[이제 시작이야! 디지털 포렌식] Chapter 3 랩과 툴

 

 

 

 

랩과 툴에 대한 품질보증이 중요하며,

유효하고 안정적인 결과만이 생산될 수 있도록 보장되도록 해야 한다.

 

 

 

---

1. 포렌식 랩

• 미국 FBI의 RCFL(Regional Computer Forensic Laboratory, 지역 컴퓨터 포렌식 연구소) 포렌식 긍정적 영향 

- 가상 랩

• 디지털 랩으로, 다른 위치에 있어도 되는 '가상' 랩
• 비용절감, 많은 자원에 접근 가능 (ex 툴과 저장장치), 불필요성 감소
• 역할 기반의 접근제어를 가능하게 함 (ex 조사관,랩 관리자 : 완전 접근 / 변호사,검사 : 제한 접근)
• 가상 랩을 운영하기 위해서는 1. 보안 2. 성능 3. 비용 이 고려되어야 함

- 랩 보안

• 증거와 시설에 대한 접근은 엄격하게 관리해야 함
• 출입 카드와 접근 코드같은 디지털 솔루션은 열쇠보다 더 많은 이점 존재
• 전자적 수단은 연계보관성에 사용될 수도 있는 감사 기록을 바로 제공
• 연계보관성은 랩 전반에 걸쳐 적용되어야 함
• 증거를 증거실이나 저장소에서 반출입 할 때마다 로그 기록
• 네트워크 접근 고려까지 하여 전반적으로 가상 랩을 어떻게 증거의 무결성을 유지할 수 있는지 고심

- 증거 저장

• 증거는 반드시 접근이 제한적이고 보안적으로 안전한 장소에 저장
• 데이터 세이프(data safe)는 크기도 다양하고, 증거 보호를 위해 특별 설계됨
• 화재까지 고려하여 설계됨
• 항상 잠금 장치 유지해야 하며, 반출입 현황도 유지해야 함
• 전자적 방법으로의 출입 제한은 로그를 기록할 수 있어 이점

---

2. 정책과 절차

• 정책과 표준작업 절차서로 랩에서의 일련 상황을 통제
• 너무 광범위해서도 안되며, 너무 세부적이면 특이 사항에 대처 부족
• 조직의 정책과 표준작업 절차서를 준수하자

---

3. 품질보증

• 품질보증은 문서화된 프로토콜 시스템으로 분석 결과의 정확성과 신뢰성을 유지하기 위해 사용
• 품질 보증은 모든 법과학의 근본 원칙
• 좋은 품질보증 프로그램은 보고서의 2중 검토, 증거 처리, 사건 문서화, 랩 인력 교육 등 다양한 부분을 다룬다.
• 2중 검토는 기술검토(증거가 충분한 증명인가?)와 행정적 검토(서류작업 정확 보장)
• 조사관은 1. 공개 테스트 2. 블라인드 테스트 3. 내부 테스트 4. 외부 테스트 로 정지적으로 능력 검토

- 툴 검증

• 모든 툴은 실제 사건에서 사용되기 전에 검증해야 함
• 검증 과정 또한 문서화 필수, 안하면 법정 불리

- 문서화

격언 : "문서로 남겨두지 않은 것은 실제로 있었던 일이 아니다"

• 위 격언처럼 랩이나 기관의 표준작업 절차서와 메뉴얼에 맞게 보고서 작성
• 제출문서, 연계보관성 기록, 조사관의 노트, 조사관의 최종 보고서

- 서식

• 모든 필요한 정보가 동일한 형식으로 기록될 수 있도록 도움
• 증거 설명(제조자, 모델, 시리얼 번호 등), 연계보관성, 조사 요청 등

- 조사관의 노트

• 모든 조사관의 행동과 관찰사항이 날짜와 함께 기록
• 주로 핵심 인물과의 토의, 특이 사항, 운영체제 버전 및 패치 상태, 비밀번호, 변경 사항 등 

- 조사관의 최종 보고서

• 기술적 배경지식이 없는 사람들도 읽고 이해할 수 있어야 함
• 전문 용어와 약어는 최대한 사용 자제
• 보고 기관, 사건 번호, 수사관 정보, 받은 날짜, 증거 세부 정보, 조사 방법, 결과와 결론 등
• 보고서의 중요 부분은 요약과 결과에 대한 세부설명이다.
• 세부내용에는 요청 과련 파일, 결과 지원 파일, 로그, 검색 등 
• 보고서에 전문용어사전을 추가하면 도움이 된다.

