- 선별압수
- 포크레인
디지털 증거 수집 방안
디지털 증거는 상황에 맞추어 다양한 방식을 활용하여 데이터 수집 가능
Hardware 장비
장점
- 빠른 복제 및 이미징 속도
- 다중 복제 및 이미징 지원
-
bit by bit 방식을 통해 OS와 관계없이 복제 가능
단점
- 하드디스크를 분리해야 함으로 휘발성 데이터 수집 불가
- 온보드 타입의 메모리 이미징 불가
(자체 Bootloader 기능을 이용하여 디스크를 이미징하는 방법 등 기능개선을 통해 대부분의 장비는 이미징 가능)
- RAID 구성된 볼륨 복제 및 이미징 제한
- 디스크 인터페이스에 맞는 컨버터 필요
Software 장비
장점
- 기 운영중인 시스템에서 실행 후 데이터를 수집하는 방식으로 파일 구조 또는 디스크 이미징 가능
- 디스크의 인터페이스(SSD, HDD, IDE)에 관계없이 이미징 가능
단점
- 1:1 이미징 작업 진행가능
- 운영체제에 직접 동작함으로 OS에 영향을 받음
- USB 3.0 또는 C Type을 활용함으로 Hardware 장비에 비해 작업속도가 느림
포렌식 관련된 글 어제 급하게 썼다가 //m.fmkorea.com/2889140339 반박글 올라오길래 오랫만에 포렌식책 피고 다시 글씁니다.
급하시면 세줄요약부터 보세요.
먼저 디지털 포렌식의 정의를 알아볼께요.
디지털 포렌식 : 각종 디지털 기기나 인터넷에 있는 데이터를 수집ㆍ분석하여 범죄의 증거를 확보하는 수사 기법.
이라고 하네요
결국 데이터를 복구하는거도 포렌식에 한 종류라고 보면 되겠죠?
포렌식에 절차는 다음과 같습니다.
증거 수집
증거 분석
증거 제출
여기서 가장 중요한건 증거 수집입니다.
증거 수집에서 가장 중요한건 무결성입니다.
무결성이란 데이터가 무결(변경이없다)하다는것, 즉 조작이 없다는 것을 증명해야한다는걸 말합니다.
그렇다면 사건이 발생한 직후에도 컴퓨터를 꾸준히 사용했다면 무결성을 위배한다고 볼 수 있으며. 증거의 가치가 떨어집니다.
왜 증거의 가치가 떨어지는지 아래에서 자세히 설명드립니다.
기술적인 설명드립니다.
정말 어제 이해하기 쉽도록 간단하게 글을쓰니 반박글이 올라오길래 뎁스있게 설명드립니다.
포렌식 종류는 크게 3가지라고 보면됩니다.
1. 메모리 복구(RAM)
- 컴퓨터 메모리는 휘발성데이터입니다.
전원을 끄면 다 사라지기떄문에 수사관은 사고 발생직후 가장먼저 메모리 덤프를 뜨게됩니다. 즉 메모리복구는 강만식 BJ는 애당초 해당이 되지 않습니다.
2. 네트워크 포렌식 - 침해사고가 발생했을 시 패킷 캡쳐 및 트래픽 역추적을 통한 기법을 말합니다. 이경우도 해당되지 않습니다.
3. 저장매체복구(HDD, SSD)
- 컴퓨터 내 저장매체의 데이터를 복구하는 방법. 즉 이 저장매체복구의 경우가 이번 사건의 포렌식 방법이라고 할 수 있겠네요.
언급하신 하드메모리? 스왑파일? 정의부터 말씀드립니다.
하드메모리는 뭔말인진 모르겠지만, 하드디스크+플레시 메모리 즉 SSD를 말하는거라고 생각하겠습니다.
스왑파일? 이건 요즘 사용하지도않습니다.
메모리(RAM) 용량이 부족할 경우 하드디스크의 일부를 메모리로 사용할때 스왑파일을 이용합니다 도대체 이 워딩을 왜 사용하시는지는 모르겠네요.
강만식BJ의 저장매체가 무엇인지는 모르겠지만, 인터넷방송인이라면 SSD를 사용할 확률이 9할이상이니 SSD라고 생각하겠습니다.
먼저 말씀드리면 SSD는 복구가 불가능하지 않지만,매우 까다롭습니다.
이유는 HDD와 SSD의 동작방식에 차이가 있기때문입니다.
