이제 시작이야 디지털 포렌식 - 교보문고
디지털 포렌식 입문을 위한 첫걸음『이제 시작이야! 디지털 포렌식』. 이 책은 디지털 포렌식에 새로이 입문하는 사람들에게 탄탄한 기초를 제공하는 입문서이다. 디지털 포렌식이 무엇인지,
www.kyobobook.co.kr
4. 증거 수집
[범죄 현장과 증거 수집]
디지털 증거가 있는 모든 범죄 현장을 똑같이 취급하는 것은 아니다.
사건이 민사, 형사, 행정 소송인지에 따라 다르게 진행하고, 이러한 사건에 차이가 있음을 인지하고 일관적인 원칙과 프로토콜을 유지해야 한다.
범죄 현장에서 가장 먼저 해야 하는 것은 증거를 확보하는 것이다.
의도적이거나 우발적인 사고로부터 현장과 증거를 반드시 보호해야 하는데, 물리적으로 현장에 대한 접근을 제한한다.
디지털 증거가 있는 현장은 완전히 다른 접근 수단이 있다.
대부분의 컴퓨터와 디지털 증거는 인터넷, 전화에 연결되어 있으므로 이를 통해 원격으로 접근이 가능하다. 더이상 손실된 휘발성 증거가 없다고 확신하는 순간부터 컴퓨터와 무선기기를 반드시 접근할 수 없게 해야 한다.
컴퓨터의 경우 : 단순히 인터넷 연결선이나 모뎀의 전화선을 제거한다
휴대폰과 같은 무선기기 : 네트워크 신호로부터 고립시킬 수 있는 수단을 반드시 사용한다
▶ 이동식 매체
* 법적으로 허용된다면, 저장 매체가 있을만한 모든 곳을 수색해야 함
이동식 저장 매체
* DVD, 외장 하드, USB 드라이브, 메모리카드 등을 포함
* 현장 주변을 살펴서 용의자의 지식 수준(책과 사용설명서 등)과 어떤 제품을 사용하고 있는지 알 수 있음
▶ 휴대폰
* 휴대폰에는 매우 중요한 증거가 담겨 있음
-휴대폰에서 수집할 수 있는 데이터는 사용자의 의도를 보여주거나 알리바이를 확인하고, 사용자의 위치도 파악할 수 있게 해주는 등 매우 중요함
* 가장 중요한 것은 기기나 기기의 저장 매체의 데이터가 수정되면 안 된다는 것
-정말 필요한 경우가 아니라면 수집한 휴대폰을 사용하는 것은 피해야 한다.
* 휴대폰에 있는 정보는 전화국이나 소유자가 직접 원격으로 삭제할 수 있기 때문에 취약함
-최대한 빨리 휴대폰을 고립시키거거나 문제를 해결해야 한다.
º휴대폰을 끈다
º휴대폰을 무선 신호로부터 보호할 수 있는 특수 용기에 밀봉한다(깡통이나 패러데이 봉투)
휘발성의 순서
증거를 수집할 때 휘발성이 강한 순서대로 수집하는 것이 좋다.
1. CPU, 캐시 및 레지스터 데이터
2. 라우팅 테이블, ARP 캐시, 프로세스 테이블, 커널 통계
3. 메모리
4. 임시 파일 시스템/스웝 공간
5. 하드 디스크에 있는 데이터
6. 원격에 있는 로그 데이터
7. 아카이브 매체에 있는 데이터
[사건 현장 문서화]
어떠한 상황에서라도 증거를 수집할 때에는 모든 내용을 반드시 문서로 기록해야 한다.
문서화 과정은 현장에 도착한 후, 도착한 날짜와 시간 그리고 현장에 있는 사람들을 기록하면서부터 시작된다.
수집된 증거, 발견 장소, 발견하고 수집한 사람, 어떻게 수집되었는지 등에 대한 상세한 기록도 남긴다.
증거의 상태도 기록하는 게 좋은데, 눈에 보일 정도의 손상이 있다면 더욱 기록해야 한다.
정확하게 증거를 묘사하는 것도 중요하다. 디지털 증거는 종류, 생산자, 모델, 시리얼 번호 같은 사항으로 묘사되는데, 기기의 전원이 켜져 있는지, 다른 기기와 연결되어 있는지도 중요하다.
주변 기기와 연결되어 있으면 랩에서 사건을 재구성 할 때 필요할 수 있으므로 각 기기를 표시한다.
▶ 사진
* 모든 현장을 사진으로 찍어야 하는데, 어떠한 것이든 만지기 전에 우선 사진을 찍어야 함
* 먼저 전반적인 현장의 모습을 사진으로 촬영한 다음에 증거를 중심으로 사진을 촬영한다.
