디지털 포렌식 실습서 [컴퓨터 과학수사 (CSI)]

http://book.naver.com/bookdb/book_detail.nhn?bid=14531632

디지털포렌식실습서

□ 디지털포렌식(Digital Forensics)

디지털포렌식 또는 컴퓨터포렌식(Computer Forensics)은 범죄현장에서 확보하는 스마트폰, 태블릿, 컴퓨터등 디지털데이터 저장매체에서 수집할 수 있는 전자적 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업을 말한다

1. 무결성의 원칙

​

수집증거가 위변조 되지 않았음을 증명하는 것으로 현재에는 주로 해쉬 함수의 특성에 따라 디지털 증거 수집시 데이터 해쉬(Hash) 값과 법정제출시점의 데이터 해쉬(Hash)값이 같다면 디지털 증거의 무결성이 입증된다

​

  해쉬(Hash) : 디지털증거의 데이터 비트열을 MD5는 128bit, SHA-1은 160bit의 고정된 짧은 길이로 변환하여 출력한다
2. 연계보관성(Chain of Custody)의 원칙

디지털 증거물을 획득>이송>분석>법정제출의 각 단계에서 담당자 및 책임자를 명확히 해야 함을 이야기하는 것으로서 수집된 디지털증거가 이송에서 분석, 보고 단계까지 손상되지 않도록 조치를 취한 것을 기록하고 담당자는 이를 확인하고 해당 내용을 인수인계 과정에서 보고서를 작성하여 이에 대한 근거를 남기도록 한다.

​

​

3. 정당성의 원칙

디지털증거를 수집 획득하는 절차가 적법한 절차를 거쳐서 얻어져야 법적으로 증거능력이 부여된다는 것을 의미한다

  ① 위법수집증거 배제법칙 : 위법절차를 통해 수집된 증거의 증거능력부정 본인의 해킹능력이 우수하다고 해서 용의자의 컴퓨터를 해킹해서 수집한 증거는 법적으로 증거능력이 부정될 수 있다는 내용이다



② 독수의 과실이론 : 위법하게 수집된 증거에서 얻어진 2차 증거도 증거능력이 없음을 의미한다

​

4. 재현의 원칙

같은 조건에서 항상 같은 결과가 나와야 함을 의미하는 것으로 수집된 디지털 증거를 분석시 동일한 조건, 동일한 환경에서는 항상 같은 분석 결과값이 나와야 한다는 것을 의미한다

​

5. 신속성의 원칙

디지털포렌식 과정은 지체없이 신속하게 진행되어야 함을 의미하는 것으로 디지털 증거는 휘발성(Volatility) 정보의 경우 시간의 경과에 따라 손쉽게 손실될 수 있으므로 디지털포렌식 절차는 신속하게 이뤄져야 한다는 원칙이다 128bit, SHA-1은 160bit의 고정된 짧은 길이로 변환하여 출력한다