디지털포렌식 개론 스터디 1

 

디지털 포렌식 : 법학도에게는 포렌식 기법을, 공학도에게는 수사절차법을 알려주는

 

---

 

 

보안팀은 압수•수색영장 집행현장의 주위의 보안을 유지하며 현장에서 영장의 집행을 방해 하는 자에 대한 격리나 이들에 대한 통제를 담당한다.

 

 

[압수/수색 현장 압수팀]

디지털 정보저장매체를 압수할 때에는 압수 전 과정을 영상녹화하고 대상 선별하는 과정에 서 발견된 새로운 증거에 대하여 모니터 화면을 사진 촬영을 하고 그 내용을 출력•복제하여 압수한다.

 

 

- 은닉•삭제된 흔적이 발견된 경우 또는 저장매체에 담긴 내용이 방대하여 현장에서 선별압수가 불가능하다고 판단된 경우에는 원본을 압수하거나 하드카피 방법으로 복제를 실행하여 저장매체를 봉인한 후 압수한다.

 

- 해쉬값에 대한 서면 확인을 반드시 받도록 한다.

 

 

[제2절 디지털 증거의 압수수색]

검사는 지방법원 판사에게 청구하여 발부한 영장을 갖고 집행한다.

 

- 디지털 정보는 유체물을 기준으로 하는 장소적인 의미를 그대로 적용할 수가 없다. 지점과 본점과의 단말기로 연결되어 있는 경우이거나 서버가 우리의 사법관할 밖인 국외에 존 재하는 경우, 특히 클라우드 컴퓨팅 상황에서는 그 필요성이 더욱 커지고 있다.

 

 

[압수수색 요령]

- 정보저장매체 등을 압수수색 검증하거나 전자정보를 수집하는 현장에서 복제 분석을 실시 하는 경우에는 쓰기방지 기능이 포함된 기기를 사용하는 등으로 자료가 변경 또는 훼손되지 않도록 주의한다.

 

- 압수대상 정보저장매체는 식별값을 특정할 수 있도록 기록하고, 불가능할 경우에는 촬영, 시리얼확인(컨트롤러, 볼륨시리얼 등) 등 향후 증명을 위한 적절한 조치를 취한다.

 

- 피압수자 또는 참여인을 참여시키고 수색할 결과물이 대상 정보처리시스템의 자료로서 검색 된 것임을 확인시킨 후 다음의 내용을 작성하여 피압수자 또는 참여인의 확인서명을 받는다.

(i) 압수수색검증 착수 시작과 종료 시간

(ii) 정보처리시스템의 종류와 구성

(iii) 정보처리시스템의 고유번호(가능한 경우)

(iv) 검색 하드카피 이미징 도구와 방법

(v) 압수한 디지털 자료에 대한 해시값(Hash Value)

 

- 압수수색•검증 대상 정보처리시스템이 네트워크에 연결되어 있고 피압수수색 대상자가 네트워크로 접속하여 저장된 자료를 임의로 삭제할 우려가 있을 경우에는 네트워크 연결 케이블을 차단한다.

 

 

[분석과정] - 일부 정리

증거물의 데이터 인식 : 장비에 증거물을 인식, 인식불가 시 복구 시도, 복구 실패 시 사건 담당자에게 통지 후 사건 종료

 

해시값 비교 : 증거물이 인식되면 해시값과 비교, 해시값이 다르면 훼손된 경우이므로 담당 자에게 통지 후 사건 종료

 

쓰기방지장치 사용 : 증거물이 변경 가능한 상태인 경우 쓰기방지장치를 사용하여 증거물을 열람, 정밀분석이 필요한 경우 쓰기방지장치 장착 후 이미징

 

복구 시도 : 분석내용 중 데이터 복구 필요 시 복구시도(복구 내용, 복구데이터 사용 시 보 고서에 명기)

 

증거데이터의 소유자 파악 : 증거물 데이터의 소유자를 특정하는 증거를 찾아 소유자에게 확인, 파일 이력을 추적하여 생성지를 파악

 

증거물의 분석 : 결정적 증거 발견 시 내용을 캡쳐 또는 메모하고 보고서에 상세히 기록

 

증거분석 보고서의 작성 : 요약부분을 먼저 기술, 쉬운 용어 사용, 객관적 사실만을 작성, 결정적 증거물의 경우 캡처하고 상세설명증거자료가 너무 많으면 별지 활용, 분석자 소속 및 성명 기재, 서명날인

 

 

 

~34