사이버포렌식 개론

1. 포렌식 스펠링 = Forensic , 그리스[아고라]

 

2. 사이버포렌식이란?

기술적측면, 조사적측면, 법률적측면

 

3. 로카르법칙 - 접촉하는 두 개체는 서로의 흔적을 주고 받는다.(transfer)

- 조사자 또는 초기대응자는 이 법칙을 항상 염두.

 

4. Inman-Rudin Paradigm - 증거생성과 포렌식 과학을 적용한 필수 프로세스

[1] 범죄로 인식되기 전

① 사건이 발생되면 물질은 분리되고(가분물), 전송된다.(transfer)

 

[2] 범죄로 인식된 후

① 증거를 분석하는 포렌식 과학적 방법에는 식별 / 분류 / 개별화 / 연관성 / 재구성 이 있다.

 

증거를 분석하는 과학적 방법

- Identification(식별) - 유일함을 식별하는 것이 아니다.[자국 , 카페트조각, 머리카락] 딱 볼 때

- Classification(분류) - 카테고리 별로 그룹화 [신발의 자국]

- Individualization(개별화) - 디테일하게 정확하게 [ nike사의 280짜리 '가나다'라는 신발 ]

- Association (연관성) - 증거와 대상간의 접촉을 추정 [ 카페트조각이 차에 있는 이유? ]

- Reconstruction (재구성) - 시공간 상에서 사건의 재구성

[why에 대한 답변 : 통상적으로는 불가능하지만 디지털 증거는 가능한 경우도 있다.]

 

5. 디지털증거의 분류

- 자동으로 생성되는 디지털 증거(로그)와 사용자 생성 디지털 증거 구분[빼박캔트, 알리바이 증명]

 

6. 디지털데이터의 특성

 - 비가시성 - 판사가 봤을 때 눈으로 알 수 없다.

 - 대량성 - 용량이 크다

 - 변조가능성 - 디지털 증거는 간단한 동작만으로 삭제 및 조작이 가능하다.

 - 휘발성 - 컴퓨터 메모리나 네트워크 상에서 일시적으로만 존재하여 사라질 수 있음

 - 복제용이성(매체독립성) - 원본과 사본의 구분이 힘들어서 형사소송법 106조 3항에 의거 디지털 증거는 어느 매체에 있어도 동일한 가치를 지닌다.

   + 예) 종이는 복제하기 힘드나 디지털 증거는 복제하기 쉽다.

 - 초국경성 - 국경을 넘어가면 처벌이 불가능하지만 인터넷은 국경이 없다.

 

7. 법정에서의 디지털 증거

-법정에서 유효한 증거가 되기 위해서는 증거능력 관점에서 증거를 수집/분석/제출해야 함

- 전문법칙의 적용을 받기 때문에 컴퓨터 상에서 나온 것은 증거능력이 없다.

- 위법수집증거배제의 원칙의 적용을 받아 불법으로 증거를 수집할 수 없다.

- 통과했으면 증명력의 판단을 해야한다.

- 판사가 자유심증주의[판사마음대로]를 통해서 판결한다.

 

8. 전문법칙

- 전문법칙은 진위여부를 모르지만 전해들은 말을 제외한다는 것을 의미한다.

- 전문여부 판단 - 디지털증거에 대해서 과학적분석결과에 진정성립이 증명되면 증거능력 인정

- 형사소송법 313조 2항(대부분의 진술증거는 전문으로 / 컴퓨터 내 증거면 판단)

 

9. 디지털증거로의 전문법칙 예외

- 비진술 증거로서의 디지털 증거 (전문 아님) - 진정성, 무결성, 신뢰성이 인정된다면 증거인정

ex) 로그기록

- 진술 증거로서의 디지털 증거 (전문 여부 판단 필요)

ex) 사람이 기록[전문법칙]

 

위법수집증거배제의 법칙 - 위법수집증거배제 위법수집증거배제 [형사소송법 308조 2항]

- 위법한 절차에 의해 수집된 증거의 증거능력 부정 -> 증거로 인정받기위해 노력을 해야함.

 

10. 합법으로 인정 받기 위한 방법

- 진정성 : 디지털 증거의 저장, 수집 과정에서 오류가 없고 정확하게 생성된 것이 인정되야 함

 ex) 이산가족이 내 가족이 맞나?

- 연계보관성 : 증거발견방법 처리방법을 비롯하여 증거와 관련한 모든 사항을 명확히

보관 이송과정에서 인수인계과정에 대한 검증과 기록이 필요한 것을 말함

- 검증 및 기록 : 사람, 장소, 시간, 보관 기간, 보관 방식, 이송 방법, 날짜 등

- 무결성 : 디지털 증거가 원본으로부터 수집되어 보관, 분석되는 과정에서 수정이 없도록

유지해야하며 검증(보장)할 수 있어야 한다. 

- 위조가능성을 이유로 무력화 하려고 할 시 증거의 신뢰성을 입증할 수 있어야 함.

   ex) 실제 증가와 판사 앞에 있는 증거와 동일한지?

- 원본성 : 디지털증거는 가독성이 없으므로 인쇄물로 출력하여 법원에 제출해야 함

   최초로 확정하여 작성한 것을 원본이라고 한다.

   ex) 원본 제출이 기본이나 그러지 않은 경우도 많다.

- 신뢰성 : 증거 데이터 분석 및 처리과정에서 디지털 증거가 위.변조 및 오류를 포함하지 않았음을 기술

※진정성과 신뢰성.[진정성 = 증거가 정확한지, 신뢰성 = 증거를 제출한 과정을 믿을 수 있는지]

ex) 진정성은 살인 및 강간 등 특정 중범죄 발생 시 피의자가 맞는지 혈흔을 채취하여 확인하는 것을 말한다면, 신뢰성은 혈흔을 조사해서 분석한 것을 제출할 시 중간에 테스트 장비와 사람에 의해 결과가 나오기 때문에 중간에 도구나 사람이 믿을 수 있는지를 말한다.

 

11. 디지털증거의 복사본

- 디지털 증거의 특성상 원본과 사본의 데이터는 완벽히 일치

- 그러므로 제 3자(사건과 무관한)의 입회하에 해쉬 값에 대한 증명이 필요

- 해쉬암호는 암호화는 가능하지만 복호화가 불가능하다.

- 해쉬값이 동일하면 데이터를 원본으로 인정

- 네트워크 수집증거 및 서버시스템

- 네트워크 데이터와 서버의 데이터는는 실시간으로 변화한다.

- 데이터의 수집기간에 따라 해쉬 값이 변할 수 있다.

- 그러므로 제 3자(사건과 무관한)의 입회하에 해쉬 값에 대한 증명이 필요

- 이후 동일한 해쉬 값을 가지면 데이터를 원본으로 인정

- 임베디드 시스템 - 물리적으로 분리하고 논리적으로 추출한다.

 

12. 국제공인 국제 사설 국내자격증

- CCFP, GCFA, GCFE / CHFI, ENCE, ACE / 디지털포렌식 전문가 2급