디지털 포렌식 개요

디지털 포렌식

먼저 포렌식(Forensic)이란 '법의학'을 말한다. 

법과 관련된 의학을 연구하는 분야로 범죄수사 및 민/형사 소송 등 법정에 사용되는 증거의 수집/보존/분석을 위한 응용과학분야이다.

 

디지털 포렌식(Digital Forensic)이란 포렌식 중 증거의 종류가 전자적 증거물인 경우라고 보면 된다. 

정보화 사회의 고도화에 따라 사이버 범죄가 증가하게 되었고

이를 대처하기 위해 과학수사와 수사과학 분야에서 새로운 형태의 범죄과학이 필요하게 되었다. 

현재 생성되는 자료의 95%이상이 전자 형태로 존재하며 그 숫자는 매년 2배씩 증가하고 있다. 

이러한 전자적 증거는 사이버 범죄자 추적 및 조사에 핵심요소가 되고 있다. 

범죄 현장에서 확보한 개인 컴퓨터, 서버 등의 시스템이나 전자 장비에서 수집할 수 있는 디지털 증거물에 대해 보존, 수집, 확인, 식별, 분석, 기록, 재현, 보고 등을 과학적으로 도출되고 증명 가능한 방법으로 수행하는 것이라고 정의하고 있다. 

컴퓨터 범죄 수사에서는 법적 효력을 갖도록 과학적, 논리적 절차와 방법을 연구하는 학문으로 정의하고 있다. 

 

증거에 대해서 살펴보자.

증거의 종류는 일반 증거와 디지털 증거로 구분할 수 있다. 

일반 증거는 물리적 증거, 생물학적 증거로 시각, 청각, 취각, 미각, 촉각 등을 통해 인지할 수 있는 증거를 말한다. 

디지털 증거는 유체물이 아닌 디지털 매체에 저장되거나 전송중인 정보를 말하며 그 자체는 인지할 수 없는 증거이다. 

 

이제 여러 특징들을 살펴본다. 헷갈릴 수 있기 때문에 무엇의 특징인지 잘 살펴보아야 한다.

 

디지털 증거의 특징

매체 독립성 : 디지털 증거는 유체물이 아니기 때문에 각종 디지털저장매체에 저장되어 있거나 네트워크를 통하여 전송 중인 정보 그 자체로  사본과 원본의 구별이 불가능하다.  

비가시성, 비가독성 : 디지털증거 그 자체는 사람의 지각으로 바로 인식이 불가능하며 일정한 변환절차를 거쳐 모니터 화면으로 출력되거나 인쇄된 형태로 출력되었을 때 가시성과 가독성을 가진다. 

취약성 : 디지털 증거는 삭제, 변경등이 용이하다. 따라서 디지털 증거에 대한 무결성 문제가 대두된다. 

대량성 : 저장기술의 발전으로 방대한 분량의 정보를 하나의 저장 매체에 모두 저장할 수 있다. 

전문성 : 디지털 증거의 수집과 분석에도 전문적인 기술이 사용되므로, 디지털 증거의 압수, 분석에 있어 전문성을 가진 디지털 포렌식 전문가와 프로그램이 필요하게 된다. 

네트워크 관련성 : 디지털 환경은 인터넷을 비롯한 각종 네트워크를 통해 연결되어 있기 때문에 관할권에 대한 문제가 있다. 국경을 넘는 경우 국가의 주권문제까지도 연관된다. 

 

이번에는 디지털 데이터가 증거 능력을 보장하기 위한 특성이다. 

진정성 : 증거 데이터의 저장, 수집 과정에서 오류가 없으며, 의도된 결과가 정확히 획득되었고, 그로 인해 생성된 자료임이 인정됨을 뜻한다. (해당 증거가 특정인이 특정 시간에 생성한 파일이 맞는지 여부) (무결성, 신뢰성을 합한것이다.)

무결성 : 증거 데이터가 수집 및 분석 과정을 거쳐 법정에 제출되기까지 수정, 변경, 손상이 없음을 의미한다.

신뢰성 : 증거 데이터의 분석 등 처리 과정에서 디지털 증거가 위, 변조되지 않았고 의도되거나 의도되지 않은 오류를 포함하지 않음을 의미한다.

원본성 : 디지털 증거가 변환하여 제출하는 과정에서 제출되는 증거 데이터가 원 매체에 있는 데이터와 동일함을 의미한다. 

 

다음은 디지털 포렌식의 기본 원칙이다. 

정당성의 원칙 : 입수 증거가 적법절차를 거쳐 수집되었는지를 묻는다. 우리나라에서는 위법수집증거배제법칙과 독수의 과실이론을 적용하고 있다. 위법수집배제법칙은 위법절차를 통해 수집된 증거의 증거능력을 부정하는 것이고 독수의 과실이론은 위법하게 수집된 증거에서 얻어진 2차 증거도 증거능력일 없음을 말한다. 

재현의 원칙 : 같은 조건과 상황하에서 항상 같은 결과가 나오는지를 말한다. 

신속성의 원칙 : 디지털 포렌식의 전 과정이 지체 없이 신속하게 진행되었는지를 말한다.

절차연속성(Chain of Custody)의 원칙 : 증거물획득-이송-분석-보관-법정 제출 의 각 단계에서 담당자 및 책임자를 명확히 해야 함을 말한다. 

무결성의 원칙 : 수집 증거가 위, 변조 되지 않았는지를 말한다. 대체로 hash값을 통해 검증한다.