Transcript 법과 포렌식
법과 포렌식 이 정남 [email protected] 사이버포렌식전문가협회 법과 포렌식 Cyber Forensic 네트워크와 시스템에서 전자적으로 처리되어 보관·전송되는 디지털 자료를 적법한 절차와 과학적 기법을 사용하여 수집 하고 분석하여 증거로 제출하는 제반 행위 용어의 혼용 Computer Forensic, Digital Forensic : 독립형 컴퓨터 혹은 하드 디스 크등이 대상 매체 Cyber Forensic : network, 인터넷 등을 포괄적으로 포함하는 개념 종류 O/S 별 분류 Windows, Linux, Unix, Ios 기술적 분류 Data Base Forensic, Network/System Forensic, Mobile Forensic, Anti- Forensic 응용체계별 Legal Forensic, Financial Forensic, Medical Forensic, Accounting Forensic, Audit Forensic www.CFPA.or.kr -2- 사이버포렌식전문가협회 법과 포렌식 포렌식 활용 방법 Legal Forensic 예비 단계 범죄 관련 증거물 수집 필요시 증거보전 청구 착수 단계 핵심증거물 검색, 수집, 분석 진술과 증거물 일치여부 검토 법적 요건에 맞춰 진술자 교육 수사 및 조사단계 범죄 구성요건에 적합하게 조서작성(피해자, 참고인조서) 진술과 범죄행위, 증거물이 일치 재판단계 증거의 증명력 입증 재판정 진술 교육 Technical Forensic 증거물 수집, 분석 증거분석 감정서 작성 www.CFPA.or.kr -3- 사이버포렌식전문가협회 법과 포렌식 Forensic Forensic Cyber Conventional 실 생활의 범죄 현장 증거 수집과 분석 디지털기기와 네트워크상 증거 수집과 분석 • 지문 / 혈흔 / 족적 / 성문 • DNA • 문서 / 인장 / 필적 감정 포렌식 기본 기술 • 운영체계별 분류 • Windows, UNIX/Linux, iOS • 기술적 분류 •Network/System Forensic • DataBase Forensic •Source Forensic / Mobile Forensic •Anti Forensic, ICS Forensic 응용 체계별 분류 • Legal Forensic • 감사포렌식, 금융포렌식, 의료포렌식 • 회계포렌식 감정/분석서 작성 www.CFPA.or.kr -4- 사이버포렌식전문가협회 법과 포렌식 디지털 데이터 특성 0과 1 이진수로 이루어진 데이터로 쉽게 변조가 될 수 있음 눈으로 직접 확인이 어렵기 때문에 별도의 장치가 필요 변조 가능성 비 가시성 인터넷의 발달로 인해 데이터의 영향 범위가 국경을 초월함 0과 1의 특성상 쉽게 복제가능 초국경성 특성 휘발성 대량성 매우 방대하므로 고급 검색 프로그램 및 필터가 필요 전원차단 등 내, 외부의 영향으로 쉽게 사라지는 정보 www.CFPA.or.kr 복제용이성 -5- 사이버포렌식전문가협회 법과 포렌식 디지털 데이터가 증거 능력을 보장하기 위한 특성 무결성 (Integrity) 원본으로부터 증거 처리절차 과 정 동안 수정, 변경, 손상이 없어 야함 眞正成 (Authenticity) 참된 마음 해당 증거가 특정인이 특정 시간에 생성한 파일이 맞는지 여부 眞正性 無缺性 증거능력 요건 原本性 信賴性 신뢰성 (Reliability) 증거의 분석 과정에서 증거가 위, 변조 되거나 의도하지 않은 오류 를 포함해서는 안됨 원본성 (Originality) 실제 법정에 