Forensics/Study

디지털 포렌식 이론 (작성중)

Be Charm 2021. 5. 8. 17:51

※ 디지털 포렌식 2급을 준비하던 중 자주 나오는 것, 헷갈리는 것들 정리해봅니다.
문제가 될 시 삭제하겠습니다.

1. 디지털 포렌식 개론

 1) 디지털 포렌식의 일반 원칙
   - 정당성 : 입수 증거가 적법절차를 거쳐 얻어져야 함
   - 재현 : 같은 조건에서 항상 같은 결과가 나와야 함
   - 신속성 : 전 과정은 신속하게 진행되어야 함
   - 연계보관성 : 증거물 획득 과정에서 담당자 및 책임자를 명확히 해야 함
   - 무결성 : 수집 증거가 위 ˙ 변조되지 않았음을 증명

 2) 디지털 포렌식의 기본 원칙
   - 적법절차 준수
   - 원본 x, 사본을 통해서 증거 분석 진행
   - 압수˙수색 과정에서 관계자 또는 입회인을 모든 과정에 참석
   - 원본증거 보전 및 무결성 확보
   - 분석방법의 신뢰성 확보
   - 진정성 유지를 위해 모든 과정을 기록

 3) 디지털 포렌식 수행 과정
   : 수사 준비 -> 증거 수집 -> 보관 및 이송 -> 분석 및 조사 -> 문서화

 4) 전자적 증거 (디지털 증거)
   - 전원이 꺼지면 사라지는 휘발성 증거       
         ex) 프로세스, 예약 작업, 인터넷 연결 정보, 네트워크 공유 정보, 메모리
   - 전원이 꺼져도 잔존하는 비휘발성 증거   
         ex) 파일 및 파일 시스템, 운영체제, 로그 데이터, 설치된 소프트웨어

   > 여기서 전문증거배제법칙(또는 전문법칙)에 따라 자동으로 생성되는 전자적 증거, 인위적으로 생성되는 전자적 증거로 구분한다. 그 이유는 전문증거는 원칙적으로 증거능력이 없으며, 성립의 진정이 있는 경우에 한하여 예외적으로 그 증거능력을 인정받기 때문이다.

   - 자동으로 생성되는 전자적 증거 : 인터넷 사용기록, 방화벽 로그, 운영체제 이벤트 로그, 최근 사용한 파일
   - 인위적으로 생성되는 전자적 증거 : 문서 파일, 전자 메일, 동영상, 사진, 소프트웨어, 암호 데이터

   > 자동으로 생성되는 전자적 증거는 전문증거가 아니고 비진술 증거이므로 진정성만 인정되면 증거로 사용할 수 있지만 인위적으로 생성되는 전자적 증거의 경우에는 전문증거인지 따져야 함

  ※ 전문증거란? : 원본증거 외의 진술 즉, 원 진술자의 진술이 법원에 직접 보고되지 않은 채 타인이나 서면을 거쳐 간접적으로 보고하는 것            ex) 검사 작성의 피의자 신문조서는 검사가 작성하여 간접적으로 보고되는 것이므로 -> 전문증거
                             피의자가 자백하는 모습을 찍은 영상은 피의자가 직접적으로 진술하는 것이므로 -> 원본증거
+ 전문증거에 대해 더 자세히 알아보기 [Soy 블로그]

 5) 전자적 증거의 특성
   - 매체독립성 : 어떠한 정보든 내용이 같다면 어느 매체에 저장되어 있든지 동일한 가치를 지님 -> 사본과 원본의 구별이 불가능
   - 비가시성, 비가독성 : 디지털 저장매체에 저장된 전자적 증거 그 자체는 사람의 지각으로 바로 인식이 불가능하므로 변환절차를 거쳐 모니터로 출력되거나 프린터를 통해 인쇄되었을 때 비로소 가시성과 가독성을 얻음
   - 취약성 : 전자적 증거는 삭제 및 변경 등이 용이하므로 무결정 문제가 일어남
   - 대량성 : 저장기술의 비약적 발전으로 방대한 분량의 정보를 하나의 저장 매체에 모두 저장 가능
   - 전문성 : 전자적 증거의 압수 및 분석 등에 있어 포렌식 전문가의 도움이 필수적 -> 전문조사관의 증언 능력, 사용된 포렌식 도구의 신뢰성이 문제가 됨
   - 네트워크 관련성 : 압수수색의 장소에 관한 특정의 문제가 있음 -> 정보를 한정된 범위에서 압수해야 함

2. 디지털 포렌식 기초실무

 1) 디지털 포렌식 도구의 종류
   - FTK
   - EnCase
   - MFT
   - Autopsy
   - X-ways Forensics