* 각 증거 사진은 현장에 도착했을 때 발견한 증거의 상태를 잘 보여줄 수 있어야 함
* 특히 증거를 식별할 수 있는 정보(시리얼 번호), 손상 상태, 연결(네트워크, 프린터 및 스캐너와 같은 주변 기기)에 주의하여 사진을 촬영할 것
* 사진은 증거와 현장을 묘사하기 때문에 법정에서 판사와 검사에게 증명할 때 매우 유용함
▶ 노트
* 도착한 시간, 현장에 있던 사람, 누가 무엇을 했는지, 증거를 누가 찾아서 수집했는지 등에 대해 기록
* 사진과 노트로 기록한 것들은 오랜 시간이 지난 후 법정에 섰을 때 매우 유용
* 또한 법적인 요구사항으로 인해 노트를 상대측에 공개해야 할 수도 있으므로, 최초의 관찰을 기반으로 하여 결론을 내거나 그 어떤 추측도 하지 않아야 함
[연계보관성]
특정 증거가 법정으로 보내지기 전에 엄격한 법적 요구사항을 충족해야 하는데, 그 중 하나가 연계보관성이다.
디지털 증거는 법정에서 증거로 채택되기 전까지 이곳저곳을 돌아다닐 수 있는데, 모든 과정의 반출입을 상세하게 문서화하여 기록하고 유지해야 한다.
▶ 증거 표시
* 증거를 수집한 후 증거에 이니셜, 날짜, 사건번호 등으로 표시함
* 작은 증거는 이니셜과 날짜가 기록된 봉투에 넣어서 봉인됨
[클로닝]
포렌식 클론(forensic clone)은 똑같은 하드 드라이브의 복사본을 의미한다. 비트 스트림 이미지(bit stream image)라고도 하는데, 하드 드라이브와 같이 포렌식적으로 깨끗한 매체에 모든 비트를 복사하는 것이다.
클로닝 하지 않고 파일을 그냥 복사 붙여 넣기를 하면 활성 데이터만 복사되고, 할당되지 않은 공간에 있는 데이터를 가져올 수 없고, 파일 시스템 데이터를 복사할 수 없게 되므로 의미가 없다.
하드 드라이브를 클로닝 하는 것은 시간이 오래 걸리기 때문에 랩에서 클로닝을 진행하는 것이 좋다. 또한 컴퓨터를 현장에서 가져가기 전에 법적으로 허가를 받아야 함을 잊지 말자.
▶ 클로닝의 목적
* 디지털 증거는 휘발성이 매우 강하기 때문에, 원본을 직접 조사해서는 안 됨
* 클론을 사용해서 조사를 진행하면 다시 원본 상태로 되돌릴 수 있음
* 클로닝 할 수 없는 경우(비즈니스 환경에서는 컴퓨터와 드라이버브를 업체에게 다시 돌려줘야 함)도 존재
▶ 클로닝 과정
* 용의자의 드라이브 : 소스 드라이브
* 클로닝하는 드라이브 : 데스티네이션(destination) 드라이브
* 데스티네이션 드라이브는 소스 드라이브와 동일한 크기이거나 더 커야 함
* 시작하기 전에 쓰기 방지를 사용하는 것이 중요.
- 쓰기 방지 : 원본 증거 드라이브에 데이터가 써지는 것을 방지함(의도치 않게 증거가 변조되는 것)
쓰기 방지 하드웨어는 클로닝 장비(PC, 노트북 또는 독립적 하드웨어)와 소스 드라이브 사이에 부착함.
* 용의자의 드라이브를 클로닝하기 전에 데스티네이션 드라이브가 반드시 포렌식적으로 초기화되어 있어야 함
* 클로닝 후, 소스와 클론의 해시 값이 일치하면 클로닝에 성공한 것
▶ 초기화된 매체
* 드라이브가 초기화되었음을 증명하는 것이 중요함
* 초기화 과정은 하드 드라이브 전체를 1111111과 같은 특정 패턴으로 덮어 쓰는 것
▶ 포렌식 이미지 형식
* 클로닝의 최종 산출물은 소스 하드 드라이브의 포렌식 이미지(forensic image)
* 가장 일반적인 포렌식 이미지 확장자
- EnCase(확장자 .E01)
- Raw dd(확장자 .001)
- AccessData Custom Content Image(확장자 .AD1)
* 작업에 사용될 툴이 이미지를 읽을 수 있어야 하고, 다른 조사관과 이미지 파일을 교환할 때를 고려해서 호환성도 생각해봐야 함
▶ 디지털 증거제시의 가치
* 디지털 증거제시제 : 법적인 관점에서 전자적으로 저장된 정보를 식별, 보존, 수집, 준비, 검토 및 생산하는 과정
* 클로닝은 활성 데이터뿐만 아니라 특정 매체에 있는 모든 데이터를 보존할 수 있음
["살아있는" 시스템과 "죽어있는" 시스템]
실제 작동 중인 컴퓨터에 관해서라면 어떻게 해야할까?
