컴퓨터 범죄 수사(Computer Forensics)

1. 개요
1. 컴퓨터 저장매체에 들어 있는 데이터를 대상으로 복구, 검색 그리고 수사하는 기법, 즉 법원이 인정할 만한 컴퓨터 관련 증거를 수집, 보존, 분석하여 법원에 제출, 결정적인 증거로 활용할 수 있도록 하는 기술
   
   
2. 컴퓨터 포렌식 3가지 기본 기술
   
   
1. 원본 데이터를 변형 없이 증거로 수집하는 기술
2. 보관한 증거가 원본 데이터와 다르지 않다는 사실을 입증하는 기술
3. 데이터 분석 시 변조됨이 없이 분석하는 기술
   
   
3. 사라지기 쉬운 데이터 보존
   
   
1. 휘발성 데이터 : 시스템 메로리(RAM, 캐시, 그래픽 카드 또는 NIC와 같은 시스템 주변기기의 온보드 메모리 포함)에 임시로 저장된 데이터 (시스템의 전원이 나가면 메모리에 저장된 데이터는 사라짐)
   
   

단계	유의사항	상세내용
증거수집 이전	전문인력과 포렌식 도구의 활용방안 수립	디지털 포렌식 교육을 이수한 다양한 기술보유 전문가 참여 및 유용한 도구 활용방안 수립
	보관의 연속성 방안 수립	증거의 수집, 분석, 보존이 누구에 의하여 진행되었는지 기록
	데이터 무결성 유지방한 수립	증거 수집 및 분석 수행 중 원본훼손 최대한 방지 별도의 SW사용 또는 해시값을 활용한 부인방지
증거수집	휘발성 증거 우선 수집	메모리, 프로세스, 화면에 있는 소멸가능성이 큰 증거부터 우선 확보
	전원차단 여부 결정	문서의 작성, 수정 등의 정보가 문제가 될 경우 및 네트워크로 연결된 수시접속에 대한 사전 대응
	증거 수집	증거수집 과정에서 수집한 매체의 종류에 따라 출처, 사용자, 부서, 연락처 등 정확히 기록
증거분석	데이터 복구 및 증거분석	암호 복구, 데이터 복구, 키워드 검색 및 정보추출 등 다양한 포렌식 도구 사용하여 과학적이고 기술적 분석 시행

디지털 포렌식 활용 단계별 유의사항


4. 디지털 증거 보존
   
   
1. 어떤 형태이건 간에 조작 또는 사고가 일어나지 않도록 보호하는 것 (의도적이든 비의도적이든)
2. 증거가 저장된 매체의 완전한 비트스트림 이미지를 즉시 만드는 것이 좋다.
   
   cf. 비트스트림 이미지========================================================================
   원본 저장 장치에 기록됐던 모든 데이터의 사본. 모든 숨긴 파일, 임시파일, 손상된 파일, 파일 일부부노가 삭제된 파일 중 아직 덮어쓰이지 않은 파일 등이 있다. CRC 계산법을 이용해 원본 데이터와 차이가 없는지 확인
   
   

구분	디스크 복사	디스크 이미징
저장 방식	Source Read & Destination Write	Bit Stream Clone(Sector by sector)
저장 대상	파일과 디렉터리 단위 정보	디스크 모든 물리적 센터
정보 손질	Source Read 과정에서 읽지 못한 정보의 손실 발생	디스크 이미지는 디스크이 모든 정보 포함
파일 복구	삭제도니 파일은 복사과정에서 제외	디스크 섹터에 삭제파일 정보는 남아있는 겨우 복구 가능

디스크 복사 & 디스크 이미징


2. 디지털 증거 복구
   
   
1. 삭제된 데이터 복구
• 파일을 지우는 것은 FAT, MFT, 기타 운영체제에서 디스크의 파일의 위치를 기록하기 위해 사용하는 데이터 구조에서 항목 하나를 없애는 것에 불과하다
2. 감춰진 데이터 찾기
• 하드 디스크에 숨겨진 데이터 중 일부는 파일이 삭제되거나 디스크가 다시 파티션될 때 남아 있던 '주변'데이터이다.
  
  cf. 데이터 숨기기===========================================================================
  디스크 섹터는 고정된 크기(보통 512바이트)의 공간 단위이다. 오래된 하드 디스크 구조상 외부 트랙 부분에 쓰지 않는 저장 공간이 존재한다. 이러한 외부 공간에 데이터를 숨기는 일이 가능하다. 이런 공간을 섹터 갭(sector gap)이라고 한다. 일부 데이터 복구 서비스는 이 섹터 갭에 감춰진 데이터를 찾아내고 복구할 수 있다. 데이터를 숨길 수 있는 또 다른 장소는 클러스트와 파일크기가 서로 다르기 때문에 발생하는 슬랙공간(slack space)이다.
  
  
• 잊혀진 데이터 찾기
• 어플리케이션과 운영 체제에서 자동으로 저장한 많은 데이터가 존재하고, 사용자는 이를 완전히 인지하지 못해 지우지 못한 경우도 발생한다. 공격 유형에 따라, 이런 데이터가 사이버 범죄 수사에 유용하게 쓰일 수도 있다.
  
• 임시 파일
• 임시파일은 해당 어플리케이션을 닫았을 때 완전히 삭제되지 않는 경우도 발생하며, 삭제 되었다 하더라고 복구 툴로 복구 가능하다.
• 또한 시스템 종료되거나 재부팅될 때 이런 임시파일들은 삭제되기 때문에 시스템 종료 전 디스크 이미징하는 것이 좋다.
  
  
3. 데이터 복구 기법 피하기(=Data Sanitization)
   
   
1. 디스크 덮어 쓰기
• 잔류 자기(=Data remanence)라는 용어는 삭제된 파일의 데이터 중 물리적으로 디스크에 남아 있는 부분
2. 소자(Degaussing)
• 강력한 자기장을 사용해 디스크에 남아 있는 데이터를 완전히 제거하는 방법 - 전 대법원장 양..
3. 물리적 디스크 파괴
• 분쇄(갈아서 가루 만들기), 소각(태움)
• 연마(회전 숫돌로 디스크 표면 닮게 함)
• 염산 처리(요오드 수소산 용액을 디스크 표면에 떨어뜨림)