증거 수집

※ 수집 과정에서 모든 행동 ⇒ 반드시 문서화

※ 디지털 증거는 '휘발성'이기 때문에 포렌식 이미지나 클론(모든 비트 하나까지 복사한 복사본)을 만들어 조사하는 것이 좋다.

 

◆ 범죄 현장과 증거 수집

 

범죄 현장의 안전 확보後 증거 확보

- 물리적으로 현장 접근 제한

- 컴퓨터와 무선기기 접근 제한 ( 인터넷 연결 차단)

 

▶ 이동식 매체

저장매체(메모리카드, USB, 외장 하드 등)가 있을 만한 모든 곳 수색

 

▶ 휴대폰

문자 메시지, 이메일, 전화기록, 연락처 등 수집할 수 있는 데이터 多

휴대폰에 있는 데이터가 수정되지 않도록 해야함 → 패러데이 봉투(정전기 방지) or 캔에 고립, 전원 유지

 

▶ 휘발성 순서

가장 휘발성이 강한 증거부터 먼저 수집하는 중요 !

ⅰ) CPU, 캐시·레지스터 데이터

ⅱ) 라우딩 테이블, ARP 캐시, 프로세스 테이블, 커널 통계

ⅲ) 메모리

ⅳ) 임시 파일 시스템/스웝 공간

ⅴ) 하드 디스크에 있는 데이터

ⅵ) 원격에 있는 로그 데이터

ⅶ) 아카이브 매체에 있는 데이터

 

 

◆ 사건 현장 문서화

 

가장 일반적인 문서화 - 사진, 노트, (비디오도 사용 가능!)

문서화할 때 증거를 정확히 묘사하는 것 중요 (생산자, 모델, 시리얼 번호 같은 사항)

 

▶ 사진

현장에서 증거뿐만 아니라 그 어떤 것도 만지기 전에 찍어야 함

증거 사진은 증거를 찾았을 때 상태를 명학히 보여줄 수 있어야 함

 

▶ 노트

증거를 수집하며 하는 행동, 발견한 잠재적 증거에 대해 상세히 기록

 

 

◆ 연계보관성 (chain of custody)

특정 증거가 법정으로 보내지기 前 지켜야하는 법적 요구사항 中 1

반출입 과정을 기록하고 유지하는 것

상세히 문서화

 

▶ 증거 표시

증거를 수집하면 먼저 표시해야 함

이니셜, 날짜, 사건 번호 등

문서화 하는 것과 별개

 

 

◆ 클로닝

· 포렌식 클론(forensic clone), 비트 스트림 이미지 : 비트 하나 틀리지 않고 똑같은 하드 드라이브의 복사본

 

※ 파일을 복사하지 않고, 하드 드라이브를 복사하는 이유?

- 파일을 복붙하면 활성 데이터만 복사됨(사용자가 접근할 수 있는 데이터에만 접근 가능)

- 할당되지 않은 공간에 있는 데이터(삭제되거나 부분적으로 덮어써진 데이터 포함)를 가져올 수 X

- 파일 시스템 데이터 복사 X

 

· 목적 : 디지털 증거는 휘발성이 강함 → 증거 원본을 직접 조사 X

클론을 사용해 조사하면 뭔가 잘못되었을 때 다시 원본 상태로 복구 가능

 

· 과정 : 소스 드라이브(용의자의 드라이브) → 데스티네이션 드라이브(클로닝하는 드라이브)

- 크기 : 소스 드라이브 =< 데스티네이션 드라이브

ⅰ) 드라이브를 케이블로 클로닝 장비 or 다른 컴퓨터에 연결

ⅱ) 쓰기 방지 사용 → 하드웨어, 소프트웨어로 클로닝하는 동안 원본 증거 보호

소스 드라이브, 클로닝 장비 사이에 부착

ⅲ) 연결 前 데스티네이션 드라이브가 반드시 포렌식적으로 초기화되었는지 확인

ⅳ) 클로닝 진행

 

