디지털 포렌식 증거 조사 #2
2021-09-14-디지털포렌식개론-2주차.md
- 디지털 포렌식 절차
디지털 포렌식 절차
Digital Forensic Evidense Examination
디지털 증거
- 디지털 증거
- 비트열, 사건을 입증 또는 반박하는데 도움을 주는 것
- 파악, 수집, 보존, 이송, 보관, 분석, 해석, 특정, 재현 → 현출
- 증거 허용
- relevant(관련있는), authentic(진본인), not hearsay(전문 증거가 아닌), original(원본), more probative(더 증명된)
- chain of custody (관리 연속성)
- 디지털 데이터의 비가시성 → 도구 사용
- 도구 자체의 신뢰성 : 알려진 정확도와 정밀도
- 알려진 시료에 의한 시험, 독립적인 다른 도구의 결과와 비교
- CFTT : http://www.cftt.nist.gov/
- 도구 사용자의 전문성 : 지식, 기술, 경험, 훈련, 교육
- 도구 사용의 정확성
- 일심회 판결
The Legal Context (법적인 문맥)
- 관할권, 적용 법률, 절차, 이론, 방법, 기준, 허용성
- 민사 ? 형사 : 증명 방법, 허용성, 재판 방법 등에 차이
- 압수 수색 검증, 현행 ? 사후, 강제 ? 동의
- 소송 절차
- 일정, 비용
- 전략, 전술
- 증언(선서), 증거
- 법률 조항
- 개시(discovery) 대상 : notes, FAXes, and expert reports
형사소송법
- 106조
제106조(압수)
③ 법원은 압수의 목적물이 컴퓨터용디스크, 그 밖에 이와 비슷한 정보저장매체(이하 이 항에서 "정보저장매체등"이라 한다)인 경우에는 기억된 정보의 범위를 정하여 출력하거나 복제하여 제출받아야 한다. 다만, 범위를 정하여 출력 또는 복제하는 방법이 불가능하거나 압수의 목적을 달성하기에 현저히 곤란하다고 인정되는 때에는 정보저장매체등을 압수할 수 있다. <신설 2011.7.18.>
④ 법원은 제3항에 따라 정보를 제공받은 경우 「개인정보 보호법」 제2조제3호에 따른 정보주체에게 해당 사실을 지체 없이 알려야 한다. <신설 2011.7.18.>
- 313조
제313조(진술서등)
①전2조의 규정 이외에 피고인 또는 피고인이 아닌 자가 작성한 진술서나 그 진술을 기재한 서류로서 그 작성자 또는 진술자의 자필이거나 그 서명 또는 날인이 있는 것(피고인 또는 피고인 아닌 자가 작성하였거나 진술한 내용이 포함된 문자·사진·영상 등의 정보로서 컴퓨터용디스크, 그 밖에 이와 비슷한 정보저장매체에 저장된 것을 포함한다. 이하 이 조에서 같다)은 공판준비나 공판기일에서의 그 작성자 또는 진술자의 진술에 의하여 그 성립의 진정함이 증명된 때에는 증거로 할 수 있다. 단, 피고인의 진술을 기재한 서류는 공판준비 또는 공판기일에서의 그 작성자의 진술에 의하여 그 성립의 진정함이 증명되고 그 진술이 특히 신빙할 수 있는 상태하에서 행하여 진 때에 한하여 피고인의 공판준비 또는 공판기일에서의 진술에 불구하고 증거로 할 수 있다. <개정 2016.5.29.>
② 제1항 본문에도 불구하고 진술서의 작성자가 공판준비나 공판기일에서 그 성립의 진정을 부인하는 경우에는 과학적 분석결과에 기초한 디지털포렌식 자료, 감정 등 객관적 방법으로 성립의 진정함이 증명되는 때에는 증거로 할 수 있다. 다만, 피고인 아닌 자가 작성한 진술서는 피고인 또는 변호인이 공판준비 또는 공판기일에 그 기재 내용에 관하여 작성자를 신문할 수 있었을 것을 요한다. <개정 2016.5.29.>
③ 감정의 경과와 결과를 기재한 서류도 제1항 및 제2항과 같다. <신설 2016.5.29.>
문제
106조와 313조를 양립시킬 수 있는 방법은 무엇인가?
