본문 바로가기
디지털 포렌식

[디지털 포렌식] 디지털 포렌식 개요

by spareone 2025. 6. 18.

디지털 포렌식 개요

디지털 포렌식의 정의

  • 과학 수사: 사건의 정확한 진상 규명을 위해 현대적인 기술, 시설, 장비와 과학적 기술, 지식을 활용하는 수사
  • 로카르트의 교환 법칙
    • 접촉하는 두 물체 간에는 반드시 흔적이 남는다
    • 물리적 세계에서 범죄자는 반드시 흔적을 남긴다 - 흔적은 지문, 혈흔, 발자국, 사진, 영상, 디지털 데이터 등 다양한 형태로 존재
  • 디지털 포렌식: 디지털 기기를 매개체로 하여 발생한 특정 행위의 사실 관계를 법정에서 규명하고 증명하기 위한 절차와 방법
  • 디지털 포렌식 (DFRWS 정의): 범죄 현장에서 확보한 컴퓨터 시스템이나 전자 장비에서 수집할 수 있는 디지털 증거물에 대해 보존, 수집, 확인, 식별, 분석, 해석, 기록, 현출 등을 과학적으로 도출되고 검증된 방법으로 수행하는 일련의 과정
  • 디지털 포렌식 (범죄 수사에 입각)
    • 범죄 관련 조사/수사를 지원하며, 디지털 자료가 법적 효력을 갖도록 하는 과학적/논리적 절차와 방법을 연구하는 학문

디지털 포렌식의 등장 배경

  1. 정보화 사회가 고도화되어 사이버 범죄가 증가
  2. 이에 대처하기 위해 과학수사와 수사과학 분야에서 새로운 형태의 조사 기술이 필요
  3. 생성되는 자료의 95% 이상이 전자 형태로 존재하며, 매년 2배씩 증가함

디지털 포렌식의 역사

  1. 도입기 (1970년대 후반 ~ 1980년대 초반)
    • 미국을 중심으로 컴퓨터 관련 범죄에 관한 법 제정
  2. 성장기 (1980년대 ~ 1990년대)
    • 법 집행 기관을 중심으로 디지털 포렌식 관련 기관 설립
    • 서로 간 소통을 위해 관련 기구 조직
  3. 표준기 (2000년대 ~ 2010년대)
    • 국가별로 디지털 포렌식 표준 수립, 정책과 기술 연구
  4. 암흑기 (2010년대 ~ 현재)
    • 클라우드 기술로 인해 증거 수집이 어려워짐
    • 빅데이터 big data로 분석이 어려워짐
    • 분석 대상의 기기가 매우 다양해짐
    • 안티포렌식 기법, 고급 은닉 기법의 증가
    • 관련 법 제도로 인해 적용 범위 제한

디지털 증거

증거의 사전적 정의

  • 사건의 발생 사실을 입증하고 반박하는 정보
  • 범행 의도나 알리바이와 같은 범죄의 핵심 요소를 알려주는 정보

디지털(전자적) 증거

  • 디지털 데이터: 디지털 기기에 존재하는 데이터
  • 디지털(전자적) 증거
    • 디지털 기기에 의해 전자적으로 생성되거나 저장되며 전송되는 일체의 증거
    • 디지털 포렌식 기법을 활용하여 수집된 디지털 데이터(저장 매체에 저장하거나 네트워크로 전송)로 법정에서 증거 능력을 갖는 디지털 데이터

디지털 데이터의 특성

  1. 비가시성, 비가독성 - 비트 스트링bit string을 그냥 눈으로 알아볼 수 있겠는가?
  2. 변조 가능성
  3. 복제 용이성
  4. 대규모성
  5. 휘발성
  6. 익명성과 초국경성

[!NOTE]

디지털 포렌식의 적용 대상은?

디지털 증거가 남을 수 있는 모든 디지털 장치

디지털 증거의 종류 (생성 시점별 분류)

  1. 자동으로 생성되는 디지털 증거
    • 인터넷 사용기록
    • 각종 로그 (방화벽, 운영체제 이벤트 등)
    • 최근 사용한 파일 목록
    • 프로세스 정보
    • 예약작업
    • 인터넷 연결 정보
    • 네트워크 공유 정보
    • 메모리 정보
  2. 인위적으로 생성되는 디지털 증거
    • 문서 파일
    • 전자메일E-mail
    • 멀티미디어 파일
    • 소프트웨어
    • 암호 데이터
    • 파일 및 파일 시스템
    • 운영체제

디지털 포렌식의 기본 원칙

정당성의 원칙

  • 위법 수집 증거 배제 원칙 - 위법한 절차를 통해 수집된 증거는 증거능력이 없음
  • 독수 독과 이론 / 독수의 과실 이론 - 위법하게 수집된 증거에서 얻어진 2차 증거도 증거능력이 없음

재현의 원칙

  • 같은 조건과 상황이 주어졌을 때 항상 같은 결과가 나와야 함

신속성의 원칙

  • 디지털 포렌식의 전 과정을 신속하게 진행해야 함 (디지털 데이터의 휘발성 때문)

연계 보관성의 원칙

  • 증거물의 수집, 이동, 보관, 분석, 법정 제출의 각 단계에서 담당자 및 책임자가 명확해야 함

무결성의 원칙

  • 수집된 증거가 위변조 되지 않도록 무결성을 입증해야 함

디지털 포렌식 수행 과정

  1. 사전 준비
  2. 증거 수집
  3. 증거의 포장 및 이송
  4. 조사 분석
  5. 정밀 검토
  6. 보고서 작성

디지털 포렌식 유형

  • 디스크 포렌식
  • 활성데이터 포렌식
  • 네트워크 포렌식
  • 이메일 포렌식
  • 웹 포렌식
  • 모바일/임베디드 포렌식
  • 멀티미디어 포렌식
  • 소스코드 포렌식
  • 데이터베이스 포렌식
  • 안티포렌식, 안티안티포렌식

'디지털 포렌식' 카테고리의 다른 글

[디지털 포렌식] 디지털 데이터 표현  (0) 2025.06.18

관련글

댓글

티스토리툴바