HDD의 경우 데이터를 테이프형식으로 집어넣기때문에 데이터를 삭제한다고해서 실제로 데이터를 날리는게 아니라 그 공간을 그대로 두고 옆칸에서 다시 데이터를 저장합니다. 추후 한바퀴를 돌고나서 그 공간에 데이터를 다시 덮어씌우는 경우이며, 시간이 지나도 어느정도 복구는 가능합니다.
하지만 SSD의 경우 메모리 방식이기때문에 데이터를 삭제할경우 해당영역을 초기화를 해야합니다. 하지만 계속 초기화할경우 SSD 성능 저하가 발생하여 TRIM이라는 기술로 딜레이를 줘서 한번에 초기화합니다.
즉 TRIM이 진행이 되었다면 데이터영역이 복구가 불가능합니다.
물론 TRIM이 진행되었다 해도 복구가 가능할수도있지만, 그게 증거로 쓰인다면 오히려 문제가 있다고 봅니다. 완전하지 않기때문이죠.
결국
저는 일관성있는 말을 하고있습니다.
어떤폴더를 열었는지, 어떤 USB 파일을 열었는지 행위들을 아무 조건없이 뚝딱 다나온다면 참 쉽죠? 수사관들?
글이 너무 길어졌습니다.
결론적으로 말씀드리면 어떠한 사건이 터지고나서 손한번 깜빡거리지 않은 상태에서 PC도 끄지않고 아무행위를 하지않은채로 수사관이 메모리덤프부터 뜨고 시작했다면 온전한 데이터로 증거의 가치가 있으나, 그건 아니기때문에 증거로써 가치가 없다. 이게 결론이겠네요.
마지막으로 메모리를 갈아끼운다는말에서 조금 웃었네요. 메모리를 지우개로 지워야 데이터가 날라가나요? 메모리는 휘발성데이터라 컴퓨터만 꺼도 데이터는 바로 날라갑니다.
반박글 환영합니다.
현업에서 실제 포렌식 종사자분들이 제 글을 보면 귀엽게 보일수도 있겠네요.
방플했던말던 전 상관없습니다. 그저 증거가치 유무에 대해서만 말씀드리는것일뿐
세줄요약
1. 시간이 흘러 이미 증거가치 자체가 없다.
2. 기술적으로도 완벽한 포렌식은 존재하지않는다.
3. 방플하던말던 나는 실버다
※IP로그 비교관련 내용은 웃고지나갑니다. 비로그인 사용자가 접속한 IP로그의 백업비용 얼만지 알고 그런소리를 하시는지 ㅋㅋ
출처 ) //www.fmkorea.com/index.php?mid=lol&document_srl=2889441004&search_keyword=%EA%B0%95%EB%A7%8C%EC%8B%9D&search_target=title&page=1
도움이 될만한 글 같아서 퍼옴
1. 매채 별 특징
매체 별 특징을 왜 알아야 할까?
매체들은 각각의 고유한 특징이 있기 때문에 대상 매체마다 증거 수집 방법이 다를 수 있다. 또 수집 대상인 저장 매체가 정상적인 경우면 좋겠지만, 그렇지 않고 훼손된 경우일 때 매체의 특징을 잘 알고 있어야 자유로운 수집 행위가 가능하다.
# 디스크: HDD, SSD 등
# 메모리: USB Stick, SD card, Micrdo SD, CF(Compact Flash 등)
하드 디스크의 구조
하드 디스크의 구조는 위와 같다. 데이터를 저장하는 패턴은 하드 디스크 플래터 위 매우 얇은 미디어에 기록이 되며, 헤드는 전원이 off 되어 있을 때 플래터와 맞닿아있다가 전원이 들어오면 매우 미세하게 떠서 미디어의 패턴을 읽는 방식이다.
하드 디스크는 매우 매우 민감하다. 예를 들어서, 하드 디스크에 약간의 충격이 가해졌다고 치자. 그러면 디스크를 읽는 헤드 암이 디스크와의 일정 거리를 유지하지 못하고 닿게 된다. 그 충격으로 디스크에는 쿵 하는 손상이 생긴다. 그런데 이렇게 끝나는 것이 아니라 '쿵' 충격이 가해진 디스크의 주변이 융기한다. 마치 모래 사장에 돌을 던지면 해당 부분만 파이고 양 옆은 살짝 올라오는 것처럼. 그렇게 융기된 부분이 헤드에 닿게 되면 또 헤드가 휘어지고, 그 휘어진 채로 디스크를 읽으면 결국 미디어 전체에 스크래치가 생긴다.
