[이제 시작이야! 디지털 포렌식] Chapter 4 증거 수집

 

 

 

 

현장에서 조사관은 다양한 종류의 기기와 저장 매체와 부딪쳐야 한다.

 

 

 

---

 

1. 범죄 현장과 증거 수집

• 증거 확보하는 것이 가장 먼저 해야할 것
• 디지털 증거는 인터넷, 전화 또는 기타 네트워크에 연결되어 있을 수 있음

- 이동식 매체

• 크기가 작은 메모리카드에는 잠재적 증거 저장 가능성

- 이동식 저장 매체

• DVD, 외장 하드, USB 드라이브, 메모리카드
• 기기, 저장 매체 뿐만 아니라 주변의 책과 사용 설명서, 쓰레기통 등을 살펴봐야 함
• 모든 포렌식 조사관에게 있어 암호화는 되도록 피해야 함

- 휴대폰

• 문자메세지, 이메일, 전화기록, 연락처 등
• 가장 중요한 것은 수정되면 안 된다는 것 !!
• 1. 핸드폰을 끈다 2. 무선 신호로부터 보호 가능한 특수 용기에 밀봉(패러데이 봉투)
• 증거의 무결성을 지키지 않으면 법정에서 불리

- 휘발성의 순서

• 가장 휘발성이 강한 증거부터 수집하자

1. CPU, 캐시 및 레지스터 데이터 2. 라우팅 테이블, ARP 캐시, 프로세스 테이블, 커널 통계 3. 메모리 4. 임시 파일 시스템/스웝 공간 5. 하드 디스크에 있는 데이터 6. 원격에 있는 로그 데이터 7. 아카이브 매체에 있는 데이터

---

2. 사건 현장 문서화

• 증거 수집 시 반드시 "문서" 기록 필수
• 현장에 도착하는 순간부터 시작됨
• 보는 모든 것, 찾는 모든 것 그리고 하는 모든 것을 문서화

- 사진

• 증거 뿐만 아니라 그 어떤 것도 만지기 전에 찍어야 함
• 증거 사진은 증거를 찾았을 떄의 상태를 명확히 보여줘야 함(시리얼 번호, 손상상태, 연결 등)
• 법정 증거 시 사진은 기억을 되살리는 데 사용

- 노트

• 사진을 찍으며 행동 및 발견한 증거에 대한 상세 정보 기록
• 노트에는 특별 표준 X
• 최초의 관찰을 기반으로 분석하여 결론을 내고, 그 어떤 것도 추측하지 않아야 함이 중요

---

3. 연계보관성

• 증거의 모든 반출입 과정을 자세히 기록하는 것이 연계보관성을 구성하는 것

- 증거 표시

• 증거를 수집한 사람은 이니셜, 날짜 그리고 사건번호 등 표시
• 작은 증거는 봉투에 담아 함부로 개봉될 수 없도록 봉인
• 봉투는 종이, 플라스틱 아니면 특수 정전기 방지 물질(전자기기->손상 방지 도움)

---

4. 클로닝

• 포렌식 클론(forensic clone) : 비트 하나 틀리지 않고 똑같은 하드 드라이브의 복사본
• 모든 비트를 복사하는 이유는 비할당 공간과 파일 시스템 데이터를 복사하기 위해
• 랩에서 클로닝하면 안정적이며 과정을 더 잘 통제 가능
• 컴퓨터를 현장에서 가져가이 전에 법적 허가 받아야 함

- 클로닝의 목적

• 증거 원본을 직접 조사하면 안됨
• 뭔가 잘못 되었을 때 다시 원본 상태로 되돌릴 수 있음
• 하나는 조사용, 하나는 백업용으로 간직
• 법정에서는 절차에 따라 인증된 포렌식 클론은 원본과 같은 효력을 지님

- 클로닝 과정

• 용의자 드라이브 : 소스 드라이브
• 클로닝 드라이브 : 데스티네이션(destination) 드라이브
• 데스티네이션 드라이브의 크기 >= 소스 드라이브의 크기 이어야 하며, 소스 드라이브의 용량 아는 것은 도움이 됨
• 케이블로 연결하여 클로닝 전 쓰기방지 사용하는 것이 중요
• 쓰기 방지는 하드웨어나 소프트웨어로 클로닝하는 동안 원본 증거를 보호하는 데 사용
• 하드웨어 쓰기 방지 장비는 소스 드라이브와 클로닝 장비 사이에 부착
• 포렌식 이미지 툴은 드라이브를 초기화하였다는 문서 생성->데스티네이션 드라이브 필수

- 초기화된 매체

• 클론이 생성되었을 당시 드라이브에 아무런 데이터 없다고 증명된 드라이브
• 초기화 과정은 하드 드라이브 전체를 1111111111과 같은 특정 패턴으로 덮어씀

- 포렌식 이미지 형식

• 클로닝의 최종 산출물은 소스 하드 드라이브의 포렌식 이미지(forensic image)
• EnCase(확장자 .E01) / Raw dd(확장자 .001) / AccessData Custom Content Image(확장자 .AD1)