- 106조:
- 사건과 관련된 것만 "압수"해야함
- 그것만 가져가면 성립의 진정을 객
- 먼지털이식 수사 방지용 (털어서 먼지안나오는사람은 없으므로)
- 313조:
- "진술서 등" -> 해당 파일/데이터가 그 사람의 것이라는 것(부인방지)을 증명해야 함.
- 전문법칙!!
- 둘다 지켜줘야하는데, 사건과 관련된것만 가져가니까 313조로 자꾸 내가 한게 아니라고 부인을 하더라.
그래서 이 두개가 상충되지 않게 조화롭게 가져오는 방법이 있을까?
- 교수님의 답
> PC에 개인의 특정할 수 있는 포렌식 아티팩트가 있습니다.
이런걸 사건의 입증을 위해 포함시켜서 하면되겟습니다.
어쩔수없이 프라이버시는 침해되지만 이를 최소화하기 위해
사건에 따라서 포렌식 아티팩트는 사건과 관련있다고 보면 해결됨.
>
> 정상적인 파일은 3가지 관점에서 자동선별
1. 사건과 관련된 키워드로 검색
2. ...
>
The process involved with DFE
- 비트열, 사건을 입증 또는 반박하는데 도움을 주는 것
- 파악, 수집, 보존, 이송, 보관, 분석, 해석, 특정, 재현 → 현출
- relevant(관련있는), authentic(진본인), not hearsay(전문 증거가 아닌), original(원본), more probative(더 증명된)
- chain of custody (관리 연속성)
- 도구 자체의 신뢰성 : 알려진 정확도와 정밀도
- 알려진 시료에 의한 시험, 독립적인 다른 도구의 결과와 비교
- CFTT : http://www.cftt.nist.gov/
- 도구 사용자의 전문성 : 지식, 기술, 경험, 훈련, 교육
- 도구 사용의 정확성
- 일심회 판결
- 관할권, 적용 법률, 절차, 이론, 방법, 기준, 허용성
- 민사 ? 형사 : 증명 방법, 허용성, 재판 방법 등에 차이
- 압수 수색 검증, 현행 ? 사후, 강제 ? 동의
- 소송 절차
- 일정, 비용
- 전략, 전술
- 증언(선서), 증거
- 법률 조항
- 개시(discovery) 대상 : notes, FAXes, and expert reports
형사소송법
- 106조
제106조(압수)
③ 법원은 압수의 목적물이 컴퓨터용디스크, 그 밖에 이와 비슷한 정보저장매체(이하 이 항에서 "정보저장매체등"이라 한다)인 경우에는 기억된 정보의 범위를 정하여 출력하거나 복제하여 제출받아야 한다. 다만, 범위를 정하여 출력 또는 복제하는 방법이 불가능하거나 압수의 목적을 달성하기에 현저히 곤란하다고 인정되는 때에는 정보저장매체등을 압수할 수 있다. <신설 2011.7.18.>
④ 법원은 제3항에 따라 정보를 제공받은 경우 「개인정보 보호법」 제2조제3호에 따른 정보주체에게 해당 사실을 지체 없이 알려야 한다. <신설 2011.7.18.>
- 313조
제313조(진술서등)
①전2조의 규정 이외에 피고인 또는 피고인이 아닌 자가 작성한 진술서나 그 진술을 기재한 서류로서 그 작성자 또는 진술자의 자필이거나 그 서명 또는 날인이 있는 것(피고인 또는 피고인 아닌 자가 작성하였거나 진술한 내용이 포함된 문자·사진·영상 등의 정보로서 컴퓨터용디스크, 그 밖에 이와 비슷한 정보저장매체에 저장된 것을 포함한다. 이하 이 조에서 같다)은 공판준비나 공판기일에서의 그 작성자 또는 진술자의 진술에 의하여 그 성립의 진정함이 증명된 때에는 증거로 할 수 있다. 단, 피고인의 진술을 기재한 서류는 공판준비 또는 공판기일에서의 그 작성자의 진술에 의하여 그 성립의 진정함이 증명되고 그 진술이 특히 신빙할 수 있는 상태하에서 행하여 진 때에 한하여 피고인의 공판준비 또는 공판기일에서의 진술에 불구하고 증거로 할 수 있다. <개정 2016.5.29.>
② 제1항 본문에도 불구하고 진술서의 작성자가 공판준비나 공판기일에서 그 성립의 진정을 부인하는 경우에는 과학적 분석결과에 기초한 디지털포렌식 자료, 감정 등 객관적 방법으로 성립의 진정함이 증명되는 때에는 증거로 할 수 있다. 다만, 피고인 아닌 자가 작성한 진술서는 피고인 또는 변호인이 공판준비 또는 공판기일에 그 기재 내용에 관하여 작성자를 신문할 수 있었을 것을 요한다. <개정 2016.5.29.>
③ 감정의 경과와 결과를 기재한 서류도 제1항 및 제2항과 같다. <신설 2016.5.29.>
문제
106조와 313조를 양립시킬 수 있는 방법은 무엇인가?
