e-디스커버리 : https://ko.wikipedia.org/wiki/전자_디스커버리 (민사 소송)

• hero(디지털포렌식 전문가를 일컬음) sheet 작성

디지털포렌식: 법적 목적으로 사용을 위한 디지털 증거 분석과 관련된 컴퓨터 과학 및 법적(수사) 절차의 적용

• 디지털포렌식은 증거 사용을 위해 법정까지 증거를 가져다놓는 절차의 적용

데이터 복구와 디스크 포렌식의 차이

• 디스크 포렌식 안에 데이터 복구라는 기술이 포함됨

디지털포렌식의 일반원칙

• 정당성(Legitimacy)의 원칙 : 위법수집증거배제법칙(형사소송법에 명시), 독수독과론

  • df에서 자료수집(data collection)이 가장 중요한 단계
  • 증거능력(유무)과 증명력(강약)(weight)의 구분

• 무결성(Integrity)의 원칙 : 증거가 최초 수집된 이후 법정에 제출될 때까지 변경이나 훼손 없이 보호되어야 한다. 디지털 증거는 위변조가 쉽고, 위변조 탐지가 어려운 특징

  • 이미징 : 저장매체 물리적 데이터 (*.dd, *.ewf 등 )파일로 이미지 파일 내부 편집 불가 특징

  • 해시 함수 : 일방향 함수로 입력 데이터 변경되지 않음을 입증

    • 현재 법정에서 md5 사용 : md5의 안전성은 깨졌지만 단기간내 위조는 어렵다고 여겨짐

• 연계보관성(Chain of Custody, CoC)의 원칙 : 보관의 사슬이라는 뜻, 일련의 과정 및 과정 마다의 담당자, 증거 상태가 명확해야 한다는 원칙

  • 실제로는 무결성과 관련 없지만(디지털 증거의 경우 Hash가 존재하기 때문에 CoC 문서의 연계보관성의 무결성에는 관계가 없다,하지만 전원 인가 시 트림 등 무결성 침해 요소 있을때에는 필요), 유체물 증거를 담당자가 육안으로 상태 확인하여 무결성 확인한다는 점에서 무결성과 밀접한 관계가 있다고 답해야 한다.
  • 증거 능력이 없는 경우에도 (e.g. 해시 값이 변경될 수 있는 상황이 있어도) 판결 시 증거 채택될 수 있음(자유 심증 주의)
  • 연계보관성은 증거의 하자의 치유, 하자의 보수에 있어서 중요함

• 재현성(Reproducibility)의 원칙 : 동일한 조건과 동일한 상황에서의 디지털포렌식 분석은 항상 같은 결과를 도출해야 함, 분석 도구 및 방법, 분석자의 신뢰성(Reliability) 검증을 위한 방법으로 사용

  • NIST의 CFTT를 통해 도구의 신뢰성 검증 가능

• 신뢰성(Immediacy)의 원칙 : 디지털포렌식 수행의 전 과정은 지체없이 신속하게 수행되어야 한다.

  • 변하기 쉬운 데이터에 대응, 피해에 빠른 대응

디지털포렌식 전문가 : 학회에서 능력을 인정하는 경우 인정됨

• 침해사고, 악성코드, 컴퓨터, 네트워크, 포렌식전문가 등

회계법인의 디지털포렌식(3~4달 소요)

• 외부감사인이 부정 징후를 발견한 것을 회사가 외부전문가 고용, 외부전문가가 감사하고 그것을 감사인측 전문가가 다시 감사

  • Positive Assurance
  • Negative Assurance : 지금까지는 문제가 없다고 감사