랩과 툴

 

◆ 포렌식 랩

 

법 집행 기관이 운영하는 시설

 

· RCFL 프로그램 (지역 컴퓨터 포렌식 연구소)

- 증가하는 조사관의 수요를 충족시키기 위해 시작됨

- 디지털 포렌식 서비스와 교육 제공

- 스마트폰, 네비게이션 등 많은 종류의 디지털 기기와 매체 처리

 

 

◆ 가상 랩

 

조사관, 자료처리소가 지리적으로 다른 위치에 있어도 되는 랩

비용 ↓ , 자원접근성 ↑ , 전문성 ↑

 

- 접근제어 : 조사관, 랩 관리자 → 완전한 접근권한

변호사, 검사, 수사관 제한된 접근권한

 

· 고려사항

 - 보안 : 요구하는 증거의 무결성 수준을 유지할 수 있도록 시스템 보안 有 

            그렇지 않으면 여러 사건에서 증거가 채택되지 않을 수 있음

 - 성능 : 연결 속도가 빠르고 안정적이어야 함

 - 비용 : 초기비용 高

 

▶ 랩 보안

증거, 시설에 대한 접근을 엄격히 관리해야 함

랩을 거쳐가는 디지털 증거의 무결성 유지

 

연계보안성 : 랩에서 증거 조사 後 법정 이동할 때 반출입 문서 작성 (전자적 방법도 거능)

 

증거로의 네트워크 접근 : 조사에 사용되는 커뮤터는 인터넷 연결 X

 

하나 이상의 백신 제품으로 바이러스 검사

 

 

▶ 증거 저장

· 데이터 세이프(data safe) : 도난, 화재로부터 디지털 증거 보호를 위해 특별히 설계됨 ( 일부 디지털 매체는 열에 매우 취약 )

 

증거를 저장한 곳 사용하지 X 때 → 장금 장치

로그나 감사기록 유지

 

 

◆ 정책과 절차

 

· 표준작업 절차서 : 포렌식 조사가 어떻게 수행되어야 하는지 자세히 명시한 문서

                         너무 광범위하게 or 너무 상세하게 작성 X

                         조직의 정책, 표준작업 절차서 미준수 → 법정에서 랩의 절차와 표준작업 절차서의 신뢰성에 대한 공격 가능성 ↑

 

 

◆ 품질보증

 

법과학에서 품질은 항상 최우선이 되어야 함 !

모든 법과학의 근본이 되는 원칙

문서화된 프로토콜 시스템으로 분석 결과의 정확성과 신뢰성을 유지하기 위해 사용

 

좋은 품질보증 프로그램 - 보고서 2중 검토(peer review), 증거 처리, 사건 문서화, 랩 인격 교육 등 다양한 부분 다룸

 

· 검토과정

1) 기술 검토

다른 조사관이 실시

결과와 결론에 초점

"첫 번째 조사관이 보고한 결과가 이 사건의 증거로 충분히 증명이 되는가?"

 

2) 행적적 검토

모든 서류작업이 정확하교 완료되었는지 보장하는 것

 

· 능력시험(proficiency test) : 조사관의 능력을 정기적으로 확인하고 문서화하는 과정

 - 공개 테스트 : 본인이 테스트 받고 있다는 사실 인지 O

 - 블라인드 테스트 : 본인이 테스트 받고 있다는 사실 인지 X

 - 내부 테스트 : 기관 자체에서 실시

 - 외부 테스트 : 테스트 받는 기관과 독립적인 기관에서 실시

 

법정에서 분석가의 능력과 기술에 대해 의구심 가질 수 있기 때문에 결과 문서화 필수 !

 

▶ 툴 검증

모든 툴은 실제 사건에 사용되기 전 검증해야 함

검증과정 → 툴이 정상 작동, 신뢰 가능, 정확한 결과 나타낸 다는 것 증명해야 함

검증 결과 문서화 필수

 

▶ 문서화

"문서로 남겨두지 않은 것은 실제로 있었던 일이 아니다."

