[Dreamhack] Digital Forensics Introduction - 디지털 포렌식이란?

포렌식이란? 과학적 방법을 이용한 범죄 수사 기법

ex) DNA 검사, 지문이나 족적 검사, 거짓말 탐지기 등

 

디지털포렌식이란?

디지털 증거를 수집·보존·분석·현출하는데 적용되는 과학기술 및 절차 (대검찰청 예규 제3조 제3항)

 

 

가. 디지털 포렌식에서 다루는 증거는 디지털 증거(사용자의 컴퓨터에서 발견된 문서파일 등)인데

 

디지털 증거는 물리적 증거와는 달리, 원본의 개념이 모호하고 데이터의 변조가 쉬우며 증거 분석을 위해 전문가의 해석이 요구된다는 특징이 있다. 

 

이로 인해 디지털 증거를 법정에서 증거로 활용하기 위해서는 특수한 보호 조치들이 추가로 적용되어야 한다. 

 

 

나. 디지털 포렌식은 디지털 기기로부터 디지털 증거를 수집·보존·분석·현출하는 일련의 과정이다.

 

디지털 기기로부터 사건과 관련된 디지털 증거들을 수집하고, 그러한 증거들이 변조되지 않도록 보존하며, 증거로부터 유의미한 결과를 도출하기 위해 분석하고, 법정에서 사용할 수 있도록 적절한 형태로 현출하는 과정이다.

 

*이러한 과정을 수행할 때 수사관은 디지털 포렌식을 수행하기 이전에 특정한 사실관계를 파악하고 싶다는 명확한 목적이 존재해야 한다.

 

 

다. 디지털 포렌식은 기술과 절차를 모두 포함하는 분야이다.

 

여기서 말하는 기술이란 디지털 기기에서 증거를 수집할 때에 필요한 기술적인 내용들이며

 

디지털 포렌식 과정에서 얻어낸 증거의 유효성을 인정받기 위해서는 위에서 언급한 수집·보존·분석·현출 절차 각각에 대한 형사소송법상의 법령들과 판례들, 그리고 주요 쟁점 사항에 대해 알고 있어야 한다.

 

 

라. 디지털 포렌식의 발전과정

 

과거엔 수사기관이나 정보기관에서 일부 사용되는 개념이였는데 개인용 컴퓨터의 보급이 늘어나면서 컴퓨터를 이용한 다양한 범죄들이 증가하게 되며 이에 대응하기 위해 수사기관을 중심으로 디지털 포렌식이 발전하였다.

 

현재 디지털 포렌식은 민간기업으로 확대되었는데 개인 간의 분쟁, 노사 갈등, 기밀 유출, 정치적 사건들에 사용되고 있으며 이 밖에도 침해사고 영역에서 자체적으로 침해사고를 대응하기 힘든 기업들을 위해 침해사고 분석 및 대응 서비스를 제공하는 민간 기업들이 등장하기 시작했다.

 

* [정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조 제7항

"침해사고"란 다음 각 목의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태를 말한다.

가. 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등의 방법

나. 정보통신망의 정상적인 보호, 인증절차를 우회하여 정보통신망에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신망 또는 이와 관련된 정보시스템에 설치하는 방법

 

 

마. 디지털 포렌식의 종류

디지털 포렌식은 분석 대상에 따라 ooo포렌식 형태로 불리기도 하며, 이러한 용어들은 디지털 포렌식의 세부적인 분야를 지칭한다.

디스크 포렌식 (Disk Forensic)	컴퓨터의 저장 장치로 사용되는 SSD, HDD (하드디스크) 등에 저장된 데이터를 분석하는 디지털 포렌식의 분야. 디스크 내부 파일시스템의 구조 분석부터 디스크에 저장된 사용자 데이터까지 폭 넓은 분야를 통칭하는 용어
메모리 포렌식 (Memory Forensic)	컴퓨터의 휘발성 메모리(RAM)에 저장된 데이터를 분석하는 디지털 포렌식의 분야. 암호화 키를 발견하거나 주요 사용자 정보를 획득할 수 있어 최근 중요성이 커지고 있음
모바일 포렌식 (Mobile Forensic)	스마트폰과 같은 모바일 기기에 저장된 데이터를 분석하는 디지털 포렌식의 분야. 현재 실무적으로 가장 비중이 크고 중요한 분야이며, 스마트폰의 보안성이 강화됨에 따라 데이터 획득 기술의 난이도가 점차 증가하고 있음
네트워크 포렌식 (Network Forensic)	기업 내부의 네트워크 구조를 파악하거나, 수집된 패킷을 분석하여 공격 행위를 파악하는 등 네트워크와 관련된 디지털 포렌식을 수행하는 분야
침해사고 대응 (Incident Reponse)	해킹, 랜섬웨어(하단 설명 참조) 등 기업에서의 침해사고가 발생했을 때, 신속한 대응을 통해 해커 침입 경로 파악 및 악성코드 잔존 여부 파악 등 침해사고와 관련된 디지털 포렌식을 수행하는 분야