게시일: 2024년 2월 16일
기고자: Annie Badman, Amber Forrest
디지털 포렌식은 법정에서 무결성과 증거 능력을 유지할 수 있도록 디지털 증거를 수집하고 분석하는 프로세스입니다.
디지털 포렌식은 포렌식 과학의 한 분야입니다. 사이버 범죄를 조사하는 데 사용되지만 형사 및 민사 수사에도 도움이 될 수 있습니다. 예를 들어, 사이버 보안 팀은 디지털 포렌식을 사용하여 멀웨어 공격의 배후에 있는 사이버 범죄자를 특정할 수 있으며, 법 집행 기관은 살인 용의자의 디바이스에서 데이터를 분석할 수 있습니다.
디지털 포렌식은 디지털 증거를 다른 형태의 증거와 동일한 방식으로 다루기 때문에 광범위하게 적용됩니다. 수사관이 범죄 현장에서 특정 프로세스에 따라 물리적 증거를 수집하는 것처럼, 디지털 포렌식 수사관은 디지털 증거를 처리할 때 변조를 방지하기 위해 엄격한 포렌식 프로세스(관리 연속성이라고도 함)를 따릅니다.
디지털 포렌식과 컴퓨터 포렌식은 종종 같은 의미로 사용됩니다. 그러나 디지털 포렌식은 엄밀히 말해 모든 디지털 디바이스에서 증거를 수집하는 반면, 컴퓨터 포렌식은 컴퓨터, 태블릿, 휴대폰, CPU가 있는 디바이스와 같은 컴퓨팅 디바이스에서 증거를 수집합니다.
디지털 포렌식 및 인시던트 대응(DFIR)은 컴퓨터 포렌식과 인시던트 대응 활동을 통합하여 사이버 위협을 빠르게 해결하는 동시에 관련 디지털 증거의 손상을 방지하는 새로운 사이버 보안 분야입니다.
디지털 포렌식 또는 디지털 포렌식 과학은 1980년대 초 개인용 컴퓨터의 등장과 함께 처음 나타났으며 1990년대에 두각을 나타냈습니다.
그러나 미국과 같은 국가가 디지털 포렌식 정책을 공식화한 것은 21세기 초반에 이르러서입니다. 2000년대 들어 컴퓨터 범죄가 증가하고 법 집행 기관이 전국적으로 분권화되면서 표준화로의 전환이 이루어졌습니다.
디지털 디바이스와 관련된 범죄가 증가하고 이러한 범죄를 기소하는 데 관여하는 개인이 늘어남에 따라, 수사관들은 디지털 증거가 법정에서 증거로 인정될 수 있도록 보장하는 관리 절차를 범죄 수사에 구현해야 했습니다.
오늘날 디지털 포렌식의 중요도는 점점 더 커지고 있습니다. 거의 모든 사람과 모든 사물이 엄청난 양의 디지털 데이터를 사용한다는 사실을 고려하면 그 이유를 이해할 수 있습니다.
사회에서 사용하는 컴퓨터 시스템과 클라우드 컴퓨팅 기술이 계속 증가함에 따라, 개인은 휴대폰, 태블릿, IoT 디바이스, 커넥티드 디바이스 등 점점 더 많은 디바이스를 통해 온라인에서 더 많은 시간의 삶을 영위하고 있습니다.
그 결과 수사관은 이전보다 더 다양한 형식의 풍부한 소스에서 더 많은 데이터를 확보하여 사이버 공격, 데이터 유출, 형사 및 민사 수사 등 더 광범위한 범죄 활동을 분석하고 이해하기 위한 디지털 증거로 사용할 수 있게 되었습니다.
또한 수사관과 법 집행 기관은 물리적 증거와 디지털 증거를 막론하고 모든 증거를 올바르게 수집, 처리, 분석 및 저장해야 합니다. 그렇지 않으면 데이터가 손실 또는 변조되거나 법정에서 인정되지 않을 수 있습니다.
포렌식 전문가는 디지털 포렌식 조사를 담당하며 이 분야에 대한 수요가 증가함에 따라 취업 기회도 늘고 있습니다. 미국 노동통계국(Bureau of Labor Statistics)에 따르면 컴퓨터 포렌식 채용 공고가 2029년까지 31% 증가할 것으로 추정됩니다(ibm.com 외부 링크).
미국 국립표준기술연구소(NIST)(ibm.com 외부 링크)에서는 디지털 포렌식 분석 프로세스의 4단계를 설명했습니다.
이러한 단계에는 다음이 포함됩니다.
디지털 포렌식 조사와 관련된 데이터, 메타데이터 또는 기타 디지털 정보가 포함된 디지털 디바이스 또는 저장 매체를 식별합니다.
형사 사건의 경우 법 집행 기관은 엄격한 관리 연속성을 보장하기 위해 잠재적인 범죄 현장에서 증거를 압수합니다.
