Windows 사용 시 레지스트리에 쓰기 방지 설정도 OK

 

  1. 복사 : 파일 또는 디렉토리를 마우스로 Drag&Drop해서 복사하거나 윈도우 명령어 copy나 xcopy를 통해서 내용을 복사할 수도 있음. 파일들 내용만 복사하기 때문에 삭제된 데이터를 복구할 수 없음
  2. 복제 : 원본 내 물리적인 섹터를 내용 그대로 사본 물리 섹터로 똑같이 복사하는 방식. 원본과 똑같이 복사되기 때문에 슬랙 공간 및 지워진 데이터로 똑같이 복사돼서 삭제된 데이터 복구가 가능함
  3. 이미징 : 원본 내의 모든 물리적 데이터를, 1번 섹터에서 마지막 섹터까지 모든 데이터가 파일 형태로 저장됨. 복제와 마찬가지로 슬랙 공간과 비할당 영역까지 저장되어서 삭제된 데이터 복구가 가능

 

(4) 포렌식 파일 포맷

  1. RAW : dd 명령어로 생성이 가능하고, 확장자는 001을 사용함. dd는 디스크 내의 각각 모든 섹터를 완전히 동일하게 바이트 단위 전송으로 동일한 raw 레벨 복사본을 만들기 때문에 원본과 완전히 동일한 형태의 이미지 파일이 생성됨
  2. EWK (Expert Witness Compression Format) : 포렌식 전용 제품의 포렌식 포맷은 raw 이미지와 달리, 생성일, 생성자, 매체 세부 정보, 해시 등의 메타 데이터를 포함해서 압축 기능 및 암호화 기능을 제공하며 신뢰성 및 편의성이 높아서 많이 사용함
    그 중, 대표 포렌식 툴인 EnCase도 전문 증거 압축 포맷을 제공하고 해시/압축/암호화 등의 기능을 제공함
    E01 파일은 헤더, 체크섬, 데이터 블록 이렇게 3가지 기본 요소로 구성이 되어 있고, 헤더는 증거 파일 생성 시 조사관이 입력한 관리 정보, 세그먼트 수와 크기 등이 포함되고 체크섬 아래 그림에서 보는 것처럼 각 데이터 블록 뒤에 첨부되어서 데이터의 오류를 감지해줌. 마지막에는 MD5 등 해시가 들어 있어서 그 외에 압축 및 암호화가 가능함

E01 파일 포맷 구조 : 출처 https://blog.naver.com/happymaru11/222102005996

 

(5) 해시 함수

  • 디지털 포렌식에서 원본의 무결성을 보이기 위하여서 해시 함수를 사용해줌
  • 해시 함수 : 가변 길이의 입력 데이터를 받아서 일정한 길이의 출력 데이터로 변환시켜주는 함수
    원래의 값을 변환한 출력 키로 이용되어 검색하는 데에도 사용이 될 수 있고, 파일의 무결성을 검증하는 데에 사용이 됨