5. 사이버포렌식

    수/사이버 포렌식 2017. 9. 25. 22:30

    1. 디지털 포렌식 절차모델

    수사

    준비 -> 증거물 획득 -> 이송/보관 -> 분석/조사 ->보고서 작성


    ISO/IEC 27037

    SWGDE BEST Practices for Forensics

    경찰청, 디지털표준 가이드라인

    대검찰청예규, 디지털 증거 수집 및 분석 규정

    경찰청, 디지털 증거 수집 및 처리 규칙


    가이드라인 - 지켜도 되고 안지켜도 되는 일

    규칙, 규정 - 반드시 지켜야하는 일


    1.1 ISO/IEX 27037

    - 증거식별 , 수집, 획득, 보존에 관한 가이드라인


    - 기본원칙

    관련성 : 사건과 관련이 있어야 한다.

    신뢰성 : 항상 분석할 때 같은 결과가 나와야한다.

    충분성 : 충분한 자료를 수집해야 한다.


    - 디지털 처리 요구사항

    감사성 : 수행과정을 모두 문서화 하여야 한다.

    반복성 : 동일방법, 동일 도구를 사용하여 차후 반복할 수 있어야한다.

    재현성 : 동일방법, 다른 도구를 이용하여도 같은 결과가 나와야한다.

    정당성 : 디지털 증거의 취급에 있어 모든 행위와 방법을 정당화 할 수 있어야한다.


    - 디지털 증거 처리(Handling 과정)

    식별, 수집, 획득 ,보존

    Handling - 다루기 좋게 처리

    Process - 처리

    Handling에 대한 핵심 요소 : Chain of Custody (연계 보관성)


    1.2 SWGDE

    -증거수집

    사건의 세부사항을 파악하고 수집된 잠재적인 증거를 조사관과 협의

    현장에서 증거를 이송할 수 없을 때 , 현장에서 복제


    - 증거처리

    증거의 상태를 문서화


    -증거분류 / 프리뷰(Evidence Triage/Preview)

    Triage = 경험으로 대충 보고 분류하는 것

    모든 상황에는 적절하지 않을 수 있다.

    가치 항목을 놓칠 수 있다.

    시간과 날자스탬프는 이과정에 의해 영향을 받을 수 있다.

    완전분석을 대신할 수 없다.


    - 전원이 켜져있는 시스템

    켜져있는 상태의 LIVE DATA를 수집

    파괴프로세스 가독 목격시, 조사관은 고정중단, 수행행동 문서화

    RAM(휘발성)의 데이터 수집

    OFF-SITE 같은 연관저장소를 찾아야한다. 외부증거 습득이 가능한 법적 권한도 얻어야한다.

    가상머신은 문서화, 중단(Hibernation(동면))시킨다.

    암호화 프로그램이 설치되어있는 가능성을 고려한다.

    (DRM - 저작권 보호를 위한 암호화)


    - 전원이 꺼진 시스템

    킬때도 전문가가

    네트워크 연결을 끊는다.

    무선 네트워크로 인한 자동 부티 가능성 고려

    한국에서는 BIOS모드로 진입하여 시간 확인 기록 촬영


    - 취득유형

    Physical

    Logical

    Live


    하드디스크의 LOGICAL, PHYSICAL적 수집은 동일하다고 본다.

    Flash Memory의 경우 Logical 적 수집과, Physical 적 수집은 다르다.

    물리적 데이터 수집시 삭제했던 데이터들도 불러오고, 논리적 데이터 수집시 삭제했던 데이터는 불러오지 못한다.


    - 분석 / 검사

    사전교육을 받아야 한다.

    절차 결정을 위해 제공된 서류를 검토한다

    법적 권한 검토 (소유자 동의 없이 포렌식은 불가하다)

    문서화는 필수하다


    - 결론(Reporting of Finding)

    문서를 보는 사람이 비전문가이기 때문에 알기쉽게 작성


    - 검토(Review)

    상호논쟁, 검토에 대한 정책을 가져야한다.

    (기술적 상호적 관리행정상)


    1.3 디지털 증거 표준 가이드라인

    - 기본원칙

    적법 절차 준수

    원본의 안전보존

    증거의 무결성 확보

    - 준비사항

    증거수집 계획의 수립

    압수수색전 참고인 조사등을 하여 정보를 모아 윤곽을 갖추고 준비

    수집 및 이송인원, 장비준비

    증거수집팀 구성

    분야별 전문가로 구성

    증거수집 준수사항

    시스템 시간 = 현재시간이 일치한지를 검사

    참관인 입회하에 컴퓨터를  킴(부팅 CD를 사용)

    참관인 입회상태에서 해당 사실 인지 기록

    증거인멸등을 사전차단하기 위하여 네트워크 분리

    컴퓨터가 ON일시 현재화면촬영, 휘발성 자료 수집

    휘발성 임시데이터삭제방지를 위해 컴퓨터 강제분리차단

    휴대폰은 배터리 즉시분리, 전자파 차폐장치에 봉인


    증거 분석 의뢰 및 접수

    증거물의 무결성과 연계보관성 준수

    의뢰서 작성


    증거분석 절차

    증거의 안전한 보존 및 무결성 확보

    증거기법과 도구의 신뢰성 확보

    증거분석 과정의 기록

    증거분석결과의 신뢰성 확보(반복성, 재현성을 통해)

    저작자표시 비영리 변경금지

    ' > 사이버 포렌식' 카테고리의 다른 글

    1. 사이버 포렌식  (0) 2017.10.28
    6. 사이버 포렌식  (0) 2017.10.04
    4. 사이버 포렌식  (0) 2017.09.25
    3. 사이버 포렌식  (0) 2017.09.15
    2. 사이버포렌식  (0) 2017.09.03
    '수/사이버 포렌식' 관련 글 more
    Posted by Config

티스토리툴바