| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |
Tags
- 파일 시스템
- windosw 문자열
- web
- windosws wbcs
- LoB
- 자료구조
- C
- PHP
- 암호수학
- 미로 탐색 알고리즘
- ftz level13
- 스택
- System
- 두근두근 자료구조
- c언어
- Java
- SWiFT
- OSI
- 큐
- 파이썬
- ftz
- HTML
- 재귀
- 정렬 알고리즘
- 시간복잡도
- War Game
- level13
- pwnable.kr
- 백준
- Stack
Archives
- Today
- Total
나의 기록, 현진록
디지털 포렌식(Digital Forensic) 본문
반응형
디지털 포렌식
forensic(법의학적인, 범죄 과학 수사의...)은 범죄를 밝혀내기 위한 과학적 수단이나 방법, 기술 등을 포괄하는 개념이다. 디지털 포렌식은 컴퓨터 법의학이라고도 표현할 수 있으며, 전자적 증거물을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업을 말한다. 사이버 범죄 추적 및 조사에도 핵심적인 요소가 되고 있다. 주로 침해사고 대응과 분석에 이용한다.
다양한 포렌식 기법
1. 메모리 포렌식
휘발성이 강하지만 고유의 독특한 정보가 많이 존재하는 RAM에 남아 있는 악성코드 감염과 관련된 다양한 흔적(파일 실행, 네트워크 접속 및 프로세스 정보 등)을 분석하는 기법이다.
2. 레지스트리 포렌식
일반적으로 대부분의 악성코드는 감염된 시스템이 재부팅을 하거나 시스템 사용자가 특정 행위를 수행했을 때 악성코드 자신이 실행되기 위해 윈도 시스템의 레지스트리에 새로운 키(Key)를 생성 및 변경한다. 이러한 악성코드의 특징에 기반해 레지스트리를 중심으로 분석이 이루어지는 기법이 레지스트리 포렌식이다.
3. 인터넷 포렌식
인터넷 사용이 보편화 됨에 따라 이메일 클라이언트(E-Mail Client), 메신저(Instant Messanger) 그리고 웹 브라우저(Web Browser)와 같이 인터넷 활동과 관련된 애플리케이션(Applications)으로 인해 악성코드에 감염되는 사례가 다수를 차지하고 있다. 그러므로 인터넷 관련 애플리케이션의 행위와 흔적(Artifact) 분석을 통해 악성코드의 감염 경로와 감염 매개체를 파악할 수 있다.
4. 네트워크 포렌식
현재 발생하는 대부분의 악성코드는 어떠한 방식으로든 인터넷에 존재하는 시스템과 네트워크 연결이 이루어짐으로써 네트워크 패킷(Packet)에 기반한 분석을 통해 감염 경로와 함께 감염 시스템을 추적하고 분류할 수 있다.
5. 파일 시스템 포렌식, 디스크 포렌식
파일 시스템 포렌식은 전통적인 컴퓨터 포렌식 분야에서 중요하게 언급하는 기법 중 하나로 악성코드 감염이 의심되는 시스템의 디스크 이미징(Disk Imaging)을 통해 생성한 디스크 복사본을 인케이스(EnCase)나 FTK(Forensic ToolKit)와 같은 파일 시스템 분석 소프트웨어를 이용해 디스크 전체를 분석하는 기법이다.
디지털 증거처리 표준 가이드라인
디지털 증거를 처리하는 과정은 식별, 수집, 획득, 보존, 분석 등의 과정을 통해 증거가 가지는 잠재적인 가치를 최대화하고 발생할 수 있는 위험을 최소화 하기 위해 수행된다. 현실적으로 디지털 증거는 손상되기 쉽고, 부적절한 취급이나 분석 중에 훼손되거나 무결성이 침해될 수 있기 때문이다. 따라서 디지털 증거를 취급하는 행위를 할 때 증거 처리에 실패할 경우 디지털 증거를 더 이상 사용하지 못할 수도 있기 때문에 모든 행위와 근거는 문서화될 필요가 있다.
관련 법률
- 형사소송법/형사소송법규칙(제106조(압수) 제215조(압수/수색/검증), 제218조의2조(압수물의 환부, 가환부) 자유심증주의, 위법수집증거배제원칙, 전문증거배제법칙)
- 디지털증거수집 및 분석규정(대검찰청 예규)
- 정보통신망 이용 촉진 및 정보보호 등에 관한 법률
- 통신비밀보호법(제9조의 3(압수, 수색, 검증의 집행에 관한 통지), 제13조(범죄수사를 위한 통신사실 확인자료제공의 절차 <개정 2005.5.26>), 제13조의3(범죄수사를 위한 통신사실 확인자료제공의 통지))
- 부정경재 방지 및 영업비밀보호에 관한 법률
- 산업기술의 유출방지 및 보호에 관한 법률
- 신용정보법 등 개인정보관련 규정 등
출처
※자유심증주의 : 법원이 판결의 기초가 되는 사실을 인정함에 있어서 증거방법이나 증거력에 관하여 법률상의 제한을 받지 않고 법관의 자유로운 판단에 따르도록 하는 원칙
※위법수집증거배제원칙 : 적법한 절차에 따르지 아니하고 수집한 증거는 증거로 할 수 없다는 원칙
활용사례
2014년 세월호 승객이 가족과 나눈 카카오톡 내용 복구(재판 증거 채택)
2015년 4월 12일 성완종 리스트 의혹 수사(암호화 엑셀 파일)
2016년 국정농단 박근혜 최순실 게이트 태블릿 PC 복원(이메일을 통한 다운로드 파일, 카카오톡 메시지, 앱 접속 기록) http://www.boannews.com/media/view.asp?idx=57893
반응형
'-Forensic' 카테고리의 다른 글
| wireshark 패킷 분석 / 악성코드 추출 / 네트워크 포렌식 (2) | 2019.01.17 |
|---|---|
| 파일 카빙 (0) | 2019.01.11 |
| 메모리 포렌식(Memory Forensic) (0) | 2018.07.17 |
'-Forensic' Related Articles
more
