[Dreamhack] Digital Forensics Introduction - 디지털 데이터의 특성

디지털 포렌식은 디지털 데이터를 대상으로 증거를 수집하고 분석한다.

*디지털 데이터란 0과 1로만 이루어진 데이터를 의미

*디지털 데이터가 가지는 특성에 대해서

 

가. 비가시성

비가시성이란, 디지털 데이터가 사람의 눈으로 볼 수 없는 형태를 띈다는 의미이다.

 

디지털 데이터들은 본질적으로 인간이 볼 수 없는 형태(0과1)를 가지기 때문에, 신뢰할 만한 도구 혹은 사람에게 의존하여 그 형태를 확인하게 된다.

 

따라서 비가시성으로 인해 도구의 신뢰성, 분석가의 전문성이 중요해진다.

*분석에 사용한 디지털 포렌식 도구가 정말 신뢰할 수 있는 것인지

*분석을 수행하는 수사관이 올바르게 데이터를 분석했는지

 

나. 휘발성

컴퓨터 과학 분야에서 휘발성은 전원 공급이 중단되면 기억된 내용이 없어지는 성질을 의미한다.

 

컴퓨터에는 전원이 차단되면 데이터가 사라지는 RAM (Random Access Memory)가 있고, 전원이 차단되어도 데이터를 계속 보관하는 ROM (Read Only Memory)가 있다. 휘발성 유무에 따라 RAM을 휘발성 메모리라고 부르고, ROM을 비휘발성 메모리라고 부릅니다.

 

수사관은 직접 현장에 나가서 데이터를 수집하게 되었을 때 데이터 손실을 최소화하기 위해 휘발성을 고려한다. 데이터가 휘발성을 가지기 때문에, 현장에서는 실시간으로 데이터가 사라진다. 이로 인해 휘발성을 고려해 가장 휘발성이 높은 데이터부터 수집하는 것이 중요하며, 사건 현장에서 휘발성을 중심으로 수집 대상 기기들과 예상되는 데이터를 정리해 우선순위를 매겨야 한다.

 

따라서 휘발성이 높은 RAM 메모리부터 수집한 이후, ROM 내의 데이터 중에서도 휘발성이 높은 순서대로 데이터를 수집하는 것이 바람직하다.

 

 

다. 변조 용이성

변조 용이성이란, 디지털 데이터의 변조가 쉽다는 성질이다. 디지털 데이터는 데이터를 약간 수정하는 것이 어렵지 않기에 변조 용이성은 디지털 데이터가 변조에 취약하다는 점에서 취약성이라고 부르기도 한다. 

*해시 함수는 변조 용이성을 극복하기 위해 사용함. 

- 사전적 정의는 '임의의 길이의 데이터를 고정된 길이의 데이터로 매핑하는 함수'

- 디지털 포렌식 분야에서 해시 함수의 가장 중요한 성질은, 입력값이 1비트만 바뀌어도 완전히 다른 출력값을 보인다는 것. 따라서 변조 사실을 쉽게 알 수 있음.

 

*해시함수를 이용한 무결성 입증

- 디지털 포렌식 분야에서 무결성이란 디지털 증거가 변조되지 않았음을 의미함.

- 무결성 입증을 하기 위해서는 해시함수를 사용하는데 이러한 과정을 통해 파일이 변조되지 않았음을 증명할 수 있음.

 

라. 복제 용이성

복제 용이성이란, 디지털 데이터는 쉽게 복제할 수 있으며 복제할 경우 원본과 동등한 가치를 지닌다는 성질이다.

 

디지털 기기에 저장된 파일은 복제하는 순간 원본과 복제본이 정확히 동일해진다.

형사소송법에서 압수란, 국가기관이 물건의 점유 상태를 개인으로부터 강제로 가져오는 행위이다. 그런데 디지털 데이터는 점유 상태를 국가기관이 가져오지 않아도, 파일을 복사하는 행위만으로 원본과 동일한 파일을 획득할 수 있게 된다. 따라서 디지털 증거를 압수할 때에는 정보를 출력하거나 복제하여 제출받는 것이 원칙이고, 그렇지 못한 경우 정보저장매체를 압수하는 것이 예외이다.

 

 

마. 대규모성

대규모성이란 말 그대로 데이터 크기가 너무나 크다는 것이다.

 

형사소송법 제106조 제3항에 따르면, 기억된 정보의 범위를 정하여 출력하거나 복제하여 제출받아야 한다고 한다. 이는 수사기관이 현장에서 직접 컴퓨터를 조작하면서 사건과 관련된 파일들을 찾아내야 한다는 의미이다.

 

현장 압수·수색 과정에서 가장 큰 문제는 정해진 시간 내에 압수·수색을 마쳐야 하는 반면에 지나치게 큰 디스크 크기로 인해 검색해 봐야 할 파일이 너무나 많다는 것이다.

 

 * 대규모 크기의 데이터 속에는 개인의 프라이버시가 담겨 있는 데이터도 다수 존재합니다. 수사 과정에서의 사생활 침해 문제를 최소화하기 위해서, 피의자의 참여권을 보장하는 등 절차 상으로 피의자에게 권리를 부여하고 있다.

 

바. 초국경성

초국경성이란 디지털 데이터가 국내를 넘어 해외에 존재할 수도 있다는 성질이다.

 

초국경성은 데이터를 압수,수색할 때에 문제가 발생하는데 영장에 기재되 물건의 위치와 실제 데이터가 저장된 위치가 다르기 때문이다. 예를 들어 구글 드라이브에 중요한 정보가 저장된 것을 발견했다해도 사무실 내의 컴퓨터로 접속은 가능하지만 데이터가 저장된 위치는 해외이기 때문에 압수할 수 없다는 결과가 나온다.

최근에는 원격 압수수색을 고려해서 물거느이 위치를 기재하는 방법으로 초국경성을 넘어 데이터를 수집하고 있으나

해외 서버의 도움을 받아 데이터를 받아야 하는 경우 혹은 데이터의 저장 위치가 명확하게 식별되지 않는 경우 등 아직도 해결해야 할 문제가 많다.

 

 

사. 표 정리

비가시성	디지털 데이터는 눈으로 볼 수 없다는 성질	도구의 신뢰성 분석가의 전문성
휘발성	시간이 지남에 따라 데이터가 사라지는 성질	현장에서 수집 순서
변조 용이성	디지털 데이터의 변조가 쉽다는 성질	해시함수를 이용한 무결성 입증
복제 용이성	디지털 데이터를 복제했을 때 원본과 동일하다는 성질	원칙적으로 출력하거나 복제
대규모성	데이터의 크기가 너무 크다는 성질	효과적인 검색 방법 프라이버시 침해 문제
초국경성	데이터가 국경을 넘어 다양한 위치에 저장된다는 성질	원격 압수·수색