포렌식의 절차
포렌식에서 증거를 처리하는 절차는 증거물을 획득하고 이를 분석한 후에 보관을 한다. 증거물 보고서의 경우 증거물과 같이 제시되어야 하며, 각각의 증거물에는 꼬리표를 붙여 일련의 과정에 문제가 없음을 증명하여야 한다. 다음의 내용에서 각각의 단계를 자세히 알아본다.
가. 증거물 획득
증거물 획득에는 범죄에 사용된 대상 컴퓨터를 압수하여 원본 데이터에서 사본 데이터를 생성하거나 휘발성 메모리의 내용을 저장, 백업 데이터 찾기 등 다양한 행위를 포함하고 있다. 증거물을 획득하는 과정에서 실수로 증거물을 훼손하여서는 안된다. 간단한 예로 파일의 경우 클릭으로 인해서 파일의 마지막 접근 시간이 변경되면 사건 당시의 문서가 작성되어 있다는 것을 증명하기 어려워진다. 그러므로 증거물의 획득 과정에서는 원본 데이터의 무결성을 유지하기 위해서 데이터 이미징의 절차나 범죄에서 사용된 컴퓨터의 시간 확인 및 모니터 화면 사진, 실행 중인 프로세스 확인 등의 과정이 필요하다.
나. 증거물 분석
획득한 증거물에 대한 분석 단계로써 분석에서는 다양한 기법을 활용한다. 일반적으로 포렌식에 사용되는 프로그램들은 증거물 획득 및 분석을 제공하고 있다. 분석을 하기 위해 우선 획득 과정에서 복사한 이미징을 이용하여 파일을 확인하다. 확인 과정에서 범죄 증거를 발견하면 파일의 확인 과정이 어떻게 되었는지 문서화하고 원본의 데이터는 직접 건드리지 않았으므로 원본 데이터의 무결성을 제공할 수 있다. 즉 사본 데이터의 파일은 실행 시간이 변경되었지만 원본의 파일은 실행 시간이 변경되지 않았으며 이전부터 범죄자의 컴퓨터에 파일이 존재하고 있다는 것을 보여 줄 수 있다. 이러한 분석에는 범죄자의 삭제 파일 복구, 은닉 및 암호화되어 있는 데이터 찾기 등이 포함되어 있다.
다. 증거물 보관
증거물로 채택되었다면 증거물의 무결성을 제공하며 보관 관리하여야 한다. 일반 범죄 즉 사회에서 발생하는 경우에도 증거물의 보관 관리에서 오염으로 인해 증거의 효력이 발생하지 못하는 경우가 있듯이 디지털 증거물도 보관 도중 물리적으로 훼손이 되거나 바이러스에 의한 파괴, 혹은 무결성을 제공하지 못하여 조작의 의심 등을 받을 수 있는 경우가 발생할 수 있다. 그러므로 증거물의 보관을 위해 운반의 경우 충격이나 물리적인 공격에 안전한 케이스 혹은 보관 장소를 가지고 있어야 한다.
라. 보고서
증거물의 획득, 분석 및 보관까지의 일련의 과정을 거치는 증거물에는 꼬리표를 각각 달아 어떠한 과정을 거쳤는지 문서화하여야 한다. 이러한 문서화 작업은 증거물의 획득 과정을 알 수 있도록 하여 증거물로 채택되었을 때 증거물로써 타당성을 제공해야 한다. 특히 증거 획득, 분석과정을 전문가가 검증할 수 있는 방안으로 증거가 조작되지 않은 것을 증명할 수 있어야 한다. 디지털 증거물은 생성이 용이하기 때문에 실수가 있는 경우 정당한 증거물임에도 불구하고 의심을 받을 수 있기 때문이다. 그러므로 일련의 과정이 명백히 알 수 있어야 하며, 제 3자의 전문가가 검증했을 때도 문제가 발생하지 않기 위해 문서화 작업은 꼭 필요하다고 할 수 있다.
포렌식 데이터는 이미징화가 되어서 무결성이 제일 중요한데 분석하는데 데이터를 섞어놨다고 하니 웃기죠.
별과시
개인주의
Lv.86
조회 459
04-07
도박
Lv.83
조회 1434
09-01
라파엘min
Lv.81
조회 1345
08-09
삿다면하한가
Lv.86
조회 1421
07-11
다죽일꺼라구
Lv.89
조회 1335
05-24
능물
Lv.77
조회 901
03-18
무릉도전생
Lv.80
조회 1064
추천 1
09-17
다죽일꺼라구
Lv.88
조회 1150
추천 3
07-18
다죽일꺼라구
Lv.88
조회 1139
추천 2
07-14
삿다면하한가
Lv.85
조회 1137
06-12
dors
Lv.83
조회 984
05-31
별과시