정보보안 - 포렌식

포렌식

• 기본원칙 (법적인 효력을 가지기 위함, 발견,기록,획득,보관 절차가 적절해야 함)
  • 정당성
    • 모든 증거는 적법한 절차를 거쳐 획득한 것이어야 한다.
    • 위법한 절차로 획득한 증거는 증거능력 상실.
      • 해킹을 통해 시스템 내부의 증거 획득 -> 증거능력 없음
  • 재현
    • 같은 조건과 상황에서 항상 같은 결과가 나오는가?
  • 신속성
    • 디지털 포렌식의 모든 과정은 신속하게 진행되어야 한다.
  • 연계보관성
    • 증거물이 수집, 이동, 보관, 분석, 법정제출 각 단계에서 담당자 및 책임자가 명확한가?
  • 무결성
    • 수집된 증거가 위조,변조되지 않았는가?
• 포렌식 3가지 기본 기술
  • 원본데이터 변형 없이 증거로 수집하는 기술 (무결성)
  • 보관증거가 원본데이터와 다르지 않다는 사실을 입증하는 기술 (무결성)
  • 데이터 분석시 변조됨이 없이 분석하는 기술 (무결성)
• 포렌식의 5단계 절차
  • 수사 준비 (사전준비) : 해당 포렌식 수행 인력, 장비, S/W 확보
  • 증거물 획득 (증거수집) : 사건 발생 장소에서 N/W, PC 등을 압수, 임시파일, 손상된파일, 삭제파일 획득, 무결성이 중요
  • 보관 및 이송 : 수집한 증거의 연계보관성 만족, 안전한 장소에 보관, 담당자 변경 시 기록을 남김
  • 조사 및 분석 : 최량증거원칙, 법정등에 자료 제출 시 원본을 제출하도록 하는 원칙
  • 보고서 작성 : 문서화