디지털 포렌식 증거 조사 #2

2021-09-14-디지털포렌식개론-2주차.md

  1. 디지털 포렌식 절차

디지털 포렌식 절차

Digital Forensic Evidense Examination

디지털 증거

  • 디지털 증거
    • 비트열, 사건을 입증 또는 반박하는데 도움을 주는 것
    • 파악, 수집, 보존, 이송, 보관, 분석, 해석, 특정, 재현 → 현출
  • 증거 허용
    • relevant(관련있는), authentic(진본인), not hearsay(전문 증거가 아닌), original(원본), more probative(더 증명된)
    • chain of custody (관리 연속성)
  • 디지털 데이터의 비가시성 → 도구 사용
    • 도구 자체의 신뢰성 : 알려진 정확도와 정밀도
    • 도구 사용자의 전문성 : 지식, 기술, 경험, 훈련, 교육
    • 도구 사용의 정확성
    • 일심회 판결

The Legal Context (법적인 문맥)

  • 관할권, 적용 법률, 절차, 이론, 방법, 기준, 허용성
  • 민사 ? 형사 : 증명 방법, 허용성, 재판 방법 등에 차이
  • 압수 수색 검증, 현행 ? 사후, 강제 ? 동의
  • 소송 절차
  • 일정, 비용
  • 전략, 전술
  • 증언(선서), 증거
  • 법률 조항
  • 개시(discovery) 대상 : notes, FAXes, and expert reports

형사소송법

  • 106조

    제106조(압수) 
    ③ 법원은 압수의 목적물이 컴퓨터용디스크, 그 밖에 이와 비슷한 정보저장매체(이하 이 항에서 "정보저장매체등"이라 한다)인 경우에는 기억된 정보의 범위를 정하여 출력하거나 복제하여 제출받아야 한다. 다만, 범위를 정하여 출력 또는 복제하는 방법이 불가능하거나 압수의 목적을 달성하기에 현저히 곤란하다고 인정되는 때에는 정보저장매체등을 압수할 수 있다.  <신설 2011.7.18.>
    ④ 법원은 제3항에 따라 정보를 제공받은 경우 「개인정보 보호법」 제2조제3호에 따른 정보주체에게 해당 사실을 지체 없이 알려야 한다.  <신설 2011.7.18.>

  • 313조

    제313조(진술서등) 
    ①전2조의 규정 이외에 피고인 또는 피고인이 아닌 자가 작성한 진술서나 그 진술을 기재한 서류로서 그 작성자 또는 진술자의 자필이거나 그 서명 또는 날인이 있는 것(피고인 또는 피고인 아닌 자가 작성하였거나 진술한 내용이 포함된 문자·사진·영상 등의 정보로서 컴퓨터용디스크, 그 밖에 이와 비슷한 정보저장매체에 저장된 것을 포함한다. 이하 이 조에서 같다)은 공판준비나 공판기일에서의 그 작성자 또는 진술자의 진술에 의하여 그 성립의 진정함이 증명된 때에는 증거로 할 수 있다. 단, 피고인의 진술을 기재한 서류는 공판준비 또는 공판기일에서의 그 작성자의 진술에 의하여 그 성립의 진정함이 증명되고 그 진술이 특히 신빙할 수 있는 상태하에서 행하여 진 때에 한하여 피고인의 공판준비 또는 공판기일에서의 진술에 불구하고 증거로 할 수 있다.  <개정 2016.5.29.>
    ② 제1항 본문에도 불구하고 진술서의 작성자가 공판준비나 공판기일에서 그 성립의 진정을 부인하는 경우에는 과학적 분석결과에 기초한 디지털포렌식 자료, 감정 등 객관적 방법으로 성립의 진정함이 증명되는 때에는 증거로 할 수 있다. 다만, 피고인 아닌 자가 작성한 진술서는 피고인 또는 변호인이 공판준비 또는 공판기일에 그 기재 내용에 관하여 작성자를 신문할 수 있었을 것을 요한다.  <개정 2016.5.29.>
    ③ 감정의 경과와 결과를 기재한 서류도 제1항 및 제2항과 같다.  <신설 2016.5.29.>

문제

106조와 313조를 양립시킬 수 있는 방법은 무엇인가?