 2) 전자적 증거의 수집 기술
   - 활성시스템 조사 : 시스템의 전원을 차단하면 수집할 수 없는 휘발성 데이터와 신속한 조사에 필요한 비휘발성 데이터를 선별해서 수집
   - GUI 방식의 도구를 사용하는 것보다 CLI 도구를 사용할 것을 권장
   - 휘발성이 높은 것부터 수집
      : 레지스터 및 캐시 > 라우팅 테이블 > 임시 파일 > 하드 디스크 > 로그 데이터 > 외부 데이터
   - 디스크 이미징 : 원본 저장매체의 사본을 만듦
   - 원본의 훼손을 방지하기 위해 쓰기 방지 장치를 이용

 +) 활성시스템(Live System) 조사
   - 침해사고의 경우, 시스템의 현재 상태가 매우 필요하므로 활성시스템 조사가 중요
   - 서버와 같이 시스템을 끄지 않고 조사를 수행해야 할 때 활성시스템 조사가 중요
   - Bit Locker와 같이 시스템을 자동 암호화하는 경우에 활성시스템 조사가 중요
   - 활성시스템 조사를 위한 도구들은 쓰기 방지 기능을 사용하여 원본을 보호해야 함
   - 조사 도구는 읽기만 가능한 매체에 저장하여 실행해야 함
   - GUI(Graphic User Interface)의 사용보다는 CLI(Command Line Interface)의 사용을 권장

 3) 전자적 증거의 분석 기술
   - 디스크 브라우징 : 저장매체 또는 하드디스크 이미지의 내부 구조와 파일 시스템을 확인하고, 파일시스템 내부에 존재하는 파일에 대응되는 응용 프로그램의 구동 없이 쉽고 빠르게 분석할 수 있도록 하는 기법
   - 데이터 뷰잉 : 파일 포맷이 있는 데이터를 가시적으로 확인할 수 있도록, 디지털 데이터의 구조를 파악해서 시각적으로 정보를 출력하는 기술
   - 데이터 검색 : 디지털 포렌식 조사 및 분석은 연속되는 검색의 반복 따라서 잘 알려진 파일은 검색 대상에서 제외하고, 검색 범위를 축소하는 것이 중요함
   - 타임라인 분석 : 디지털 데이터의 시간 정보는 범죄 사실을 규명하기 위해 매우 중요한 정보. 타임라인 (Timeline)을 구성함으로써 시스템 사용자의 행위를 추적할 수 있음

 4) 강제수사 절차
   a) 영장에 의한 압수 · 수색
     - 압수할 물건이나 피의자를 발견하기 위해 사람의 신체, 물건 또는 주거 장소에 대한 강제처분을 함
     - 범죄사실과의 관련성과 피의자에게 혐의가 있다고 인정되는 경우에 한함
     - 증거물은 범죄수사와 공소유지에 중요하며 몰수 대상인 경우 판결 확정시까지 상당한 조치를 해야 함
   b) 영장에 의하지 않은 압수 · 수색
     - 구속현장, 범죄장소에서 긴급 체포된 자의 소유, 소지, 보관하는 컴퓨터 등 특수기록 매체에 대해서 가능
     - 영장에 의하지 않은 압수 · 수색에는 사후에 영장을 받아야 하는 경우와 사후에도 영장이 필요 없는 경우가 있음
     - 피의자가 범죄현장에 놓고 간 유류물이나 임의 제출물의 영치, 동의에 의한 압수 · 수색의 경우에는 사전 영장이 필요 없음
     - 소지자 또는 보관자가 아닌 자로부터 임의제출을 받은 경우에는 그 압수물의 증거능력은 부정됨

 5) 압수물의 보관과 환부
   a) 압수물의 보관과 폐기
   b) 압수물의 환부, 가환부

 > 압수물 처리
   - 긴급 체포할 경우 필요한 때에는 타인의 주거나 타인이 간수하는 가옥, 건조물, 항공기, 선차 내에서의 피의자 수사가 가능 또 체포 현장에서의 압수, 수색, 검증도 가능하다.
   - 소유자의 동의가 없더라도 보관자가 임의 제출하는 물건은 압수 가능하다.
   - 소유자 등의 청구가 있으면 환부 또는 가환부하여야 한다.
   - 압수, 수색에 착수하여 압수, 수색을 종료한 이상, 압수하지 못한 물건이 있다고 하더라도 동일 영장에 의해 재차 압수, 수색할 수 없다.

