6. 사이버 포렌식

1. 디지털 증거수집 및 분석규정 - 대검찰청예규

1.1 디지털포렌식 수사관의 임명

1. 대검찰청에서 실시하는 교육을 이수한자

2. 국내외 컴퓨터관련 교육과정을 이수, 디지털 포렌식 관련지식이 충분하다고 인정되는자

(학력이 충분한 자 또는 경력자)

3. 수사실무 3개월 이상 수행한 경력이 있는자

3 가지중 한가지에 속하면 디지털 포렌식 수사관이 될 수 있다.

1.2 과잉금지의 원칙

수사에 필요한 최소한의 범위내에서 실시되어야하고, 적법적으로 실시되어야함

1.3 저장매체의 압수, 수색, 검증

영장의 범위내에서만 복제, 압수하여야한다.

★2. 포렌식 절차

2.1 준비

사전조사, 조사 권환 획득

2.2 식별, 수집 - HDD같은 물리적 장치

영장제시 -> 현장통제 -> 현장분석 -> 시스템 통제

모든 과정은 문서화 되어야한다.

휘발성 데이터 종류

시스템 정보	네트워크 정보	프로세스 세부 정보
- 시스템 시간  - 열려있는 파일 정보  - 현재 실행중인 프로세스 리스트  - 현재 실행중인 서비스 리스트  - 현재 로그인한 사용자 계정  - 클립보드 내용  - 명령어 콘솔 사용 정보	- 네트워크 카드 정보  - 라우팅 테이블  - ARP 테이블  - TCP 연결상태  - UDP 연결상태  - 열린 TCP 포트와 연결된 프로세스 정보  - 열린 UDP 포트와 연결된 프로세스 정보  - 인접 네트워크 시스템 정보  - 열린 공유 자원 정보  - 원격 사용자 정보  - 원격 접근 파일  - 사용중인 외부 자원	- 프로세스 실행파일의 전체 경로  - 프로세스를 실행할 계정  - 부모 / 자식 프로세스  - 프로세스가 로드한 라이브러리  - 사용중인 네트워크 연결 정보(TCP/UDP)  - 프로세스 실행 시작 시간

시스템 전원 OFF

하드디스크 분해

시스템 전원 ON

부팅시 BIOS(CMOS) 진입

BIOS에서 시간 정보 비교 및 표준시간을 확인한다.

2.3 이송

2.4 획득, 분석 - HDD안의 논리적 자료, 데이터, Signature

파일카빙으로 삭제되어 링크가 끊어진 파일을 찾아낼 수 있다.

증거분석의 문서화 및 실험방법

Hypothesis(가설), 검증을 통해 실험한다.

귀무가설(NULL HYPOTHESIS) - 선입관을 가지지 않고 실험한다.

2.5 분석서 작성 - 쉽고 용이하게 작성

2.6 보존