  • 106조:
    • 사건과 관련된 것만 "압수"해야함
    • 그것만 가져가면 성립의 진정을 객
    • 먼지털이식 수사 방지용 (털어서 먼지안나오는사람은 없으므로)
  • 313조:
    • "진술서 등" -> 해당 파일/데이터가 그 사람의 것이라는 것(부인방지)을 증명해야 함.
    • 전문법칙!!
  • 둘다 지켜줘야하는데, 사건과 관련된것만 가져가니까 313조로 자꾸 내가 한게 아니라고 부인을 하더라.
    그래서 이 두개가 상충되지 않게 조화롭게 가져오는 방법이 있을까?
  • 교수님의 답
> PC에 개인의 특정할 수 있는 포렌식 아티팩트가 있습니다.
이런걸 사건의 입증을 위해 포함시켜서 하면되겟습니다.
어쩔수없이 프라이버시는 침해되지만 이를 최소화하기 위해
사건에 따라서 포렌식 아티팩트는 사건과 관련있다고 보면 해결됨.
> 

> 정상적인 파일은 3가지 관점에서 자동선별
1. 사건과 관련된 키워드로 검색
2. ...
> 

The process involved with DFE

(디지털 포렌식 증거와 관련된 프로세스)

  • 증거 : 파악, 수집, 보존, 이송, 저장, 분석, 해석, 특정, 재현, 현출, 파기
  • Identification(식별) : 대량성, 시간 동기화
    • 단일 컴퓨터 → 네트워크 → 모바일 기기
    • 어떻게 한정할 것인가?
  • Collection(수집) : 신뢰성, 완전성, 관리 연속성 유지
    • 증거 보존 의무 (← 소송이 예상되는 시점)
    • 이미징 vs. 선별 압수, 활성 vs. 비활성, 데이터 양, 봉인(?)
    • 로그 파일과 audit data (감사 데이터) → 반드시 수집 : spoliation(횡령)
  • Transportation(수송) : 원본 보존 (열, 습도, 전자기파)
    • 복제 vs. 출력 : 원본 동일성
    • 원격지 전송 : 송신 오류
    • 송치 : 데이터 vs. 저장 매체
  • Storage(보관) : 재판종료까지 추적관리
    • 온도, 습도, 전력
    • 자연 재해, 고장(?)
  • Examination(조사) : Locard’s Exchange Principle(Rule)

    " 모든 접촉은 흔적을 남긴다. "

    • Analysis(분석), Interpretation(해석), Attribution(귀인), Reconstruction(재구성)
  • Presentation(법정에서의 제출)
    • 보고서, 녹취록, 증언
  • Destruction(파기)
    • 파기 : 영업비밀, 음란물, 개인정보, 저작권
    • 환부 (돌려준다는 뜻)
    • 파기 방법. 파기 대상
    • 데이터 보존 기간

Examination and Trace

(조사와 흔적)

  • Locard's Exchange Principle : 이벤트 → Trace(자취, 흔적)

    " 모든 접촉은 흔적을 남긴다. "

  • Analysis(분석)
    • 가능한 모든 경우를 조사할 수 없음
    • Trace를 발생시키는 주요한 가능성에 집중
  • Interpretation(해석) : 비약 → 정당화시킬 수 없는 결론
    • 주어진 한계를 언급
    • 한가지 trace에 의존하지 않고 여러 trace 활용 : 네트워크 상의 흔적
  • Attribution(귀인) : 외부 증거와 일치성이 있어야 함
    • Anchor events : DFE와 physical reality 의 결합
  • Reconstruction(재구성)
    • 특정 시기, 특정 버전의 SW, HW, OS

전문가 증언

  • 비전문가
    • 증인의 인식에 합리적으로 기초
    • 증언에 대한 명확한 이해나 쟁점 사실을 판단하는데 도움을 줄 때
    • 과학, 기술 또는 전문적 지식에 기초하지 않을 때
  • 전문가: 지식, 기술, 경험, 숙련, 교육
    • 충분한 사실 또는 자료에 근거
    • 신뢰할 수 있는 원칙과 방법에 따른 결과
    • 증인이 그 원칙과 방법을 신용성 있게 적용
    • 증거로 허용되지 않는 것에 기초한 의견도 허용되나 반대심문을 받음
  • Frye Standard (프라이 기준) : 관련 분야에서 수용, 배심원의 지식 초과
    • 과학증거의 증거능력을 판단하기 위한 기준

      전문가 증언은 "충분히 확립되고(sufficiently established) 일반적으로 수용되는(general acceptance)" 과학적 방법에 근거해야 한다.

