디지털 포렌식 조사 과정

1. 영장 집행 및 증거 수집
2. 운반 및 보관
3. 분석 및 조사
4. 보고서 작성

디지털 포렌식 조사 수행 시 유의사항

적법 절차의 준수

• 피조사자 개인의 인권을 보장해야 하고, 피조사 기관의 영업 비밀이나 중요 → 열람 권한을 확보 하고 적법절차를 준수해야 한다.

증거 무결성

• 원본의 안전한 보존 (데이터를 안전하게 보존 해야함 ex)해시값 )
• 증거의 무결성 확보 (증거 데이터에는 조작이 없다는걸 보여야함)
• 증거의 신뢰성 증명 (전문적인 분석 경험자와 방법)
• 분석 결과의 반복성 (동일한 실험 조건에 동일한 결과 도출)
• 모든 과정의 기록 (진정성을 위해)

수사 준비

1. 사건 발생 및 확인

• 주요 조사 대상의 선정
• 사건 발생 시 이에 대한 조사를 수행할 필요가 있는지 확인
• 일반 사건인지 사이버 범죄인지

2. 조사권한 획득

• 위의 케이스에 따라 권한 획득 수준이 달라진다.

3. 조사 팀 구성

• 적합한 팀을 꾸려 사전 교육을 한다.

4. 장비 및 도구 준비

• 증거 수집 장비( 소프트웨어 하드웨어 기타장비)
• 운반 장비
• 증거 봉인 및 포장

이미징: 대상 저장 장치와 같은 크기의 파일 생성 - bit-by-bit copy - 장점: 은닉, 삭제로 부터 안전 - 파일 하나 ex) iso 복제(clone): 대상 저장장치와 같은 크기의 저장장치로 copy - bit-by-bit copy - 하나씩 별개로 여러 파일 복사(copy): 파일 폴더 디렉토리를 A -> B 함

수사 절차 - 증거물 획득

현장 분석

• 현장 도착 시 조사에 필요한 조치를 수행(현장 촬영)
• 현장의 통제, 보존

1. 현장 통제와 보존

• 현장의 통제는 증거물을 최대한 원본상태로 보존가능
• 증거훼손을 막아 예기치 못한 증거자료가 손실되지 않게 막음
• ex) 컴퓨터를 종료하면 RAM 내의 정보가 날아감

2. 관계자 협조 요청

• 조사 권한 획득
• 수사기관은 영장을 제시하여 접근 권한을 받음
• 민간기관은 의뢰기관이 허가한 시스템에 대해서만 조사 진행
• 사용자의 협조를 요구

현장 분석

• 이동식 저장매체 조사

• 백업, 교체, 은닉 시스템이나 저장매체 수색

• 물리적 증거물 수집

• 개인용 정보 단말기(스마트폰, 태블릿 등)

  • 휴대폰은 사용 기록이 내부에 탑재된 플래시 메모리에 저장

증거물 획득

• 증거 수집 방법 결정

시스템 확보 후 수집을 할때 데이터가 휘발성인지 아닌지 판단

수사기관은 영장 기재 내용에 의거해 필요한 증거물을 압수

원본 하드디스크를 가져올 수 있으면 사본을 뜨고 안되면 선별 데이터를 수집한다.

• 시스템 확보 / 데이터 수집

1. 사진촬영 → 시스템의 앞/뒷면 주변 저장 매체 촬영
2. system log 속 이동형 저장 매체가 삽입 된적있는지 파악 후 압수
3. 컴퓨터 전원 상태 확인 (전원 차단 전 휘발성 데이터 수집 (main memory))
4. 휘발성 데이터 수집 → 현재 실행 중인 프로세스 및 다양한 정보
5. 시스템 종료

확보 및 수집 - 수집 절차 (휘발성 데이터의 종류)

