the 12th korea internet conference, 6.23~6.25, 인터컨티넨탈호텔 …c3%d... ·...
TRANSCRIPT
Computer ForensicsComputer Forensics
대전대학교 컴퓨터공학부
최 용 락
sun.dju.ac.kr042)280-2541 011-9811-2541
대전대학교대전대학교 컴퓨터공학부컴퓨터공학부
최최 용용 락락
[email protected]@.dju.ac.kr
sun.dju.ac.krsun.dju.ac.kr042)280042)280--2541 0112541 011--98119811--25412541
KRnetKRnet 20042004The 12The 12thth Korea Internet Conference, Korea Internet Conference,
6.23~6.25, 6.23~6.25, 인터컨티넨탈인터컨티넨탈호텔호텔,,
E1. Cyber Security SessionE1. Cyber Security Session
발표내용발표내용
I.I. 컴퓨터컴퓨터범죄범죄
II.II. 보안침해사고보안침해사고대응대응
III.III. 컴퓨터컴퓨터포렌식스포렌식스정의정의및및특징특징
IV.IV. 컴퓨터컴퓨터포렌식스포렌식스절차절차
V.V. 컴퓨터컴퓨터포렌식스포렌식스관련관련도구도구
VI.VI. 컴퓨터컴퓨터포렌식스포렌식스동향동향
컴퓨터컴퓨터범죄범죄qq컴퓨터의컴퓨터의 22가지가지 오용오용(Cyber Crime)(Cyber Crime)
vv범죄를범죄를 위하여위하여 컴퓨터를컴퓨터를 도구로도구로 사용사용
ØØ어린이어린이포르노포르노, , 위협위협편지편지, , 사기사기행위행위및및지적재산의지적재산의도난도난등등디지털디지털흔적흔적
을을남기는남기는간접적간접적범죄범죄
ØØ사용된사용된컴퓨터컴퓨터조사조사, , 특정특정키워드키워드탐색탐색, , 로그파일로그파일조사조사등을등을통한통한불법적불법적
인인행위의행위의시간시간및및사람의사람의증거증거제시제시필요필요
vv컴퓨터컴퓨터 자체가자체가 범죄의범죄의 대상대상(incident response)(incident response)
ØØ컴퓨터와컴퓨터와네트워크네트워크침입침입, , 컴퓨터컴퓨터저장저장자료의자료의도난도난및및기술적기술적파괴파괴등의등의
해킹해킹, , 사이버사이버테러테러등등직접적직접적범죄범죄
ØØ공격의공격의정교성과정교성과빈도의빈도의증가와증가와함께함께침해사고침해사고대응대응팀의팀의도전적인도전적인업무업무
로로성장성장
컴퓨터컴퓨터범죄의범죄의타입타입
qq컴퓨터컴퓨터서비스서비스및및정보의정보의도난도난
qq보호된보호된시스템에시스템에허가되지허가되지않은않은접근접근
qq소프트웨어소프트웨어불법불법복제복제
qq전자적전자적정보의정보의변조변조
qq악의적악의적코드의코드의전송전송
qq기타기타다양한다양한형태의형태의컴퓨터를컴퓨터를사용하는사용하는모든모든범죄범죄
컴퓨터컴퓨터범죄의범죄의숙제숙제
qq컴퓨터컴퓨터 기술의기술의 지속적인지속적인 고속고속 발전발전
vv새로운새로운 인터넷인터넷 범죄범죄 툴과툴과 새로운새로운 보안보안 툴의툴의 지속적지속적 공동성장공동성장
qq새로운새로운 법적인법적인 주제주제
vv컴퓨터컴퓨터 범죄는범죄는 과거의과거의 전통적인전통적인 법법 절차에서절차에서 만나지만나지 못했던못했던 미래의미래의
새로운새로운 많은많은 문제점들을문제점들을 포함포함
qq사이버사이버 법률가법률가
vv 다른다른 법률법률 전문가들이전문가들이 하는하는 절차보다절차보다 더더 높은높은 수준의수준의 모호성과모호성과 정정
보기술보기술 요구요구
qq 디지털디지털 형사는형사는 유연한유연한 사고와사고와 지속적지속적 학습학습, , 흥미와흥미와 도전의식도전의식 필요필요
컴퓨터컴퓨터범죄의범죄의처리처리
qq공격공격영역의영역의폐쇄폐쇄구역화구역화
qq적절한적절한증거물들의증거물들의파악파악
qq법적인법적인위반위반없이없이증거물들의증거물들의수집수집
qq컴퓨터범죄에컴퓨터범죄에기술적으로기술적으로익숙한익숙한법조인법조인선임선임
qq적절한적절한법법집행기관이집행기관이명령서를명령서를발행하도록발행하도록조치조치
qq디지털디지털증거의증거의무결성을무결성을보장하면서보장하면서더욱더욱많은많은증거증거확보확보
qq보강보강증거를증거를갖고갖고혐의자를혐의자를체포하여체포하여기소기소
보안침해사고보안침해사고대응대응
qq사고대응을사고대응을위한위한요구조건요구조건
vv 대상대상조직의조직의운영상황에운영상황에익숙해야익숙해야한다한다..
vv 네트워크에서의네트워크에서의설계설계, , 방어방어및및모니터링모니터링시스템에시스템에철저한철저한이해가이해가필필
요하다요하다..
vv 시스템시스템자원자원및및도구들을도구들을잘잘알아야알아야한다한다..
vv 보고보고받거나받거나탐지한탐지한사고의사고의대응계획을대응계획을이해해야이해해야한다한다..
vv 특정한특정한절차절차및및업무업무, , 그리고그리고위급성의위급성의중요도를중요도를이해해야이해해야한다한다..
vv 일반적으로일반적으로, , 컴퓨터컴퓨터 보안보안 팀팀(computer security team),(computer security team), 사고대응사고대응 팀팀
(incident response team),(incident response team), 컴퓨터컴퓨터 포렌식스포렌식스 팀팀(computer forensic (computer forensic
team )team )이이공동의공동의목표목표아래아래동일한동일한핵심적핵심적역할을역할을수행해야수행해야한다한다..
