디지털 포렌식의 수행 절차

 

1. 사전 준비 단계 : 

증거 수집 단계에서 사용해야 할 도구나 장비 등을 숙지하고 증거 수집 단계를 뒷바침 하기 위한 물리적 준비를 하는 단계 입니다.

 

2. 증거 수집 단계 : 

증거를 획득한 사람, 증거 획득 감독, 증거 획득 인증의 역할을 하는 사람들이 각각 있어야 하면 그 사람들이 참관한 상태에서 분석 하여, 정보를 수집해야 한다. 사전 준비 단계에서 준비해둔 도구를 이용해서 압수할 목록을 미리 정하고 증거 압수를 수행해야 한다.

 

이때 적법 절차를 거쳐서 분석을 해야하고 위법 절차를 거치게 되면 증거로서의 효력을 가지지 못하게 되기 때문에 꼭 적법 절차를 거쳐서 분석을 해야한다.

 

또한 수사에 불필요하게 많은 증거를 수집해도 안된다. 증거품에는 증거 라벨을 부착해야한다.

 

3. 증거 이송 단계 : 

해당 증거의 무결성을 보존하기 위해서 CoC(Chain of Custody)를 수행해야 한다.

증거 포장부터 시작해서 증거 이송단계의 모든 순간에 신중을 가해야 한다.

 

증거물 이송팀은 증거물을 이송하기 전에 증거 수집 단계에서 작성한 증거물 목록과 인수 받은 증거품과 일일히 전부 대조를 해보고 누락된 증거물이 있는지 확인 해야 합니다.

 

또한 증거 물들의 밀봉 상태가 완벽 한지 확인 해야 하는데 상태가 완벽하지 않은 경우 또한 훼손된 증거물이 있다면 해당 증거는 증거 목록에서 제외 해야한다. 

 

4. 증거 분석 단계 : 

증거 수집 단계에서 수집한 정보나, 디스크, 메모리 이미지를 분석하는 단계로, 각 증거물의 무결성을 위해서 증거물 복제를 해야합니다. 

증거물이 복사가 됬다면 해당 복제한 증거물을 바탕으로 이미징 작업을 수행해야 합니다.

 

이작업 에서도 복제 증거물이 훼손되지 않는 범위 내에서 분석을 해야 합니다.

 

증거물 복제/이미지 작업 준수 사항 : 

(1) 원본 증거물의 무결성을 유지하기 위해서 쓰기방지 장치를 사용해야한다.

(2) 증거물 복제는 보관용과 분석용으로 나뉘는데 이둘은 물리적인 위치를 따로 지정해야한다.

(3) 원본/보관용/분석용 증거물에 대한 무결성을 유지 해야한다.

(4) 분석용/보관용 복제 증거물에 대한 일련번호를 부여하고 원본 증거물 복제 과정을 기록해야 한다.

(5) 증거물 복제는 제3자 입회 하에 이루어져야 하고 복제 증거물과 무결성에 대해서 입회자와 분석에 대한 책임자의 서명이 있어야 한다.

(6) 원본 증거물의 복제는 원본 증거물이 위치하고 있던 장치와 동일하거나 거의 유사한 장치에서 이루어져야 한다.

 

이미지 작업 준수사항 : 

(1) 분석용 복제 증거물을 대상으로 이미지 작업을 수행하며 분석용 증거물의 무결성을 위해서 증거물 복제 및 이미지 작업 준수 사항 1번처럼 쓰기 방지 장치를 사용해야한다.

(2) 획득한 이미지의 무결성을 유지해야한다.

(3) 이미지 작업은 제3자의 입회 하에 이루어져야 하며 획득 이미지와 무결성에 대한 입회자와 분석 책임자의 서명이 있어야 한다.

↑ 로드 마스터( 수집한 하드디스크의 복제본을 무결성 유지해서 만드는 포렌식 장비)

 

5. 정밀 검토 단계

포렌식을 수행한 자가 정확하게 분석을 수행해서 정보를 추출하였는가를 검토하는 단계입니다. 

발견되지 않은 증거가 혹시나 있는가에 대해 확인해 보는 단계입니다.

 

6. 결과 문서화 단계

얻은 정보와 객관적인 설명, 해당 문서를 읽는 사람은 이분야를 모르는 사람일수도 있으니 몇 가지의 간략한 부연설명을 기술 하는 단계

 

보고서 에는 다음과 같은 항목이 기본적으로 포함되어 있어야 한다. 

 

- 사건 번호 및 보고서 번호

- 증거 수집과 보고서 작성일시

- 수사관/분석관/보고서 작성자의 신분과 서명

- 조사 및 분석에 사용된 장비와 환경

- 증거 처리 절차의 각각 개략적 설명

- 첨부 자료

- 증거물에서 나온 증거 데이터의 분석 설명 및 결과 

- 결론