디지털 포렌식이란? :: 네트워크 포렌식, 모바일 포렌식, 디스크 포렌식

0. 디지털 포렌식이란? (Digital Forensic)

 

: 디지털 기기 또는 인터넷 상에 남아 있는 각종 디지털 정보를 분석해 범죄 단서를 찾는 수사 기법

 

컴퓨터와 인터넷을 통한 정보의 흐름을 조사하고 범죄 사실에 대한 증거를 확보하는 기술을 말한다.

 

크게 증거 수집, 증거 분석, 증거 제출과 같은 절차로 구분된다.

 

- 증거 수집: 디지털 저장 매체에 있는 데이터를 취합하는 과정.

  원본 데이터의 무결성을 보장하는 이미징 기술 등을 사용한다.

- 증거 분석: 수사에 필요한 유용한 정보를 데이터 속에서 끌어내기 위해 분석하는 가정.

  일부 데이터가 숨겨져 있을 수 있으므로 삭제된 파일을 복구하거나 암호화된 파일을 해독하는 기술 등을 사용한다.

- 증거 제출: 증거 자료의 신뢰성을 확보하고 법정 증거로 채택되기 위해 제출.

  디지털 포렌식에 대한 표준 절차뿐 아니라 증거 수집 및 분석에 사용된 포렌식 툴에 대한 검증 절차도 이뤄진다.

 

또, 디지털 포렌식은 네트워크 포렌식, 모바일 포렌식, 디스크 포렌식으로 나눌 수 있다.

 

각 분야가 무엇을 조사하는지와 어떤 도구를 사용하는지 알아보자.

 

1. 네트워크 포렌식

: 네트워크 기반으로 생겨난 데이터 분석 기법.

네트워크를 통해 전송되는 데이터, 패스워드, 접속 기록 등 데이터 프래픽 분석, 네트워크 환경 조사 등을 수행한다.

 

네트워크 데이터들(패킷, 로그 등)은 휘발성이 강하여 증거를 수집하고 인정받는 게 어렵고, 많은 데이터 양으로 인해 분석하고 증거로서의 가치를 만들어 내는 것이 중요하다.

 

 

사용 도구로는 CapTipper, Network Miner, Wireshark 등이 있다.

 

1.1 CapTipper

: Python 기반의 악성 트래픽 분석 도구

트래픽 내에서 파일을 추출하고, 흐름 분석을 할 수 있다.

 

가상 서버를 통한 시뮬레이션 기능을 지원해서, 분석하고자 하는 pcap 파일을 로드하면 로컬 호스트 상의 가상 서버가 구동되면서 실제 트래픽이 오고 갔던 화면을 그대로 재연할 수 있다.

또한, 자바스크립트 내 포함된 iframe 코드를 자동으로 찾아주거나, 바이러스 토탈 API 를 통해 자동으로 분석 결과를 업로드/조회할 수도 있다.

 

1.2 Network Miner, Wireshark 

: 패킷 분석 도구

참조-> 2020/09/17 - [SECURITY/FORENSICS] - FORENSICS 시작하기 - 패킷 분석 도구 :: Wireshark, NetworkMiner

.

 

 

2. 모바일 포렌식

: 모바일 장치의 디지털 증거나 데이터 분석 기법.

 

사용 도구로는 GMD, MD-Smart(GMD systems 에서 제작한 소프트웨어), Cellebrite, XRY, MPE(Mobile Phone Examiner), Digital FACT, Final Mobile 등이 있다.

 

참고-> forensic.korea.ac.kr/DFWIKI/index.php/%EC%8A%A4%EB%A7%88%ED%8A%B8%ED%8F%B0_%ED%8F%AC%EB%A0%8C%EC%8B%9D_%EB%8F%84%EA%B5%AC

 

 

3. 디스크 포렌식

: 물리적인 저장장치인 하드디스크, 플로피디스크, CD-ROM 등 각종 보조 장치의 데이터를 분석하는 기법.

 

사용 도구로는 하드 드라이브의 데이터를 복구하려고 고안된 Data Compass, (소프트웨어 차원에서의 이미징을 수행하는) FTK Imager 등이 있다.

 

Ref.

[1] terms.naver.com/entry.nhn?docId=3432471&cid=58445&categoryId=58445

 

.