▶ 초기화된 매체

클론 생성될 당시 드라이브에 아무런 데이터가 없다고 증명된 드라이브

- 초기화 과정 : 하드 드라이브 전체를 1111과 같은 특징 패턴으로 덮어씀

 

▶ 포렌식 이미지 형식

클로닝 과정의 최종 산출물 - 소스 하드 드라이브의 포렌식 이미지

· 형식

- EnCase (확장자 .E01)

- Raw dd (확장자 .001)

- AccessData Custom Content Image (확장자 .AD1)

 

▶위험요소

소스 or 증거 드라이브에 데이터가 써지는 것 → 증거의 무결성에 손상, 법적 채택 X

☞ 쓰기 방지 장치 or 소프트웨어 사용

 

▶디지털 증거제시제

법적인 관점에서 전자적으로 저장된 정보를 식별, 보존, 수집, 준비, 검토, 생산하는 과정

잠재적으로 관련 있는 데이터를 보존하는 것이 중요 → 포렌식 클로닝

 

 

◆ 살아있는 시스템 & 죽어있는 시스템

 

※ 단순히 실행중인 컴퓨터의 플러그를 뽑게 되면?

- RAM에 있는 모든 증거 파괴 위험 ↑

∵ RAM에 있는 데이터는 전력 공급이 중단되면 서서히 사라지기 시작

- 암호화 → 갑자기 전원을 끊어버리면 다시 암호화 상태로 돌아갈 수 있음

- 데이터 손상

- 일부 증거는 컴퓨터가 제대로 시스템 종료되기 前 드라이브에 기록 X

 

▶ 라이브 포렌식

· 이점 : 휘발성 데이터를 수집할 때 사용할 수 있는 다양한 상업용·오픈소스 툴 출시됨

· 원칙

- 잠재적 증거를 시간과 노력을 투자해 복원할만한 가치가 있는가?

- 필요한 자원(툴, 교육)을 사용할 수 있는가?

- 최대한 '침입성' 적은 방법 선택

· 실시·문서화

- 한번 시작하면 완료 전까지 방해 받지 X 작업

- 컴퓨터에서 하는 모든 작업 기록

   ex) 무엇을 했더니 컴퓨터가 어떻게 작업하더라

- 검증된 메모리 캡쳐 툴 사용해 RAM에 있는 휘발성 증거 수집

- 컴퓨터 종료 버튼으로 끄면 실행중인 프로그램이 디스크에 흔적을 남길 수 있게 함 → 차후 이런 데이터 복구 가능

 

 

◆ 해싱

 

· 해시 값(함수) : 암호화 해시 알고리즘으로 생성된 값

                     암호화와 증거의 무결성을 증명하는 것 포함해 다양한 용도로 사용

                     → 디지털 지문, 디지털 DNA라고 불림

 

하드 드라이브를 약간만 수정해도 완전히 다른 해시 값이 나오게 됨 → 증거 조작 탐지 가능

 

▶ 해시 알고리즘 종류

가장 일반적으로 사용되는 해시 함수 - MD5(Message Digest 5), SHA(Secure Hashing Algorithm) 1 or 2

 

▶ 예

 문구 - Go Steelers!

 SHA1 - c924 4cac 47b3 4335 5aed 06f3 cc85 ea82 885f 9f3e

 

 (대문자 S를 소문자 s로 수정 후 다시 계산)

 

 문구- Go steelers!

 SHA1 - 1a10 ffd1 db12 c88f 88e6 b070 561f 6124 f632 26ec

 

☞ 글자 하나만 바뀌어도 해시값이 완전히 달라짐

 

▶ 용도

- 클로닝 과정 候 클론된 것이 정확한 복사본인지 확인할 때

- 무결성 확인할 때

- 이미지와 함께 전송해 원본과 대조할 수 있음

 

 

◆ 최종 보고서

 

- 일반인들이 보고서에 있는 정보를 이해할 수 있도록 하는 것이 매우 중요

- 조사 과정을 충분히 상세히 문서화