03. 디지털 증거

소송에 있어서 디지털 증거에 관한 일관적인 원칙과 프로토콜을 유지해야하지만 각 소송에 따라 증거를 어떻게 처리하고 문서화 하는지가 조금씩 다르다. 증거를 수집할 때 조사관은 다양한 종류의 기기와 저장 매체를 다루는데 대부분의 기기는 네트워크에 연결되어 있어서 원격으로 접근이 가능하므로 증거가 노출될 수 있다. 따라서 해당 기기에 접근할 수 없도록 해야한다. 컴퓨터는 인터넷 연결선이나 모뎀의 전화선을 제거하고 무선기기 같은 경우는 네트워크 신호로부터 전화를 고립시켜야한다. 예를 들어, 핸드폰은 전화국이나 소유자가 원격으로 데이터를 삭제할 수 있어서 무결성에 심각한 문제가 발생할 수 있다. 이런 취약점을 막기 위한 방법 에는 핸드폰을 끄거나 무선 신호로부터 보호할 수 있는 특수용기에 밀봉한다. 전원을 끄는 경우 다시 핸드폰을 킬 때 비밀번호를 입력해야 할 가능성도 있다. 따라서 패러데이 봉투나 캔에 고립시킨 후 전원을 그대로 유지시켜 보호된 분석실에서 휴대폰을 살펴보는 것이 최선이다. 이 때 주의할 점은 전원이 켜져 있다면 송신국의 신호를 잡으려 하기 때문에 전지를 빨리 소모시키므로  전원 케이블도 준비해야한다.

증거를 수집할 때는 기기와 저장매체 외에도 주변을 살펴볼 필요가 있다. 수많은 정보를 갖고 있는 메모리 카드를 찾을 수도 있고 책, 사용 설명서 등을 통해 용의자의 지식 수준을 알 수 있고 암호 기능을 사용했을지, 어떤 제품을 사용하고 있는지 등을 알아낼 수 있기 때문이다.

 

획득한 증거가 작동 중이라면 라이브 포렌식을 할지 말지 선택해야한다. 만약 복원할 가치가 없거나 능력이 부족하다면 그냥 플러그를 뽑는 것이 낫다. 플러그를 뽑는 방법을 선택할 경우 더 이상 변경되지 않는 장점은 있지만 RAM에 있는 데이터가 흐려지거나(모두 사라지는 것은 아님) 데이터의 손상, 드라이브에 기록이 되지 않고 암호화 상태로 돌아갈 수도 있다. 라이브 포렌식을 한다면 클릭하기 전에 침입성이 적은 방법을 선택해야하며 어떤 키를 눌렀는지도 모두 기록해야 한다. 컴퓨터의 날짜, 시간, 이어폰, 실행중인 프로그램, 실행 중인 프로세스 등을 확인하고 메모리 캡처 툴을 이용해 RAM의 증거를 수집한다.

 

디지털 증거는 휘발성이 크기 때문에 보존하는 것이 중요하다. 따라서 가능하다면 포렌식 클론을 한다.

* 포렌식 클론(비트 스트림 이미지): 포렌식적으로 깨끗한 매체에 모든 비트를 복사하는 것.

그냥 파일을 복사 붙여넣기를 하면 활성 데이터만 복사되기 때문에 할당 되지 않은 공간에 있는 데이터(ex. 삭제된 데이터, 부분적으로 덮인 데이터)를 가져올 수 없고 파일 시스템 데이터를 복사할 수 없다.

 

보통 2개를 클로닝했을 경우 하나는 조사용, 하나는 백업용으로 사용한다. source 드라이브에서 destination 드라이브로 복사를 한다. 데스트 드라이브는 소스 드라이브보다 같거나 큰 용량을 갖고 있어야 하며 포렌식적으로 초기화 되어 있어야한다. 초기화는 하드 드라이브 전체를 특정 패턴의 비트로 덮는 것이다. 이렇게 초기화가 되면 드라이브에 아무런 데이터가 없다고 증명해야 한다.  클로닝을 하기 위해선 소스 드라이브에 케이블을 통해 클로닝 장비와 연결시킨다. 이 때 주의할 점은 클로닝 장비와 소스 드라이브 사이에 쓰기 방지 하드웨어(원본 증거 보호용)가 있어야한다. 클로닝이 다 되었다면 소스 hash와 클로닝된 hash를 비교해서 같다면 클로닝이 성공적으로 수행됨을 알 수 있다. 해쉬의 값 역시 결과 보고서에 포함되어야 하며 무결성 확인용으로도 사용된다. 클로닝이 다 되면 최종 산출물로 소스 드라이브의 포렌식 이미지가 나온다. 포렌식 이미지의 파일 형식은 여러 종류가 있기 때문에 데스티네이션 드라이브에서 해당 포렌식 이미지를 읽을 수 있는지 또한 고려해야한다. 다만 포렌식 클론이 모든 상황에서 가능하지는 않다.

 

획득한 증거는 유성펜으로 표시하고 법정에서 해당 증거와 동일한지 다시 확인하는데 이런 표시를 하면 증인이 증거를 식별하기 쉬워진다. 작은 증거들은 봉투에 담아서 봉인하고 봉투에 이니셜과 날짜를 기록한다. 이런 봉투는 특수 정전기 방지 물질로 만들어지는데 전자기기 증거가 정전기로 인해 정보가 손상되는 것을 방지하기 위함이다.

 

증거를 확보한 후 수사관은 어떤 종류의 기기가 있는지, 몇 개가 있는지, 작동 중인 기기가 있는지, 어떤 툴이 필요한지, 해당 기기의 전문가가 있는지 등을 생각하면서 업무가 시작된다. 각 증거에 우선순위를 정할 수 있는데 일반적으로는 휘발성이 강한 증거순으로 수집한다. 

1. CPU, 캐시, 레지스터 데이터

2.라우팅 테이블, ARP캐시, 프로세스 테이블, 커널 통계

3. 메모리

4. 임시 파일 시스템/swap 공간

5. 하드 디스크

6. 원격에 있는 로그 데이터

7. 아카이브 데이터

 

이런 증거들은 반드시 문서화 되어야 한다. 현장에 도착한 순간부터 문서화는 시작된다. 문서에는 사진, 노트, 비디오 등이 있다. 

- 사진 : 발견된 상태로의 증거와 현장을 묘사하는데 사용 ex) 시리얼 번호, 손상상태, 연결

전반적인 현장 -> 증거 순으로 사진 촬영, 증거를 촬영 한 후에는 증거의 크기를 가늠할 수 있도록 자와 함께 다시 촬영.

- 노트: 사진으로 기록할 수 없는 개인적인 관찰 기록, 현장에서 한 행동과 관찰한 내용에 초점(추측x)

 

증거가 법정으로 보내지기 전에는 법적 요구사항을 충족해야한다. 그 중 하나는 연계보관성이다. 증거로 압수된 컴퓨터는 법정에서 증거로 채택되기 전까지 여러 사람을 거치기 되는데 이 모든 반출입 과정을 상세하게 기록하고 유지해야한다. 최종보고서는 일반인이 이해할 수 있도록 쉽고 자세히 작성하는 것이 중요하며 조사원의 행동까지 아주 상세히 설명해야만 한다.(보고서 작성 툴도 존재)