[보안이야기#17]정보보안 직무-포렌식 전문가

안녕하세요 보안코치 제로썬이에요 :)

 

이전 글은 악성코드 분석 전문가에 대해서 알아보는 시간이였죠?!!

 

못 보신 분들은 아래 링크로 보고 와주세요^^

 

https://zerotrust.tistory.com/44

[보안이야기#16]정보보안 직무-악성코드 분석

 

영화 등 범죄 수사에서 나오는 포렌식 전문가에 대해서 보도록 할게요

 

범죄수사하면 포렌식 포렌식하면 범죄수사에 빼놓을 수 없게 된 것 같아요. 왜 그럴까요??

 

우선 포렌식 정의를 한번 보시죠~!

 

포렌식

범죄수사의 단서가 되는 디지털 자료를 확보·복구하며, 이를 분석해 법적 증거자료로 만드는 일 기업이나 개인의 컴퓨터 메모리, 하드디스크드라이브, USB 메모리, 서버 등 저장 매체에서 범죄의 단서가 될 만한 데이터를 압수하여 복구 및 분석하여 법적 증거 자료 확보(무결성)!!!!!!

 

디지털 포렌식

포렌식 핵심은 사건, 범죄 등에서 발생된 디지털 자료로 복구 또는 확보하기 위하여 법적 증거를 분석, 복구하는 확보하는 것인데요.

포렌식 절차

1.사전준비 단계

2.증거수집 단계

3.증거 이송 단계

4.증거 분석 단계

5.증거 보관

6.보고서 작성

 

이해하기 쉽도록 범죄 상황에 대한 시나리오로 설명 드려볼게요

 

1. 범죄자가 PC에 범죄 관련된 디지털 자료(문서 등)을 저장하고 있었다.

2. 경찰은 범죄자를 현장검거를 위해 범죄자 집 근처에서 잠복하다가 범죄자가 집에 들어가는것을 보고 뒷따라 들어 간다.

3. 범죄자는 촉?이 너무 좋아서 경찰이 왔다는 것을 어떻게 알고 문을 잠그고, PC에 저장된 증거가 될만한 자료를 빠르게 지운다.

4.  경찰은 문을 부수고 들어가서 범죄자가 현장에서 검거한다.

5. 경찰은 증거를 확보를 위해 디지털 포렌식 전문가에 요청하여 증거를 수집 한다.

6. 디지털 포렌식 전문가는 증거를 안전하게 이송하고, 증거를 확보를 위해 복구 및 분석을 한다.

7. 디지털 자료를 복구한 증거를 보관하고 보고서를 작성하여 협조 요청한 수사기관에 제출한다.

 

디지털 포렌식 절차, 하는 일에 맥락을 이해 하셨을 것 같은데요,

포렌식은 증거를 수집하고 복구하고 분석하고 보관하여 법적 증거로 확보하기 위한 것이죠.

디지털 포렌식에서 중요한 3대 요건이 있어요.

 

원본성 : 원본과 사본 동일

신뢰성 : 전문가와 분석 프로그램

재현성 : 동일한 결과

 

원본성은 원본을 제출하지 않고 사본을 동일하게 만들어서 제출하게 됩니다. 혹여나 증거를 이송 또는 어떤 변수로 통해 문제가 발생하여 증거 자료가 훼손되면 안되겠죠 훼손 되더라도 원본을 가지고 있으면 다시 증거를 활용할 수 있겠죠?

신뢰성은 포렌식 전문가와 분석에 쓰이는 프로그램이 검증되지 않은 것이라면 증거로 활용될 수 있을까요? 불가능하겠죠. 신뢰성에 대해 중요한 요건이라고 할 수 있죠.

마지막으로 재현성은 원본, 사본이던 누가 분석하던지 동일한 결과가 나와야 한다는 것입니다.

 

이렇게 디지털 포렌식에 대해서 알아봤구요~ 

 

오늘도 즐겁고 좋은 하루 되시길 바래요! :)