본문 바로가기

Information Technology/Digital Forensics5

디지털 포렌식 주요 용어 File Fingerprint 파일 또는 파일 조각을 식별하는 고유한 숫자 배열로 사건당시 중요한 증거로 활용 될 수 있다. Live Forensics디스크 이미지 조사 기반의 일반적 디지털 포렌식 과정과는 다르게 시스템이 켜져 있는 상태에서 데이터를 선별 수집 및 조사 진행, 시스템의 전원을 내리면 수집할 수 없는 휘발성 데이터(Volatile Data)와 신속한 조사에 필요한 비휘발성 데이터를 선별해서 수집 전원에 연결되어 정상적으로 가동 중인 시스템의 조사 과정 중 활성 시스템을 마주한 경우 이루어지는 절차를 의미한다. (휘발성 데이터란, RAM과 같은 휘발성 메모리에 저장되어, 전원이 꺼지면 사라지는 데이터를 의미하며 그 특성 때문에, 활성 상태의 시스템에서만 획득 가능하다. 수집 시점에 따른 상.. 2016. 10. 25.
디지털 포렌식 최량증거원칙(最良證據原則, Best evidence rule) 최량증거원칙最良證據原則, Best evidence rule 미국 증거법상 원칙으로녹취나 서면 증거를 채택할 때 최량의 증거 보통 원본을 우선하며,구두진술은 원본이 더 이상 존재하지 않을 때 채택하는 원칙이다. 개요미국 증거법상 원칙으로 녹취나 서면증거를 채택할 때 최량의 증거 보통 원본을 우선하며 구두진술은 원본이 더 이상 존재하지 않을 때 채택한다는 원칙이다. 원본문서원칙(original document rule)으로도 불린다. 미국 연방증거법 제1002조는 "서면, 녹음, 사진의 내용을 증명함에는 서면, 녹음 또는 사진의 원본이 요구된다. 단 이 법이나 의회가 달리 정한 경우에는 그러하지 아니하다."고 규정하고 있다. 원본문서원칙(original document rule)으로도 불린다. 원칙을 적용하.. 2016. 8. 15.
디지털 포렌식 정의 디지털 포렌식 정의 개요 범죄현장에서 확보한 개인 컴퓨터 및 서버, 시스템 등의 전자장비를 통해 수집할 수 있는 디지털 증거물에 대해 보존, 수집, 확인, 식별, 분석, 재현 보고를 과학적으로 돌출하며 증명 가능한 방법으로 수행하는 것, 컴퓨터 관련 조사/수사를 지원하며, 디지털 데이터가 법적 효력을 갖도록 하는 과학적ㆍ논리적 절차와 방법을 연구하는 학문 컴퓨터 포렌식(위키피디아) 컴퓨터 포렌식(Computer forensics, 컴퓨터 법의학) 또는 디지털 포렌식은 전자적 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업을 말한다. 과거에 얻을 수 없었던 증거나 단서들을 제공해 준다는 점에서 획기적인 방법이다. 컴퓨터 포렌식은 사이버 해킹 공격, 사이버 범죄시 .. 2016. 8. 12.
디지털 포렌식 기본 원칙 디지털 포렌식 기본 원칙 개요 포렌식을 통해서 증거를 획득하고, 이 증거가 법적인 효력을 가지려면 그 증거를 발견(Discovery)하고, 기록(Recording)하고, 획득(Collection)하고, 보관(Preservation)하는 절차가 적절해야 한다. 이를 만족하기 위해 5가지 원칙이 있다. 그리고 포렌식을 통해 획득한 증거는 법적으로 전문증거(Hearsay Evidence)에 해당한다. 정당성의 원칙: 증거가 적법한 절차에 의해 수집되었는가? 모든 증거는 적법한 절차를 거쳐서 획득한 것이어야 하며, 위법한 절차를 거쳐 획득한 증거는 증거 능력이 없다. 예를 들어 불법 해킹을 통해 얻은 패스워드로 시스템 내부에서 획득한 증거 능력이 없다. 만약 법인을 잡고 싶은 마음에 수단과 방법을 가리지 않을 .. 2016. 8. 12.
디지털 포렌식 수행 절차 5단계 디지털 포렌식 수행 절차 5단계 개요 포렌식은 5가지 기본원칙을 지키면서 이루어져야 하며 단계별 절차는 아래와 같다. 수사 준비(포렌식 도구 준비 및 테스트, 포렌식 장비 확보, 협조체계 확립) 수사를 준비(Preparation)할 때는 장비와 도구를 확보하고, 적절한 법적 절차를 거쳐 피의자 또는 수사 대상에 접근해야 한다. 증거 수집(증거물 획득, 현장분석 사진 촬영, 디스크 이미징, 증거물 인증) 증거물을 획득(Acquisition)할 때는 증거를 획득한 사람과 이를 감독한 사람, 그리고 이를 인증해 주는 사람이 있어야 한다. 그리고 세 사람의 참관하에 다음과 같은 절차를 수행한다.컴퓨터의 일반적인 하드디스크를 검사할 때에는 컴퓨터 시스템에 관한 정보를 기록한다.복제 작업을 한 원본 매체나 시스템의.. 2016. 8. 12.

티스토리툴바