사고대응사고대응처리팀처리팀목표목표
qq주요주요행동목표행동목표
vv사고사고대응대응팀팀
ØØ미리미리침해에침해에대한대한자산가치를자산가치를평가하고평가하고, , 재침입에재침입에대한대한기회와기회와손손
상을상을최소화최소화하는하는보안보안설정을설정을수행수행
vv컴퓨터컴퓨터포렌식스포렌식스팀팀
ØØ사건을사건을규명하기규명하기위하여위하여증거를증거를수집하여수집하여보존하고보존하고, , 손상의손상의확산확산
을을제한하며제한하며, , 침입자를침입자를기소기소
vv컴퓨터컴퓨터보안보안팀팀
ØØ사고의사고의재발재발방지를방지를위한위한컴퓨터컴퓨터보안보안정책과정책과계획계획을을검토하여검토하여조조
치치
대응팀간의대응팀간의협력협력
qq대응팀대응팀 관련자관련자 모두가모두가 시간을시간을 다투고다투고 주의를주의를 요구하는요구하는 작업작업
의의 성격성격
vv실시간실시간 대응대응, , 원인규명원인규명, , 책임한계책임한계 등으로등으로 상호간의상호간의 대립대립 가능가능
vv상호상호 보완적인보완적인 역할이지만역할이지만, , 상호상호 배타적인배타적인 목표와목표와 간섭간섭 가능가능
qq사건별사건별 목표에목표에 따른따른 우선순위우선순위 결정결정
vv보안침해사고보안침해사고 대응대응, , 포렌식스포렌식스 조사조사 및및 보안정책의보안정책의 구현에서구현에서 상호상호 보보
완적이거나완적이거나 배타적인배타적인 요소가요소가 있으므로있으므로 중요성에중요성에 따라서따라서 준수할준수할 우우
선순위의선순위의 목표를목표를 구분구분 필요필요
vv우선순위는우선순위는 침입침입 및및 사고의사고의 유형에유형에 의존하여의존하여 변경가능하며변경가능하며, , 모든모든 관관
련자는련자는 우선순위가우선순위가 무엇인지무엇인지 공통적으로공통적으로 이해와이해와 협조필요협조필요
공격중의공격중의조치조치우선순위우선순위
qq 1. 1. 공격의공격의확인확인(Confirm the attack)(Confirm the attack)vv 사고보고가사고보고가오보오보(false alarm)(false alarm)는는아닌지아닌지확인을확인을위해위해정보출처를정보출처를조사조사
qq 2. 2. 공격에공격에대응대응(Attack Response)(Attack Response)vv 대응대응팀을팀을가동가동
vv 공격자의공격자의위치위치((내부내부또는또는외부외부) ) 및및수단을수단을확인확인
vv 사건당시사건당시모니터의모니터의상태를상태를확인하고확인하고네트워크네트워크정지정지
vv 로그와로그와로깅로깅시스템의시스템의무결성을무결성을검증검증
vv 사고사고시스템을시스템을구역화하고구역화하고오염도를오염도를측정측정
qq 3. 3. 사건사건구류구류(Lockdown)(Lockdown)vv 필수적인필수적인하부하부시스템의시스템의무결성을무결성을검증검증
vv 네트워크의네트워크의추가적추가적공격자공격자접근이나접근이나다른다른시스템으로의시스템으로의연결연결시도를시도를거부거부
vv 침입한침입한수단을수단을분명하게분명하게폐쇄폐쇄
vv 일반적일반적시스템시스템다운다운절차로절차로인한인한손상이손상이의심될의심될때는때는긴급긴급정지를정지를위한위한전원전원코드코드오프오프
qq 4. 4. 안정화안정화(Stabilization)(Stabilization)
vv 공격자가공격자가더더이상이상네트워크상에네트워크상에영향을영향을줄줄수수없도록없도록보장보장조치조치
vv 22차적인차적인오염이나오염이나성공적으로성공적으로설치된설치된악의적악의적코드를코드를확인하기확인하기위한위한시스템시스템
활동의활동의모니터링모니터링
qq 5. 5. 사건사건정리정리(Cleanup)(Cleanup)
vv 네트워크네트워크및및시스템의시스템의완전한완전한동작동작상태로상태로복귀복귀
vv 오염된오염된시스템을시스템을오프라인하여오프라인하여완전히완전히재설치하고재설치하고재감염재감염여부를여부를확인확인
vv 공격이공격이백업백업테이프를테이프를삭제하도록삭제하도록설계되지설계되지않았는지않았는지검증검증
qq 6. 6. 재동작재동작및및모니터모니터(Restart and Monitor)(Restart and Monitor)
vv 공격공격출처의출처의네트워크나네트워크나엔트리로부터엔트리로부터연속되는연속되는모든모든활동들을활동들을감시감시
컴퓨터컴퓨터포렌식스포렌식스정의정의및및특성특성
qq Computer Forensics involves the identification, extraction, presComputer Forensics involves the identification, extraction, preservation ervation and documentation of computer evidence stored in the form of and documentation of computer evidence stored in the form of magnetically encoded information.magnetically encoded information.
qq 컴퓨터컴퓨터포렌식스는포렌식스는자기적자기적형태로형태로코드화하여코드화하여저장된저장된정보에정보에대하여대하여컴컴
퓨터퓨터증거의증거의식별식별, , 추출추출, , 보존보존, , 문서화를문서화를포함한다포함한다..
qq 컴퓨터컴퓨터관련관련사건수사를사건수사를지원하며지원하며, , 각종각종디지털디지털자료가자료가법적법적효력을효력을갖도갖도
록록과학적과학적/ / 논리적논리적절차와절차와방법을방법을연구하는연구하는학문학문
qq 컴퓨터컴퓨터포렌식스포렌식스적용적용
vv 산업산업스파이스파이, , 사이버사이버사기사기및및해킹해킹등의등의컴퓨터컴퓨터범죄범죄수사수사
vv 사이버사이버명예훼손명예훼손, , 업무상업무상과실과실//재해재해, , 내부감사내부감사등등민사민사소송지원소송지원
vv 증거확보증거확보및및역추적역추적등의등의침해사고침해사고대응대응및및예방지원예방지원
증거물의증거물의특징특징
qq컴퓨터를컴퓨터를 매개체로매개체로 하는하는 전자적전자적 자료는자료는 생성생성//복사복사//전송전송//삭삭
제제 등이등이 매우매우 용이한용이한 특징특징을을 갖고갖고 있으므로있으므로 별도의별도의 특별한특별한
도구도구 및및 방법들이방법들이 요구됨요구됨
qq전자적전자적 증거물의증거물의 특징특징
ØØ 잠재성잠재성(Latent): (Latent): 내용내용 확인을확인을 위해서는위해서는 판독장치가판독장치가 있어야있어야 함함
ØØ 취약성취약성(Fragile): (Fragile): 위변조위변조 및및 삭제삭제 용이용이
ØØ 디지털디지털(Digital): 0(Digital): 0과과11로로 구성구성, , 원본과원본과 복사본의복사본의 구분이구분이 어려움어려움
ØØ 대량성대량성(Massive): (Massive): 방대한방대한 자료자료 –– 찾기찾기 도구도구 필요필요
ØØ 다양성다양성(Various): (Various): 다양한다양한 응용응용 소프트웨어가소프트웨어가 존재존재 –– 인과관계인과관계
증거물증거물대상대상컴퓨터자원컴퓨터자원특징특징
qq 컴퓨터컴퓨터 포렌식스는포렌식스는 컴퓨터컴퓨터 자원에자원에 저장된저장된 데이터의데이터의 식별식별, , 추출추출, , 보존보존, , 문서화문서화 및및 해석해석 등을등을 포함포함vv 신뢰의신뢰의 계층단계계층단계
ØØ HardwareHardwareØØ ControllersControllersØØ KernelKernelØØ Device driversDevice driversØØ Dynamic librariesDynamic librariesØØ CommandsCommandsØØ Shell & environment variablesShell & environment variables
vv 휘발성휘발성 순서순서ØØ Registers, peripheral memory, cachesRegisters, peripheral memory, cachesØØ Memory(kernel,physical)Memory(kernel,physical)ØØ Network stateNetwork stateØØ Running processesRunning processesØØ DiskDiskØØ Floppies, backup mediaFloppies, backup mediaØØ CDCD--ROM, printoutsROM, printouts
컴퓨터컴퓨터포렌식스포렌식스특성특성
qq It is often It is often more of an artmore of an art than a science.than a science.