제출되는 원본과 다른 사본 증거에 대한 증거 능력을 부여할 수 있는가? www.CFPA.or.kr -6- 사이버포렌식전문가협회 법과 포렌식 포렌식의 기본원칙 再現 原則 동일한 조건과 상황하에서 항상 같은 결과가 도출되는지 여부 적법절차 준수 正當性 原則 迅速性 原則 分析 증거물의 수집, 이동, 보관, 분석, 법정 제출의 각 단계에서 담당자 및 책임자 명확 수집된 증거가 원본과 동일한지 여부 판단 連繫性 原則 www.CFPA.or.kr 同一性 原則 -7- 사이버포렌식전문가협회 법과 포렌식 사이버포렌식 기술적 분석 삭제파일 복구 분석/ 감정서 작성 Signature 분석 Search 암호해독 Time Line 분석 www.CFPA.or.kr -8- 사이버포렌식전문가협회 법과 포렌식 Forensic 목표 재판 승소를 위한 전략 증거 증명력 유지 자유심증주의 공판중심주의 법정 대응 www.CFPA.or.kr 포렌식 절차 준수 전문가의 전문능력 확보 기술적 분석 방법 -동일성, 무결성, 연계보관성 유지 -파일헤더분석, 검색 법정에서 야기될 수 있는 문제점 해소 -조서작성(문답서) -증거와 진술 일치 조사 -증거 실황조사 -증거보전 신청 -증거의 연계보관성 유지 -9- 사이버포렌식전문가협회 법과 포렌식 활용 사례 수사기관 대 검찰청 디지털포렌식증거분석센터 경찰청 / 지방경찰청 디지털포렌식센터 기무사령부, 헌병단, 군검찰단, 국방부 조사본부,국정원등 특별사법경찰관 전파관리소(방송통신위원회) 서울시청, 서울세관 저작권위원회 공정거래위원회 공공기관 및 기업체 감사실 www.CFPA.or.kr -10- 사이버포렌식전문가협회 법과 포렌식 대표적 수사 사례 수사 2006.4. 황우석 박사의 줄기세포 논문조작 사건 김선종 연구원 노트북 복구로 유죄판결 2006.9. 바다이야기 사건 2007.12. BBK 사건의 김 경준 2007.7. 변양균·신정아 사건 변양균 전 청와대 정책실장과 신정아의 관계를 밝혀낸 결정적 증거 확보. 두 사람이 삭제한 e메일을 압수수색 과정에서 대부분 복구 2008.1 삼성특검 수사 삼성 전략기획실과 이건희 회장 부자 집무실 등에 대한 압수수색에서 '포렌식' 프 로그램으로 삭제 파일 복구 컴퓨터 하드디스크를 통째로 복제하는 '이미지 마스터'를 통해 데이터를 모조리 복 사 2007. 12.13. 대법원 일심회 사건 판결 2010.7.12. 총리실 민간인 불법 사찰 하드 디스크 삭제 디가우저 장비를 이용, 하드디스크 데이터 영구삭제 www.CFPA.or.kr -11- 사이버포렌식전문가협회 법과 포렌식 2010.7.12 총리실 하드디스크 삭제사건 www.CFPA.or.kr -12- 사이버포렌식전문가협회 대학의 포렌식 동향 사이버포렌식전문가협회 법과 포렌식 동국대 국제정보대학원 정보보호학과 사이버포렌식전공(특수대학원) 개설 : 2009.3 전공 : 사이버포렌식 석사 과목 : 22(향후 응용포렌식 과목 추가 예정) 법률 : 5, 기술 및 응용 : 15, 조사 : 2 재학생 : 77명(2011 10월 현재) 졸업생 : 2011.8. 