제출문서, 연계보관성 기록, 조사관의 노트 & 최종 보고서등이 가장 중요

 

특정 사건과 관련된 모든 문서 → 사건 기록실에 저장

 

· 서식

사전에 출력한 서식 → 현장과 랩에서 사용

프로세스 진행 中 무엇을 해야 하는지 도움

품질의 수준 ↑ 유지 보장

증거를 상세히 설명할 때 ( 제조자, 모델, 시리얼 번호 등), 연계보관성 기록할 때, 조사 요청 할 때 사용

 

· 조사관의 노트

모든 조사관의 행동과 관찰사항이 해당날짜와 함께 기록됨

상세히 기록 → 다른 조사관이 프로세스 반복 가능

ex) 특이사항, 관련조치, 운영체제, 버전·패치 상태, 비밀번호 등

 

· 조사관의 최종 보고서

공식문서로서 수사 거의 완료될 때 검사, 수사관, 반대편 변호사 등에 전달

ex) 보고 기관, 사건 식별 번호/제출 번호, 제출하는 사람·사건 수사관의 신원정보, 받은 날짜·보고 날짜, 증거 식별가능한 세부정보(시리얼 번호, 제조사, 모델), 조사관 신원정보, 조사 방법, 결과·결론

 

주요부분 : 요약(조사 결과 간략히 설명), 결과에 대한 세부 설명(결과 지원 파일, 이메일·웹 캐시· 채팅 로그 등)

 

 

◆ 디지털 포렌식 툴

 

포렌식 업무의 효율성 ↑ or 툴 없이 불가능한 작업 수행

 

▶ 툴 선택

디지털 포렌식 툴 시장에는 제품 多 → 툴 검증 필요

· CFTT(Computer Forensic Tool Testing Project) : 공통적인 툴의 사용과 테스트 절차·기준·세트·하드웨어 개발 → 컴퓨터 포렌식 소프트웨어 툴 테스트하기 위한 방법론 수립

 

▶ 하드웨어

디지털 포렌식은 PC, 서버, 쓰기 방지 기기, 케이블 등 하드웨어에 크게 의존

 

PC - 디지털 포렌식 랩의 중추적 역할

멀티코어 CPU 여러개 장착, 많은 RAM 탑재, 대용량 고성능 하드 드라이브 탑재

 

▶ 소프트웨어

소프트 웨어 선택 시 고려사항 - 비용, 기능, 능력, 지원 등

 

· SIFT(the SANS Investigative Forensic Toolkit)

- 강력하고 무료인 오픈소스 툴

- 우분투 리눅스 기반으로 제작됨

- 파일 카밍, 파일 시스템·기록·휴지통 등 분석 가능

 

· Forensic Toolkit, EnCase

- 상업용 소프트웨어

- 작업 : 검색(이메일 주소, 웹주소, 날짜범위 등), 이메일 분석, 분류, 패스워드 크래킹 등

 

 

◆ 인가

 

범죄 랩의 정책·절차(업무방식) 보증하는 것

 

· 미국 범죄감정과학 연구소 소장협회의 연구소 인증보드(ASCLD/LAB) : 세계적으로 인증받는 선두 기관

법과학계의 품질인증 기관이라 볼 수 있음

 

- 목적

ⅰ) 형사사법제도에 제공하는 랩 서비스의 품질 개선

ⅱ) 랩의 성과 수준 평가, 운영 강화 위해 랩이 사용할 수 있는 기준 개발·유지

ⅲ) 독립적, 공정, 객관적인 시스템 제공

ⅳ) 일반 국민과 사용자에게 수립된 표준 충족하는 랩을 식별하는 수단 제공

 

- 인가 프로그램

1) 레거시 프로그램

2) 국제 프로그램

 

▶ 인가 VS 자격증

- 인가 : 랩이 받는 것

- 자격증 : 각각의 조사관이 받는 것, 필기or실기 시험 통과해야 함