vv어떤어떤 원칙하에서원칙하에서, , 컴퓨터컴퓨터 포렌식스포렌식스 전문가는전문가는 분명하고분명하고, , 잘잘 정의된정의된
방법과방법과 절차절차, , 일상적인일상적인 것이것이 아닌아닌 것을것을 다루는다루는 유연성과유연성과 용기용기 필요필요
qq다른다른 범죄와범죄와 차이차이
vv살인사건살인사건 조사조사: : 현장현장 사진촬영사진촬영, , 현장현장 및및 샘플들의샘플들의 증거증거 보존보존, , 증거증거
탐색탐색, , 현장의현장의 샘플샘플 채취채취
vv컴퓨터범죄컴퓨터범죄 조사조사: : 증거증거 수집과정은수집과정은 유사함유사함, , 특정한특정한 경우경우 PC, PC, 서버서버, ,
전체전체 네트워크네트워크 등의등의 재생을재생을 요구요구
vv살인살인 사건의사건의 재생은재생은 불가하나불가하나 컴퓨터컴퓨터 범죄의범죄의 경우는경우는 가능가능
vv디지털디지털 데이터는데이터는 매우매우 높은높은 휘발성을휘발성을 유지유지
vv익숙하지익숙하지 않은않은 이러한이러한 특성들이특성들이 도전해도전해 볼만한볼만한 주제를주제를 제공제공
기술적기술적특성특성
qq 디지털디지털 전자전자 매체의매체의 모든모든 접근행위에접근행위에 대한대한 증거물증거물 수집수집, , 분석분석 및및 역추역추
적적 등의등의 절차를절차를 수행하고수행하고, , 법적법적 증거물증거물 제시와제시와 적절한적절한 대응조치를대응조치를 할할 수수
있도록있도록 새롭게새롭게 출현한출현한 기술기술
qq 컴퓨터공학컴퓨터공학, , 행동과학행동과학 및및 분석적분석적 사고력사고력 필요필요
vv 인지적인지적 측면의측면의 범죄행동과범죄행동과 동기의동기의 깊은깊은 사회과학적사회과학적 해석해석
vv 고도의고도의 전문적전문적 기술을기술을 요구하는요구하는 컴퓨터과학의컴퓨터과학의 공학적공학적 해석해석
vv 법적인법적인 구속력과구속력과 증거의증거의 인증성을인증성을 보장하는보장하는 법의학적법의학적 해석해석
Understanding CriminalBehavioral and Motivation
Technical
Analysis Approach
ComputerScience
ComputerForensics
ForensicScience
BehavioralScience
Knowledge
컴퓨터컴퓨터포렌식스포렌식스목적목적
qq컴퓨터를컴퓨터를 매개체로매개체로 하여하여 발생된발생된 범죄에범죄에 대하여대하여 증거자료를증거자료를
확보확보 및및 분석해서분석해서 법정까지법정까지 제출제출
qq컴퓨터컴퓨터 범죄의범죄의 성공적성공적 기소기소 이외의이외의 다른다른 목적목적
vv어떤어떤 사건이사건이 다시다시 일어나지일어나지 않는않는 것을것을 보장하기보장하기 위한위한 근원적근원적 원인원인
분석분석
ØØ문제의문제의확장이전에확장이전에어떤어떤사건이사건이발생하지발생하지않음을않음을보장위한보장위한확실한확실한이해이해
필요필요
ØØ미리미리사건발생에사건발생에 반응하여반응하여어떻게어떻게대처대처할할것인지것인지완전한완전한이해이해필요필요
vv누가누가 책임이책임이 있는지있는지 문제해결을문제해결을 다룬다다룬다
ØØ개인개인조직의조직의내부적내부적소행을소행을조사하는데조사하는데사용사용
ØØ모든모든종류의종류의불법적불법적활동에활동에대한대한법법집행의집행의필요성필요성증가증가
컴퓨터컴퓨터포렌식스포렌식스분야분야
qq일반일반 범죄에범죄에 컴퓨터가컴퓨터가 개입되어개입되어 있는있는 경우경우
vv공갈공갈, , 사기사기((위조위조), ), 협박협박, , 횡령횡령, , 명예훼손명예훼손 등에등에 대한대한 수사수사
vv경제범죄경제범죄 ((회계부정회계부정, , 세금포탈세금포탈 등등) ) 수사수사
qq컴퓨터컴퓨터 범죄범죄 수사수사 (Computer Crime)(Computer Crime)
vv컴퓨터컴퓨터 해킹해킹, , 바이러스바이러스 피해피해 시스템시스템 수사수사
vv컴퓨터컴퓨터 해킹해킹 가해가해((경유경유) ) 시스템시스템 수사수사
qq고도고도 지능지능 범죄범죄 (High(High--Tech Crime)Tech Crime)
vv사이버사이버 테러테러, , 암호암호--복호복호, , 정보은닉정보은닉
vv주로주로 잠재적잠재적 위험성에위험성에 대한대한 대비대비
컴퓨터컴퓨터포렌식스포렌식스유형유형
qq Disk Forensics Disk Forensics
vv 비휘발성비휘발성 저장장치로부터저장장치로부터 증거물증거물 획득획득 및및 분석분석
vv 강력한강력한 검색검색 도구도구 필수필수
vv 대상대상 디스크의디스크의 내용이내용이 변경변경 되지되지 않도록않도록 하는하는 기술기술
vv 내용이내용이 변경되는변경되는 경우경우 이를이를 발견할발견할 수수 있게있게 하는하는 기술기술
vv 삭제된삭제된 파일파일 복구복구, , 패스워드패스워드 크래킹크래킹
qq Network Forensics Network Forensics
vv 네트워크네트워크 트래픽에서트래픽에서 증거물증거물 획득획득 및및 분석분석((모니터링모니터링 도구도구))
vv 프로토콜을프로토콜을 해석할해석할 수수 있는있는 능력능력
vv 불법적으로불법적으로 취득한취득한 자료의자료의 증거력증거력 없음없음
qq EE--mail (message) Forensicsmail (message) Forensics
vv Email Email 내용내용, , 수신수신, , 발신자발신자 정보정보 획득획득 및및 분석분석
qq Web ForensicsWeb Forensics
vv Web Web 방문자방문자, , 방문시간방문시간, , 방문방문 경유지경유지 등등 분석분석
vv Copyright Copyright 문제문제
vv Click agreement Click agreement 문제문제(password (password 입력입력 후후 click)click)
qq Source Code ForensicsSource Code Forensics
vv 프로그램프로그램 원시코드의원시코드의 작성자작성자 확인확인 등등
vv ((해킹해킹 또는또는 바이러스바이러스) ) 실행코드와실행코드와 원시코드의원시코드의 상관관계상관관계 규명규명
qq Mobile Forensics Mobile Forensics
vv PDA, PDA, 전자수첩전자수첩, , 휴대폰휴대폰, , 기타기타
vv 전원이전원이 공급되지공급되지 않으면않으면 내장된내장된 기록이기록이 소멸소멸
ØØ 증거물증거물보존성보존성문제문제
qq Multimedia ForensicsMultimedia Forensics
vv Digital image, audio, video Digital image, audio, video 등의등의 증거력증거력 확보확보
vv Digital watermarking Digital watermarking 기술기술
vv Steganography (Steganography (정보은닉정보은닉))의의 온상온상
qq Database ForensicsDatabase Forensics
vv방대한방대한 자료자료 중에서중에서 단서단서 또는또는 증거자료증거자료 추출추출
vv데이터베이스데이터베이스 연결연결//분석분석//검색검색//추출추출
vv추출된추출된 자료가자료가 증거력을증거력을 유지하기유지하기 위한위한 방법방법 및및 절차절차 필요필요
컴퓨터컴퓨터포렌식스포렌식스절차절차
qq컴퓨터컴퓨터 포렌식스포렌식스 33단계단계 기본적기본적 절차절차
vv증거물증거물 확보확보: : 본래의본래의 현물을현물을 변경하거나변경하거나 손상손상 없이없이 증거증거
물을물을 확보확보
vv증거물증거물 인증인증: : 증거물이증거물이 본래의본래의 현물에서현물에서 획득한획득한 데이터데이터
와와 동일함을동일함을 인증인증
vv증거물증거물 분석분석: : 사건현장사건현장, , 증거물의증거물의 변형없이변형없이 분석수행분석수행
ØØ모든모든사건의사건의경우경우기본적으로기본적으로 33가지가지단계를단계를준수준수
ØØ구체적인구체적인절차의절차의명세는명세는주어진주어진환경과환경과목적에목적에의존의존
66단계단계처리절차처리절차
qq컴퓨터컴퓨터사고에사고에대하여대하여언제언제무엇을무엇을어떻게어떻게조사해야조사해야하는지하는지 33
가지가지기본기본단계를단계를 66개의개의처리절차로처리절차로설명설명
vv 1 1 단계단계: : 수사수사준비단계준비단계(Preparation)(Preparation)
vv 2 2 단계단계: : 증거물증거물획득단계획득단계(Acquire the Evidence)(Acquire the Evidence)
vv 3 3 단계단계: : 증거물증거물인증단계인증단계(Authenticate the Evidence)(Authenticate the Evidence)
vv 4 4 단계단계: : 증거물증거물보관보관및및이송이송단계단계(Preservation)(Preservation)
vv 5 5 단계단계: : 증거물증거물분석단계분석단계(Examination & Analysis)(Examination & Analysis)
vv 6 6 단계단계: : 보고서보고서작성단계작성단계(Reporting)(Reporting)
(1) (1) 준비단계준비단계
qq조사를조사를 위한위한 기본기본 준비사항준비사항
vv증거물증거물 조사조사 및및 압수를압수를 위한위한 수색영장수색영장 또는또는 관리자관리자 승인승인
vv관계자로부터관계자로부터 받을받을 진술서진술서 양식양식
vv현장을현장을 기록하기기록하기 위한위한 사진사진, , 캠코더캠코더, , 녹음기녹음기, , 노트노트 등등
vv자문을자문을 구할구할 전문가전문가 연락처연락처
vv증거물증거물 획득획득 및및 분석을분석을 위한위한 도구도구 들들
vv기타기타 범죄의범죄의 유형에유형에 따라따라 필요한필요한 도구도구 확보확보
처리이전의처리이전의유의유의사항사항
qq잠시잠시 결과에결과에 대하여대하여 생각해생각해 보아라보아라..
