02. 포렌식 랩과 툴

대부분의 포렌식 랩은 법 집행 기관에서 운영한다. 그렇지만 모든 포렌식 조사가 기존의 랩에서 실시되는 것은 아니다. 많은 기관들이 자체적으로 실시할 수 있는데 포렌식에는 많은 비용이 들기 때문에 모든 기관에 조사관이 있을 수는 없다. 최대 규모 범죄 연구소를 갖고 있는 FBI는 이런 문제를 해결하기 위해 RCFL 프로그램을 시작했다. RCFL 프로그램은 미국 각지에서 운영되고 있고 디지털 포렌식 서비스와 교육을 제공한다. RCFL은 연방, 주, 지역 법 집행 기관과의 파트너십을 통해 인력을 충언하고 관리한다.

 

디지털 랩은 조사관과 자료 처리소가 다른 위치에 있는 가상 랩을 운영할 수 있다. 가상랩의 장점은 비용 절감, 많은 자원에 접근 가능, 다양하고 많은 전문성에 접근 가능, 자원의 불필요한 감소 등 이 있다. 이런  가상환경은 역할에 따른 접근 제어가 가능하게 된다. 조사관과 랩 관리자는 완전한 접근 권한 ,변호사, 검사, 수사관은 제한된 접근 권한만을 부여할 수 있다. 가상 랩을 운영하기 위해서는 고려사항이 있다.

1. 보안 : 증거의 무결성의 수준을 유지할 수 있도록 강력한 시스템 보안을 지녀야 한다.

2. 성능 : 가상 랩이 정상적으로 운영되기 위해서 연결 속도가 빠르고 안정적이어야 한다.

3. 비용 : 초기 비용이 너무 많이 들면 비용을 감당하지 못할 수 있다.

 

디지털 증거의 무결성을 유지하기 위해 랩의 보안은 매우 중요하다. 보안을 위협하는 것은 비인가 접근과 같은 물리적인 공격 외에도 예기치 못한 자연 재해도 고려해야 한다. 반출입, 네트워크 접근 등 인터넷과 랩 컴퓨터 등 랩 전반에 있어 보안을 고려해야한다. 모범사례로, 조사에 사용되는 컴퓨터를 인터넷과 차단시키고 조사를 위해 반입된 증거 드라이브를 조사하기 전에 바이러스를 검사한다.

 

증거를 저장할 때는 접근이 제한되 보안이 강한 장소에 저장해야한다. 이 장소는 항상 잠금 장치를 걸어 놓고 로그와 감사 기록을 통해 모니터링해야한다. 증거를 저장하는 데 있어 가장 좋은 솔루션은 data safe다. 

데이터 세이프는 크기가 다양하고 도난과 화재로부터 디지털 증거를 보호하기 위해 특별 설계되었다. 화재로부터도 안전하기 위해 데이터 세이프는 매체의 주변 온도를 매체가 견딜 수 있는 수준으로 유지시켜준다.

 

랩에서의 업무는 정책과 표준작업 절차서를 통해 통제된다. 표준작업 절차서는 포렌식 조사가 어떻게 수행되어야 하는지에 대해 명시한 문서다. 이 절차서를 작성할 때는너무 광범위(비효과적)하거나 세부적(유연성 문제 발생)이어서는 안된다. 정책과 표준작업 절차서를 준수하지 않으면 법정에서 해당 랩의 신뢰성에 대해 공격받을 수 있기 때문에 이 부분은 잘 준수되어야 한다.

 

품질 보증은 모든 법과학의 근본이 되는 원칙이다. 따라서 모든 랩은 품질 보증 프로그램을 지니고 있어야한다.

품빌 보증의 검토 방법은기술 검토와 행정적 검토가 있다. 

- 기술 검토: 다른 조사관이 실시하고결과와 결론에 초점을 맞춘다. ex) 보고한 결과가 이 산건의 증거로 증명가능한가.