- 106조:
- 사건과 관련된 것만 "압수"해야함
- 그것만 가져가면 성립의 진정을 객
- 먼지털이식 수사 방지용 (털어서 먼지안나오는사람은 없으므로)
- 313조:
- "진술서 등" -> 해당 파일/데이터가 그 사람의 것이라는 것(부인방지)을 증명해야 함.
- 전문법칙!!
- 둘다 지켜줘야하는데, 사건과 관련된것만 가져가니까 313조로 자꾸 내가 한게 아니라고 부인을 하더라.
그래서 이 두개가 상충되지 않게 조화롭게 가져오는 방법이 있을까?
- 교수님의 답
> PC에 개인의 특정할 수 있는 포렌식 아티팩트가 있습니다.
이런걸 사건의 입증을 위해 포함시켜서 하면되겟습니다.
어쩔수없이 프라이버시는 침해되지만 이를 최소화하기 위해
사건에 따라서 포렌식 아티팩트는 사건과 관련있다고 보면 해결됨.
>
> 정상적인 파일은 3가지 관점에서 자동선별
1. 사건과 관련된 키워드로 검색
2. ...
>
The process involved with DFE
제106조(압수)
③ 법원은 압수의 목적물이 컴퓨터용디스크, 그 밖에 이와 비슷한 정보저장매체(이하 이 항에서 "정보저장매체등"이라 한다)인 경우에는 기억된 정보의 범위를 정하여 출력하거나 복제하여 제출받아야 한다. 다만, 범위를 정하여 출력 또는 복제하는 방법이 불가능하거나 압수의 목적을 달성하기에 현저히 곤란하다고 인정되는 때에는 정보저장매체등을 압수할 수 있다. <신설 2011.7.18.>
④ 법원은 제3항에 따라 정보를 제공받은 경우 「개인정보 보호법」 제2조제3호에 따른 정보주체에게 해당 사실을 지체 없이 알려야 한다. <신설 2011.7.18.>
제313조(진술서등)
①전2조의 규정 이외에 피고인 또는 피고인이 아닌 자가 작성한 진술서나 그 진술을 기재한 서류로서 그 작성자 또는 진술자의 자필이거나 그 서명 또는 날인이 있는 것(피고인 또는 피고인 아닌 자가 작성하였거나 진술한 내용이 포함된 문자·사진·영상 등의 정보로서 컴퓨터용디스크, 그 밖에 이와 비슷한 정보저장매체에 저장된 것을 포함한다. 이하 이 조에서 같다)은 공판준비나 공판기일에서의 그 작성자 또는 진술자의 진술에 의하여 그 성립의 진정함이 증명된 때에는 증거로 할 수 있다. 단, 피고인의 진술을 기재한 서류는 공판준비 또는 공판기일에서의 그 작성자의 진술에 의하여 그 성립의 진정함이 증명되고 그 진술이 특히 신빙할 수 있는 상태하에서 행하여 진 때에 한하여 피고인의 공판준비 또는 공판기일에서의 진술에 불구하고 증거로 할 수 있다. <개정 2016.5.29.>
② 제1항 본문에도 불구하고 진술서의 작성자가 공판준비나 공판기일에서 그 성립의 진정을 부인하는 경우에는 과학적 분석결과에 기초한 디지털포렌식 자료, 감정 등 객관적 방법으로 성립의 진정함이 증명되는 때에는 증거로 할 수 있다. 다만, 피고인 아닌 자가 작성한 진술서는 피고인 또는 변호인이 공판준비 또는 공판기일에 그 기재 내용에 관하여 작성자를 신문할 수 있었을 것을 요한다. <개정 2016.5.29.>
③ 감정의 경과와 결과를 기재한 서류도 제1항 및 제2항과 같다. <신설 2016.5.29.>
106조와 313조를 양립시킬 수 있는 방법은 무엇인가?
