디지털 포렌식

 

1. 개요
2. 디지털 포렌식의 뜻
3. 디지털 포렌식 종류
4. 사례
4.1. 대한민국 사건
4.2. 해외 사건
5. 관련 문서


1. 개요


Digital Forensics
디지털 증거물을 분석하여 수사에 활용하는 과학수사 기법의 총칭. 마치 부검하듯이 디지털 기록매체에 복원 프로그램을 사용하고, 암호 등 보안을 해제하고, 메타데이터[1]까지 활용하거나 하드디스크 내부에 삭제로그를 저장하는 스왑파일(스왑폴더라고 하기도 한다)에서 삭제로그를 복원해 디지털 기기의 사용자나 이를 통해 오간 정보를 추적, 조사한다. 원본의 손상을 봉쇄하기 위해 이미지를 뜨는 것이 일반적이라고 한다.
해킹(크래킹)과 디지털 포렌식은 언뜻보면 비슷해보이지만 다르다. 해킹은 불법적으로 접근 권한 등을 얻어 정보를 추출해 악이용하는 것이고[2] 디지털 포렌식은 수사 영장이나 데이터 소유주의 동의를 받은 뒤 디지털 기기에 저장된 증거를 추출하거나 추출된 증거를 분석하는 작업이다. 암호를 해제하는 작업 등은 기술적으로는 크래킹과 다를게 없지만 포렌식은 합법적으로 이루어진다. 자신의 개인 컴퓨터를 직접 크래킹 하는것이 불법이 아닌것과 바슷하다. 다만 영장 등의 아무런 법적 근거 없이 디지털 포렌식을 하는 것은 불법 수사이다.
형사소송법 개정안으로 인하여 디지털 기기의 증거 능력이 확대 되었다.[3]
우리나라의 디지털포렌식은 90년대 경찰의 해킹수사대가 수사에 활용하며 시초가 되었으며, 현재 경찰청 디지털포렌식센터가 전국적으로 최대의 규모를 가지고있다. 그외에도 검찰, 국정원, 군 등이 각 발전을 위해 노력중이다.

2. 디지털 포렌식의 뜻


포렌식(Forensic)이라는 단어는 고대 로마시대의 포럼(Forum)과 공공(public)이라는 라틴어에서 유래했으며 '법의학적인, 범죄 과학 수사의, 법정의, 재판에 관한'이라는 의미를 가지고 있는 형용사이다. 즉, 단순히 말해 포렌식이라는 단어는 범죄수사와 관련한 모든 기술을 의미한다.
이러한 포렌식 분야 중 하나인 디지털 포렌식은 범죄 수사를 위해 디지털 장비의 분석등을 하여 증거를 수집하는 행위 등을 통칭하는 용어이다.

3. 디지털 포렌식 종류


  • 컴퓨터 법과학: USB 드라이브, SD 드라이브 등등 복원
  • 모바일 장치 법과학: 내장 된 GPS/ 위치추적 또는 셀 사이트로그 범위 추적, 내장된 통신 시스템(예:GSM)
  • 네트워크 법과학: 정보수집 및 로컬 및 WAN/인터넷의 네트워크 트래픽을 모니터링 하고 분석 패킷레벨 분석법
  • 데이터 분석 법과학: 금융 범죄로 인한 사기 행위 패턴을 발견 분석 구조화 된 데이터 조사
  • 데이터베이스 법과학: 데이터베이스와 관련 된 포렌식 / 인로그, 데이터베이스 내용. RAM의 타임라인 구축 및 복구
최근에는 다양한 디지털 기기들이 일상 생활 속에 자리잡음에 따라 디지털포렌식이 다양한 분야로 발전해 나가는 중이다. 정보출처

4. 사례



4.1. 대한민국 사건



4.2. 해외 사건


2000년FBI는 가짜 취업 면접을 위해 컴퓨터 해커 Aleksey Ivanov와 Gorshkov를 미국에 유혹했다. 쌍의 컴퓨터에서 네트워크 트래픽을 모니터링함으로써 FBI는 암호를 식별하여 러시아 기반 컴퓨터에서 직접 증거를 수집 할 수 있게 했다
2007년 11월 2일 Meredith Kercher 의 살인 사건에서 SMS데이터를 사용해 Patrick Lumumba를 무죄화하였다.: https://en.wikipedia.org/wiki/Murder_of_Meredith_Kercher (기사가 없는 관계로 사용함)
2015년 12월 미국 샌버나디노 총격 사건에 대해 미연방수사국(FBI)이 범인 한 명의 iPhone을 증거로 입수 하였으나 잠금해제를 할 수 없었음.
2016년 12월 캔사스 테러리스트 수산은 아동 포르노의 증거를 발견하였다.: #
2018년 12월 크리스마스 전인 12월 19일, 런던 개트윅 공항 및 2019년 1월 8일 런던 히스로 공항 드론 침입사건과 관련, 사건 현장 부근에서 파손된 드론을 회수하여 디지털포렌식을 진행하였다. 단순히 PC와 스마트폰이 아닌 다양한 디지털기기에 포렌식이 가능한 사례이가.: #

5. 관련 문서



[1] 파일 작성 및 수정 날짜나 사용된 기기 등 파일 그 자체에 관한 정보이다.[2] 정확히는 해킹의 원래 뜻은 악이용이 아니다. 해킹문서 참조.[3] 여담으로 이 개정안을 만든 사람은 촛불은 바람 불면 꺼진다라는 말로 유명한 김진태 의원인데, 당시 자신의 트위터에 "이번 법 개정으로 앞으로의 간첩 수사에 도움이 될 것"이라며 자화자찬하기도 했는데 박근혜-최순실 게이트가 터지고 이때 최순실의 태블릿에 들어 있던 문서 파일들을 최순실이 부정할 때, 김진태가 개정한 법률 덕분에 증거로 인정받게 되면서(...) 본의아니게 수사에 큰 도움을 주게 되었다.