1기 졸업생 9명 배출 구분 1기 (2009-1) 2기 (2009-2) 3기 (2010-1) 4기 (2010-2) 5기 (2011-1) 6기 (2011-2) 인원 13 8 15 17 23 14 누계 13 21 36 53 76 90 포렌식의 기술적 측면보다 응용포렌식을 통한 포렌식컨설 턴트 양성에 주력하고 있음 www.CFPA.or.kr 사이버포렌식전문가협회 법과 포렌식 군산대 법대 동향 군산대 법학연구소 세미나 발표 주제: 융ㆍ복합 전공 「디지털 포렌식」의 전망 일시: 2010년 10월 26일(화) 16시 주제: 활용 사례를 통해 본 「디지털 포렌식」교육의 전망 일시: 2010년 12월 15일(수) 오전 11시 장소: 사회과학대학 3층 교수세미나실 주최: 법학연구소/디지털 포렌식 전공 디지털포렌식 전공 개설 2012.2 학기부터 학부에 디지털포렌식 전공 학사 과정 개설 www.CFPA.or.kr 사이버포렌식전문가협회 법과 포렌식 포렌식 교육기관 구분 과정 설립 비고 1998 2009 사이버포렌식전공 응용포렌식 교육 정보경영공학전문대 석,박사 학원 2004 2011일반대학원으로 변경 포렌식 기술적 측면 교육 법대 학사 2012 디지털포렌식 학사 호서대학교 벤쳐전문대학원 석,박사 2008 한국인터넷 KISA Academy 진흥원 무료과정 2009 정부투자기관 한국생산성 사이버포렌식 본부 조사전문가 유료과정 2004 84시간 교육 동국대 국제정보대학원 고려대 군산대 www.CFPA.or.kr 석사 일반대학원 포렌식 기술적 측면 교육 사이버포렌식전문가협회 법과 포렌식 포렌식 학회와 협회 구분 주관부처 사업영역 2003.9. 교육, 자격증인 증 비법인 2009.11. 이홍섭 업계 모임 경찰청 2006.6. 임종인 고려대교수 논문발간 김진환 디지털포렌식전 문가 검정시 험실시 비법인 디지털포렌식 산업포럼 한국디지털 포렌식학회 www.CFPA.or.kr 회장 이재우 동국대 석좌교수 사이버포렌식 전문가협회 한국포렌식학회 설립일 대검찰청 2010.10. 사이버포렌식전문가협회 법과 포렌식 포렌식 자격증 자격 명칭 주관 개설 비고 CCFP(사이버포렌식 조사전문가) 교육, 자격증과정(391명) CFPA, KPC 공 2003 2003.10. ~ 2011.8.(25기 배출) 동 2008년 민간자격 등록 CEHI(컴퓨터해킹포 렌직수사관) EC-Council 2008 교육, 자격증 과정(35명) 년 6회 교육 디지털포렌식전문가 한국포렌식학회 2010 1,2 급으로 나누어 우선 2급 2회차 시행중 www.CFPA.or.kr 사이버포렌식전문가협회 법과 포렌식 1. 포렌식의 법률측면 www.CFPA.or.kr 사이버포렌식전문가협회 법과 포렌식 2011.5.11. 국민일보 법률시장 개방 www.CFPA.or.kr -20- 사이버포렌식전문가협회 법과 포렌식 자유심증주의(민, 형사소송법) 형사소송법 민사소송법 제307조 (증거재판주의) ①사실의 인정은 증거에 의하여야 한다. ②범죄사실의 인정은 합리적인 의심이 없는 정도의 증명에 이르러야 한다. [전 문개정 2007.6.1] 제308조 (자유심증주의) 증거의 증명력 은 법관의 자유판단에 의한다. 제202조(자유심증주의) 법원은 변론 전 체의 취지와 증거조사의 결과를 참작하 여 자유로운 심증으로 사회정의와 형평 의 이념에 입각하여 논리와 경험의 법칙 에 따라 사실주장이 진실한지 아닌지를 판단한다. 제308조의2 (위법수집증거의 배제) 적법 법한 절차에 따르지 아니하고 수집한 증 거는 증거로 할 수 없다. [본조신설 2007.6.1] 제203조(처분권주의) 법원은 당사자가 신청하지 아니한 사항에 대하여는 판결 하지 못한다. www.CFPA.or.kr -21- 사이버포렌식전문가협회 법과 포렌식 대법원 판례 2007도1950 (자유심증주의의 의미와 과학적 증거방법의 증명력] 2009도14772 [수질환경보존법 위반, 과학적 증거방법의 증명력] 2007도7257 (2007.12.13 일심회 사건] 2006도8869 [공직선거법 위반] 2010도5040 [2010. 6. 