이제 시작이야 디지털 포렌식 - 교보문고
디지털 포렌식 입문을 위한 첫걸음『이제 시작이야! 디지털 포렌식』. 이 책은 디지털 포렌식에 새로이 입문하는 사람들에게 탄탄한 기초를 제공하는 입문서이다. 디지털 포렌식이 무엇인지,
www.kyobobook.co.kr
3. 랩과 툴
[포렌식 랩]
포렌식 랩은 관할권에 있는 법 집행 기관을 따르고 있다.
모든 컴퓨터 포렌식 조사가 기존의 랩 환경에서 실시되는 것은 아니고, 필요한 장비와 인력만 있다면 부서에서 포렌식을 자체적으로 실시한다.
▶ 가상 랩
* 조사관과 자료 처리소가 지리적으로 다른 위치에 있어도 됨
* 비용 절감, 더 많은 자원과 다양한 전문성에 접근 가능, 자원의 불필요한 감소 등의 이점 존재
* 역할 기반의 접근제어를 가능하게 함 : 역할에 따라 접근 권한을 달리 부여함
* 고려할 사항
-보안 : 시스템 보안은 법정에서 요구하는 증거의 무결성 수준을 유지할 수 있도록 충분히 강력해야 함
-성능 : 가상 랩이 제대로 운용되기 위해서는 연결 속도가 빠르고 안정적이여야 함
-비용 : 초기 비용이 매우 많이 듦
▶ 랩 보안
* 엄격한 랩 보안은 디지털 증거의 무결성을 유지하는 데 핵심적인 역할을 함
* 전자적 수단(출입카드, 접근코드)은 연계보관성에 사용될 수 있는 감사 기록을 추가적인 장비 없이 바로 제공할 수 있음
* 비인가 접근뿐만 아니라 화재, 홍수와 같은 자연 재해도 증거에 대한 위협이 될 수 있음
* 연계보관성은 랩 전반에 걸쳐 작용됨
-증거를 반출입 시킬 때, 반출입 문서를 작성하는 등 로그를 기록해야 함
-종이, 펜을 사용해도 되고 스캐너와 바코드와 같이 전자적인 방법을 사용할 수도 있음
* 네트워크 접근 또한 무결성을 유지하는 중요한 요소
-조사에 사용되는 컴퓨터는 인터넷에 연결되어 있으면 안 됨
-인터넷 연결을 차단하면 증거가 인터넷을 통해 침해됐다는 주장을 차단할 수 있음
-조사를 하기 위해 반입한 드라이브에 악성코드가 숨겨져 들어올 수 있으므로, 증거 드라이브를 조사하기 전에 적어도 하나 이상의 백신 제품으로 바이러스를 검사해야 함
▶ 증거 저장
* 데이터 세이프(data safe) : 도난과 화재로부터 디지털 증거를 보호하기 위해 특별히 설계 됨
* 증거를 저장한 곳은 잠금장치를 해두고 로그나 감사기록을 유지하여 출입자 및 반출입 현황을 유지해야 함
[정책과 절차]
표준작업 절차서
-포렌식 조사가 어떻게 수행되어야 하는지 자세하게 명시한 문서
-너무 광범위하게 작성해도 안되고, 너무 상세하게 작성해도 안 됨
-조직의 정책과 표준작업 절차서를 준수하지 않으면, 법정에서 랩의 절차와 표준작업 절차서의 신뢰성에 대해 공격할 가능성 매우 높음
[품질보증] : 품질은 항상 최우선이 되어야
문서화된 프로토콜 시스템으로 분석 결과의 정확성과 신뢰성을 유지하기 위해 사용된다.
좋은 품질보증 프로그램은 보고서의 2중 검토, 증거 처리, 사건 문서화, 랩 인력 교육 등 다양한 부분을 다룬다.
-기술 검토 : 결과와 결론에 초점. "첫 번째 조사관이 보고한 결과가 이 사건의 증거로 충분히 증명이 되는가?"