 6) 압수하는 정보의 유형
   - 전자적 저장매체에 기억된 정보는 복제하거나, 매체 그 자체를 압수하는 수밖에 없음
   - 휘발성 증거는 매체 자체의 압수는 의미가 없고, 영장범죄사실과 관련된 정보만을 선별적으로 압수
   - 휘발성 정보를 압수하는 경우에 있어서는 현실적으로 '저장매체 자체의 압수'보다는 '출력·복제하여 압수'하는 방식이 우선적으로 고려됨

 7) 압수 · 수색영장
   - 압수·수색영장에는 압수·수색의 장소와 대상을 특정하여 기재
   - 영장의 야간집행은 원칙적으로 허용 X, 필요한 경우 영장 청구 시 영장에 그 취지를 기재하여야 한다.
   - 압수수색 영장은 처분을 받는 자에게 반드시 제시해야 한다. (형사소송법 제 118조)
   - 영장은 법률상 원본제시가 의무사항이 아니다.

 8) 압수 · 수색의 구체적인 방법
   - 전자적 증거가 기억된 특수매체의 경우 다량의 정보를 담고 있어서 원칙적으로 관련된 부분만을 복제하거나 출력하여 출력물을 압수

 9) 전자적 증거의 압수 및 요령
   - 경미사건의 경우 압수대상매체를 현장에서 수색 · 검증하고, 혐의사실과 관련된 전자정보만을 문서로 출력하거나 수사기관이 휴대한 저장매체에 복사하여 압수
   - 법정에 증거로 제출할 때까지 변경 또는 훼손되지 않도록 무결성을 유지하고 그 과정을 기록하여 수사기록에 첨부
   - 쓰기 방지 기능이 포함된 기기를 사용
   - 피압수자 또는 참여인을 입회시키고 입회인의 확인 서명
   - 압수 · 수색대상자가 네트워크로 접속하여 저장된 자료를 임의로 삭제할 우려가 있을 경우에는 네트워크 연결 케이블을 차단
   - 증거물의 획득, 분석 및 보관까지의 일련의 과정을 거치는 증거물에는 꼬리표를 각각 달아 어떠한 과정을 거쳤는지 문서화
   - 장기간 보관의 경우 전자적 증거 보관케이스에 넣고 복사본을 만들어둠으로써 손상에 대비

3. 디지털 포렌식 법률이론

 1) 증거의 분류
   - 직접증거 : 범인의 자백진술, 범행현장을 직접 목격한 목격증인의 증언이 해당
   - 간접증거 : 범행현장에 남아 있는 지문
   - 인적증거 : 살아 있는 사람이 증거방법이 되는 것
   - 물적증거 : 물건의 존재, 상태, 내용 등이 증거가 되는 것
   - 본증 : 거증책임을 지는 당사자가 제출하는 증거
   - 반증 : 본증에 의하여 증명하려고 하는 사실의 존재를 부인하기 위하여 제출하는 증거
   - 진술증거 : 사람의 진술을 증거로 하는 것
   - 비진술증거 : 사람의 진술을 내용으로 하지 않는 증거
   - 실질증거 : 주요사실의 존부를 직접 · 간접으로 증명하기 위하여 사용되는 증거
   - 보조증거 : 실질증거의 증명력을 다투기 위하여 사용되는 증거
   - 증강증거 : 증명력을 증강하기 위한 증거
   - 탄핵증거 : 증명력을 감쇄하기 위한 증거

 2) 증명의 3원칙
   ① 증거재판주의
     - 민사소송절차에서는 당사자가 자백한 사실에 대해서는 증명을 요하지 않음
     - 형사소송절차에 있어서는 자백한 사실일지라도 그 사실의 인정은 증거에 의하지 아니하면 인정할 수 없음
   ② 검사의 거증책임
     - 요증사실의 존부에 대하여 증명이 불충분한 경우에 불이익을 받을 당사자의 법적 지위를 말함
   ③ 자유심증주의
     - 증거의 증명력을 적극적 또는 소극적으로 법정하지 아니하고 법관의 자유로운 판단에 맡기는 주의

 3) 증거개시
   - 원칙적으로는 모든 증거에 대한 개시가 가능하며 예외적으로 열거된 제한사유에 따라 증거개시를 제한할 수 있도록 하는 것이 바람직

 4) 위법수집증거배제법칙
   - 위법한 절차에 의하여 수집된 증거는 증거로서 사용할 수 없음

 > 이익형량의 원칙 : 사인이 위법하게 수집한 증거능력은 공익과 사익을 비교형량하여, 전자가 우월한 경우에는 증거로 사용 가능하다.

 5) 전문법칙
   - 전문증거는 원칙적으로 증거능력이 없다는 원칙

 6) 자백배제법칙
   - 피고인의 자백이 고문, 폭행, 협박, 신체구속의 부당한 장기화 또는 기망 기타의 방법으로 임의로 진술한 것이 아니라고 의심할 만한 이유가 있는 때에는 이를 유죄의 증거로 하지 못함

 > 자백
 - 피의자 자백의 임의성은 검사가 입증하여야 하지만 소송법적인 사실이므로 법관의 자유로운 증명으로 족하다.
 - 직접증거가 아닌 간접증거나 정황증거도 자백의 보강증거가 될 수 있다.