24] 사기․절도] 2007도3061 [공직선거법 위반, 김태환 제주지사 사건] 2010노1053 [부산지법 2010. 6. 18] 2008다6755 민사소송에서 필요한 사실의 증명 정도 2009도11401 (위법한 증거와 2차적 증거물 증거능력 인정범위) 2007도6243 (전자기록등 내용탐지] www.CFPA.or.kr -22- 사이버포렌식전문가협회 법과 포렌식 일심회 판결로 본 법원의 컴퓨터증거 인정방법 사건번호 : 2006고합1365(2007.4.16) 일심회 장민호등 사건 2007도7257(2007.12.13) 대법원 판결 법원의 검증 절차를 거쳐 다음사항을 인정받으면 증거능력을 인정 1. 디지털 저장매체에 수록된 컴퓨터의 기록내용 확인(컴퓨터 기록은 가시 성, 가독성이 없음) 기록의 증거능력 입증 : 무결성 입증 보관상황에 대한 신뢰성 담보 압수물 봉인 및 해제, 재봉인 과정의 피의자 참여 및 확인서 서명날인 원본과 사본의 동일성 여부 Image 복사 디지털 서명(hash) 및 원본 사본 비교 2. 출력문건이 증거로 사용되기 위해서는 검증절차를 통해 수록 내용과 출 력내용이 동일하다는 것을 입증 3. 검증 컴퓨터의 요구사항 컴퓨터의 기계적 정확성 프로그램의 신뢰성 처리과정의 정확성(입력, 출력, 처리) 4. 조작자의 전문적 기술 능력 www.CFPA.or.kr -23-23- 사이버포렌식전문가협회 법과 포렌식 일심회 사건과 감정, 검증부분 나아가 법원 감정을 통해 디지털 저장매체 원본 혹은 ‘하드카피’·‘이미징’ 한 매체에 저장된 내용과 출력된 문건의 동일성을 확인하는 과정에서 이 용된 컴퓨터의 기계적 정확성, 프로그램의 신뢰성, 입력·처리·출력의 각 단계에서 조작자의 전문적인 기술능력과 정확성이 담보되어야 한다. 그리고 압수된 디지털 저장매체로부터 출력된 문건이 진술증거로 사용되 는 경우에는 그 기재 내용의 진실성에 관하여 전문법칙이 적용되므로, 형 사소송법 제313조 제1항에 의하여 그 작성자 또는 진술자의 진술에 의하 여 그 성립의 진정함이 증명된 때에 한하여 이를 증거로 사용할 수 있다 (대법원 1999. 9. 3. 선고 99도2317 판결 참조) 제1심 법원은 피고인들 및 검사, 변호인이 모두 참여한 가운데 검증을 실 시하여 이미징 작업을 통해 생성된 파일의 내용과 출력된 문건에 기재된 내용이 동일함을 확인한 사실을 알 수 있는바, 그렇다면 출력된 문건은 압수된 디지털 저장매체 원본에 저장되었던 내용과 동일한 것으로 인정 할 수 있어 증거로 사용할 수 있고, 같은 취지의 원심의 판단은 정당하다. www.CFPA.or.kr 사이버포렌식전문가협회 법과 포렌식 2006도8869 공직선거법 위반 【 판시사항】 [5] 대화내용을 녹음한 테이프 등 전자매체의 증거능력 [6] 디지털 녹음기로 녹음한 내용이 콤팩트디스크에 다시 복사되어 그 콤팩트디스크 에 녹음된 내용을 담은 녹취록이 증거로 제출된 사안에서, 위 콤팩트디스크의 내 용이나 이를 녹취한 녹취록의 기재는 증거능력이 없다고 한 사례 【 판결요지】 [5] 대화내용을 녹음한 테이프 등의 전자매체는 그 성질상 작성자나 진술자의 서명 혹은 날인이 없을 뿐만 아니라, 녹음자의 의도나 특정한 기술에 의하여 그 내용이 편집, 조작될 위험성이 있음을 고려하여, 그 대화내용을 녹음한 원본이거나 혹은 원본으로부터 복사한 사본일 경우에는 복사과정에서 편집되는 등의 인위적 개작 없이 원본의 내용 그대로 복사된 사본임이 입증되어야만 하고, 그러한 입증이 없 는 경우에는 쉽게 그 증거능력을 인정할 수 없다. [6] 디지털 녹음기로 녹음한 내용이 콤팩트디스크에 다시 복사되어 그 콤팩트디스크 에 녹음된 내용을 담은 녹취록이 증거로 제출된 사안에서, 위 콤팩트디스크가 현 장에서 녹음하는 데 사용된 디지털 녹음기의 녹음내용 원본을 그대로 복사한 것 이라는 입증이 없는 이상, 그 콤팩트디스크의 내용이나 이를 녹취한 녹취록의 기 재는 증거능력이 없다고 한 사례. www.CFPA.or.kr -25- 사이버포렌식전문가협회 법과 포렌식 2010노1053 [2010. 