증거 무결성을 유지하기 위해 포렌식 팀은 하드 드라이브 복제기 또는 포렌식 이미징 도구를 사용하여 데이터의 포렌식 복제본을 만듭니다.
복제 프로세스 후에는 원본 데이터를 보호하고 복제본에서 나머지 조사를 수행하여 변조를 방지합니다.
수사관은 데이터와 메타데이터를 조사하여 사이버 범죄 활동의 징후를 찾습니다.
포렌식 조사관은 웹 브라우저 기록, 채팅 로그, 원격 스토리지 장치, 삭제된 공간, 액세스 가능한 디스크 공간, 운영 체제 캐시, 그 외 컴퓨터 시스템의 거의 모든 부분을 포함한 다양한 소스에서 디지털 데이터를 복구할 수 있습니다.
포렌식 분석가가 다양한 방법론과 디지털 포렌식 도구를 사용하여 디지털 증거에서 데이터와 인사이트를 추출합니다.
예를 들어, 실행 중인 시스템에서 휘발성 데이터를 평가하는 실시간 분석, 스테가노그래피(평범해 보이는 메시지 안에 민감한 정보를 숨기는 방법)를 사용하여 숨긴 데이터를 노출하는 리버스 스테가노그래피와 같은 전문 포렌식 기술을 사용하여 "숨겨진" 데이터나 메타데이터를 찾아낼 수 있습니다.
조사관은 독점 도구 및 오픈 소스 도구를 참조하여 조사 결과와 특정 위협 행위자의 연광성을 찾을 수도 있습니다.
조사가 끝나면 포렌식 전문가는 발생한 사건 내용, 주도자 등의 분석 개요를 담은 공식 보고서를 작성합니다.
보고서는 사례에 따라 다릅니다. 사이버 범죄의 경우 향후 사이버 공격을 방지하기 위해 취약점을 수정하기 위한 권장 사항이 포함될 수 있습니다. 보고서는 또한 법정에서 디지털 증거를 제시하는 데 자주 사용되며 법 집행 기관, 보험사, 규제 기관 및 기타 당국에 공유됩니다.
1980년대 초 디지털 포렌식이 등장했을 때는 공식적인 디지털 포렌식 도구가 거의 없었습니다. 대부분의 포렌식 팀은 실시간 분석에 의존했는데, 조작 위험이 매우 크기로 악명 높은 까다로운 방식이었습니다.
1990년대 후반경, 디지털 증거에 대한 수요가 증가함에 따라 EnCase 및 FTK와 같은 보다 정교한 도구가 개발되어 포렌식 분석가가 실시간 포렌식에 의존하지 않고 디지털 미디어 복제본을 조사할 수 있게 되었습니다.
오늘날 포렌식 전문가들은 다양한 디지털 포렌식 도구를 사용합니다. 이러한 도구는 하드웨어 또는 소프트웨어 기반으로 데이터를 조작하지 않고 데이터 소스를 분석할 수 있습니다. 일반적인 예로는 개별 파일을 추출하고 분석하는 파일 분석 도구, 레지스트리에서 사용자 활동을 분류하는 Windows 기반 컴퓨팅 시스템의 정보를 수집하기 위한 레지스트리 도구가 있습니다.
또한 Encase 및 CAINE처럼 포괄적인 기능과 보고 기능을 제공하는 상용 플랫폼을 통해 특정 포렌식 목적의 전용 오픈 소스 도구를 제공하는 공급업체도 있습니다. 특히 CAINE은 포렌식 팀의 요구에 맞춤화된 완전한 Linux 배포판이라는 점이 특징입니다.
디지털 포렌식에는 포렌식 데이터의 다양한 소스에 따라 별도의 분야가 있습니다.
가장 일반적인 디지털 포렌식 분야는 다음과 같습니다.
컴퓨터 포렌식과 인시던트 대응, 즉 진행 중인 사이버 공격을 탐지하고 완화하는 작업을 독립적으로 수행할 경우 서로 방해가 되고 조직에 부정적인 결과를 초래할 수 있습니다.
인시던트 대응 팀은 네트워크에서 위협을 제거하는 동시에 디지털 증거를 변경하거나 파괴할 수 있습니다. 포렌식 조사관은 증거를 찾아 포착하는 동안 위협 해결을 지연시킬 수 있습니다.
디지털 포렌식 및 인시던트 대응(DFIR)은 컴퓨터 포렌식과 인시던트 대응을 통합 워크플로우에 결합하여 정보 보안 팀이 사이버 위협을 더 빠르게 차단하는 동시에 위협 완화가 필요한 긴급한 상황에서 손실될 수 있는 디지털 증거를 보존할 수 있도록 도와줍니다.
DFIR의 2가지 주요 이점은 다음과 같습니다.
DFIR을 통해 더 빠른 위협 완화와 더 강력한 위협 복구를 달성하고 형사 사건, 사이버 범죄, 보험 청구, 기타 보안 인시던트 등을 조사하기 위한 증거를 개선할 수 있습니다.