---

4. 디지털 포렌식 툴

• 툴의 형태는 하드웨어나 소프트웨어
• 상업용 툴과 무료 오픈소스 툴 존재
• 여러 개의 툴을 구비하여 두고 있는 것이 좋은 방법 

- 툴 선택

• 미국 국립표준기술연구소(The National Institute of Standards and Technology, NIST)
• 미국 법무 연구소(National Institute of Justice, NIJ) 
• NIST와 NIJ는 포렌식 툴 테스트에 기여
• 모든 툴은 실제 사건 업무 사용전에 반드시 검증
• 툴이 수정되었거나 업데이트되었을 때도 다시 검증해야 함

- 하드웨어

• 디지털 포렌식을 위해 설계 및 제작된 하드웨어 툴 
• 클로닝 장비, 휴대폰 수집 장비, 쓰기 차단 기기, 휴대용 저장 장치, 어댑터, 케이블 등
• 디지털 포렌식은 이미 PC, 서버, 휴대폰 키트, 케이블 등 하드웨어에 의존
• 조서관으로서 구매할 수 있는 최고 사양의 컴퓨터 준비 요망
• 디지털 포렌식은 "PC 중심"이 아닌 휴대폰이나 네비게이션 같은 작은 기기 UP
• 작은 기기에 맞는 하드웨어가 필요함

- 다른 장비

• 하드웨어 소프트웨어 이외에도 필요한 장비 
• 펜, 디지털 카메라, 포렌식적으로 초기화된 매체, 증거 봉투, 증거 테이프 등
• 조서관이 현장에서 디지털 증거를 수집하는 데 필요한 모든 장비를 갖춘 키트

- 소프트웨어

• 가장 유명한 오픈소스 툴 SIFT(the SANS Investigative Forensic Toolkit)
• 파일 카빙, 파일 시스템, 기록, 휴지통, 네트워크 트래픽 및 휘발성 메모리 분석
• Forensic Toolkit(FTK)와 EnCase
• 검색, 이메일 분석, 분류, 보고서 작성, 패스워드 크래킹
• 너무 툴에 대한 의존하지 말고 툴의 내부 작동 원리를 알고 있어야 한다.

---

5. 인가

• 인가는 범죄 랩의 정책과 절차, 즉 랩의 업무방식을 보증하는 것
• 미국범죄감정과학연구소 소장협회의 연구소인증보드(ASCLD/LAB)은 포렌식 랩 인가 선두 기관
• ASCLD/LAB은 한마디로 법과학계의 품질인증 기관
• 매뉴얼에 있는 모든 표준과 요구사항을 충족시켰을 때에는 인가를 받을 수 있다. 
• 인가를 받는 것이 매우 탐나는 것이기는 하지만 필수사항은 아니다.

- 미국재료시험협회

• ASCLD/LAB 이외의 디지털 포렌식을 포함한 다양한 법과학 분야의 표준 제공

- 인가 vs 자격증

• 인가는 랩이 받는 것이고, 자격증은 각각의 조사관이 받는 것
• SWGDE는 디지털 포렌식 자격증은 최소한의 핵심 능력을 테스트해야 한다고 주장

---

요약

• 포렌식 랩은 법체계에서 핵심적인 역할
• 모든 포렌식과 전문가들에게 있어 품질은 반드시 최우선시 되어야 함
• 표준의 준수를 보장하는 방법은 디지털 포렌식 랩 인가를 받는 방법 존재
• 인가는 실제 랩에 관련된 것이고 자격증은 조사를 실시하는 특정 인력과 관련된 것
• 디지털 포렌식 조사관들은 소프트웨어와 하드웨어 툴 모두 사용

 

 

 

 

< 출처 >

이제 시작이야! 디지털 포렌식 - 존 새몬스 지음