- 위험과 도전

• 클로닝 시 가장 큰 위험은 소스 드라이브에 데이터 써지는 것
• 무결성 손상 후 법정 채택 안됨 -> 쓰기 방지 장치 및 소프트웨어 사용하자

- 디지털 증거제시제의 가치

• 디지털 증거제시제 : 법적인 관점에서 전자적으로 저장된 정보를 식별, 보존, 수집, 준비, 검토 및 생산하는 과정
• 잠재적으로 관련 있는 데이터를 보존하는 것이 매우 중요
• 클로닝은 활성 데이터뿐만 아니라 모든 데이터 보존 가능 but 비용 높고 모든 상황에서 불가능

---

5. "살아있는" 시스템과 "죽어있는" 시스템

• 실제 작동 중인 컴퓨터를 어떻게 처리해야 하는지에 의견 분분

- 라이브 포렌식에서의 고려사항

• 플러그를 뽑으면 실행 중인 컴퓨터에서 아무런 작업을 하지 않아도 된다는 이점
• 그러나, 1. 플러그를 뽑게 되면 RAM에 있는 모든 증거 파괴 가능성

RAM에 있는 증거 보존하기 -> 전력 공급 중단 시 바로 사라지진 않고 "흐려짐"     RAM의 온도를 영하 50도로 낮추면 더욱 느리게 진행 가능

• 2. 시스템 켜져 있는 동안에는 시스템 및 파일이 암호화 안 되어 있을 수 있음
• 3. 갑자기 전원 공급 중단하면 데이터 손상 가능
• 4. 일부 증거는 제대로 시스템 종료 전까지 드라이브에 기록되지 않을 수 있음
• -> 더이상 플러그 뽑는 것은 유일한 방법 X

- 라이브 포렌식의 이점

• 휘발성 데이터를 수집할 때 사용가능한 다양한 상업용 및 오픈소스 툴 출시

- 라이브 포렌식의 원칙

잠재적 증거를 복원할만한 가치가 있는 것인가?

• 악성코드와 관련된 사건은 RAM에 있는 데이터가 핵심이지만,
• 아동 포르노를 소지하고 있는 경우에는 RAM 조사하는 것은 별 가치가 없다

필요한 자원을 사용할 수 있는가?

• 메모리 증거를 성공적으로 수집하기 위해선 전문성 필요
• 그러나 없다면 플러그 뽑는 것이 최선..

 

• 무엇보다 가장 휘발성이 강한 증거 먼저 수집해야 함

- 라이브 포렌식 실시 및 문서화

• 컴퓨터에서 하는 모든 작업을 기록
• 노트에 어떤 키를 눌렀는지도 기록해야 함
• 컴퓨터의 날짜와 시간, 아이콘, 실행 프로그램 등 기록 -> 메모리 캡쳐 툴로 RAM 수집
• 컴퓨터를 종료 버튼으로 꺼서 실행 프로그램이 디스크에 흔적 남길 수 있도록 함

---

6. 해싱

• 해시는 암호화 해시 알고리즘으로 생성된 값
• 해시 값(함수)은 암호화와 증거의 무결성을 증명하는 것을 포함하여 다양한 용도로 사용

- 해시 알고리즘의 종류

• 많은 종류의 해시 알고리즘
• 일반적으로 MD5(Message Digest 5)와 SHA(Secure Hashing Algorithm) 1 또는 2

- 해시의 예

• 아주 조금만 수정했는 데도 해시 값은 완전히 달라짐

- 해시의 용도

• 해시 값은 디지털 포렌식 과정 전반 사용
• 클로닝 과정 후 클론된 것이 정확한 복사본인지 확인하는 과정
• 무결성을 확인하는 데 사용
• 포렌식 이미지 교환 시 해시값을 같이 전송해 원본과 대조
• 이렇게 생성되고 기록되었던 모든 해시 값은 최종 보고서에 포함되어야 함

---

7. 최종 보고서

• 분석 최종단계에서 작업 내용, 발견한 내용 그리고 결론 등 자세히 작성해야 함
• 일반인들이 보고서에 있는 정보를 이해할 수 있도록 작성
• EnCase 및 FTK 같은 주요 포렌식 툴에 보고서 작성 기능 존재 -> 그대로 제출 X 참고 O

---

8. 요약

• 수집 과정의 첫 단계는 현장과 증거의 안전 확보(휴대폰 고립)
• 사진은 증거와 현장을 문서화할 수 있는 훌륭한 방법
• 연계보관성이 완전하게 기록되로록 반드시 보장
• 증거를 보전하는 것은 매우 중요하므로 포렌식 이미지 생성 및 클로닝하여 원본을 조사하지 말자
• 기기를 클로닝하면 원본 기기를 비트 하나 틀리지 않게 복사하는 것
• 해시 값을 사용하여 클론한 증거가 원본과 동일한 지 검증 가능
• 증거가 작동 중일 때와 그렇지 않을 때의 증거 수집 방법
• 최종 보고서에는 현장에 대한 상세 내용, 수집 과정, 분석, 결론 등을 포함해야 함

 

 

 

< 책 출처 > 

이제 시작이야! 디지털 포렌식 - 존 새몬스 지음