디지털 포렌식 전문가 2급 시험을 준비하며 공부한 내용을 블로그에 정리하고자 한다.
정리한 내용이 나에게는 물론 블로그를 찾아 오는 다른 분에게도 도움이 되었으면 좋겠다.
본 자격증은 컴퓨터와 포렌식에 대한 정보는 물론 법과 관련된 부분도 공부해야 하므로 내용이 방대하다.
최대한 중요한 부분 위주로 읽기 쉽게 정리해 보고자 한다.
디지털 포렌식의 기본 원칙
무결성
- 디지털 증거는 일반 증거에 비해 훼손되거나 변경이 쉽게 이루어진다.
- 수집한 증거가 법정에 제출될 때까지 훼손 및 변경이 발생하지 않아야 하는 것이 무결성의 원칙이다.
- 무결성 입증을 위해 디지털 증거 수집 시 저장 매체 압수 후 피의자의 서명을 받아 봉인한다.
- 서명 및 봉인 과정은 영상으로 녹화한다.
- 무결성 검증을 위해 해시(해시는 다음 글에 포스팅할 예정이다)를 사용한다. 압수한 저장장치와 이미지 파일의 해시값을 비교해 무결성을 입증할 수 있다.
연계 보관성
- 증거를 획득하고 보관하여 제출하는 과정에서 담당자가 명확히 정해져 있어야 한다.
- 무결성 입증을 위해 반드시 지켜야 하는 원칙이다.
진정성
- 디지털 데이터를 수집하는 과정에서 오류 없이 의도한 결과를 정확히 획득한 자료여야 한다.
원본성
- 법정에 제출한 디지털 증거가 원본의 내용과 동일해야 함을 말한다.
- 디지털 증거는 원본을 제출하지 않아도 된다.
적법성
- 증거는 적법한 절차를 거쳐 얻은 것이어야 한다. 불법적인 행위로 얻은 증거는 법정에서 증거능력을 인정받지 못한다.
검증 가능성
- 디지털 자료는 같은 조건에서 항상 같은 결과가 나와야 한다.
디지털 포렌식의 유형
사고 대응 포렌식
- 사고 발생시 로그, 백도어 등의 내용을 분석하여 적절한 조치를 취하는 것이다.
- 서비스를 신속하게 재개하고 추가적인 피해를 방지하는 것에 목적이 있다.
정보 추출 포렌식
- 디지털 저장 매체에 있는 증거를 복구하거나 검색하여 범행과 관련된 증거 수집을 위해 진행하는 포렌식 유형.
디지털 증거의 특성
매체 독립성
- 디지털 증거는 하드 디스크, USB 등 매체에 종속되지 않는다.
- 디지털 증거가 스마트폰에 있을 경우 중요한 것은 스마트폰 자체가 아닌 스마트폰 내부의 데이터이다.
- 압수 수색시 저장 매체를 압수하지 않고 내부 데이터를 복제하여 증거를 획득한다.
비가시성과 비가독성
- 디지털 정보는 모니터나 프린터 같은 출력 기기가 있어야 내용 확인이 가능하다.
- 따라서 범죄 관련성 여부를 현장에서 확인하기 어려울 수도 있다.
취약성
- 디지털 정보는 삭제와 변경이 쉽다.
- 파일을 열어보는 것만으로도 속성 변경이 이루어지기도 한다.
- 따라서 무결성과 연계보관성을 지킬 수 있도록 절차를 지키는 것이 중요하다.
대량성
- 디지털 정보는 용량이 클 경우가 많다.
- 이 때문에 범죄와 관련 없는 제3자의 정보가 섞여 있어 수집에 어려움을 겪기도 한다.
전문성
- 디지털 포렌식 작업은 신뢰할 수 있는 전문가에 의해 이루어져야 한다.
'자격증 공부노트 > 디지털 포렌식 전문가 2급' 카테고리의 다른 글
| [디지털 포렌식 전문가] 6. 컴퓨터 구조와 디지털 저장매체 (2) | 2024.04.19 |
|---|---|
| [디지털 포렌식 전문가] 5. 디지털 포렌식 기초실무_디지털 포렌식 관련 법률 (0) | 2024.04.18 |
| [디지털 포렌식 전문가] 4. 디지털 포렌식 기초실무_디지털 증거 분석 기술, 포렌식 도구 (0) | 2024.04.15 |
| [디지털 포렌식 전문가] 3. 디지털 포렌식 기초실무_레지스트리, 해시 알고리즘, 시그니처 분석 (0) | 2024.04.15 |
| [디지털 포렌식 전문가] 2. 디지털 포렌식 기초실무_섹터와 클러스터 (0) | 2024.04.14 |
