디지털 포렌식 증거 조사 #4
74934 단어 디지털 포렌식대학원디지털 포렌식 증거 조사대학원
2021-10-12-디지털포렌식개론-4주차.md
- A Theoretical Examination Framework
A Theoretical Examination Framework
(이론적인 조사 프레임워크)
Digital Forensic Evidense Examination
#4
Galdyshev의 모델
- The reconstruction of event sequences (이벤트 시퀀스의 재구성)
- 조사 대상 시스템 → FSM
- 유용한 증거 → evidential statement (증거 진술)
- Event reconstruction (이벤트 재구성) → FSM에서 evidential statement에 대한 가능한 모든 설명을 찾는 문제
- 사건 동안 발생한 event
- backtracing transitions leading to the final state x
(최종 상태 x로 이어지는 역추적 전환)
- discarding seq. of transitions that disagree with the available evidence
(사용 가능한 증거로 받아들여질 수 없는 전환들의 시퀀스를 버린다)
- 가정
- 일부 time picture를 관찰할 수 있음
- partitioned run (분기 실행) : 이벤트 수열
- Evidence : , P : 관찰된 속성이 있는 computations
Carrier의 모델
- Extended FSM : FSM + removable devices (이동식 장치)
- Primitive history (원시 이력) : the complete sequence of primitive states and events that occurred (발생한 원시 상태 및 이벤트의 완전한 시퀀스)
- Complex history (복합 이력) : the complete sequence of complex states (복합 상태의 완전한 시퀀스)
- 조사 절차 : observation(관측), hypothesis(가설), prediction(예측), testing(테스트)
- 분석 기법 분류
- {primitive(원시)/complex(복합)} X {event(이벤트)/state(상태)} at relevant times (관련 시간)
- consistent (일관됨) → hypothesis is confirmed (가설이 확인됨)
- Inconsistent (일관되지 않음) → hypothesis is refuted (가설이 반박됨)
Kwan et. al.의 모델
- Legal requirement () with a violation
- 임의의 에 대해서 evidence chain 존재
- : event evidenced by trace
- 각 evidence에 가중치 , 탐지 비용 부여
- 조사 시작, 비용을 들여 탐지하고 가중치가 임계치를 초과하면 다음 단계로 진행, 임계치 보다 낮으면 버림
- 범죄 발생 방식에 대한 가설 검증 : Bayesian network
- 최소 비용 최대 효과를 달성
조사 모델
- Legal Context
- : a set of hypothesized claims (가설 주장의 집합)
- : set of events within and outside of the digital system (디지털 시스템 내부 및 외부의 이벤트 집합)
- : Traces from the DFE (디지털 포렌식 증거에 의한 흔적)
- : internal consistency (내적 일관성)
- : consistency with events (이벤트들과의 일관성)
- : the forensic procedures (포렌식 절차)
- : resource (자원)
- : schedules (스케쥴)
- Result : support(지지) (1), refute(반박) (-1), orthogonal(독립) (0)
- : law(법률) is associsted with a violation (위반)
(법률은 법률 위반과 관련됨)
- : 법률 조항
- : 관계,
-
- 각 를 충족하는지 증명해야 함
제50조(영리목적의 광고성 정보 전송 제한)
① 누구든지 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받아야 한다.
② 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우에는 영리목적의 광고성 정보를 전송하여서는 아니 된다.
③ 오후 9시부터 그 다음 날 오전 8시까지의 시간에 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 그 수신자로부터 별도의 사전 동의를 받아야 한다.
④ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 대통령령으로 정하는 바에 따라 다음 각 호의 사항 등을 광고성 정보에 구체적으로 밝혀야 한다.
⑤ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 다음 각 호의 어느 하나에 해당하는 조치를 하여서는 아니된다.
⑥ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 수신자가 수신거부나 수신동의의 철회를 할 때 발생하는 전화요금 등의 금전적 비용을 수신자가 부담하지 아니하도록 대통령령으로 정하는 바에 따라 필요한 조치를 하여야 한다.
⑦ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 수신자가 제1항에 따른 사전 동의, 제2항에 따른 수신거부의사 또는 수신동의 철회 의사를 표시할 때에는 해당 수신자에게 대통령령으로 정하는 바에 따라 수신동의, 수신거부 또는 수신동의 철회에 대한 처리 결과를 알려야 한다.
⑧ 제1항 또는 제3항에 따라 수신동의를 받은 자는 대통령령으로 정하는 바에 따라 정기적으로 광고성 정보 수신자의 수신동의 여부를 확인하여야 한다.
