디지털 포렌식 기본 원칙

디지털 포렌식 기본 원칙

개요


   포렌식을 통해서 증거를 획득하고, 이 증거가 법적인 효력을 가지려면 그 증거를 발견(Discovery)하고, 기록(Recording)하고, 획득(Collection)하고, 보관(Preservation)하는 절차가 적절해야 한다. 이를 만족하기 위해 5가지 원칙이 있다. 그리고 포렌식을 통해 획득한 증거는 법적으로 전문증거(Hearsay Evidence)에 해당한다.

정당성의 원칙: 증거가 적법한 절차에 의해 수집되었는가?


모든 증거는 적법한 절차를 거쳐서 획득한 것이어야 하며, 위법한 절차를 거쳐 획득한 증거는 증거 능력이 없다. 예를 들어 불법 해킹을 통해 얻은 패스워드로 시스템 내부에서 획득한 증거 능력이 없다. 만약 법인을 잡고 싶은 마음에 수단과 방법을 가리지 않을 경우 실제로 존재하는 증거의 효력까지 상실할 수 있다.


재현의 원칙: 같은 조건과 상황에서 항상 같은 결과가 나오는가?


   증거는 어떤 절차를 통해 정제되는 과정을 거칠 수 있다. 예를 들면 시스템에서 삭제된 파일이나 손상된 파일을 복구하는 과정 등이다. 법정에 이 증거를 제출하려면 똑같은 환경에서 같은 결과가 나오도록 재현할 수 있어야 하며, 수행할 때마다 다른 결과가 나온다면 증거로 제시할 수 없다.


신속성의 원칙: 디지털 포렌식의 모든 과정이 신속하게 진행되었는가?


   컴퓨터 내부의 정보는 휘발성을 가진 것이 많으므로 신속하게 이뤄져야 한다. 예를 들어 살인 사건 등이 일어나면 주변을 출입 통제하고 지문이나 흔적 등이 사라지기 전에 최대한 빨리 관련 작업을 수행한다. 마찬가지로 시스템 안의 디스크 또는 메모리나 응용 프로그램 내 존재하는 정보 등을 획득하려면 빠르고 정확하게 움직여야 한다.


연계 보관성의 원칙(절차): 증거물이 수집, 이동, 보관, 분석, 법정 제출의 각 단계에서 담당자 및 책임자가 명확한가?


   증거는 획득되고 난 뒤 이송/분석/보관/법정 제   출이라는 일련의 과정이 명확해야 하며, 이러한 과정에 대한 추적이 가능해야 한다. 이를 연계 보관성(Chain of Custody)이라 한다. 연계 보관성을 만족하려면 증거를 전달하고 전달받는 데 관여한 담당자와 책임자를 명시해야 한다.


무결성의 원칙: 수집된 증거가 위, 변조되지 않았는가?


   수집된 정보는 연계 보관성을 만족하게 해야 하고, 각 단계를 거치는 과정에서 위조 및 변조되어서는 안 되며, 이러한 상황을 매번 확인해야 한다. 하드 디스크 같은 경우에는 해시값을 구해 단계마다 그 값을 확인하여 무결성을 입증할 수 있다.



출처

• 한빛 아카데미 정보보안 개론(한 권으로 배우는 보안 이론의 모든 것 467p)