qq컴퓨터컴퓨터 주변을주변을 손상시키지손상시키지 말아라말아라..
qq당신이당신이 가지고가지고 있는있는 문제를문제를 결정하여라결정하여라..
qq컴퓨터를컴퓨터를 증거로써증거로써 다루기다루기 시작시작 하여라하여라..
qq우선우선 합리적합리적 이유를이유를 갖도록갖도록 무엇을무엇을 하고하고, , 왜왜 해야해야 하는지하는지 전전
체과정을체과정을 문서화문서화 하여라하여라..
vv의심하는의심하는 법정에서법정에서 당신의당신의 증거는증거는 판정을판정을 설명하는데설명하는데 방어적방어적 위치위치
vv완전히완전히 전체전체 과정을과정을 문서화문서화 하였다면하였다면 문제문제 처리과정에처리과정에 대한대한 합리적합리적
이유를이유를 확보확보
qq컴퓨터범죄컴퓨터범죄 수사를수사를 할할 경우경우 조사의조사의 핵심은핵심은 문서화가문서화가 필수필수
(2) (2) 증거물증거물획득단계획득단계
qq 컴퓨터컴퓨터 포렌식스는포렌식스는 불확실성불확실성 속에서속에서 확실성을확실성을 탐지탐지
qq 컴퓨터컴퓨터 이미지를이미지를 복제하기복제하기 전에전에 연결을연결을 차단하거나차단하거나 전원을전원을 끄면끄면 존재할존재할
수수 있는있는 증거를증거를 파괴파괴
qq 분석분석 대상의대상의 컴퓨터컴퓨터
vv 전원전원 오프오프, F/D , F/D 부트부트 오프오프, , 하드하드 드라이브의드라이브의 제거제거 수행필요수행필요
vv 분석용분석용 워크스테이션에워크스테이션에 증거의증거의 백업과백업과 복구대책복구대책 필요필요
vv 예측하지예측하지 못하는못하는 요소에요소에 직면직면 가능가능
ØØ 조사과정에서조사과정에서항상항상모든모든행위를행위를설명할설명할수수있는있는논리의논리의문서화문서화필요필요
qq 포렌식스포렌식스 분야의분야의 오랜오랜 논란논란
vv 컴퓨터의컴퓨터의 계속계속 운영운영, , 플러그플러그 전원전원 오프오프, , 일상적일상적 시스템시스템 오프오프 선택선택
vv 조사자들은조사자들은 컴퓨터의컴퓨터의 현재상태를현재상태를 동결시키는동결시키는 플러그플러그 오프오프 주장주장
ØØ 프로세스중인프로세스중인공격과공격과연관된연관된데이터데이터상실상실및및디스크의디스크의데이터데이터오염가능오염가능
ØØ 조사계획을조사계획을정규화하고정규화하고백업을백업을수행할수행할시간시간확보확보
qq사건현장의사건현장의 사진사진 촬영촬영
vv연결된연결된 모든모든 케이블의케이블의 전면과전면과 후면후면 현장촬영현장촬영
ØØ훗날훗날환경에환경에대한대한질의에질의에응답자료로응답자료로활용활용
vv일련번호와일련번호와 식별하는데식별하는데 사용될사용될 기타기타 특징들을특징들을 촬영촬영
ØØ일련번호가일련번호가잘잘현상될현상될수수있는있는촬영기술촬영기술사용사용
vv도착도착 당시당시 컴퓨터컴퓨터 시스템의시스템의 조건과조건과 상태상태((온온//오프오프, , 스크린스크린 록록 등등))를를
보고서에보고서에 서류화서류화
vv 사진과사진과 모든모든 증거증거 및및 보고서들을보고서들을 case foldercase folder에에 파일로파일로 저장저장
ØØ지정된지정된사건과사건과관련된관련된모든모든정보들을정보들을함께함께저장저장
ØØ폴더의폴더의전면에전면에동일한동일한헤더헤더정보를정보를분명하게분명하게마크마크
ØØ손실을손실을예방하기예방하기위하여위하여폐쇄보관폐쇄보관(close) (close) 가능가능
qq 시스템을시스템을 조사하고조사하고 방어적방어적 증거확보를증거확보를 위한위한 최선의최선의 방향방향
vv 현장을현장을 동결하고동결하고 현장현장 데이터의데이터의 복제물을복제물을 조사조사
ØØ 현실적으로현실적으로실행실행불가하거나불가하거나정책적정책적수용이수용이불가능한불가능한경우경우존재존재
ØØ 관리적으로관리적으로시스템시스템오프를오프를불허하거나불허하거나시스템시스템오프오프시간이시간이비결정적인비결정적인경우경우
vv 사건이사건이 기소될기소될 것인지것인지 결정하고결정하고 심각성의심각성의 수준을수준을 정의정의
vv 적대적인적대적인 코드코드((malwaremalware))가가 실행중이고실행중이고 시스템시스템 오프시에오프시에 관련된관련된 정보가정보가 상상
실될실될 수수 있음을있음을 유의유의
qq 운영중인운영중인 시스템에서시스템에서 조사조사
vv 컴퓨터컴퓨터 범죄가범죄가 조사에조사에 개입되고개입되고 시스템의시스템의 바이너리를바이너리를 변경변경 가능함을가능함을 유의유의
vv 대상대상 시스템에시스템에 보유된보유된 유틸리티를유틸리티를 사용하여사용하여 손상된손상된 시스템시스템 조사조사 불가불가
vv 그그 유틸리티가유틸리티가 시스템의시스템의 진정한진정한 상태를상태를 정확하게정확하게 보고한다고보고한다고 기대기대 불가불가
vv [[표표 1]1]은은 조사품질과조사품질과 편리성편리성 사이의사이의 선택적선택적 증거보존증거보존 요소를요소를 요약요약
증거보존과증거보존과악의적악의적코드회피의코드회피의노력수준노력수준(1/2)(1/2)
••커널이커널이 손상된손상된 경우는경우는 결과결과
가가 오도될오도될 가능성가능성
••외부외부 매체는매체는 모든모든 필요한필요한 유유
틸리티를틸리티를 가지지가지지 못함못함
••편리하고편리하고 빠름빠름
••휘발성을휘발성을 가진가진 정보의정보의 조사를조사를
허용허용
••인증된인증된 소프트웨어로써소프트웨어로써 외외
부부 매체를매체를 사용하여사용하여 시스템시스템
조사조사
••의심스런의심스런 컴퓨터에컴퓨터에 동일한동일한
하드웨어의하드웨어의 가용성을가용성을 요구요구
••휘발성휘발성 정보의정보의 손실손실
••의심스런의심스런 컴퓨터에서컴퓨터에서 정보를정보를
바꾸는바꾸는 위험부담위험부담 없이없이 사용사용
환경의환경의 사본을사본을 완벽하게완벽하게 뜰뜰
수수 있음있음
••의심스런의심스런 시스템의시스템의 이미지이미지
를를 포함하는포함하는 새로운새로운 시스템시스템
을을 제작하여제작하여 그것을그것을 조사조사
••편리하고편리하고 빠름빠름
••의심스런의심스런 드라이브가드라이브가 읽기읽기 전전
용으로용으로 마운트마운트 할지라도할지라도 증거증거
물을물을 변호변호
••용의자용의자 호스트의호스트의 SW SW 및및 HW HW
타당성타당성 걱정이걱정이 없음없음
••법정에서법정에서 가장가장 쉽게쉽게 변호할변호할