- 106조:
- 사건과 관련된 것만 "압수"해야함
- 그것만 가져가면 성립의 진정을 객
- 먼지털이식 수사 방지용 (털어서 먼지안나오는사람은 없으므로)
- 313조:
- "진술서 등" -> 해당 파일/데이터가 그 사람의 것이라는 것(부인방지)을 증명해야 함.
- 전문법칙!!
- 둘다 지켜줘야하는데, 사건과 관련된것만 가져가니까 313조로 자꾸 내가 한게 아니라고 부인을 하더라.
그래서 이 두개가 상충되지 않게 조화롭게 가져오는 방법이 있을까?- 교수님의 답
> PC에 개인의 특정할 수 있는 포렌식 아티팩트가 있습니다.
이런걸 사건의 입증을 위해 포함시켜서 하면되겟습니다.
어쩔수없이 프라이버시는 침해되지만 이를 최소화하기 위해
사건에 따라서 포렌식 아티팩트는 사건과 관련있다고 보면 해결됨.
>
> 정상적인 파일은 3가지 관점에서 자동선별
1. 사건과 관련된 키워드로 검색
2. ...
> The process involved with DFE
(디지털 포렌식 증거와 관련된 프로세스)
- 증거 : 파악, 수집, 보존, 이송, 저장, 분석, 해석, 특정, 재현, 현출, 파기
- Identification(식별) : 대량성, 시간 동기화
- 단일 컴퓨터 → 네트워크 → 모바일 기기
- 어떻게 한정할 것인가?
- Collection(수집) : 신뢰성, 완전성, 관리 연속성 유지
- 증거 보존 의무 (← 소송이 예상되는 시점)
- 이미징 vs. 선별 압수, 활성 vs. 비활성, 데이터 양, 봉인(?)
- 로그 파일과 audit data (감사 데이터) → 반드시 수집 : spoliation(횡령)
- Transportation(수송) : 원본 보존 (열, 습도, 전자기파)
- 복제 vs. 출력 : 원본 동일성
- 원격지 전송 : 송신 오류
- 송치 : 데이터 vs. 저장 매체
- Storage(보관) : 재판종료까지 추적관리
- 온도, 습도, 전력
- 자연 재해, 고장(?)
- Examination(조사) : Locard’s Exchange Principle(Rule)
" 모든 접촉은 흔적을 남긴다. "
- Analysis(분석), Interpretation(해석), Attribution(귀인), Reconstruction(재구성)
- Presentation(법정에서의 제출)
- 보고서, 녹취록, 증언
- Destruction(파기)
- 파기 : 영업비밀, 음란물, 개인정보, 저작권
- 환부 (돌려준다는 뜻)
- 파기 방법. 파기 대상
- 데이터 보존 기간
Examination and Trace
(조사와 흔적)
- Locard's Exchange Principle : 이벤트 → Trace(자취, 흔적)
" 모든 접촉은 흔적을 남긴다. "
- Analysis(분석)
- 가능한 모든 경우를 조사할 수 없음
- Trace를 발생시키는 주요한 가능성에 집중
- Interpretation(해석) : 비약 → 정당화시킬 수 없는 결론
- 주어진 한계를 언급
- 한가지 trace에 의존하지 않고 여러 trace 활용 : 네트워크 상의 흔적
- Attribution(귀인) : 외부 증거와 일치성이 있어야 함
- Anchor events : DFE와 physical reality 의 결합
- Reconstruction(재구성)
- 특정 시기, 특정 버전의 SW, HW, OS
전문가 증언
- 비전문가
- 증인의 인식에 합리적으로 기초
- 증언에 대한 명확한 이해나 쟁점 사실을 판단하는데 도움을 줄 때
- 과학, 기술 또는 전문적 지식에 기초하지 않을 때
- 전문가: 지식, 기술, 경험, 숙련, 교육
- 충분한 사실 또는 자료에 근거
- 신뢰할 수 있는 원칙과 방법에 따른 결과
- 증인이 그 원칙과 방법을 신용성 있게 적용
- 증거로 허용되지 않는 것에 기초한 의견도 허용되나 반대심문을 받음
- Frye Standard (프라이 기준) : 관련 분야에서 수용, 배심원의 지식 초과
-
과학증거의 증거능력을 판단하기 위한 기준
전문가 증언은 "충분히 확립되고(sufficiently established) 일반적으로 수용되는(general acceptance)" 과학적 방법에 근거해야 한다.