미디어는 물리적으로, 알루미늄 또는 유리로 제작이 된다. 전통적으로는 알루미늄을 많이 사용했는데 열에 반응하는 물질이다 보니, 하드 디스크에 발열이 생겼을 때 알루미늄이 휘어지는 현상이 발생하고 데이터를 제대로 못 읽는 참사가 일어났다. 그래서 열 전도성이 없는 유리를 사용하기 시작했는데, 말 그대로 유리다보니 2000년대 초반에 제작된 하드 디스크들은 유리가 깨지기도 했다. 요즘엔 충격에 강해 깨지지 않는 유리로 제작이 된다.
# 배드 섹터: 섹터의 하위 개념인 비트 또는 바이트에서 배드가 생기면 그 섹터 전체가 배드 섹터가 된다.
하드 디스크 미디어 층에 트랙, 섹터 등을 제조 단계에서 긋는 것을 '서브라이팅', 이후 파티클 등 미디어에 대한 오류 테스팅인 '번인 테스트'를 진행한다. 번인 테스트 후에 배드 섹터나 파티클 등으로 인해 쓸 수 없는 영역이 있다면, 미디어의 최외각 부분인 '서비스 영역'에 그 정보들을 마킹한다. 즉, 이 최외각 서비스 영역에 배드 섹터가 어디있는지 마킹만 잘 해준다면, 더 이상 미디어의 배드 섹터는 문제가 안된다는 말이다. 하지만 이 서비스 영역에 배드 섹터가 있다면..? 아쉽게도 복원이 불가능하다.
최외각 서비스 영역을 지난 그 다음 부분이 0 섹터로, 데이터 기록이 시작되는 부분이다. 이런 식으로 하드 디스크는 데이터가 쌓일 수록 안 쪽 트랙에 저장되는데, 안 쪽으로 갈 수록 읽는 속도가 느려진다. 하드 디스크를 오래 쓰면 느려지는 이유라고 한다.
USB의 구조
ㅇㄹ
법무법인 린의 구태언 변호사님 특강 Q&A
Q1. 데이터 복구나 포렌식을 한다는 기업들이 많이 생겨나고 있습니다. 정준영 황금폰 사건에서의 데이터복구 업체의 개인정보 유출과 같이, 기업이 개인정보처리에 있어 소홀한 원인이 무엇이라고 생각하시나요? 책임감을 강화하기 위해서는 특강 등의 교육 이외에 어떤 방안이 있을까요?
A1. 정준영 황금폰 사건에서는 불법 자료를 고발한 것. 디지털 포렌식에 관련하여 선한 사마리아인 법 조항이 없기 때문에 법적 의무는 없지만 내부 고발자를 장려하는 문화가 우리 사회를 지켜주는 방안이 될 것. 물론 고객의 개인정보를 보호하는 일은 중요하지만, 불법행위를 확인하고 그것을 보호할 의무는 없다고 생각. 고객의 정보를 보호하는 일은 정의. 하지만 정의는 의무를 갖지 않기 때문에 보호할 의무 또한 없는 것이라고 생각.
Q2. 우리나라 신산업 발전에 관심을 갖게 되신 변호사님의 동기가 무엇인가요?
A2. 플랫폼이 유통, 물류, 제조, 무역 모두를 장악하고 있음. 스마트제어 서비스(홈 제어, 일정 알림 등)에 인공지능 비서가 나타나며 ‘네가 알아서 해’와 같이 그들에게 선택권을 넘겨줌으로써 인공지능이 권력을 갖게 됨. 이런 상황에서 기술 발전에 따라가며 좋은 세상을 만들고 좋은 세상에 살고 싶었음.
Q3. 사후적인 성격이 강한 법이 빠르게 변하는 4차 산업혁명의 발달을 저해할 가능성이 있어 보이지 않나요?
A3. 처음 자동차가 만들어졌을 때, 이를 규제하는 법은 거의 자동차를 못 타게 하는 법이었음. (적기조례) 선한 영향력에 있어 닫힌 규제는 문제가 됨. 예를 들어 오프사이드라는 규칙(열린 규제)이 없다면 다 골대 앞에 있을 것.
Q4. 핀테크, 블록체인 산업의 확대에 따라 디지털 포렌식이 어떻게 활용될 수 있을까요?
A4. 핀테크에서 금융법 위반. 개인 정보 위반, 펀드 사기, 사이버 범죄 등의 불법 행위는, 증거가 있음. 오프라인 시장이 없는 핀테크의 특성상 온라인 상에서 행해지는 불법 행위를 찾아내는 역할을 할 수 있을 것. 또 불법행위가 아니더라도 내부 감사 등을 통해 기업 내의 비윤리적인 행위를 발견할 수도 있음. 블록체인이나 신기술 산업이 더욱 발전하여 이에 따라 AI 포렌식도 발전할 것으로 생각.