수수 있는있는 증거물증거물 산출산출
장장 점점
••HWHW가가 손상되지손상되지 않았다고않았다고 가가
정정
••휘발성휘발성 정보의정보의 손실손실
••인증된인증된 쓰기쓰기 방지방지--플로피플로피
디스크나디스크나 CDCD로로 시스템시스템
BootBoot
••불편하고불편하고 시간이시간이 많이많이 걸림걸림
••휘발성휘발성 정보의정보의 손실손실
••용의자의용의자의 하드하드 드라이브드라이브 이이
미지를미지를 조사하기조사하기 위해위해 전용전용
포렌식포렌식 워크스테이션워크스테이션 사용사용
단단 점점방방 법법
증거보존과증거보존과악의적악의적코드회피의코드회피의노력수준노력수준(2/2)(2/2)
••가장가장 적은적은 양의양의 준비를준비를 요구요구
••휘발성을휘발성을 가진가진 정보의정보의 조사조사
를를 허용허용
••원격적으로원격적으로 수행수행 가능가능
••최소한의최소한의 준비를준비를 요구요구
••휘발성을휘발성을 가진가진 정보의정보의 조사조사
를를 허용허용
••원격적으로원격적으로 수행수행 가능가능
장장 점점
••의심스런의심스런 드라이브들에드라이브들에 대한대한
쓰기쓰기 방지의방지의 부족은부족은 증거를증거를
법정에서법정에서 변호하는데변호하는데 어려움어려움
••해쉬해쉬 값에값에 대한대한 소스를소스를 찾고찾고
로컬로컬 소프트웨어를소프트웨어를 인증하는인증하는
데데 장시간장시간 소요소요
••의심스런의심스런 시스템상에서시스템상에서 SWSW
를를 검증한검증한 다음다음 이이 로컬의로컬의 검검
증된증된 SWSW를를 사용하여사용하여 조사를조사를
수행수행
••확실함이확실함이 가장가장 낮은낮은 방법방법
••사이버사이버 공격자는공격자는 확실히확실히 당당
신이신이 무엇을무엇을 할할 것인지것인지 예상예상
하고하고 있음있음
••때로는때로는 완전히완전히 시간만시간만 낭비낭비
••의심스런의심스런 시스템에서시스템에서 SWSW를를
사용하여사용하여 의심스런의심스런 시스템을시스템을
조사조사 ((소프트웨어의소프트웨어의 인증인증 없없
이이))
단단 점점방방 법법
증거증거수집수집(Collection)(Collection)
qq 사건사건 지원을지원을 위한위한 증거수집증거수집 과정과정
vv 증거증거 수집과정의수집과정의 복잡성은복잡성은 사건의사건의 복잡성에복잡성에 대응대응
vv 증거를증거를 수집할수집할 때때 합법적으로합법적으로 획득획득 가능한가능한 모든모든 것을것을 수집수집
qq 로그로그 생성생성 컴퓨터에컴퓨터에 따라서따라서 데이터데이터 겹쳐겹쳐 쓰기쓰기 반복반복
vv 이전이전 데이터는데이터는 상실상실((보관기간에보관기간에 따라서따라서 몇몇 분에서분에서 몇몇 달의달의 구간구간))
qq ISPISP의의 경우경우 로그저장이로그저장이 목적사업이목적사업이 아니므로아니므로 오랜오랜 기간기간 방치방치
vv 보통보통 3030일일 보관보관((대규모대규모 로그파일로그파일 저장저장 고비용에고비용에 비해비해 사업이익사업이익 낮음낮음))
vv ISPISP로부터로부터 로그를로그를 소환하고소환하고 로그가로그가 상실되지상실되지 않게않게 하려면하려면 합법적인합법적인 과정을과정을
통하여통하여 로그로그 보존보존 요청요청 필요필요
증거증거식별식별(Identification)(Identification)qq 의심되는의심되는 장소장소 또는또는 희생물에서희생물에서 나오는나오는 모든모든 개별적개별적 항목에항목에 식별자와식별자와레이블을레이블을 부착부착
qq 대형사건에서대형사건에서 법집행법집행 기관은기관은 증거관리증거관리 책임자를책임자를 지정지정
vv 임의적으로임의적으로 물건을물건을 반출할반출할 수수 없도록없도록 증거수집의증거수집의 개인적개인적 책임을책임을 명시명시
vv 혼자혼자 하는하는 것보다것보다 목격자로써목격자로써 의미를의미를 갖는갖는 다른다른 사람과사람과 함께함께 수집수집
vv 수집동안수집동안 증거를증거를 문서화하는문서화하는 협력자를협력자를 요청요청
qq 증거관리인은증거관리인은 모든모든 증거에증거에 로그온라인로그온라인 정보와정보와 프린트프린트 레이블레이블 부착부착
vv 사건과사건과 연관된연관된 모든모든 양식에양식에 자동으로자동으로 나타나는나타나는 헤더정보헤더정보 기록기록
vv 순서번호를순서번호를 갖는갖는 보고서보고서 및및 각각 레이블을레이블을 통하여통하여 증거를증거를 식별화식별화
vv 식별을식별을 위한위한 레이블레이블 마커마커, , 스티커스티커 또는또는 태그태그 등을등을 사용사용
qq 증거증거 식별자식별자 기본기본 표기표기((헤더헤더 정보정보))
vv 사건사건 번호번호
vv 간단한간단한 설명설명((레이블이레이블이 상실되었을상실되었을 경우경우 식별식별))
vv 자신의자신의 서명서명((각각의각각의 항목에항목에 대하여대하여))
vv 증거가증거가 수집된수집된 날짜와날짜와 시간시간
(3) (3) 증거물의증거물의인증단계인증단계
qq수집한수집한 증거가증거가 범죄이후범죄이후 남겨진남겨진 현물과현물과 동일함을동일함을 증명증명
vv증거가증거가 불리한불리한 환경조건환경조건((먼지먼지, , 곰팡이곰팡이, , 곤충곤충 등등))으로으로 손상손상 가능가능
qq조사자는조사자는 증거적증거적 가치가가치가 변질되지변질되지 않았음을않았음을 제시제시 필요필요
vv수집수집 후에후에 변조되지변조되지 않았다는않았다는 증거증거((타임스탬프타임스탬프 기술기술 응용응용))
vv무결성과무결성과 타임스탬프의타임스탬프의 증명은증명은 전자적전자적 fingerprint fingerprint 계산으로계산으로 제시제시
vv초기에초기에 수집수집 데이터의데이터의 해쉬해쉬 값을값을 생성기록생성기록
ØØ다중다중해쉬는해쉬는미래에미래에한한알고리즘이알고리즘이공격공격당할당할때때다른다른알고리즘에알고리즘에의하여의하여
유효성유효성보호가능보호가능
ØØ디지털디지털타임타임스탬핑스탬핑응용응용필요필요
증거물증거물저장저장(Storage)(Storage)
qq증거물로서의증거물로서의 가치가치, , 법적인법적인 중요성때문에중요성때문에 안전한안전한 저장필수저장필수
vv안전한안전한 장소에장소에 저장해서저장해서 밀봉하여밀봉하여 보관하고보관하고 접근을접근을 통제통제
vv증거물의증거물의 무결성무결성을을 위하여위하여 접근통제는접근통제는 매우매우 중요중요