-
어느 정도가 "일반적"이냐는 문제로 인해 일관적인 기준 적용이 어려워 도버트 기준(Daubert Standard)로 대체됨
- Daubert Standard (도버트 기준)
- 전문가 증언의 신빙성을 판단하여 증거로 채택할지 여부를 결정하기 위한 미국 연방법 증거규정. 프라이 기준(Frye Standard)을 대체.
- 검증 가능성, 과학 간행물에 발표, 알려진 오류율, 실험 과정의 통제, 표준의 사용, 관련 분야의 수용 여부 등
- 세부 기준
- 재판관은 문지기(gatekeeper)다
- 유관성(relevance)과 신빙성(reliability)
- 과학방법론(methodology)이 과학지식(knowledge)이다
- 구체적 요소(Illustrative Factors)
- 전문가가 적용한 이론이나 기법이 과학공동체에서 일반적으로 수용(generally accepted)되는지 여부
- 동료평가(peer review)와 게재(publication)를 거쳤는지 여부
- 시험(test)이 가능하고 또한 시험을 해 보았는지 여부
- 알려졌거나 또는 잠재적인 오차율이 수용가능한지 여부
- 해당 연구가 특정 송사로부터 자유롭게 수행되었는지, 또는 문제의 증언을 하고자 하는 의도에 의존적인지 여부
포렌식 도구
- 비가시성 → 도구 사용
- 전문가 : 도구에 대해 상세히 알아야 함
- 도구의 신뢰성 : history(역사), pedigree(유래)
- 다른 도구의 결과와 비교
- 사용하기 전에 검증해야 함
- Accuracy(정확도) and Precision(정밀도) → 소스 코드 유사도(?)
- 도구 사용의 신뢰성
- 저장 장치 → wiping
Accuracy(정확도) vs. Precision(정밀도)
- 증인의 인식에 합리적으로 기초
- 증언에 대한 명확한 이해나 쟁점 사실을 판단하는데 도움을 줄 때
- 과학, 기술 또는 전문적 지식에 기초하지 않을 때
- 충분한 사실 또는 자료에 근거
- 신뢰할 수 있는 원칙과 방법에 따른 결과
- 증인이 그 원칙과 방법을 신용성 있게 적용
- 증거로 허용되지 않는 것에 기초한 의견도 허용되나 반대심문을 받음
-
과학증거의 증거능력을 판단하기 위한 기준
전문가 증언은 "충분히 확립되고(sufficiently established) 일반적으로 수용되는(general acceptance)" 과학적 방법에 근거해야 한다.
-
어느 정도가 "일반적"이냐는 문제로 인해 일관적인 기준 적용이 어려워 도버트 기준(Daubert Standard)로 대체됨
- 전문가 증언의 신빙성을 판단하여 증거로 채택할지 여부를 결정하기 위한 미국 연방법 증거규정. 프라이 기준(Frye Standard)을 대체.
