디지털포렌식이란? (feat. 안티 포렌식)

제로코딩

·

2022. 7. 2. 19:17

반응형

디지털포렌식이란?

 

디지털 포렌식

 

 

수사기관에서 과학수사를 진행하는 절차중 디지털 기술을 기반으로 하는 수사입니다.

 

휴대폰 포렌식을 해서 삭제된 문자메시지나 메신저 메시지를 복원하고, 컴퓨터 하드디스크에서 범인이 삭제한 파일들을 복원하여 범인을 잡기도 하는데 이런식으로 데이터들을 복원하는 작업이 디지털 포렌식 작업입니다.

 

또 예를 들어, 딥페이크를 악용했다면 처벌 대상이 되기에 수사기관은 영상 및 사진의 위·변조 여부를 판단해야 하는데, 딥페이크 검출 기술 중 하나에 디지털 포렌식이 포함됩니다.

 

즉, 데이터 역추적으로 위·변조를 판별할 수 있는 기술입니다.

 

디지털 포렌식 진행할 시 필수적으로

5대 원칙(정당성의 원칙, 무결성의 원칙, 신속성의 원칙, 연계보관성의 원칙, 재현의 원칙)에 의거하여 분석해야 합니다.

 

원칙없이 일반적인 데이터복구를 통해 제공되는 증거감정서의 경우 법적 효력으로 인정받지 않을 수 있고 신뢰성이 떨어질 수 있는 위험이 존재합니다.

 

 

 

⚡️ 디지털 포렌식

 


디지털 포렌식이란 컴퓨터 하드디스크나, 이동식 저장 디스크(USB), 휴대폰, CCTV 등 정보를 저장하는 장치에서 데이터가 삭제되었을 때, 삭제된 데이터를 복구 분석하여 범죄단서를 찾는 수사기법입니다.

 

즉, 단순히 데이터 복구로 끝나는 것이 아니고 복구한 데이터를 민형사 사건의 증거자료로 사용할 수 있어야 합니다.

증거자료로 쓰기 위해서는 5대 원칙(정당성의 원칙, 무결성의 원칙, 신속성의 원칙, 연계보관성의 원칙, 재현의 원칙)에 의거하여 데이터를 분석해야 합니다.

이때 포렌식은 무결성을 지키기 위해서 원본과 완전히 동일한 사본 파일을 만든 후 해당 사본 파일을 분석하는 디스크 이미징 기술을 사용하고, 또 데이터의 위변조가 일어나지 않았다는 것을 입증하는 포렌식 증거 감정서를 통해서 법적 효력 증거자료로 쓰일 수 있습니다.

해킹과 디지털 포렌식은 비슷하지만 관점은 다릅니다. 해킹은 불법적으로 접근 권한 등을 얻어 정보를 추출하여 악용하는 것입니다. 반면, 디지털 포렌식은 수사 영장이나 데이터 소유주의 동의를 받은 후 디지털 기기에 저장된 증거를 추출하거나 추출된 증거를 분석하는 작업입니다.

 

 

📌 디지털 포렌식 원리

 


모든 디지털 기기는 사용하면 데이터가 저장소에 전부 기록이 됩니다. 기기에 저장된 데이터를 삭제한다고 완전히 삭제되는 것이 아닙니다. 

즉, 디지털 포렌식은 우리가 지우고 남아있는 데이터의 연결고리를 다시 찾아서 밖으로 우리 눈에 보이게 하는 과정이고 해당 과정을 위해 데이터를 추출하여 복원하는 작업입니다.


따라서 저장소에 데이터가 많이 쌓여서 덮어쓰기가 되거나 물리적인 저장소 파괴된다면 디지털 포렌식을 할 수 없습니다.

휴대폰 내 데이터들은 내부 저장소에서 암호화되어 저장되는데, 디지털 포렌식 과정을 통해서 이 암호화된 문자들을 해석해야 합니다. 


해석하려면 보안적인 기술들이 필요하고 이 때문에 포렌식이 가능한 업체마다 가지고 있는 역량이 달라서 추출할 수 있는 포렌식 데이터에 차이가 발생할 수 있습니다.

 

 

📌 안티 포렌식 방법

 

안티 포렌식이란 자신이 저장소에 남긴 흔적을 없애는 방법입니다.

 

해당 방법을 위해서는 

1. 저장소 포맷
포맷에는 하이레벨 포맷(빠른 포맷), 하이레벨 포맷(일반 포맷), 로우 레벨 포맷이 존재합니다.
빠른 포맷을 하게 되면 데이터와의 연결고리만 끊는 거라 쉽게 포렌식이 가능하고 일반 포맷으로 저장소를 포맷하면 잘하는 포렌식 전문업체에서 추출이 가능합니다.
로우 레벨 포맷은 거의 포렌식이 불가능하다고 하네요. 따라서 포맷을 하실꺼면 로우레벨 포맷으로 하여야 합니다.

 

2. 디가우징
디가우징은 디가우저라는 자기장을 이용한 박스형 장치를 이용하여 저장소의 데이터를 물리적으로 삭제하는 방식입니다.
물리적으로 완벽하게 삭제하는 것이기 때문에 데이터 복구가 불가능합니다.


3. 공장 초기화
휴대폰은 공장 초기화를 하게 되면 일반적인 포렌식 전문업체에서는 포렌식이 거의 불가능합니다. 극소수의 사람만 포렌식이 가능합니다.


 

반응형

'정보 보안 > 디지털 포렌식' 카테고리의 다른 글

라이브 포렌식 (Live Forensics) 및 분석  (0) 2022.07.07