vv증거물의증거물의 오염문제를오염문제를 주장하는주장하는 것이것이 변론인들의변론인들의 일반적인일반적인 수법수법
ØØ논란을논란을잠재우는잠재우는선점방식은선점방식은하나의하나의주주보관물과보관물과대체물에대체물에접근하는접근하는사사
람들을람들을엄격히엄격히제한제한
증거물의증거물의핸들링핸들링(Handling the Evidence)(Handling the Evidence)
qq시스템시스템 관리자관리자 및및 조사자의조사자의 첫번째첫번째 조치는조치는 사건으로사건으로 규정하규정하
는는 것것
vv사건으로사건으로 규정않고규정않고 부주의하게부주의하게 다룬다면다룬다면 조사의조사의 나머지는나머지는 손상손상
vv처리과정의처리과정의 부적합성은부적합성은 법정에서법정에서 증거를증거를 무가치하게무가치하게 평가초래평가초래
qq증거의증거의 수집과정을수집과정을 증거인증의증거인증의 주요주요 항목으로항목으로 관리관리
vv완전하고완전하고 부정할부정할 수수 없는없는 증거의증거의 수집수집
vv확보된확보된 증거는증거는 법법 집행상에집행상에 논란이논란이 없도록없도록 인증성인증성 확보필수확보필수
qq데이터의데이터의 핸들링핸들링
vv데이터의데이터의 이동이동 및및 저장저장 등의등의 조작은조작은 전체적전체적 조사과정중에조사과정중에 반복되는반복되는
테마로써테마로써 인증성의인증성의 지속필요지속필요
(4) (4) 증거물의증거물의보관보관및및이송단계이송단계
qq보관보관 체인의체인의 목표목표
vv증거에증거에 대한대한 무결성무결성 보호보호
vv증거보존동안증거보존동안 조작조작 주장으로부터주장으로부터 변호인의변호인의 방어논리방어논리 제시제시
qq보관보관 체인의체인의 절차절차
vv누가누가, , 어디서어디서, , 어떻게어떻게 증거를증거를 수집수집, , 소유하였는가소유하였는가??
vv증거물이증거물이 어떻게어떻게 저장되었고저장되었고, , 어떻게어떻게 기억장치에기억장치에 보호보호 되었는가되었는가??
vv누가누가 증거물을증거물을 기억장치에서기억장치에서 인출했고인출했고 왜왜 하였는가하였는가??
qq증거물을증거물을 소유한소유한 사람은사람은 소유한소유한 시간과시간과 이유를이유를 문서화문서화
vv증거물증거물 로그는로그는 증거증거 항목별항목별 보관위치보관위치 및및 상태상태, , 인출시간인출시간 및및 이유이유, , 인인
출자출자 신분신분 및및 확인확인 등의등의 기록유지기록유지
vv변호인은변호인은 고객의고객의 입장에서입장에서 모순될모순될 수수 있는있는 자료가자료가 있는지있는지 관련된관련된 증증
거거 기록들을기록들을 검토분석검토분석
증거물증거물이동이동(Transportation)(Transportation)
qq일반적으로일반적으로 증거물은증거물은 이동금지이동금지 되어되어 있으나있으나 필요시필요시 신중한신중한
이동이동
qq하드하드 드라이브의드라이브의 손상유의손상유의
vv증거물의증거물의 훼손을훼손을 방지하기방지하기 위해서위해서 안전하게안전하게 고정고정 필요필요
qq밀봉밀봉 서명하여서명하여 허가되지허가되지 않은않은 사람이사람이 개방하지개방하지 못하도록못하도록 표표
시시
vv봉인을봉인을 개봉할개봉할 때의때의 상태와상태와 왜왜 개봉할개봉할 필요가필요가 있는지있는지 문서화문서화
vv증거사용을증거사용을 종료하고종료하고 새로운새로운 레이블로레이블로 보관용기를보관용기를 재봉인재봉인
ØØ본래의본래의보관보관용기와용기와레이블을레이블을보존해서보존해서다른다른하나의하나의백백내부에내부에보관보관
qq보고서에보고서에 날짜날짜, , 시간시간, , 증거이동증거이동 이유와이유와 증거가증거가 보관함으로보관함으로
반환된반환된 날짜와날짜와 시간시간 등을등을 다루는다루는 사람사람 지정지정
(5) (5) 증거물의증거물의분석단계분석단계
qq확보된확보된 증거물을증거물을 사용하여사용하여 다양한다양한 조사와조사와 분석분석 수행수행
qq분석분석 절차절차vv시스템시스템 외관외관 및및 구성구성 조사조사
vv분석용분석용, , 보관용보관용, , 복원용복원용 등등 이미지이미지 백업백업
ØØ증거물증거물 및및 현장현장 손상손상 또는또는 사고로사고로 인한인한 증거증거 인멸인멸 대책대책
vv의심되는의심되는 사항을사항을 분석분석
ØØ혐의에혐의에 따른따른 검색검색 및및 폴더폴더 브라우징브라우징, , 목적하는목적하는 키키 워드워드 탐색탐색, , 삭제된삭제된 파파
일의일의 검색검색, slack space , slack space 검사검사, , 패스워드패스워드 복원복원, , 시계열시계열(timeline) (timeline) 및및 MAC MAC
분석분석(file Modification, Access, and Creation times (file Modification, Access, and Creation times 등등) )
vv시스템과시스템과 네트워크네트워크 및및 각종각종 응용서비스응용서비스 로그로그 조사조사 및및 기타기타 관련관련 정정
보분석보분석
ØØ피의자피의자 행위추적행위추적, , 피의자의피의자의 IPIP주소주소, , 도메인도메인 이름이름, , 라우팅라우팅 경로경로, Web , Web 정정
보보, , 시스템시스템 관리자관리자 정보정보, , 전자우편전자우편 내용내용 및및 주소주소 등의등의 정보분석정보분석
qq본격적본격적 컴퓨터컴퓨터 포렌식스를포렌식스를 수행하는수행하는 흥미로운흥미로운 분석분석 단계단계
vv본래의본래의 드라이브를드라이브를 백업하고백업하고 테이프테이프 드라이브에드라이브에 제제2 2 복사물복사물 생성생성
vv문서화문서화 작업보다작업보다 증거분석에증거분석에 열중하는열중하는 것이것이 재미재미
vv모든모든 분석분석 결과를결과를 보고서에보고서에 기록하고기록하고 본래의본래의 증거물을증거물을 반환반환
qq특정특정 플랫폼에서플랫폼에서 각각 분석분석 기법들기법들 필요필요
qq미숙한미숙한 조사자는조사자는 분석시분석시 증거물증거물 및및 현장현장 손상손상 가능가능
vv조사의조사의 표준적표준적 한계한계 및및 수용할수용할 수수 있는있는 방법수준방법수준 개발개발 필요필요
ØØ열악한열악한지식은지식은위험위험((네네지식지식한계를한계를넘지넘지마라마라!)!)