- 검증 가능성, 과학 간행물에 발표, 알려진 오류율, 실험 과정의 통제, 표준의 사용, 관련 분야의 수용 여부 등
- 세부 기준
- 재판관은 문지기(gatekeeper)다
- 유관성(relevance)과 신빙성(reliability)
- 과학방법론(methodology)이 과학지식(knowledge)이다
- 구체적 요소(Illustrative Factors)
- 전문가가 적용한 이론이나 기법이 과학공동체에서 일반적으로 수용(generally accepted)되는지 여부
- 동료평가(peer review)와 게재(publication)를 거쳤는지 여부
- 시험(test)이 가능하고 또한 시험을 해 보았는지 여부
- 알려졌거나 또는 잠재적인 오차율이 수용가능한지 여부
- 해당 연구가 특정 송사로부터 자유롭게 수행되었는지, 또는 문제의 증언을 하고자 하는 의도에 의존적인지 여부
- 비가시성 → 도구 사용
- 전문가 : 도구에 대해 상세히 알아야 함
- 도구의 신뢰성 : history(역사), pedigree(유래)
- 다른 도구의 결과와 비교
- 사용하기 전에 검증해야 함
- Accuracy(정확도) and Precision(정밀도) → 소스 코드 유사도(?)
- 도구 사용의 신뢰성
- 저장 장치 → wiping
Accuracy(정확도) vs. Precision(정밀도)
Challenges and Legal Requirements
(도전과제와 법적인 요구사항)
- 증거 허용 : 증거 능력 → 증명력
- Relevance(관련성) : 있는 것이 사실 입증이나 반박에 기여
- Authenticity(확실성) : 제출자가 주장하는 그것에 대한 근거
- 증언, 필적, 표본과의 비교, 독특한 특징, 공공 기록, 오래된 서류
- 신뢰할 수 있는 절차와 방법
- Self-authenticating(자체 인증) : 공문서, 공공기록의 인증 등본, 공적 간행물, 인증된 문서
- 전문 : 법정 밖의 진술로 사실을 입증하기 위해 제출
- 원본 제출이 원칙이며 예외 인정
- 사본은 이의제기가 없거나 불공정하지 않을 때는 인정
- 분실 또는 훼손, 입수 불가능, 반대편이 소지
- 보조 증거, 공적 기록물, 요약본
- 편견, 쟁점의 혼란, 배심원을 오도, 지연, 시간 낭비, 중복
Fault Model (결함 모델)
- Make or Miss
- Accidental Miss(실수로 빠뜨림) : 불가피하게 발생
- Accidental Make(실수로 지어냄) : 부적절한 주의, 전문 지식의 부족 → 비약
- Intentional Miss(일부러 빠뜨림) : 일반적임, 탄핵 대상
- Intentional Make(일부러 지어냄) : 범죄
- False Positive and Negatives
- 이메일이 아닌데 이메일로 분류
- 삭제된 파일인데 삭제되지 않은 것으로 판단
- 참고 (https://blog.acronym.co.kr/556)
The Legal Process (적법 프로세스)
- Pre-legal records retention and disposition
(법적 기록의 사전 보관 및 처분)
- Litigation hold (소송 보류) → 소송이 예상될 때
- First filing (최초 접수)
- Notice (공지) : 증거 보존 의무 발생
- Preservation orders (보존 명령)
- ex) LG 화학 사태. 보존 명령이 지켜지지 않아 상대측에서 손해배상함
- Disclosures and productions (공개 및 생산) : 인쇄물, 대량의 데이터
- Depositions (선서증언) : 선서 증언 → 법정 증언과 동일
- Motions, sanctions, and admissibility (동의, 제재, 적격성) : 증거 선정
- Pre-trial (공판 전) : 보고서 작성
- Testimony (증언) : 사실판단자 교육
- Case closed (사건 종료) : 증거 파기, 백업 데이터 파기
Duties (의무)
- 정직, 성실, 근면 : 일반적인 주의 보다 더 엄밀하게
- 전문가의 신뢰성에 대한 탄핵
- 자료의 사용: 엄격한 출처, 인터넷(X)
- Competence (능력)
- 아는 것과 모르는 것에 대한 구별
- 지식의 한계를 명확하게 설정
- Retention and Disposition (보관 및 처분)
디지털 증거 조사와 과학
- Diplomatics(고문서학), 컴퓨터 공학, 계산 이론
- 과학적 원칙
- Studying the scientific theories, understanding the limits
(과학적 이론을 연구하고 한계를 이해)
- Performing analytical processes, identifying inconsistencies, generating reasonable hypotheses, and performing analysis
(분석 프로세스 수행, 불일치 식별, 합리적인 가설 생성 및 분석 수행)
- Proposing experiments, predicting the outcomes, performing those experiments, and characterizing the results
(실험 제안, 결과 예측, 실험 수행 및 결과 특성화)
- Documenting and interpreting
(문서화 및 해석)
Author And Source