-행정적 검토 : 모든 서류작업이 정확하게 완료되었는지 보장하는가
▶ 툴 검증
* 모든 툴은 설계사항대로 작동해야 하며, 실제 사건에서 사용되기 전에 검증해야 함
* 검증 과정은 툴이 제대로 작동하는지, 신뢰할 수 있는지, 정확한 결과가 나타나는지 증명해야 함
* 검증 과정 또한 문서화 해야 함
▶ 문서화
* "문서로 남겨두지 않은 것은 실제로 있었던 일이 아니다"라는 격언을 명심해야 함
* 전반적인 포렌식 프로세스에서 사용되는 여러 종류의 문서와 보고서는 랩이나 기관의 표준작업 절차서와 메뉴얼에 명시되어 있어야 함
* 제출문서, 연계보관성 기록, 조사관의 노트, 조사관의 최종 보고서 등이 가장 중요함
서식
º사전에 출력한 서식을 현장과 랩에서 많이 사용
º프로세스를 진행하는 동안 무엇을 해야 하는지 도움을 주고, 높은 수준의 품질이 유지될 수 있도록 보장함
º일반적으로 서식은 증거를 상세하게 설명할 때, 연계보관성을 기록할 때, 조사를 요청할 때 사용됨
조사관의 노트
조사관의 행동과 관찰사항이 해당 날짜와 함께 기록됨
충분히 상세하게 기록되어야 다른 조사관이 조사를 할 때 프로세스를 반복할 수 있음
º검찰관과 수사관을 포함하여 핵심 인물과의 토의
º특이사항 및 관련 조치
º운영체제, 버전 및 패치 상태
º비밀번호
º랩이나 법 집행 인력이 시스템을 변경한 사항
조사관의 최종 보고서
공식 문서로서 수사가 거의 완료될 때 검사, 수사관, 반대편 변호사 등에 전달됨
누가 보고서를 읽을 것인지 고려하여, 읽는 사람이 이해하기 쉽도록 작성해야 함
º보고기관
º사건 식별 변호/제출 번호
º제출하는 사람과 사건 수사관의 신원 정보
º받은 날짜 및 보고 날짜
º시리얼 번호, 제조사, 모델 등 증거를 식별할 수 있는 세부 정보
º조사관의 신원 정보
º조사 방법
º결과와 결론
[디지털 포렌식 툴]
포렌식 업무를 더 효율적으로 만들거나, 툴 없이는 불가능한 작업을 하게 해준다.
툴의 형태는 하드웨어 또는 소프트웨어, 유료거나 무료일 수 있다.
단 하나의 툴로 모든 작업을 할 수 없기 때문에 여러 개의 툴을 구비하여 두고 있는 것이 좋은 방법이다.
▶ 툴 선택
* 모든 툴은 실제 사건 업무에 사용하기 전에 반드시 검증해야 하며, 툴이 수정되었거나 업데이트 되었을 때도 다시 검증해야 함
* 툴의 검증은 결과의 유효성을 증명할 수 있기 때문에 매우 중요함
▶ 하드웨어
* 디지털 포렌식은 하드웨어에 크게 의존하고 있음
* 컴퓨터는 디지털 포렌식 랩의 중추적인 역할을 하므로, 구매할 수 있는 최고 사양의 컴퓨터를 구매해야 함
▶ 소프트웨어
* 오픈소스 툴과 상업용 툴이 존재함
* 소프트웨어를 선택할 때의 고려사항으로는 비용, 기능, 능력, 지원 등이 있음
* 가장 유명한 오픈소스 툴 중 하나는 SIFT
-우분투 리눅스 기반
-파일 카빙뿐만 아니라 파일 시스템, 기록 휴지통 등 분석 가능
-네트워크 트래픽이나 휘발성 메모리 분석 가능, 타임라인(timeline) 기능 존재
-윈도우, MAC, 솔라리스, 리눅스 파일 시스템 지원함
* 가장 유명한 상업용 소프트웨어 툴 중 하나는 AccessData사의 Forensic Toolkit과 Guidance Software의 EnCase
-검색, 이메일 분석, 분류, 보고서 작성, 패스워드 크래킹 작업을 할 수 있음
-이메일 주소, 이름, 전화번호, 키워드, 웹 주소, 파일 종류, 날짜 범위를 검색할 수 있음
▶ 인가
* 범죄 랩의 정책과 절차, 즉 랩의 업무방식을 보증하는 것
* 자격증은 조사관이 받는 것