vv사고로사고로 증거증거 인멸인멸 가능가능
ØØ실수에실수에의한의한손상은손상은복구할복구할수수있도록있도록디지털디지털복사물에서복사물에서작업작업
qq의심되는의심되는 사항을사항을 평가평가
vv암호암호 및및 스테그노그라피스테그노그라피 기술기술, , 패스워드패스워드 크래킹크래킹 소프트웨어소프트웨어, hex , hex
editor editor 등등 필요한필요한 도구도구 사용사용
vv정교한정교한 옵션옵션 지정지정 툴을툴을 사용하여사용하여 false positive hit false positive hit 회피회피 필요필요
qq키워드키워드 탐색탐색 이후는이후는 삭제된삭제된 파일의파일의 검색검색 수행수행
vv파일파일 검색검색 소프트웨어소프트웨어 사용사용((매뉴얼매뉴얼 검색은검색은 매우매우 복잡한복잡한 주제주제))
qq할당되지할당되지 않고않고 버려진버려진 공간공간 검사검사
qq사건의사건의 성격에성격에 따라따라 분석의분석의 결말이거나결말이거나 새로운새로운 시작시작
qq모든모든 절차가절차가 지울지울 수수 있는있는 미디어에서미디어에서 이루어짐을이루어짐을 명심명심
vv따라서따라서 각각 절차에절차에 논리적논리적 이유를이유를 갖고갖고 문서화문서화 필요필요
(6) (6) 보고서보고서작성단계작성단계
qq컴퓨터컴퓨터 전문가들에게전문가들에게 가장가장 어렵고어렵고 귀찮은귀찮은 작업작업
qq조사를조사를 어떻게어떻게 하였는지하였는지 질문할질문할 때때 응답하기응답하기 어려울어려울 경우경우
vv파트너와파트너와 함께함께 일함으로써일함으로써 이러한이러한 문제에문제에 대책대책 필요필요
ØØ한한사람은사람은컴퓨터상에서컴퓨터상에서작업하고작업하고, , 다른다른사람은사람은기록작업기록작업수행수행
ØØ일단일단증거를증거를발견하기발견하기시작하면시작하면지속적지속적탐구와탐구와함께함께더더많은많은증거증거발견발견
qq일단일단 분석에분석에 몰두하게몰두하게 되면되면 기록할기록할 것을것을 완전히완전히 망각용이망각용이
vv기록기록 패드를패드를 준비하고준비하고 상세하게상세하게 메모리에메모리에 남길남길 필요필요
vv보고서에보고서에 문서화는문서화는 증거증거 SW, SW SW, SW 버전번호버전번호,,수집수집 툴툴, , 수집수집 및및 분석의분석의
방법에방법에 대한대한 타당성을타당성을 기록기록
ØØ조사에조사에사용한사용한모든모든방법들의방법들의합법성합법성제시필요제시필요
qq사용된사용된 모든모든 행위에행위에 대한대한 합법성이합법성이 보장되어야보장되어야 기소기소 유효유효
vv문서화는문서화는 몇몇 주일주일//달달//년년 후에후에 변호인이나변호인이나 특정특정 기관기관 또는또는 법정에서법정에서
설명설명 요구에요구에 유효유효
qq전체전체 조사과정의조사과정의 객관성객관성 확보를확보를 위한위한 논리적논리적 보고서보고서 작성작성
vv읽고읽고 이해하기이해하기 쉽게쉽게 논리적으로논리적으로 작성작성, , 전문적전문적 내용은내용은 상세한상세한 설명을설명을
첨부첨부
qq법정의법정의 진술진술
vv당신이당신이 무엇을무엇을, , 어떻게어떻게, , 왜왜 수행수행 했는지했는지 합당한합당한 이유설명이유설명
vv선택한선택한 조사방법조사방법 및및 사용도구의사용도구의 필요성필요성 및및 타당성타당성 등등 전체적전체적 조사과조사과
정의정의 당위성을당위성을 최초단계에서부터최초단계에서부터 확보확보
vv사용보관사용보관 체인의체인의 완전한완전한 문서화와문서화와 증거가증거가 손상되지손상되지 않았음을않았음을 보장보장
컴퓨터컴퓨터포렌식스포렌식스관련관련도구도구
qq컴퓨터컴퓨터 포렌식스를포렌식스를 수행하는데수행하는데 진행과정을진행과정을 신뢰하고신뢰하고 효율효율
적적//체계적으로체계적으로 실시할실시할 수수 있도록있도록 하는하는 각각 절차별절차별 독립독립 또는또는
통합적인통합적인 도구들이도구들이 필요필요
qq포렌식스포렌식스 도구의도구의 요구사항요구사항
vv포렌식스포렌식스 각각 절차에절차에 대응한대응한 모든모든 소요기술소요기술 및및 도구지원도구지원((가용성가용성))
vv모든모든 포렌식스포렌식스 도구의도구의 올바른올바른 작동작동 신뢰신뢰((무결성무결성))
vv조사대상조사대상 시스템시스템 자원에자원에 손상이손상이 없도록없도록 가능한가능한 방법지원방법지원((무결성무결성, , 현현
장장//증거보존증거보존))
vv목적한목적한 결과를결과를 항상항상 정확하고정확하고 동일하게동일하게 제시제시((인증성인증성))
qq컴퓨터컴퓨터 포렌식스포렌식스 상황에상황에 따른따른 지원도구지원도구
vv키키 로그로그 및및 증거수집을증거수집을 위한위한 도구도구
vv사용사용 IP IP 파악파악 도구도구
vv데이터데이터 복구지원복구지원 도구도구
vv암호암호 처리처리 지원도구지원도구
vv하드하드 디스크디스크 이미징이미징 도구도구
vv무결성무결성 검증검증 도구도구
vv파일파일 검색검색 도구도구
vv통합통합 포렌식스포렌식스 도구도구
vv안티안티--포렌식스포렌식스 도구도구
WinGrep,dtSearchWinGrep,dtSearch, Test Search Plus, , Test Search Plus, AfindAfind, , HfindHfind SfindSfind파일파일 검색검색
DisksigDisksig, , FoundstoneFoundstone Forensic ToolkitForensic Toolkit무결성무결성 검증검증
True Image, True Image, SafeBackSafeBack, , SnapBackSnapBack디스크디스크 이미징이미징
Advanced Zip Password Recovery, Proactive Windows Advanced Zip Password Recovery, Proactive Windows
Security ExplorerSecurity Explorer
암호암호 처리지원처리지원
FixFix--it, Magic Recovery, it, Magic Recovery, LiveDataLiveData, , LiveDataLiveData partition partition
Recovery, Recovery, FinalDataFinalData, Recovery Expert, , Recovery Expert, EasyRecoveryEasyRecovery
FileRepairFileRepair
데이터데이터 복구지원복구지원
Visual Router, Visual Router, NeoTracerNeoTracer, , NetBoxNetBox사용사용 IPIP파악지원파악지원
ITK(In The Know), Mouse and Key Recorder, ITK(In The Know), Mouse and Key Recorder, SpyAgentSpyAgent, ,
NetMonNetMon, Web Trends Enterprise Suite, TCT, Web Trends Enterprise Suite, TCT
키키 로그로그 및및 증거증거
자료자료 수집수집
제품명제품명지원기능지원기능
컴퓨터컴퓨터포렌식스포렌식스동향동향qq컴퓨터컴퓨터 포렌식스포렌식스 도구도구 검증검증vv미국미국 NIST Computer Forensics Tool Test Program(CFTT)NIST Computer Forensics Tool Test Program(CFTT)ØØ컴퓨터컴퓨터포렌식스포렌식스도구의도구의검증검증및및평가평가방안제시방안제시
ØØ www.cftt.nist.govwww.cftt.nist.gov
qq참조참조 라이브러리의라이브러리의 작성작성 및및 획득획득vv CFTTCFTT에서에서 국가국가 표준참조표준참조 데이터데이터 National Software Reference National Software Reference
Library(NSRL)Library(NSRL)제공제공
