디지털 포렌식 복구 범위 - dijiteol polensig boggu beom-wi

안녕하세요 오늘은 휴대폰 포렌식의 뜻과 의미에 대해서 알아보도록 하겠습니다. 휴대폰 포렌식이란 스마트폰의 데이터를 추출해서 삭제된 문자메시지와 전화번호. 사진, 동영상, 통화내역 등의 기록들을 복구하는 역할을 합니다. 그렇다면 포렌식 분석이란 무엇일까요?

포렌식이란? 포렌식 뜻 정리

포렌식(forensic)이란 범죄수사중에 범죄를 밝혀내기 위해서 쓰이는 과학적 기술, 수단, 방법 등을 포괄하는 개념입니다. 대표적으로는 범죄현장에 남은 용의자의 DNA를 분석하는 작업이 있습니다. 최근 기술이 아날로그에서 디지털로 많이 옮겨가면서 컴퓨터, 노트북, 스마트폰의 기록을 복구한다는 의미인 디지털포렌식 이라고도 많이 불리고 있습니다.

휴대폰 포렌식 절차는?

1) 확인 : 가장 먼저 휴대폰에서 증거를 찾은 후 어디에 저장되어 있는지를 확인합니다.

2) 보존 : 증거 위치를 확인 후 데이터를 분리하고 보호합니다. 용의자들이 증거를 조작하지 못하게 하는 모든 일들을 포함합니다.

3) 분석 : 이제 분리된 데이터들을 분석한 후 조합합니다. 이 과정에서 발견된 증거나 데이터를 통해 결론을 도출합니다.

4) 문서화 : 도출된 결론을 가지고 데이터 기록을 만들어 문서화합니다.

5) 리포팅(reporting) : 마지막으로 수집한 증거를 정리한 후 법정에 제출합니다.

휴대폰 포렌식은 '언제, 어디서, 어떻게 누가'에 대한 정보들을 포함하며 피고인을 기소할 수 있는지에 대한 여부를 판단하며 법정에서 결정적은 증거 역할을 하기도 합니다. 물론 무죄인 사람의 결백을 증명할때에도 많이 사용되고 있습니다.

포렌식 범위

우리나라에서는 2007년에 서울중앙지검에 디지털 포렌식 팀이 최초로 신설되었으며 이때부터 국내 과학수사가 본격적으로 시작되었습니다. 

현재 디지털 포렌식은 대검찰청이 국가디지털 포렌식 센터가 전담하고 있으며 이 센터 안에는 과학수사 1, 2과, 디지털 수사과, 사이버수사과 총 4개의 과로 운영되고 있습니다. 

그러면 4개의 과가 하는 일들을 구체적으로 알아보겠습니다.

과학수사 1과 : 문서감정, 멀티미디어(음성, 영상) 분석, 심리분석, 화재수사 등을 담당하고 있습니다.

과학수사 2과 : 화학적인 감정을 포함한 DNA 감정을 주로 합니다. DNA 데이터의 수집과 관리 등을 담당하고 있습니다.

디지털 수사과 : 컴퓨터나 핸드폰에 저장된 데이터 정보를 수집하며 위에서 말씀드린 디지털 포렌식을 전담하고 있는 부서입니다.

사이버수사과 : 사이버범죄 등 사이버와 관련된 수사를 전담하고 있는 부서입니다.

즉 앞에 설명드린 휴대폰 포렌식 작업은 디지털 수사과가 담당하고 있는데요. 뉴스에서 경찰이 데이터 포렌식 수사를 한다고 하면 디지털 수사과에서 데이터를 수사하고 있다 라고 생각하시면 되겠습니다. 

국내의 포렌식 상황

현재 대한민국은 과학기술이 급속도로 발전하면서 디지털 포렌식 기술또한 상당히 발전하게 되었습니다. 먼저 포렌식 복구율이 굉장히 높아졌으며 드론을 이용한 레이저 스캔 측량, DNA 식별 방법 등 포렌식 수사방법이 점점 더 고도화되고 있습니다.

지금까지 우리가 자주 접하지만 잘 알지못하는 휴대폰 포렌식에 대해 전반적으로 알아보았습니다. 지금까지도 데이터 복구 기술이 나날이 발전하고 있다고 하는데요. 물론 범죄자들의 수법도 교묘해지겠지만 TV나 인터넷에서 볼 수 있는 일반적인 범죄의 경우에서는 완벽 범죄라는 게 없어질지도 모른다는 생각이 들었습니다.