6. 18. 부산지법] 이른바 ‘헤드헌팅’ 전문회사에 근무하다가 퇴사 직전에 회사 데이터베이스 에 담겨있는 인재 정보를 자신의 USB 메모리에 저장하여 유출한 사안에서, 위 정보가 부정경쟁방지 및 영업비밀보호에 관한 법률에서 정한 ‘영업비밀’ 에 해당한다고 본 사례 이른바 ‘헤드헌팅’ 전문회사에 근무하였던 피고인이 퇴사 직전에 회사 데이 터베이스(DB)에 담겨있는 개인 이력 및 신상정보 등 인재 정보를 자신의 USB 메모리에 저장하여 유출한 사안에서, 이 유출된 자료에는 업무분야별로 구분된 수백 명 분량의 구직자 이력서 등 이 들어 있고, 위 인재 정보에는 회사 대표가 개인적인 인맥 등을 통하여 취 득한 정보 등이 다수 포함되어 있으며, 유출된 인재 정보는 헤드헌팅 회사의 영업을 위한 핵심적 정보로서 이러한 자료가 경쟁업체에 넘어가는 경우 막 대한 영업상 손실이 발생할 수 있는 점과 위 인재 정보 DB는 회사 대표가 자 신의 노트북에 담아 보관․관리하면서, 직원들을 상대로 회사의 영업비밀 관 리규정을 준수하겠다는 서약서를 정기적으로 징구하여 왔고, 피고인도 재직 중 및 퇴직시에 같은 내용의 서약서를 제출한 점 등을 종합할 때, 피고인이 취득․사용한 인재 정보는 부정경쟁방지 및 영업비밀보호에 관한 법률에서 정한 ‘영업비밀’에 해당한다고 본 사례. www.CFPA.or.kr -26- 사이버포렌식전문가협회 법과 포렌식 증거개시제도(형사소송법) 변호인(피고인)이 검사에 게 (제266조의3) 검사가 피고인, 변호인에 (제266조의11) 법원의 결정 (266조의4) 공소제기된 사건에 관한 서류 또는 물건과 공소사실의 인정 또는 양형에 영향을 미칠 수 있는 다음 서류등의 열람·등 사 또는 서면의 교부를 신청할 할 수 있다. 1. 검사가 증거로 신청할 서류 등 2. 검사가 증인으로 신청할 사 람의 성명·사건과의 관계 등 을 기재한 서면 또는 공판기 일 전에 행한 진술을 기재한 서류등 3.제1호 또는 제2호의 서면 또 또는 서류등의 증명력과 관련 된 서류 4. 피고인 또는 변호인이 행한 법률상·사실상 주장과 관련 된 서류등 피고인 또는 변호인이 공판기 일 또는 공판준절차에서 현장 부재·심상실 또는 심신미약 등법률상·사실상의 주장을 한 때에는 피고인 또는변호인 에게 다음 서류의 열람·등사 또는 서 의 교부를 요구할 수 있다. 1.피고인 또는 변호인이 증거 로 신청할 서류등 2. 피고인 또는 변호인이 증인 으로 신청할 사람의 성명, 사 건과의 관계 등을 기재한 서면 면 3. 제1호의 서류등 또는 제2호 호의 서면의 증명력과 관련된 서 ①피고인 또는 변호인은 검사가 서류등의 열람·등사 또는 서면의 교부를 거부하거나 그 범위를 제한 한한 때에는 법원에 그 서류등의 열람·등사 또는 서면의 교부를 허 허용하도록 할 것을 신청할 수 있 다. ②법원은 제1항의 신청이 있는 때 에는 열람·등사 또는 서면의 교부 부를 허용하는 경우에 생길 폐해의 의 유형·정도, 피고인의 방어 또 는 재판의 신속한 진행을 위한 필 요성 및 해당 서류등의 중요성 등 을 고려하여 검사에게 열람·등사 또는 서면의 교부를 허용할 것을 명할 수 있다. 