    • 어느 정도가 "일반적"이냐는 문제로 인해 일관적인 기준 적용이 어려워 도버트 기준(Daubert Standard)로 대체됨

  • Daubert Standard (도버트 기준)
    • 전문가 증언의 신빙성을 판단하여 증거로 채택할지 여부를 결정하기 위한 미국 연방법 증거규정. 프라이 기준(Frye Standard)을 대체.
    • 검증 가능성, 과학 간행물에 발표, 알려진 오류율, 실험 과정의 통제, 표준의 사용, 관련 분야의 수용 여부 등
    • 세부 기준
      • 재판관은 문지기(gatekeeper)다
      • 유관성(relevance)과 신빙성(reliability)
      • 과학방법론(methodology)이 과학지식(knowledge)이다
      • 구체적 요소(Illustrative Factors)
        1. 전문가가 적용한 이론이나 기법이 과학공동체에서 일반적으로 수용(generally accepted)되는지 여부
        2. 동료평가(peer review)와 게재(publication)를 거쳤는지 여부
        3. 시험(test)이 가능하고 또한 시험을 해 보았는지 여부
        4. 알려졌거나 또는 잠재적인 오차율이 수용가능한지 여부
        5. 해당 연구가 특정 송사로부터 자유롭게 수행되었는지, 또는 문제의 증언을 하고자 하는 의도에 의존적인지 여부

포렌식 도구

  • 비가시성 → 도구 사용
  • 전문가 : 도구에 대해 상세히 알아야 함
  • 도구의 신뢰성 : history(역사), pedigree(유래)
    • 다른 도구의 결과와 비교
    • 사용하기 전에 검증해야 함
    • Accuracy(정확도) and Precision(정밀도) → 소스 코드 유사도(?)
  • 도구 사용의 신뢰성
    • 저장 장치 → wiping

Accuracy(정확도) vs. Precision(정밀도)

Challenges and Legal Requirements

(도전과제와 법적인 요구사항)

  • 증거 허용 : 증거 능력 → 증명력
  • Relevance(관련성) : 있는 것이 사실 입증이나 반박에 기여
  • Authenticity(확실성) : 제출자가 주장하는 그것에 대한 근거
    • 증언, 필적, 표본과의 비교, 독특한 특징, 공공 기록, 오래된 서류
    • 신뢰할 수 있는 절차와 방법
    • Self-authenticating(자체 인증) : 공문서, 공공기록의 인증 등본, 공적 간행물, 인증된 문서
  • 전문 : 법정 밖의 진술로 사실을 입증하기 위해 제출
  • 원본 제출이 원칙이며 예외 인정
    • 사본은 이의제기가 없거나 불공정하지 않을 때는 인정
    • 분실 또는 훼손, 입수 불가능, 반대편이 소지
    • 보조 증거, 공적 기록물, 요약본
  • 편견, 쟁점의 혼란, 배심원을 오도, 지연, 시간 낭비, 중복

Fault Model (결함 모델)

  • Make or Miss
    • Accidental Miss(실수로 빠뜨림) : 불가피하게 발생
    • Accidental Make(실수로 지어냄) : 부적절한 주의, 전문 지식의 부족 → 비약
    • Intentional Miss(일부러 빠뜨림) : 일반적임, 탄핵 대상
    • Intentional Make(일부러 지어냄) : 범죄
  • False Positive and Negatives

The Legal Process (적법 프로세스)

  • Pre-legal records retention and disposition
    (법적 기록의 사전 보관 및 처분)
    - Litigation hold (소송 보류) → 소송이 예상될 때
  • First filing (최초 접수)
  • Notice (공지) : 증거 보존 의무 발생
  • Preservation orders (보존 명령)
    • ex) LG 화학 사태. 보존 명령이 지켜지지 않아 상대측에서 손해배상함
  • Disclosures and productions (공개 및 생산) : 인쇄물, 대량의 데이터
  • Depositions (선서증언) : 선서 증언 → 법정 증언과 동일
  • Motions, sanctions, and admissibility (동의, 제재, 적격성) : 증거 선정
  • Pre-trial (공판 전) : 보고서 작성
  • Testimony (증언) : 사실판단자 교육
  • Case closed (사건 종료) : 증거 파기, 백업 데이터 파기

Duties (의무)

  • 정직, 성실, 근면 : 일반적인 주의 보다 더 엄밀하게
  • 전문가의 신뢰성에 대한 탄핵
    • 자료의 사용: 엄격한 출처, 인터넷(X)
  • Competence (능력)
    • 아는 것과 모르는 것에 대한 구별
    • 지식의 한계를 명확하게 설정
  • Retention and Disposition (보관 및 처분)

디지털 증거 조사와 과학

  • Diplomatics(고문서학), 컴퓨터 공학, 계산 이론
  • 과학적 원칙
    • Studying the scientific theories, understanding the limits
      (과학적 이론을 연구하고 한계를 이해)
    • Performing analytical processes, identifying inconsistencies, generating reasonable hypotheses, and performing analysis
      (분석 프로세스 수행, 불일치 식별, 합리적인 가설 생성 및 분석 수행)
    • Proposing experiments, predicting the outcomes, performing those experiments, and characterizing the results
      (실험 제안, 결과 예측, 실험 수행 및 결과 특성화)
    • Documenting and interpreting
      (문서화 및 해석)

좋은 웹페이지 즐겨찾기