▶ 라이브 포렌식에서의 고려사항
플러그를 뽑는 것에 대한 이점
* 단순히 컴퓨터의 플러그를 뽑으면 실행 중인 컴퓨터에서 아무런 작업을 하지 않아도 됨
* 전원이 켜진 상태로 두면, 사소한 작업이라도 할 수 있기 때문에 시스템 자체가 변조 될 수 있음
플러그를 뽑는 것에 대한 단점
* 플러그를 뽑으면 전력 공급이 중단되므로 RAM에 있는 모든 증거가 파괴될 수 있음
* 갑자기 전원을 끊어버리면 시스템이나 파일이 다시 암호화 상태로 돌아가 버릴 수도 있음
* 갑자기 전원이 차단되면 데이터가 손상되어 읽지 못하게 될 수도 있음
* 일부 증거는 컴퓨터가 제대로 시스템 종료되기 전까지는 드라이브에 기록되지 않을 수도 있음
▶ 라이브 포렌식의 원칙
* 현장에 도착해서 작동중인 컴퓨터를 발견했을 때 생각해봐야 할 문제
-라이브 포렌식을 진행해서 복원할만한 가치가 있는가?
: 악성코드 관련 사건은 RAM 데이터가 핵심적이지만, 아동 포르노를 소지하는 것은 RAM을 조사할 가치가 없다
-필요한 자원을 사용할 수 있는가?
: 메모리에 있는 증거를 성공적으로 수집하려면 특수 툴이 있어야 하고 교육도 받아야 한다. 그렇지 않다면 플러그를 뽑는 것이 최선일 것이다.
* 라이브 포렌식을 할 때에는 최대한 "침입성"이 적은 방법을 선택해야 함
* 가장 휘발성이 강한 증거 먼저 수집하자
▶ 라이브 포렌식 실시 및 문서화
* 시작하기 전에 보고서 형식, 펜, 메모리 데이터 수집 툴 등 필요한 모든 것을 준비해둬야 함
* 컴퓨터에서 하는 모든 작업은 기록해야 함
* 데스크톱 화면이 검게 되어 있을 경우, 작동시키기 위해 어떤 키를 눌렀는지도 기록함
* 컴퓨터 화면이 보이면, 컴퓨터의 날짜와 시간, 아이콘과 실행 중인 프로그램, 어떤 프로세스가 실행 중인지 기록함
* 검증된 메모리 캡쳐 툴을 사용하여 RAM에 있는 휘발성 증거를 수집함
[해싱]
해시 값을 통해서 클론한 드라이브가 증거 드라이브를 완벽히 복사한 것인지 확인할 수 있다.
해시 값(함수)은 암호화와 증거의 무결성을 증명하는 것을 포함하여 다양한 용도로 사용된다.
하드 드라이브를 약간만 수정해도 완전히 다른 해시 값이 나오기 때문에, 증거를 조작하면 바로 탐지할 수 있다.
▶ 해시 알고리즘의 종류
* MD5(Message Digest 5)와 SHA(Secure Hashing Algorithm)1 또는 2
▶ 해시의 용도
* 디지털 포렌식 과정 전반에서 사용될 수 있음
* 클론된 것이 정확한 복사본인지 확인하거나, 무결성을 확인할 때에도 사용됨
* 조사관이 상대측 조사관과 포렌식 이미지를 교환할 때 해시 값을 함께 전송하여 원본과 대조할 수 있도록 함
* 수사 전반에 걸쳐 생성되고 기록되었던 모든 해시 값은 최종 보고서에 포함되어야 함
* 이러한 해시 값은 증거의 무결성을 증명하는 데 핵심적이고 법정에서 증거로 채택될 수 있도록 함
[최종 보고서]
* 분석 최종 단계에서 조사관은 작업 내용, 발견한 내용, 그리고 결론 등에 대해 자세하게 최종 보고서를 작성해야 함
* 읽는 사람을 고려해서 되도록 이해하기 쉽게 작성해야, 증거로 채택될 가능성이 높을 것임
* 주요 포렌식 툴에는 보고서 작성 기능이 있으나 일반인이 이해하기 어려워서 최종 보고서로 제출하기에 적합하지 않음
* 조사관이 실제로 한 행동에 대해 모두 설명하고 있어야 함
-사건 현장에 있었다면 그 내용부터 포함시켜야 함
-조사 과정을 충분히 상세하게 문서화하여 다른 조사관이 그 과정을 반복할 수 있어야 함