이 경우 열람 또는 등사의 시기·방법을 지정하거나 조건·의무를 부과할 수 있다. ⑤검사는 제2항의 열람·등사 또 는 서면의 교부에 관한 법원의 결 정을 지체 없이 이행하지 아니하는 는 때에는 해당 증인 및 서류등에 대한 증거신청을 할 수 없다. [본조 조신설 2007.6.1] www.CFPA.or.kr 류등 -27- 사이버포렌식전문가협회 법과 포렌식 2. 포렌식의 기술적 측면 www.CFPA.or.kr 사이버포렌식전문가협회 법과 포렌식 사이버 포렌식 정의 네트워크와 시스템을 통해 전자적으로 처리되 어 보관·전송되는 디지털자료를 적법한 절차와 과학적 기법을 사용하여 수집하고 분석하여 증 거로 제출하는 제반 행위 Data Base 포렌식/회계포렌식 컴퓨터 포렌식(Windows, Linux) 기업의 DB등에서 범죄증거 자료 추출 컴퓨터를 매체로 한 증거 수집 및 분석을 위한 포렌식 활성데이터 포렌식 모바일 포렌식 휘발성 데이터에 대한 증거 수집 및 분석을 위한 포렌식 핸드폰, PDA, PMP 등의 이동형 정보기기에 대한 포렌식 Medical Forensic 네트워크 /시스템 포렌식 의료분쟁과 관련하여 진료기록등 조사 네트워크의 사용자 추적 및 로그 분석을 위한 포렌식 비디오 포렌식 Source 포렌식 카메라/CCTV/DVR 등에서 정지/동화상 증거 수집 및 분석 이진코드나 소스코드를 분석하여 복제/활용 여부를 판단 Anti 포렌식 포렌식 우회, 회피로 추적 곤란(데이터 영구삭제,파괴,은닉) www.CFPA.or.kr -29- 사이버포렌식전문가협회 법과 포렌식 Conventional vs Cyber Forensic Conventional Forensic 외부인 접근금지 조치 POLICE Line 설치 ITEM 현장 조치 Cyber Forensic 용의자 격리 조사관 직접 조사 유류품 수집 지문, 혈흔, 휴지, 담배꽁초 범행도구, 유류품, 침입경로 타액, 정액 관찰 증거물 수집 컴퓨터 시간차 확인(표준시 비교) 휘발성 자료수집(배치파일) 디스크 이미지 복제 디지털 서명(동일성), 확인서서명 명 지문(궁상,제상,와상,변태) 혈흔(A,B,O,AB) DNA 감식 용의자 기초자료 완성(몽타쥬) 증거물 분석 범행흔적 분석 검색, 삭제파일 복구 Signature, File Head 분석 Timeline 분석(범죄발생시간) 암호해독 증거물 감정서 국과수, 과학수사센터 감정서 작성 디지털증거 감정분석서 작성 디지털포렌식센터 www.CFPA.or.kr -30- 사이버포렌식전문가협회 법과 포렌식 포렌식조사 절차 준 비 계획 수립 , 팀 구성 출동 장비 준비 사전정보수집, 네트워크 구성현황, 서버등 수집,이송에 필요인원, 질문서, 영장, 사무실 요도등을 개괄적으로 파악 OS, DB, 네트워크, 시스템 등 분야별 전문가 획 득 현장출동, 휘발성자료수집 획득과정 기록, 포장 현장도착시 유의사항 전원확인, 컴퓨터의 시간차 확인 휘발성 정보 수집(프로세스, 메모리), 주변장치확보 관련자료 확보, 상세기록, 압수물 라벨링 및 포장 이 송 컴퓨터본체등 증거물 이송 사건관계자 압송 전자파 차폐 용기 , X-RAY 통과금지 차량 이동시 충격완화 장치 준비 증거물 보관실(클린 룸, 항온 항습 장치 유지)에 보관 분 석 검색, 시그니쳐분석 삭제파일 복구, 암호해독 레지스트리분석 원본쓰기방지장치 연결 사본 복제(2본 이상) 복사본으로 분석 전문 분야별 포렌식 프로그램 활용(정품) 분석과정 명확하게 기록유지, 재현 대비, 북 마크 유지 분석서 작 성 분석결과 분석서 작성 논리적인 체계하에 작성 보 관 증거물 보관실에 보관 반출입시 기록 유지 www.CFPA.or.kr 쉽고 평이하게 분석 과정을 상세하게 기록 발견 증거물(삭제파일)의 경로기재 및 사진 첨부 전자파 차폐, 항온 항습장치 유지 봉인, 봉인해제, 재봉인시 보관, 분석 담당자 기록 유지 사건관계자 입회하에 반출.