시스템 정보

• 시스템 시간
• 열려있는 파일 정보
• 현재 실행 중인 프로세스 리스트
• 현재 실행 중인 서비스 리스트
• 현재 로그인한 서비스 리스트
• 현재 로그인한 사용자 계정
• 클립보드 내용
• 명령어 콘솔 사용 정보
• 프로세스 실행파일의 전체 경로
• 프로세스를 실행한 계정
• 부모/자식 프로세스
• 프로세스가 로드한 라이브러리
• 실행 시작 시간
• 사용중인 네트워크 연결 정보
• 원격 사용자 정보
• 원격 접근 파일
• 사용중인 외부 지원

활성 시스템 조사의 한계성

• 활성 시스템에서 조사를 위한 도구를 실행할 경우 데이터의 변형 가능성

  → ex) 파일 접근 시간 변경, 메모리 데이터 무결성 훼손

• DLL 후킹 기법 등을 사용하는 악성코드에 의해 변조된 데이터 수집 가능성

  → 메모리 분석을 통한 악성 코드 존재여부 파악 必

• 삭제 파일에 대한 복구 불가능

  → 이미지 분석과정에서 파일 복구 시도

확보 및 수집 - 수집 절차

• 전원 코드 강제 분리 종료

  → 전원이 끊김과 동시에 하드디스크에 쓰기 방지

  → BUT 시스템에 치명적 손상이 가해질 수 있음

• 정상적 종료

  → 시스템이 종료되는 과정에서 임시 파일 삭제

• 주변 기기와 케이블 분리

  -< 시스템 혹은 하드디스크에 연결된 주변 기기와 케이블 분리

하드디스크만 확보할 경우, 컴퓨터의 BIOS에 기록된 시간 정보 획득

사본 디스크 확보

• 입수된 하드디스크를 분석 시스템에 활용할때 증거물이 손상될 수 있으므로 디스크 이미징을 통한 사본 생성
• 사본을 만들때 bit by bit로 copy함

확보 및 수집 절차

• Encase → 디스크 이미징, 브라우징 기능 제공, 그래픽 인터페이스 제공

증거물 운반

• 증거들의 진정성 유지와 훼손 방지
• 증거물의 도난, 누락이 없도록 견고한 인증 과정 必

증거물 이송시 준수사항

• 충격을 받지 않도록 안전조치 취함
• 제조일자, 고유번호, 모델 등 기록 및 포렌식 차량 사용

 

분석 및 조사

증거물 획득 과정의 ORG file의 hash와 분석 및 조사의 hash 값이 다를경우 무결성이 떨어진다.

파일 복구

파일 시스템이 필요한 이유

• 원하는 파일을 읽고 쓰는 기본적인 기능부터 데이터를 검색, 저장, 관리하기 위한 규약 필요
• 디지털 데이터를 효과적으로 관리하기 위해 파일을 체계적으로 기록하는 방식

파일 시스템의 구조

• 크게 Meta area, Data area로 이루어져 있다.
• 메타정보에 삭제시간이 기록되면 삭제된 데이터의 영역을 찾아봄
• 메타 데이터 내에 시간정보 속성정보 파일이름 데이터 위치정보
• 실질적으로 요즘의 OS는 메타데이터까지 삭제하기 때문에 정보를 얻기 힘들다.
• 혹은 Meta와 무관하게 file carving으로 데이터 인풋을 통해 지워진 파일로 유추되는 파일을 복구

File Carving (Data 영역 한정 파일 복구(Meta 데이터 필요없음)

• 다양한 파일들이 가지고 있는 고유 정보 이용
• Header과 Footer의 양식을 보고 복구
• pdf, hwp, docx 등 여러 공신력 있는 회사의 양식으로 복구하면 공신력 있다.

레지스트리 분석

• 운영체제가 사용하는 디렉토리 → 함부로 고치면 위험
• 하드웨어, 운영체제 소프트웨어, 대부분의 비 운영체제 소프트웨어 등에 대한 정보와 설정 값을 저장
• hwp같은 걸 실행해 → 로그가 남음 → 이걸 artificial fact 즉 artifact가 됨
• 시스템에 언제 접속했는가 인터넷 브라우저에 저장된 자동 완성 기능 등 여러 다양한 로그가 남아 있음

마지막 단계 - 보고서 작성