디지털 포렌식 수행 절차 5단계

디지털 포렌식 수행 절차 5단계

개요

   포렌식은 5가지 기본원칙을 지키면서 이루어져야 하며 단계별 절차는 아래와 같다.

수사 준비(포렌식 도구 준비 및 테스트, 포렌식 장비 확보, 협조체계 확립)

   수사를 준비(Preparation)할 때는 장비와 도구를 확보하고, 적절한 법적 절차를 거쳐 피의자 또는 수사 대상에 접근해야 한다.

증거 수집(증거물 획득, 현장분석 사진 촬영, 디스크 이미징, 증거물 인증)

   증거물을 획득(Acquisition)할 때는 증거를 획득한 사람과 이를 감독한 사람, 그리고 이를 인증해 주는 사람이 있어야 한다. 그리고 세 사람의 참관하에 다음과 같은 절차를 수행한다.

• 컴퓨터의 일반적인 하드디스크를 검사할 때에는 컴퓨터 시스템에 관한 정보를 기록한다.
• 복제 작업을 한 원본 매체나 시스템의 사진을 찍는다.
• 모든 매체에 적절한 증거 라벨을 붙인다. 그리고 증거 라벨에는 증거 획득 일시, 피의자 동의 여부(Yes, No), 사건 번호, 라벨 번호

보관 및 이동(획득한 이미지 사본 생성, 증거물 포장 및 운반)

   획득된 증거는 앞서 언급한 연계 보관성을 만족하게 하며 보관 및 이송(Preservation)되어야 한다. 증거가 연계 보관성을 만족하려면 우선 안전한 장소에 보관해야 하는데, 안전한 장소를 ‘Evidence safe’라고 한다. 이송되거나 담당자/책임자가 바뀔 때는 증거를 획득한 사람 및 감독한 사람, 검토자의 이름, 서명, 날짜, 시각, 연락처를 기재한다.

분석 및 조사(자료복구, 검색 타임라인 및 시그니처 분석, 은닉자료 검색, 해시/로그 자료 분석)

포렌식과 관련해서 증거를 관리할 때는 최량 증거 원칙(The Best Evidence Rule)을 따른다. 최량 증거 원칙은 복사본 등의 2차적인 증거가 아닌 원본을 제출하도록 요구하는 영미 증거법상의 원칙이다. 원본이 존재하지 않으면 가장 유사하게 복사한 최초 복제물이라도 증거로 제출해야 한다. 따라서 법원에 제출하는 원본 또는 최소의 복제물은 기본적으로 보관하고, 이를 다시 복사한 문서로 분석 및 조사(Examination & Analysis)를 해야 한다. 각 분석 단계에서는 무결성을 확보할 수 있는 정보가 계속 기록되어야 하며, 분석을 위해 사용하는 프로그램은 공증을 받은 프로그램에 한한다. 또한, 프로그램 내에서 사용된 스크립트는 그 내용과 실행 단계별 결과가 문서화 되어야 한다.

보고서 작성(증거분석 결과, 증거 담당자 목록, 전문가 소견)

   분석을 마친 뒤에는 분석에 사용한 증거 데이터, 분석 및 조사 과정에서 증거 수집을 위해 문서로 만들며 무결성과 관련 정보, 스크립트 수행 결과를 보고서로 작성(Reporting)해 증거와 함께 제출한다.