입 -31- 사이버포렌식전문가협회 법과 포렌식 포렌식 장비 www.CFPA.or.kr -32- 사이버포렌식전문가협회 법과 포렌식 HDD 운반 박스 www.CFPA.or.kr -33- 사이버포렌식전문가협회 법과 포렌식 봉인 씰 봉인상태 봉인 훼손 상태 www.CFPA.or.kr -34- 사이버포렌식전문가협회 법과 포렌식 포렌식 분석 TimeLine/Signiture Search(Log,History) - 파일 생성, 변경, 저장 날자별로 확인 증거물 검색, 확보 - 확장자, 혹은 파일헤더 변경유무 확인 디지털서명 경로기록(물리,논리) Chain of Custody DATA Recovery 파일복구 및 암호 해독 프로그램활용 별도 디렉토리에 저장 봉인, 봉인해제, 재봉인 담당자, 사건관계자 확인 서명 및 날인 디지털서명 증거물 보관소에 보관 출력 및 확인 www.CFPA.or.kr -35- 사이버포렌식전문가협회 법과 포렌식 Chain of Evidence Chain of Evidence(연계보관유지) 5 누가, 언제,어디서 수집 Who, When, Where 부정행위 방지보증 Assure against Tampering 1 수집,운반,보관등에 대한 신뢰성 유지 4 누가 운반 Transport 2 3 누가보관, 누가통제 Secured, Controlled www.CFPA.or.kr 누가 증거물 취급, 접근 Who had Access, Handled -36- 사이버포렌식전문가협회 법과 포렌식 분석서 작성 모든 절차와 발견된 증거물들은 문서로 작성 검사, 법관, 변호사등이 쉽게 이해할 수 있도록 6하 원칙에 따라 객관적으로 작성한다 증거물들의 발견 경로, 저장 위치, 주소등을 화면 캡춰하여 보관 사용한 분석프로그램명과 버전등을 명시 분석서 작성자는 분석 내용에 책임을 지고 법정에서 증언할 수 있기 때문에 모든 분석사실을 정확하고 사실데로 기재하 며 개인의 주관적 의사들은 배제하고 객관적 사실만 기재한 다. 분석서는 수정이 불가능한 문서자료 형태로 부본을 작성, 관 련 사건의 재판 종결시 또는 공소시효 만료시까지 증거보관 실에 보관한다. www.CFPA.or.kr -37-37- 사이버포렌식전문가협회 법과 포렌식 가이드 라인 Guidelines for Evidence Collection and Archiving 증거물수집과 증거보관에 관한 지침 RFC(Request For Command) IETF(Internet Engineering Task Force) http://www.ietf.org/rfc/rfc3227.txt?number=3227 Guidelines on PDA Forensic NIST Special Publication 800-72 Guide to Integrating Forensic Techniques into Incident response NIST Special Publication 800-86 Guidelines on Cell Phone Forensic NIST Special Publication 800-101 www.CFPA.or.kr -38-38- 사이버포렌식전문가협회