이 문제에 관하여(디지털 포렌식 증거 조사 #2), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://velog.io/@soddokayo/디지털-포렌식-증거-조사-2
저자 귀속: 원작자 정보가 원작자 URL에 포함되어 있으며 저작권은 원작자 소유입니다.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
- Accidental Miss(실수로 빠뜨림) : 불가피하게 발생
- Accidental Make(실수로 지어냄) : 부적절한 주의, 전문 지식의 부족 → 비약
- Intentional Miss(일부러 빠뜨림) : 일반적임, 탄핵 대상
- Intentional Make(일부러 지어냄) : 범죄
- 이메일이 아닌데 이메일로 분류
- 삭제된 파일인데 삭제되지 않은 것으로 판단
- 참고 (https://blog.acronym.co.kr/556)
- Pre-legal records retention and disposition
(법적 기록의 사전 보관 및 처분)
- Litigation hold (소송 보류) → 소송이 예상될 때 - First filing (최초 접수)
- Notice (공지) : 증거 보존 의무 발생
- Preservation orders (보존 명령)
- ex) LG 화학 사태. 보존 명령이 지켜지지 않아 상대측에서 손해배상함
- Disclosures and productions (공개 및 생산) : 인쇄물, 대량의 데이터
- Depositions (선서증언) : 선서 증언 → 법정 증언과 동일
- Motions, sanctions, and admissibility (동의, 제재, 적격성) : 증거 선정
- Pre-trial (공판 전) : 보고서 작성
- Testimony (증언) : 사실판단자 교육
- Case closed (사건 종료) : 증거 파기, 백업 데이터 파기
Duties (의무)
- 정직, 성실, 근면 : 일반적인 주의 보다 더 엄밀하게
- 전문가의 신뢰성에 대한 탄핵
- 자료의 사용: 엄격한 출처, 인터넷(X)
- Competence (능력)
- 아는 것과 모르는 것에 대한 구별
- 지식의 한계를 명확하게 설정
- Retention and Disposition (보관 및 처분)
디지털 증거 조사와 과학
- Diplomatics(고문서학), 컴퓨터 공학, 계산 이론
- 과학적 원칙
- Studying the scientific theories, understanding the limits
(과학적 이론을 연구하고 한계를 이해)
- Performing analytical processes, identifying inconsistencies, generating reasonable hypotheses, and performing analysis
(분석 프로세스 수행, 불일치 식별, 합리적인 가설 생성 및 분석 수행)
- Proposing experiments, predicting the outcomes, performing those experiments, and characterizing the results
(실험 제안, 결과 예측, 실험 수행 및 결과 특성화)
- Documenting and interpreting
(문서화 및 해석)
Author And Source
이 문제에 관하여(디지털 포렌식 증거 조사 #2), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://velog.io/@soddokayo/디지털-포렌식-증거-조사-2
저자 귀속: 원작자 정보가 원작자 URL에 포함되어 있으며 저작권은 원작자 소유입니다.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
- 자료의 사용: 엄격한 출처, 인터넷(X)
- 아는 것과 모르는 것에 대한 구별
- 지식의 한계를 명확하게 설정
- Diplomatics(고문서학), 컴퓨터 공학, 계산 이론
- 과학적 원칙
- Studying the scientific theories, understanding the limits
(과학적 이론을 연구하고 한계를 이해) - Performing analytical processes, identifying inconsistencies, generating reasonable hypotheses, and performing analysis
(분석 프로세스 수행, 불일치 식별, 합리적인 가설 생성 및 분석 수행) - Proposing experiments, predicting the outcomes, performing those experiments, and characterizing the results
(실험 제안, 결과 예측, 실험 수행 및 결과 특성화) - Documenting and interpreting
(문서화 및 해석)
- Studying the scientific theories, understanding the limits
Author And Source
이 문제에 관하여(디지털 포렌식 증거 조사 #2), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://velog.io/@soddokayo/디지털-포렌식-증거-조사-2저자 귀속: 원작자 정보가 원작자 URL에 포함되어 있으며 저작권은 원작자 소유입니다.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
좋은 웹페이지 즐겨찾기