 7) 증거의 동의
   - 검사와 피고인의 증거로 할 수 있음을 동의한 서류 또는 물건은 진정한 것으로 인정한 때에는 증거로 할 수 있음
   - 동의는 원칙적으로 증거조사 전에 해야 함
   - 단순한 절차를 위반한 것이 아니라 중대한 절차위배가 있는 경우 당사자가 동의하더라도 증거로 사용할 수 없음

 8) 전자적 증거의 증거능력

 > 별건정보가 증거능력을 인정받기 위해서는 디지털 저장매체에 대한 "압수 · 수색이 종료되기 전"에 혐의사실과 관련된 정보를 적법하게 탐색하는 과정 이어야 한다. 따라서 이미 압수 · 수색이 종료되어, 압수목록이 교부된 상태라면 별건정보의 증거능력이 인정되지 않는다.
 ex) 영장 집행 후 압수목록이 교부된 후, 분석 과정에서 또 다른 문서파일을 우연히 발견하였다면 증거능력이 인정되지 않음. 따라서 압수 · 수색 영장을 발부받아야 하고 피압수자에게 참여권을 보장시킨 뒤 새로이 압수목록을 교부해야 한다. 이때 범죄 사실과 관련성이 있는 부분에 대해서만 압수 가능하다.

 9) 과학적 증거
   ① Frye 
   ② Daubert

 10) 전자적 증거의 압수 · 수색 방법
   - 압수의 목적물의 정보저장매체인 경우 범위를 정하여 출력 or 복제하여 압수, 그것이 불가능하거나 곤란한 때에는 정보저장매체 자체를 압수 가능
   - 원칙적으로 선별 압수, 예외적으로 전체를 이미징 하거나 매체를 압수
   - 압수새대상은 피의사실과 관계가 있다고 인정할 수 있는 것에 한정하여 증거물 또는 몰수할 것으로 사료하는 물건을 압수 가능
   - 전자적 증거의 경우 매체자체 또는 전체를 이미징 한 다음 수사기관에서 관련 정보를 수색하는 것은 압수 · 수색집행의 연장이라는 이유로 피의자 또는 변호인에게 미리 집행의 일시와 장소를 사전통지하고 당사자의 참여를 요구
   - 검사, 피고인 또는 변호인은 압수 · 수색영장의 집행에 참여 가능
   - 압수 · 수색영장을 집행함에는 미리 집행의 일시와 장소를 통지
   - 전조에 규정한 자가 참여하지 아니한다는 의사를 명시한 때 또는 급속을 요하는 때에는 예외
   - 압수 · 수색영장은 처분을 받는 자에게 반드시 제시
   - 영장제시는 현장에서 여러 명인 경우에는 피압수자 전원에게 개별적으로 제시 
   - 원본과 사본의 구분이 어려운 전자적 증거에 대해 원본과 사본의 동일성을 인정하는 규정이 없음
   - 압수 · 수색의 장소가 여러 장소인 경우 사실상 사본으로 제시

 > 전자적 증거물의 봉인방법
   - 봉인 및 봉인해제, 재봉인의 전 과정으로 녹화
   - 압수, 수색의 피처분자를 봉인 및 봉인해제, 재봉인 작업에 참여시켜야 한다.
   - 압수물인 각 원본 디지털 저장매체는 압수된 후 그 자리에서 봉인되어야 한다.
   - 수사기관은 압수물의 봉인 및 봉인해제, 재봉인시에 항상 대상자들로부터 확인서를 받는다.

 

 

스스로 궁금한 것

메타데이터 vs 레지스트리

메타데이터 레지스트리
- 자동적으로 생성되는 전자적 증거
- 비휘발성 증거		 - 시스템 및 응용 프로그램 정보와 사용자 활동 정보를 알 수 있음

형사소송법 상 강제처분

강제수사

영장에 의한 압수, 영장에 의하지 않은 압수

전자정보의 압수수색 및 증거능력

증거법과 증거능력

형사소송법상 증거법의 기본원칙
 - 증거재판주의
 - 자유심증주의
 - 자백의 증거능력 및 증명력 제한
 - 전문법칙의 기본원칙

전자적 증거의 증명력을 강화하기 위한 방법

전자증거의 증거능력의 테스트

과학증거
frye, daubert

형사소송법상 증거능력을 인정하는 요건

증거개시제도

감정

검증

통신비밀보호법

통신사실확인자료

통신제한조치

감청

정보통신망법위반
 - 통신수단의 완전성 침해
 - 통신수단의 건정성 침해

민사소송절차의 증거 (feat. 형사소송절차와의 비교)

사문서, 공문서, 처분문서

 

 

 

참고문헌 : http://www.parkjonghyuk.net/lecture/2015-2nd-lecture/Computer%20Security/computersecurity.htm