Digital Forensic

디지털 포렌식은 전자적으로 저장된 데이터를 식별, 수집, 처리, 분석 및 보고하는 데 중점을 둔 포렌식의 한 분야입니다.

디지털 포렌식은 법 집행 조사에 필수적이며 디지털 증거는 거의 모든 범죄 활동의 구성 요소이고  컴퓨터, 스마트폰, CCTV, 블랙박스, 녹음기, 원격 저장소, 무인 항공 시스템, 선박 장비 등 다양한 디지털 장치에서 수집할 수 있습니다.

디지털 포렌식의 주요 목표는 디지털 증거물에서 데이터를 추출하고 유의미한 정보로 처리하여 보고서를 제출하는 것입니다. 디지털 포렌식 프로세스는 포렌식 5원칙을 준수하여 산출된 보고서가 법정에서 유효하도록 합니다.

디지털 포렌식 절차는 시나리오에 따라 달라질 수 있지만 일반적으로 수집, 조사, 분석, 보고의 4가지 핵심 단계로 구성됩니다.

디지털 포렌식은 일반적으로 디지털 및 컴퓨팅 환경에 국한된다고 생각됩니다. 하지만 사실 사회에 미치는 영향은 훨씬 더 큽니다. 컴퓨터와 컴퓨터화된 기기가 이제 삶의 모든 측면에서 사용되기 때문에 디지털 증거는 디지털과 물리적 세계에서 많은 유형의 범죄와 법적 문제를 해결하는 데 중요해졌습니다.

모든 연결된 기기는 엄청난 양의 데이터를 생성합니다. 많은 기기는 사용자가 수행한 모든 작업과 네트워크 연결 및 데이터 전송과 같은 기기에서 수행한 자율 활동을 기록합니다. 여기에는 자동차, 휴대전화, 라우터, 개인용 컴퓨터, 신호등 및 사적 및 공공 영역의 많은 다른 기기가 포함됩니다.

디지털 증거는 다음에 대한 조사 및 법적 절차에서 증거로 사용될 수 있습니다.

• 데이터 도용 및 네트워크 침해 - 디지털 포렌식은 침해가 어떻게 발생했는지와 공격자가 누구인지 이해하는 데 사용됩니다.
• 온라인 사기 및 신원 도용 - 디지털 포렌식은 조직과 고객에게 침해가 미치는 영향을 이해하는 데 사용됩니다.
• 강도, 폭행, 살인과 같은 폭력 범죄의 경우 디지털 포렌식은 범죄 근처의 휴대전화, 자동차 또는 기타 장치에서 디지털 증거를 수집하는 데 사용됩니다.
• 화이트 칼라 범죄의 경우 디지털 포렌식은 기업 사기, 횡령, 강탈과 같은 범죄를 식별하고 기소하는 데 도움이 되는 증거를 수집하는 데 사용됩니다.

조직의 맥락에서 디지털 포렌식은 사이버 보안 사고와 물리적 보안 사고를 모두 식별하고 조사하는 데 사용될 수 있습니다. 가장 일반적으로 디지털 증거는 침해가 발생했음을 감지하고, 근본 원인과 위협 요인을 식별하고, 위협을 근절하고, 법률 팀과 법 집행 기관에 증거를 제공하기 위해 사고 대응 프로세스의 일부로 사용됩니다.

디지털 포렌식을 사용하려면 조직에서 로그 및 기타 디지털 증거를 중앙에서 관리하고, 충분히 오랫동안 보관하고, 변조, 악의적 액세스 또는 우발적 손실로부터 보호해야 합니다.

조직이 여러 고객, 파트너, 소프트웨어 공급업체를 포함한 보다 복잡하고 상호 연결된 공급망을 사용함에 따라 디지털 자산이 공격에 노출됩니다. 조직은 또한 온프레미스 및 모바일 엔드포인트, 클라우드 기반 서비스, 컨테이너와 같은 클라우드 네이티브 기술을 포함한 복잡한 IT 환경을 활용하여 많은 새로운 공격 영역을 만듭니다.

디지털 위험은 다음 범주로 나눌 수 있습니다.

• 사이버 보안 위험 - 민감한 정보나 시스템에 액세스하여 강탈이나 방해 행위와 같은 악의적인 목적으로 사용하려는 공격입니다.
• 규정 준수 위험 - 규제된 환경에서 기술을 사용함으로써 조직에 발생하는 위험입니다. 예를 들어, 기술은 데이터 개인 정보 보호 요구 사항을 위반하거나 보안 표준에서 요구하는 보안 제어가 없을 수 있습니다.
• 타사 위험 - 타사 공급업체나 서비스 제공업체에 아웃소싱하는 것과 관련된 위험입니다. 예를 들어, 지적 재산, 데이터, 운영, 재무, 고객 정보 또는 타사와 공유되는 기타 민감한 정보와 관련된 취약성입니다.
• 신원 위험 - 자격 증명을 훔치거나 계정을 인수하려는 공격입니다. 이러한 유형의 위험은 조직 자체의 사용자 계정이나 조직이 고객을 대신하여 관리하는 계정에서 발생할 수 있습니다.

다음은 주요 디지털 포렌식 유형에 대한 간략한 개요입니다.