- 행정적 검토: 모든 서류작업이 정확하게 완료되었는지에 초점을 맞춘다. 조사관의 능력은 정기적으로 확인하고

문서화해야하는데 대표적으로 능력 시험(proficiency test)이 있다. 능력시험에서 조사관은 가상의 증거를 사용하여 능력을 증명해한다. 능력 시험의 종류는 4가지가 있다.

- 공개 테스트

- 블라인드 테스트: 분석과와 지술지원 인력들이 테스트를 받고 있다는 사실을 인지 x

- 내부 테스트: 기관 자체에서 실시

- 외부 테스트: 테스트를 받는 기관과 독립적인 기관에서 실시

 

툴 역시 실제 사건에 사용되기 전에 검증되어야 한다. 검증 과정은 툴이 제대로 작동하고 신뢰할 수 있으며 정확한 결과가 나타난다는 것을 명확하게 증명할 수 있어야한다.(가정 허용x, 문서화) NIST는 컴퓨터 포렌식 툴 테스트 프로젝트를 실시해서 공통적인 툴의 사양, 테스트 절차, 기준, 세트 및 테스트 하드웨어를 개발하여 포렌식 소프트웨어 틀을 테스트하기 위한 방법론을 수립했다. 

 

문서화하지 않을 경우 모든 증거가 법정에 채택지되 못할 수도 있다. 따라서 문서화는 중요하고 필수적이다.

서식은 문서화 작업을 할 때 모든 필요한 정보가 동일한 형식으로 기록될 수 있도록 한다.

조사관의 노트에는 모든 조사관의 행동과 관찰사항이 날짜와 함께 기록된다. 이 노트를 상세히 작성하는 이유는 다른 조사관이 조사할 때 프로세스를 반복할 수 있게 하기 위함이다.

조사관의 최종 보고서는 공식 문서로 수사가 완료될 때 검사, 수사관, 반대편 변호사 등에 전달된다. 최종 보고서를 작성할 때는 누가 보고서를 읽을지를 고려해서 작성해야한다. 보통 일반인이 대상이기 때문에 기술적 배경지식이 없는 사람들도 보고 이해할 수 있도록 작성해야한다. 보고서에서 요약과 세부설명은 매우 중요하다.

 

디지털 포렌식 툴은 포렌식 업무를 효율적으로 만들거나 툴 없이는 불가능한 작업을 할 수 있게 한다.

예로, 툴을 사용하면 포렌식 클론의 속도를 증가 시키고 여러 개의 드라이브를 한 번에 클로닝 할 수 있다. 모든 툴에는 장단점이 있으며 단 하나의 툴로 모든 작업을 할 수 없기 때문에 여러 개의 툴을 준비해야한다. 툴은 하드웨어,소프트웨어 또는 그 외의 형태로 존재한다. 디지털 포렌식은 서버, PC, 쓰기 방지 기기 등 하드웨어에 크게 의존한다. 좋은 조사용 컴퓨터는 여러개의 멀티코어 CPU, 많은 RAM, 대용량 고성능 하드드라이브를 탑재한다. 그리고 휴대폰, 네비게이션과 같은 PC가 아닌 기기들을 분석하기 위해서는 이전과는 다른 하드웨어가 필요하다. (ex.휴대폰- 해당 기기에 맞는 케이블)

포렌식 소프트웨어 제조 업체들 역시 하드웨어를 고려해서 최소 하드웨어 사양과 권고 하드웨어 사양에 대한 내용을 제공한다. 

 

인가는 범죄 랩의 정책, 절차와 같은 랩의 업무방식을 보증하는 것이다. ASCLD/LAB은 여러개의 범죄수사 랩을 인정하였고 세계적으로 인정받는 기관이다. 인가를 획득하고 유지하기 위해서는 많은 노동과 비용이 필요하지만 인과 받는 것이 필수사항은 아니다. 자격증은 각각의 조사관이 받는 것이기 때문에 랩이 검증 받는 인가와 구분해야한다.