vv약약 22년간년간 전세계전세계 19001900여개의여개의 S/W S/W 및및 파일들을파일들을 수집수집ØØ제품정보제품정보, , 알려진알려진파일파일서명값서명값, , 해쉬해쉬값을값을데이터데이터베이스로베이스로 Reference Reference
Data Set(RDS) Data Set(RDS) 목록화목록화
vv www.nsrl.nist.govwww.nsrl.nist.gov
vv범죄에범죄에 사용되는사용되는 컴퓨터컴퓨터 파일의파일의 식별식별 자동화자동화
vv증거에증거에 포함된포함된 파일파일 조사를조사를 효율적으로효율적으로 지원지원
qq휘발성휘발성 정보정보 및및 시스템시스템 상태상태 수집수집vv IEEE: Guidelines for Evidence Collection and ArchivingIEEE: Guidelines for Evidence Collection and Archiving
qq포렌식스포렌식스 역공격역공격 도구들의도구들의 개발개발
vv포렌식스포렌식스 기술에기술에 대응하여대응하여 자신에게자신에게 불리하게불리하게 작용할작용할 가능성이가능성이 있있
는는 증거물을증거물을 차단하려는차단하려는 일련의일련의 활동활동
ØØ데이터데이터복구기법의복구기법의회피회피
§§ Final Final sRasersRaser: : 표준보다표준보다더더강화된강화된 3636회회덮어쓰기덮어쓰기및및삭제삭제반복반복
§§ 소자소자(Degaussing): (Degaussing): 강력한강력한자기장을자기장을이용한이용한파괴파괴방법방법
ØØ증거물의증거물의자동자동삭제삭제
§§ 시스템이시스템이자동생성자동생성하는하는정보에서정보에서증거증거정보들을정보들을자동으로자동으로삭제삭제
§§ Window Washer, Evidence EliminatorWindow Washer, Evidence EliminatorØØ데이터데이터은닉은닉
§§ Invisible Secrets: Invisible Secrets: 정상파일에정상파일에비밀데이터를비밀데이터를암호화하여암호화하여은닉은닉시키는시키는S/WS/W§§ Cloak v7.0: Cloak v7.0: SteganographySteganography용용 S/WS/W
qq안티안티--포렌식스포렌식스vv포렌식스기술의포렌식스기술의 발전과발전과 더불어더불어 안티안티--포렌식스기술도포렌식스기술도 동시에동시에 발전발전ØØ프라이버시프라이버시및및개인정보보호의개인정보보호의긍정적인긍정적인측면측면
ØØ악의적악의적이용시에는이용시에는컴퓨터컴퓨터범죄수사에범죄수사에많은많은어려움어려움초래초래
vv향후향후 지속적인지속적인 발전과발전과 동시에동시에 대중화대중화 예상예상
qq포렌식스포렌식스 도구의도구의 확장확장vv단일단일 컴퓨터컴퓨터 시스템으로부터시스템으로부터 대형대형 네트워크네트워크 단위의단위의 도구발전도구발전
vv Encase Enterprise EditionEncase Enterprise EditionØØ중앙시스템에서중앙시스템에서네트워크를네트워크를통한통한종합적종합적솔루션솔루션지원지원
vv CACA의의 eTrusteTrust Network Forensics Network Forensics ØØ내외부내외부네트워크의네트워크의데이터를데이터를그래프로그래프로분석하여분석하여상황인식상황인식지원지원
qq임베디드임베디드 포렌식스포렌식스vv임베디드임베디드 시스템으로부터시스템으로부터 증거를증거를 수집하고수집하고 수사를수사를 진행하는진행하는 기술기술
vv휴대폰내부의휴대폰내부의 정보를정보를 이용한이용한 용의자의용의자의 행적행적, , 주변인물주변인물 조사조사
결결론론
qq컴퓨터컴퓨터 포렌식스의포렌식스의 주요업무는주요업무는 증거의증거의 획득획득//인증인증//분석분석
vv성공적성공적 조사는조사는 각각 단계의단계의 표준절차에표준절차에 대한대한 엄격한엄격한 준수준수 평가평가
vv동시에동시에 증거를증거를 찾아내고찾아내고 분석하는데분석하는데 유연성과유연성과 상상력상상력 요구요구
qq당신이당신이 더더 많은많은 지식을지식을 축적하고축적하고 연습을연습을 수행해서수행해서 더욱더욱 훌훌
륭한륭한 준비가준비가 된다면된다면 이러한이러한 도전을도전을 극복할극복할 수수 있을까있을까??
vv끊임없는끊임없는 창과창과 방패의방패의 소모적소모적 대결대결
èè소모적소모적 대결이대결이 필요없이필요없이 본질적으로본질적으로 인간인간 삶의삶의 질을질을 향상시향상시
킬킬 수는수는 없을까없을까? ?
qq국가의국가의 자존적자존적 가치와가치와 존립을존립을 위하여위하여 보안기술의보안기술의 확보필수확보필수
참고자료참고자료
qq Kevin Kevin MandiaMandia & Chris & Chris ProsiseProsise, , "Incident Response "Incident Response -- Investigating Investigating Computer CrimeComputer Crime", McGraw", McGraw--Hill. Hill.
qq Albert J. Marcella Albert J. Marcella JrJr (Editor), Robert S. Greenfield, Cyber Forensics: A (Editor), Robert S. Greenfield, Cyber Forensics: A Field Manual for Collecting, Examining, and Preserving Evidence Field Manual for Collecting, Examining, and Preserving Evidence of of Computer Crimes, 2002.Computer Crimes, 2002.
qq EoghanEoghan Casey, 2001, Casey, 2001, "Handbook of Computer Crime Investigation: "Handbook of Computer Crime Investigation: Forensic Tools & Technology"Forensic Tools & Technology", Academic Press. , Academic Press.
qq John R. John R. VaccaVacca, Michael , Michael ErbschloeErbschloe, 2002, , 2002, ““Computer Forensics: Computer Computer Forensics: Computer Crime Scene Investigation (With CDCrime Scene Investigation (With CD--ROM)ROM)””, Charles River , Charles River HediaHedia. .
qq EoghanEoghan Casey, 2001, Casey, 2001, ““Digital Evidence and Computer Crime"Digital Evidence and Computer Crime", Academic , Academic Press. Press.
qq 고병수고병수, , 박영신박영신, , 최용락최용락, , ““보안침해사고보안침해사고 대응을대응을 위한위한 컴퓨터컴퓨터 포렌식스포렌식스 기술기술 동동향향””, , 인터넷정보학회지인터넷정보학회지 44권권11호호,2003.3, pp.37,2003.3, pp.37--46. 46.
qq 이형우이형우, , ““컴퓨터컴퓨터 포렌식스포렌식스 기술기술””, , 한국정보보호학회한국정보보호학회 1212권권55호호, 2001.10. pp.8, 2001.10. pp.8--16. 16.
qq 이성진이성진, , ““컴퓨터컴퓨터 포렌식스포렌식스 기술기술””, NETSEC, NETSEC--KR 2003, pp.739KR 2003, pp.739--762.762.
감사합니다