컴퓨터 포렌식
컴퓨터 포렌식은 컴퓨터와 디지털 저장 증거를 조사합니다. 여기에는 디지털 데이터를 조사하여 검사된 정보에 대한 사실과 의견을 식별, 보존, 복구, 분석 및 제시하는 것이 포함됩니다.

이 컴퓨터 포렌식 분야는 데이터 복구와 유사한 원리와 기술을 사용하지만 명확한 보관 체계를 갖춘 법적 감사 추적을 만드는 추가 관행과 지침이 포함됩니다.

모바일 기기 포렌식
모바일 기기 포렌식은 주로 모바일 기기에서 디지털 증거를 복구하는 데 중점을 둡니다. 여기에는 모바일 폰, PDA 기기, 태블릿 및 GPS 기기와 같이 내부 메모리와 통신 기능이 있는 모든 기기를 조사하는 것이 포함됩니다.

네트워크 포렌식
네트워크 포렌식 분야는 네트워크 활동을 모니터링, 등록 및 분석합니다. 네트워크 데이터는 매우 동적이고 휘발성이 있으며 전송되면 사라집니다. 즉, 네트워크 포렌식은 일반적으로 사전 예방적 조사 프로세스입니다.

포렌식 데이터 분석
포렌식 데이터 분석(FDA)은 금융 범죄의 맥락에서 애플리케이션 시스템 및 데이터베이스에서 발견되는 구조화된 데이터를 조사하는 데 중점을 둡니다. FDA는 사기 활동의 패턴을 탐지하고 분석하는 것을 목표로 합니다.

데이터베이스 포렌식
데이터베이스 포렌식은 데이터베이스에 대한 액세스를 조사하고 데이터에 대한 변경 사항을 보고하는 것을 포함합니다. 데이터베이스 포렌식을 다양한 목적에 적용할 수 있습니다. 예를 들어, 데이터베이스 포렌식을 사용하여 사기행위가 의심되는 데이터베이스 거래를 식별할 수 있습니다.

또는 데이터베이스 포렌식 분석은 관계형 데이터베이스의 행 업데이트 시간과 관련된 타임스탬프에 중점을 둘 수 있습니다. 이 조사는 데이터베이스의 유효성을 검사하고 테스트하고 특정 데이터베이스 사용자의 작업을 확인하는 것을 목표로 합니다.

디지털 포렌식은 손상된 장치의 사본을 만든 다음 다양한 기술과 도구를 사용하여 정보를 조사하는 것을 포함합니다. 디지털 포렌식 기술은 암호화되거나 손상되거나 삭제된 파일의 사본이 있는지 할당되지 않은 디스크 공간과 숨겨진 폴더를 검사하는 데 도움이 됩니다. 다음은 일반적인 기술입니다.

역 스테가노그래피
사이버 범죄자는 스테가노그래피를 사용하여 디지털 파일, 메시지 또는 데이터 스트림 내부에 데이터를 숨깁니다. 역 스테가노그래피는 특정 파일에서 발견된 데이터 해싱을 분석하는 것을 포함합니다. 디지털 파일이나 이미지에서 검사할 때 숨겨진 정보는 의심스럽지 않을 수 있습니다. 그러나 숨겨진 정보는 이미지를 나타내는 기본 데이터 또는 문자열을 변경합니다.

확률적 포렌식
확률적 포렌식은 디지털 아티팩트를 생성하지 않는 디지털 활동을 분석하고 재구성하는 데 도움이 됩니다. 디지털 아티팩트는 디지털 프로세스로 인해 발생하는 의도하지 않은 데이터 변경입니다. 예를 들어 텍스트 파일은 파일 속성을 변경하는 데이터 도난과 같은 디지털 범죄와 관련된 단서를 포함할 수 있는 디지털 아티팩트입니다. 확률적 포렌식은 디지털 아티팩트를 남기지 않을 수 있는 내부 위협으로 인한 데이터 침해를 조사하는 데 도움이 됩니다.

교차 드라이브 분석
이상 탐지라고도 하는 교차 드라이브 분석은 조사에 대한 맥락을 제공하기 위해 유사점을 찾는 데 도움이 됩니다. 이러한 유사점은 의심스러운 이벤트를 탐지하는 기준선 역할을 합니다. 일반적으로 여러 컴퓨터 드라이브에서 정보를 상관시키고 교차 참조하여 조사와 관련된 모든 정보를 찾고 분석하고 보존하는 것을 포함합니다.

라이브 분석
라이브 분석은 장치 또는 컴퓨터가 실행되는 동안 운영 체제에서 발생합니다. 일반적으로 RAM 또는 캐시에 저장된 휘발성 데이터를 찾고 분석하고 추출하는 시스템 도구를 사용하는 것을 포함합니다. 라이브 분석은 일반적으로 증거 체인을 적절하게 유지하기 위해 검사된 컴퓨터를 포렌식 랩에 보관해야 합니다.

삭제된 파일 복구
데이터 카빙 또는 파일 카빙이라고도 하는 삭제된 파일 복구는 삭제된 파일을 복구하는 데 도움이 되는 기술입니다. 컴퓨터 시스템과 메모리에서 한 위치에서 부분적으로 삭제되고 검사된 컴퓨터의 다른 곳에 흔적을 남긴 파일 조각을 검색하는 것을 포함합니다.