디지털 포렌식 (Digital Forensic) 증거 분석방법 정리

(사진출처 : papers.co)

■디지털 포렌식 (Digital Forensic)
- 디지털 증거를 디지털 데이터 원본 저장소로부터 증거능력을 갖도록 표준화된 절차와 방법을 통해 수집, 보관, 분석 및 보고하는 기술 또는 절차

1. 디지털 증거의 특성
동영상, 전자메일, 휴대폰 문자메시지 등 디지털 증거는 눈에 보이지 않는 디지털 형태로 저장되어 있어 그 자체로는 식별이 불가능하고 발견이 어려운 「비가시성」 및 「비가독성」, 오류에 의한 손상이나 의도적인 변조가 쉬우며 변조사실을 찾아내기 어려운 「취약성」, 쉽게 복제가 가능하고 원본과 복제물의 구별이 어려운 「복제 용이성」, 정보저장매체의 전원 공급이 차단되거나 시간이 경과하면 정보가 사라질 수 있는 「휘발성」 등을 특성으로 갖는다.

2. 디지털 증거의 증거능력 요건
디지털 증거가 증거능력을 갖추기 위해서는 ① 원본과 사본, 원본과 출력물이 동일하다는 사실을 입증할 수 있어야 한다는 「동일성 ( Originality)」, ② 수집 이후 폐기할 때까지 변경 또는 훼손되지 않아야 한다는 「무결성 ( Integrity)」, ③ 디지털 포렌식에 대한 지식과 기술 능력을 갖춘 사람이 신뢰성이 인정된 장비 및 프로그램을 이용하여 수집 등을 하여야 한다는 「신뢰성(Reliability)」을 요건으로 갖추어야 한다.동일성과 무결성은 상호 표리(表裏) 관계에 있어 원본과 수집·제출된 증거의 동일성이 입증되면 무결성이 인정되고, 반대로 수집부터 제출까지 전 과정에서 무결성이 인정되면 원본과 제출된 증거는 동일성이 인정된다고 할 수 있다.동일성과 무결성은 원본과 수집된 증거, 제출된 증거 각각의 「해시(Hash)값」이 동일하다는 사실을 확인하는 방법으로 입증하는 것이 원칙이다. 만약 해시값을 확인하는 것이 불가능하거나 곤란하다면 증거 수집 및 분석 과정의 촬영 및 기록 유지, 디지털 증거 봉인 및 봉인해제 시 소유자의 서명 등을 통해 무결성을 입증할 수 있는 객관적 자료를 확보하여야 한다.
신뢰성은 인정된 장비와 소프트웨어를 사용하여 물적 신뢰성을 갖춰야 함은 물론, 디지털 증거를 수집하는 사람의 지식과 기술, 경험 등에 따라 인적 신뢰성이 문제가 될 수 있으므로 사건의 종류와 중요도, 작업의 난이도 등을 충분히 고려하여 적합한 수집자를 결정하여야 한다. 고발 및 수사요청 사건 등은 엄격한 인적 신뢰성이 요구될 것이므로 디지털 포렌식 전문 인력의 지원을 받는 것이 바람직하다.

■해시 ( Hash)값
- 입력된 디지털 정보를 암호학적 수학연산 (해시 알고리즘) 을 통해 고정된 짧은 길이로 변환한 값으로 입력 정보가 같으면 항상 같은 해시값이 산출됨
- 디지털 포렌식에서는 입력 정보가 변경되지 않았다는 사실,
동일성·무결성을 입증하는 전자지문 용도로 사용됨

3. 디지털 증거 수집·분석·관리 방법

가. 디지털 증거 수집 방법
디지털 증거 수집은 하드디스크, USB 메모리 등 정보저장매체에서 증거에 해당하는 개별 파일을 선별하여 「이미징(Imaging)」하는 것을 원칙으로 한다.
컴퓨터 파일은 파일의 내용(Content)과 메타정보(사용자 이름, 파일 크기, 위치, 수정·접근·생성시간 등 파일 자체에 대한 정보)가 별도로 저장·관리되므로 디지털 증거를 수집할 때에는 메타정보까지 포함하여 원본과 동일한 이미지 파일을 만들어 수집하는 이미징 방법을 사용한다. 흔히 사용하는 파일 복사(Copy)의 경우 파일의 내용은 동일하게 복사되지만 메타정보는 동일하게 복사되지 않을 수 있고, 삭제된 데이터 등은 확인이 불가능하므로 디지털 증거 수집 방법으로 적절하지 않다. 또한 하드디스크 복제(Clone)는 원본과 용량이 같거나 큰 디스크가 필요하고 복제 디스크를 따로 관리하여야 하는 불편 등이 따르므로 가급적 복제보다는 이미징을 하는 것이 적절하다. 파일을 선별하여 이미징할 경우에는 수집 시점에 수집대상 파일이 이미 특정되어 있는 경우가 아니라면 수많은 파일을 열람·확인하는 과정에서 중요한 증거를 놓칠 수 있으므로 주의를 기울여야 한다. 개별 파일을 선별하여 이미징하는 것이 어렵거나 정보저장매체 전체에 대해 디지털 포렌식을 수행하여야 할 필요가 있을 때는 정보저장매체 전체를 현장에서 이미징하고, 현장 이미징이 어렵거나 정보저장매체 등 자체가 증거물인 경우 등에는 정보저장매체 등의 원본을 제출받는다.
이런 경우 감사와 관련된 자료 및 증거를 선별하는 과정 없이 감사와 무관한 자료도 함께 수집되므로 소유자(사용자) 또는 관리자 등 관련자의 동의를받도록 한다. 정보저장매체 원본을 제출받는 경우에는 전기적·물리적 충격으로부터 안전한 용기에 봉인하여 봉인지(紙) 위에 제출자의 서명을 받고 제출자로부터 동의서도 받는다. 동의서에는 정보저장매체 등의 사양과 원본을 반환 받기를 원하는지 여부 및 반환 방법, 수집 이후의 봉인 해제 및 이미징, 열람·분석·출력 과정 등에 참관할 의사가 있는지 여부를 포함 한다.
디지털 증거 수집과정에는 소유자 등 관련자를 참여하게 하고 가급적 모든 과정 및 작업내용 등을 촬영 또는 기록한다. 이러한 조치는 디지털 증거 수집의 적법성과 무결성을 증명할 수 있는 객관적 근거가 되고, 향후 원본 저장매체가 멸실되어 원본의 해시값을 구할 수 없는 경우 무결성을 입증하는 근거가 되기 때문에 필요하다. 디지털 증거 수집을 완료한 때에는 원본 증거와 동일성을 입증하기 위하여 소유자 등으로부터 원본자료의 해시값이 포함된 확인서를 받도록 한다.

