열공하는베짱이

Theory/Forensic

사이버포렌식 절차

D4tai1 2018. 9. 16.

1. ISO/IEC 27037(이칠공삼칠) - 디지털증거 가이드라인

1) 기본원칙

 [1] 관련성 - 취득한 자료가 조사와 관련이 있어야 한다

 [2] 신뢰성 - 결과가 똑같이 나와야 한다.

 [3] 충분성 - 올바른 조사가 이루어지도록 충분한 자료 수집

 

2. 디지털 증거 처리 요구사항

1) 감사성 - 수행된 사안에 대해 제 3의 감사가 가능해야 함

2) 반복성 - 동일한 측정 방법과 동일 조건하에서 동일한 도구 사용하여 차후 반복가능해야 함

3) 재현성 - 동일한 측정 방법과 다른 조건하에 다른도구를 사용하여 차후 동일한 결과를 재현

4) 정당성 - 증거를 모으는 행위와 방법을 정당화 할 수 있어야 한다.

5) 증거수집

- 위법이더라도 권한이 없으면 수집하면 안된다.

- 단, 증거수집을 위해 법적권한 검토하고 수집하는 동안 범위 밖의 증거를 수집하기위한 추가적인 권한을 획득할 수 있다.(우연한 것은 영장 재 청구 가능).

ex) 가정폭력 문제로 집을 들어가 조사하다가 우연하게 시체를 발견했을 경우 영장

- 재청구가 가능하지만, 컴퓨터를 조사하여 아청법 관련 영상을 발견 시 영장 재청구 불가

- 현장에서 증거를 이송할 수 없을 때 조사관과 상의하여 현장에서 복제가능하다.

- 현장은 조직적이고 빈틈없이 조사되어야 한다.

 

3. 증거처리

- 증거상태를 문서화 한다.

1) 전원이 켜진 시스템[조사관이 알야야 할 것]

[1] 컴퓨터에 대한 실행 프로세스를 조작

[2] RAM과 같은 휘발성 데이터를 수집

[3] 클라우드나 외부 저장소와 연결되어있는지 알아낸다.

[4] 가상머신에 대해 문서화하고 절전시킨다.

[5] 암호화 프로그램이 설치되어 있다는 것을 가정

[6] 네트워크 연결로부터 컴퓨터를 격리시킨다

 

2) 전원이 꺼진 시스템[조사관이 알야야 할 것]

[1] 부팅하지 않고 물리적인 네트워크를 끊는다.

[2] 프리뷰 교육을 받은 직원만 컴퓨터를 켜고 데이터를 다룬다.

[3] WAKE UP LAN 과 자동부팅 가능성 고려.

 - 우리나라는 하드디스크를 분리하고 부팅하여 바이오스모드로 진입하여 시간을 확인 기록 촬영한다.

 -> 시간을 변경할 수 있기 때문에.

 

 

4. 취득유형

- Physical = 하드웨어

- Logical = 탐색기 내부

- Live = 컴퓨터 켜진 상태에서는 삭제된 거 복구할 수 없다

- 포렌식 분석 및 검사 시 원본이 아닌 사본을 들고 분석 및 검사를 한다.

- 모든일은 문서화 한다.

 

5. 디지털증거 표준 가이드라인

1) 적법절차의 준수 - 최소한의 증거 수집을 원칙으로 한다. [압수수색 시 다가져오면 회사 망한다 ]

- 디지털 증거 수집 및 분석 규정 제 12조 과잉금지원칙 준수

2) 원본의 안전한 보존 - 쓰기방지장치를 이용하여 증거 원본에 대한 무결성 유지

3) 증거의 무결성 확보 - 단방향 암호화 알고리즘으로 해쉬값을 확보

- 증거분석 시 시간이 오래걸리므로 해쉬값을 비교한다.

- 21분석원칙 - 신뢰성을 유지할 수 있도록 적합한 장비와 프로그램을 사용 

- 증거수집 팀은 OS, DB, NETWORK 분야별 전문가로 구성

- 결과보고서 작성 - 유일하게 툴이 할 수 없는 것!!!

- 수사관이 쉽게 이해할 수 있는 용어를 사용하여 정확하고 간결하며 논리정연하게 작성

- 작성자는 결과보고서에 서명하고 작성한 내용에 대해 책임을 진다.

- 현장통제와 보존 [ 핸드폰의 경우 유심, 플래시메모리, 외장메모리에 저장을 한다]

- 디지털 포렌식 조사절차 중 시간에 따른 분류의 내용.

- 시간에 따른 분류에는 총 3가지가 있다

- 파일을 [만든날짜 / 수정한날짜 / 액세스한날짜]

 

6. 포렌식 절차 [분석서 작성]

- 포렌식 분석서는 법정에서 전문증거를 의미한다.(작성자가 법정에서 증언 가능)

- 분석서의 주요 요소는 청자[Audience]이다

1) 비 전문가 - 판사

2) 전문가

3) 반대자

 

7. 분석서의 구조

- 요청서가 아니기 때문에 서론은 필요가 없다.

 

8. 분석서 작성시 주의사항

- 유무죄를 판단하거나 옹호하는 등의 주관적인 의견을 서술하지 않으며 진실되고 객관적인 의견을 서술

- 결론에 있어 실제 발견한 내용을 서술해야 하며 발견하길 원하는 것을 서술하지 않음.

 

9. 포렌식 절차

준비 - 식별수집 - 이송 - 획득분석 - 분석서 작성 - 보존

 

10. 휘발성 데이터와 비휘발성 데이터 비교

 

11. 디지털 증거의 처리(Handling)에 대한 핵심 요소 : Chain of custody

- ex) 택배를 받거나 카드결제 시 사인 하는 것과 비슷한 논리

앞에서 말한 연계보관성(증거와 관련한 모든 사항을 명확히 보관, 인수인계과정 기록)

 

저작자표시 비영리

'Theory > Forensic' 카테고리의 다른 글

실시간 대응  (0) 2019.04.27
레지스트리 분석  (0) 2019.01.19
메모리 수집 분석  (0) 2019.01.19
사이버포렌식 개론  (0) 2018.09.16
사이버포렌식 기술  (0) 2018.09.16

댓글

티스토리툴바