이번 포스팅에서는 디지털 포렌식의 5대 원칙을 알아보도록 하겠습니다.
우선 용어 설명이 필요할 것 같습니다.
※ 포렌식이란 무엇인가?
포렌식(Forensics)은 고대 로마시대의 포럼(Forum)이라는 라틴어에서 유래했으며 그 뜻은 '법의학적인, 범죄 과학수사의, 법정의'이라는 의미를 가지고 있습니다.
그럼, 디지털 포렌식(Digital Forensics)이란 무엇일까?
컴퓨터를 매개로 이루어지는 범죄에 대한 법적 증거자료 확보를 위해 컴퓨터 저장매체와 네트워크로 부터 자료를 수집, 분석 및 보존하여 법적 증거물로써 제출 할 수 있도록 하는 일련의 작업을 말함
범죄현장에서 확보한 자료들을 법정에서 증거로서의 효력을 갖기 위해서는 5가지 원칙을 지켜야한다.
이 5가지 원칙이 바로 디지털 포렌식 5대 원칙이다.
1. 정당성의 원칙
- 획득한 증거 자료가 적법한 절차를 준수해야 하며, 위법한 방법으로 수집된 증거는 법적 효력을 상실한다.
1) 위법수집증거배제법칙(형사소송법 제308조의 2)
- 적법한 절차에 따르지 아니하고 수집한 증거는 증거로 할 수 없다.
판례 : 압수물의 사진 및 압수조서가 위법한 수색에 의한 압수물을 직접 이용해서 촬영되거나 작성된 경우 그 형태 등에 관한 증거가치에는 변함이 없다고 하더라도 그 증거가치는 부정된다. (서울 중앙지방법원 2006노2113)
2) 독수 독과이론
- 위법하게 수집된 증거(독수)에 의하여 발견된 제2차 증거(독과)의 증거능력은 인정할 수 없다는 이론
2. 무결성의 원칙
- 수집 증거가 위,변조되지 않았음을 증멸할 수 있어야 한다.
일반적으로 수집 당시의 데이터 hash 값과 법정 제출 시점 데이터의 hash 값이 같다면 hash 함수의 특성에 따라 무결성을 입증
이를 입증하기위해 경우에따라서 현장에 입장하는 시점부터 조사가 끝나는 시점까지 동영상으로 촬영하거나 사진으로 찍어두는 경우도 있음
※ 해시(hash) 함수란? (참고, MD5의 경우 128bit, SHA-1의 경우 160bit로 출력됨)
- 평문을 해시 알고리즘을 통하여 해시값으로 출력하는 것
특정한 키를 사용하지 않기 때문에 동일한 문장에 대해 동일한 해시값으로 출력하며, 문장이 조금만 변해도 해시값이 달라지게 됨. 또한 해시함수의 종류에 따라 출력되는 해시값의 길이가 달라짐
예컨대, '포렌식'의 해시값이 '155F01'라면 '포 렌식'의 해시값은 '14A3E5'으로 약간의 변화에도 완전 다른 해시값이 출력됨
3. 재현의 원칙
- 피해 직전과 같은 조건에서 현장 검증을 실시하거나, 재판이나 법정의 검증과정에서도 동일한 결과가 나와야한다.
예컨대, 불법 해킹 용의자의 해킹 툴이 증거능력을 가지기 위해서는 같은 상황의 피해시스템에 툴을 적용할 경우 피해 결과와 일치하는 결과가 나와야한다.
4. 신속성의 원칙
- 휘발성 증거의 수집 여부는 신속한 조치에 의해 결정되므로 모든 과정은 지체없이 진행되야한다.
5. 절차 연속성의 원칙
- 증거물 획득 -> 이송 -> 분석 -> 보관 -> 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야한다.
- 수집된 저장매체가 이동단계에서 물리적 손상이 발생하였다면, 이동 담당자는 이를 확인하고 해당 내용을 정확히 인수 인계하여 이후의 단계에서 적절한 조치가 취해지도록 해야한다.
'Security > Forensic' 카테고리의 다른 글
[3장] Volatility를 활용한 메모리 분석 - 네트워크 정보, 웹 사용기록 (0) | 2018.03.15 |
---|---|
[2장] Volatility를 활용한 메모리 분석 - 프로세스 (0) | 2018.03.14 |
[1장] Volatility를 활용한 메모리 분석 - 설치 및 플러그인 종류 (0) | 2018.03.14 |
포렌식 관련 사이트 (지속적인 추가 예정) (0) | 2018.03.04 |
포렌식 분석 시 사용할 수 있는 도구 모음 (0) | 2018.03.04 |