최근 많은 디지털 범죄 및 증거 복구를 위해 경찰,검찰 및 다양한 업체에서 디지털 포렌식을 통해 스마트폰이나 노트북,컴퓨터에 저장된 다양한 디지털 자료들을 복구하는 사례들을 접할 수 있습니다.

그럼 이러한 디지털 포렌식이 무엇이고, 원리와 파일들을 복구하는 방법에 대해 알아보겠습니다.

포렌식이란?

라틴어 포럼으로부터 유래된 단어로, 법정,재판이라는 뜻을 가진 단어입니다.

이와 같은 단어에서 유추할 수 있듯이 전자기기와 같은 제품으로부터 법정,재판에 쓰이기위한 자료를 모으기 위한 과정이 곧 포렌식이라는 것을 알 수 있습니다.

이러한 디지털 포렌식으로 얻어진 다양한 자료들은 증거로써 채택되고 사용되어집니다.

디지털 포렌식 사례

최근 고 박원순 서울시장의 스마트폰을 디지털 휴대폰 포렌식을 통해 업무용 휴대전화의 내용을 복구하고 비밀번호를 뚫어 저장된 내용을 증거로 만들기 위해 진행한다는 사례가 있었습니다.

또한, 국정농단 사태로 시끄러웠던 최순실의 증거수집까지도 태블릿PC의 포렌식을 통해 증거자료를 수집해 국정농단의 증거를 뽑아낼 수 있었습니다.

그리고 많은 국민의 분노를 샀던 텔레그램의 n번방 또한 디지털 포렌식을 통해 그동안 삭제됐던 자료들을 복구하여 증거자료로 제출하기도 하였습니다.

이렇게 한참 전에 지워진 파일도 모두 복구해내는 디지털 포렌식의 원리와 복구방법은 어떻게 되는 것일까요??

첫번째. 삭제된 파일이 복구되는 이유

컴퓨터나 스마트폰 등 각종 전자기기에서 사용자가 파일을 삭제하면 그 즉시 파일이 사라지게 됩니다.

하지만 그 사라진 파일은 우리 눈에만 보이지 않게 사라졌을뿐이지 모든 전자기기는 휴지통으로 우선적으로 파일을 넘기게 됩니다.

그럼 휴지통에서 지우면 사라지는 것인가? 하지만, 그 또한 휴지통에서 지우더라도 실제로는 파일 경로만 지워진 것이지 실제 파일 내용은 아직 컴퓨터,스마트폰 내부에 남아있습니다.

완전히 삭제되는 시점은 기기의 용량이 완전히 꽉 찬 상태에서 새로운 파일이 추가된다면 이때 옛날 자료부터 지워가면서 새로운 파일을 추가하는 것입니다.

이러한 일련의 과정은 운영체제 자체에서 수행되는 분야이다보니 개인이 직접 완전삭제를 하기에는 어려움이 있습니다.

(만약 완전삭제를 할 필요가 있다면, 스마트폰의 경우 간단한 어플리케이션을 통해 덮어쓰기 하는 과정을 거친다면 일부 완전삭제가 이루어지기도 합니다.)

스마트폰 포렌식 복구 불가능한 삭제 방법 (스마트폰 데이터 완전 삭제)

안녕하세요. 밤몽입니다. 최근 수사에 많이 사용하는 '포렌식 수사'라는 단어를 많이 들어보셨을텐데요, 포렌식(디지털 포렌식)이란 범죄 혐의를 갖고 있거나 실수로 삭제한 파일,데이터 등을

kysgh2.tistory.com

두번째. 사용기록 분석과정

경.검찰에서 수사 과정에서 포렌식을 통해 증거자료를 수집한다면 컴퓨터와 전자기기의 모든 자료를 수집하게 됩니다.

언제.어디서 저장장치를 연결했나, 사이트 접속기록, 다운로드내역, 파일 옮긴내역 등 다양한 자료들을 통해 증거자료를 수집합니다.

그럼 어디서 이러한 자료들이 나오게 되는것일까요?

바로 레지트스리입니다. 컴퓨터를 다루다보면 종종 레지스트리 파일을 보기도 하는데요, 이러한 레지스트리에는 수많은 컴퓨터의 자료가 담겨있습니다.

또한, 레지스트리의 내용은 일반인들은 해석하기 힘들고 어떤 자료에 본인이 찾고자하는 자료가 담겨있는지 찾기 어려워 조작이 힘들기도합니다.

그리고 각종 캐쉬와 임시파일 및 로그데이터들은 자동적으로 전자기기를 사용하면 생기는 자료들이기 떄문에 자체적으로 백업하는 로그들이 포렌식 복구에 핵심적인 역할을 한다고 볼 수 있습니다.