나. 디지털 증거 분석 방법
수집단계에서 바로 증거로 인용할 수 있는 디지털 자료를 확보하였다면 별도의 분석절차가 필요 없으나 그렇지 못한 경우에는 수집한 정보저장매체 이미지 파일 등으로부터 디지털 증거를 찾아내는 분석절차가 뒤따르게 된다. 디지털 증거 분석은 삭제·은닉된 증거를 추출하는 것 뿐 아니라 수집한 정보를 바탕으로 연관성을 분석하여 시간의 흐름에 따라 사용자의 행위 또는 이벤트 (Event)를 재구성하고 시각화하는 것을 포함한다. 그러나 대부분의 디지털 증거 분석 기법은 전문적인 지식과 장비를 필요로 하므로 전문 인력의 지원을 받아 전문 분석 프로그램 및 장비 등을 사용하여 분석을 실시하는 것이 바람직하다. 디지털 증거 수집·분석 프로그램 등을 이용하여 현장에서 수행할 수 있는 비교적 간단한 분석기법으로는 「삭제 파일 복구」 와 「USB 접속기록 분석」 이 있다.

(1) 삭제 파일 복구 ( Carving)
디지털 데이터는 파일 형태로 저장매체에 저장되고 저장된 파일들은 파일시스템(File system)에 의해 관리된다. 파일시스템은 파일의 내용과 메타정보를 별도로 관리하면서 파일에 접근하고자 할 경우 메타정보를 활용한다. 사용자가 파일을 삭제할 때 파일시스템은 파일 내용이 저장된 영역을 삭제하는 대신 메타정보의 상태정보(Flags)를 「삭제된 파일」로 변경하고 내용이 저장된 영역을 사용하지 않은 공간(비할당 영역) 으로 표시하여 다른 파일이 사용할 수 있도록 처리한다.
따라서 삭제된 파일의 상태정보만 변경되었을 뿐 다른 메타정보는 그대로 남아있고 내용이 저장된 영역이 다른 파일에 의하여 덮여 쓰이지 않았다면 상태정보를 정상 파일로 바꾸는 것만으로 파일 복구가 가능하다. 메타정보 자체가 삭제되었거나 파일시스템이 포맷된 경우에는 위와 같은 복구가 불가능하다. 하지만 삭제된 파일의 내용이 저장되어 있었던 영역이 새로운 파일로 덮어 써지거나 완전 삭제되지 않았다면 삭제된 파일 데이터가 그대로 남아있을 가능성은 여전히 존재한다.
파일 카빙(File Carving)은 이러한 특성을 이용하여 저장매체의 비할당 영역을 검색하여 자주 사용되는 파일의 형태와 비교하는 방법으로 이전에 저장되었던 파일을 복구하는 기법이다. 파일 시스템의 파일 메타정보에 의존하지 않기 때문에 파일 시스템이 존재하지않거나 고장 난 경우에도 파일 복구가 가능하다.

(2) USB 접속기록 분석

Microsoft Windows 운영체제를 사용하는 PC의 USB (외부매체) 접속기록은 윈도우 레지스트리(Registry) 파일에 저장된다. 윈도우 레지스트리는 응용프로그램 운영에 필요한 정보를 저장하는 데이터베이스로 컴퓨터의 모든 하드웨어, 운영체제 소프트웨어, 사용자 행위 등에 대한 정보와 설정이 들어 있다. 레지스트리 파일들을 통틀어 레지스트리 하이브(Registry Hive)라고 부른다. Windows 7의 레지스트리 하이브 파일은 C:\Windows\System32\config 폴더에 위치하며, USB 접속기록은 「SYSTEM」 파일에 기록되어 있다.
디지털 증거 분석 프로그램을 이용하여 「SYSTEM」 파일을 확인하면 USB 등 외부매체의 장치이름, 설명, 고유번호, 처음 연결 시간, 마지막 연결 시간 등의 정보를 추출할 수 있다.

(자료 출처 : '디지털 증거 수집·분석·관리 체계 구축' 계간 감사 2017.봄호)