소개합니다

지식정보화 사회가 발전하면서 사이버 공간상의 범죄가 크게 늘어나고 있습니다.
PC나 노트북, 휴대폰 등 각종 저장매체 또는 인터넷상에 남아 있는 각종 디지털 정보를 분석해 범죄 단서를 찾는 수사기법 “디지털 포렌식(Digital Forensic)”에 대해 알아보려 합니다.

Q1.디지털 포렌식(Digital Forensic)이란?

디지털포렌식(Digital forensic)은 디지털적인 법과학의 한 분야로 컴퓨터 법과학이라고도 합니다. 디지털 기기를 매체로 발생한 특정 행위의 사실 관계를 법적으로 규명하고 증명하기 위한 절차와 방법을 말합니다. 즉, 디지털 기기에 각종 저장매체 또는 인터넷에 남아있는 각종 디지털 데이터와 통화기록, 이메일 접속 기록 등 정보를 수집하고 분석해 범죄의 단서를 찾는 수사기법을 말합니다.

Q2.디지털포렌식 수사의 기본 원칙은?
  • 1. 정당성의 원칙

    - 적법한 절차를 거쳐서 획득한 증거물

  • 2. 재현의 원칙

    - 동일한 조건, 동일한 과정 반복 시, 오차 범위 이내의 동일한 결과 도출

  • 3. 무결성의 원칙

    - 위조 및 변조로 훼손되지 않고, 안전하게 보관

  • 4. 신속성의 원칙

    - 휘발성이 강한 컴퓨터 정보를 신속하고 정확하게 확보

Q3.디지털포렌식의 절차는?

디지털 포렌식은 크게 증거 수집, 증거 분석, 증거 제출과 같은 절차로 구분됩니다.

  • 1. 증거 수집

    디지털 포렌식은 수집한 정보가 법적 효력을 가질 수 있도록 증거 수집의 원칙에 따라 정보를 획득합니다. 즉, 컴퓨터 메모리, 하드디스크 드라이브, USB 메모리 등 저장 매체에 남아있는 데이터를 취합하는 것입니다. 원본 데이터가 손상되지 않아야 하기 때문에 원본 데이터의 무결성을 보장하는 이미지 기술 등이 사용됩니다.

  • 2. 증거 분석

    증거 분석 단계에서는 수사에 필요한 정보를 끌어내기 위해 수집된 데이터를 자세히 분석하는 단계입니다. 일부 데이터가 숨겨져 있을 수 있기 때문에 삭제된 파일을 복구하거나 암호화된 파일을 해독하는 기술 등이 활용됩니다.

  • 3. 증거 제출

    위와 같은 과정을 통해 입수된 디지털 증거가 법적 증거로 채택되기 위해서는 증거 자료의 신뢰성이 중요합니다. 이를 위해 법률적으로 디지털 포렌식에 대한 표준 절차뿐 아니라 증거 수집 및 분석에 사용된 포렌식 툴에 대한 검증 절차도 이루어지게 됩니다.

Q4.디지털포렌식의 영역은?

과거에는 PC에 한정되었었던 것과 달리 최근에는 스마트폰, 스마트 워치, CCTV 등 다양한 디지털 기기로 수사의 대상이 확대되며 신사업 군으로 확대되고 있습니다. 검찰, 경찰 등 국가 수사기관에서뿐만 아니라 일반 기업체 및 금융회사 등 민간 분야에서도 중요성이 높아지고 있습니다. 컴퓨터로 이메일을 보내고 문서를 작성하거나 메시지, 애플리케이션을 활용하는 것까지 사용한 매체의 저장 장치에 모든 활동 흔적이 남게 되는데, 사용자가 이런 활동 흔적을 삭제하거나 파기했다 하더라도 포렌식 전문가의 손을 거치면 원본에 가깝게 복원이 가능합니다. 특히 일반 기업에서는 기업의 자료 유출이나 회계 부정 등 내부 감사를 하는데 디지털 포렌식이 수요 되는 추세입니다.

Q5.디지털 포렌식 기술의 종류는?
  • 1. 저장매체 복제 기술
    • - 저장매체의 모든 정보를 파일 또는 다른 저장매체로 복제하고 다른 시스템이나 프로그램에 인식시키는 기술입니다.
    • - 저장매체의 모든 정보를 복제한 사본 파일을 분석 시스템에 연결하여 조사/분석 과정을 거치게 됩니다.
  • 2. 이미지 인식 기술
    • - Write Block : 원본 저장매체의 정보를 훼손하지 않도록 보장
    • - Mounting : 이미지를 시스템의 서브 디렉터리 및 디바이스로 인식
    • - Browsing : Mount된 디스크의 내부 정보를 가독성 있는 형태로 변환
  • 3. 저장매체 복구 기술
    • - 물리적 복구 : 저장매체의 물리적, 전자자거 단/합선으로 훼손된 저장매체를 정상상태로 복구하는 기술
    • - 논리적 복구 : 삭제, 훼손된 파일 및 파일 시스템을 복구하는 기술
  • 4. 활성 시스템 정보 수집 기술

    운영 중인 시스템의 휘발성 정보를 수집하는 기술로서 시스템, 네트워크, 프로세서, 메모리 정보는 시스템 운영에 대한 디지털 증거를 제공하지만 시스템이 종료되면 다시는 확보할 수 없는 휘발성 정보이기 때문에 활성 시스템 상태에서 빠르고 정확하게 확보하는 기술입니다. 모든 명령어 실행은 휘발성 증거 수집 과정 자체가 시스템의 상태를 변경할 수 있기 때문에 특수 제작된 포렌식 CD에서 실행되어야 합니다.

  • 5. 네트워크 정보 수집 기술

    범죄자가 네트워크를 통해 비인가 접속, 서비스를 방해하는 위법 행위를 실시한 경우 네트워크 관련 증거를 확보하기 위해 Network Packet, 주변 네트워크, 정보보호 장비의 Log를 통합 수집하는 기술입니다.

  • 6. 디지털 증거 보관 기술

    디지털 증거는 물리적 증거와는 달리 위조, 삭제, 변경이 용이하기 때문에 이를 방지하기 위하여 증거수집 당시의 정보를 그대로 유지를 시킬 수 있는 기술입니다.

    • - 물리적 보관 기술 : 전자파, 물리적 충격으로부터 저장 매체를 보호
    • - 논리적 보관 기술 : 현재의 디지털 증거가 증거 수집 현장에서 획득된 증거임을 입증하여 디지털 증거의 무결성을 보장할 수 있는 기술