- The hypothesized Claims
- DFE에 의해 입증되거나 반박되는 statements
- The hypothesized Event claims
- 디지털 시스템의 내부 또는 외부에서 관찰된 event
- 관련 법적 요건을 충족
- 조사자 : conform or refute these events
- The Traces
- 존재하는 증거에 남아있는 디지털 흔적
- Trace를 결합하고, 다른 것과 비교
- An internal consistency
- 모순되어 보여도 아닐 수 있음: 시간 설정 오류
- An demonstration consistency
- Trace가 항상 신뢰할 수 있는 것은 아님
- Anchor event 사용
포렌식 절차
- 절차: 적정한 방법과 적합한 도구의 사용으로 실행됨
- 의 부분 집합에 대해 적용됨
- 각 절차는 오탐과 미탐 발생 가능
- 모든 당사자에게 (이론적으로) 유용해야 함
- 자원
- (Resources) 은 유한함, 시간, 돈, 능력, 전문지식 → 최적화 필요
- (Schedule)
- 한정된 일정 내에 변론과 반론을 수행
- 새로운 증거의 제시 또는 배제
- 절차는 자원을 소모
- 재판관할의 변경
- 예산, 시간의 한계
- 상반되는 증거의 발견
- 증거 검토 후 위조된 증거 발견
- 한정된 자원을 이용하여 최대한 많이 분석해야 함
조사 모델에 대한 검토
- (법률)은 유한함, (자원)은 단순하게 표현가능
- (가설)는 무한하지만, 특정 건에서는 확정되고, 일정기간 후에는 변경 불가
- (증거)는 많을 수 있지만 대부분 수천개 이내이며, 녹취 또는 증언 과정에 확정
- (흔적)는 수집된 것으로 한정됨, 축소해도 많음, 관련된 것만 보존
- (내적 일관성) : 모든 Trace의 결합(X), 아주 소수만 조사, 잘 개발되지 않음
- (이벤트들과의 일관성) : 모든 trace와 event의 결합은 불가능, 아주 소수만 조사
- (포렌식 절차): 정의된 시간 내에 와 에 적용되는 모든 가능한 작업
- 모든 가능한 절차를 수행하는 것은 불가능
- 법적 요건을 충족하면서 적정한 방법을 적절하게 적용
- 검증된 도구를 사용
- 자원은 사건의 중요도에 따라 달라짐: 경미사건(?), 시간, 돈, 사람
- 재판 일정은 사건에 따라 다름
- 수주에서 수년까지 다양
조사 모델의 한계
- 이론적인 프레임워크가 아님
- 조사자의 지식에 기반하여 유용한 도구를 사용하여 조사함
- 수학적인 구조가 필요하나 사람의 판단에 의존
- N명이 제한된 정보로 oppositional game을 하는 것과 유사
- 아직 정립되지 않음, Deception plays a substantial part in legal strategiers (속임수는 법적 전략에서 중요한 역할을 함)
- 신뢰성, 오류율 등이 알려져 있지 않음
- OS, SW 등은 거의 알려져 있지 않음 → test 범위가 작음
- 통계적인 방법을 사용하나 디지털 시스템의 에러는 discontinuous(불연속적)
- 신뢰성
- the use of redundancy for analysis (분석을 위해 중복성을 사용함)
- 서로 다른 도구와 기술을 사용하여 별도로 검증
- CFTT
- 정보 역학에 근거하여 모순성과 일치성 규명
- Translating words in event into testable statements (이벤트를 테스트 가능한 상태로 번역)
Diplomatics 관점의 모델
- Acts(행위):
- 필기 → 기록
- Probative records (증거가 될 수 있는 기록)
- Dispositive records (처분할 기록)
- supporting records (도움을 줄 수 있는 기록)
- narrative records (이야기/서사 기록)
- instructive records (실행 기록)
- enabling records (활성화 기록)
- Persons(사람):
- Author, writer, addressee, creator, originator
- Procedure(절차):
- Draft(초안), fair copy, Registration, Validation(검증)
- Medium(매체), Script, Language(언어), Special signs, Seals(봉인)
- Protocol, Text, Eschatocol(에샤토콜)
- Archival bond
- Originary, Necessary, Determined
- Archives consistency(아카이브 일관성)
- Status of transmission (제출본의 상태)
- Original(원본): Primitiveness(원시성), Completeness(완전성), Effectiveness(효율성)
- Copy(사본)
- Trustworthiness(신뢰성)
- Reliability, Authenticity
- Accuracy(정확성)
- Truthfulness(진실성), Exactness(정확성), Precision(정밀성), Completeness(완전성)
- Authentication(인증)
조사 모델
- 사람의 행위 → 인터페이스 → 디지털 기기의 상태 변화, 흔적 생성
- 디지털 흔적 → 사람의 행위를 재구성
- 시작 : 특정한 이벤트, 흔적 관찰
- 이벤트 발생 원인 규명
- 알려진 것인가?
- 조작된 것은 아닌가?
- 진술한 사람을 믿을 수 있는가?
- 이벤트 관련 흔적 검색, 검색, 검색
- FSM은 의도된 대로 동작하는 것이 아니라 구현된 대로 동작한다
- 역공학 필요
- Black box 분석 → 실험에 의한 확인
- Gray box 분석
- 남아 있는 것만으로 모든 것을 증명할 수는 없다.
- 조사 대상 시스템 → FSM
- 유용한 증거 → evidential statement (증거 진술)
- Event reconstruction (이벤트 재구성) → FSM에서 evidential statement에 대한 가능한 모든 설명을 찾는 문제
- 사건 동안 발생한 event
- backtracing transitions leading to the final state x
(최종 상태 x로 이어지는 역추적 전환) - discarding seq. of transitions that disagree with the available evidence
(사용 가능한 증거로 받아들여질 수 없는 전환들의 시퀀스를 버린다)
- backtracing transitions leading to the final state x
- 일부 time picture를 관찰할 수 있음
- partitioned run (분기 실행) : 이벤트 수열
- Extended FSM : FSM + removable devices (이동식 장치)
- Primitive history (원시 이력) : the complete sequence of primitive states and events that occurred (발생한 원시 상태 및 이벤트의 완전한 시퀀스)
- Complex history (복합 이력) : the complete sequence of complex states (복합 상태의 완전한 시퀀스)
- 조사 절차 : observation(관측), hypothesis(가설), prediction(예측), testing(테스트)
- 분석 기법 분류
- {primitive(원시)/complex(복합)} X {event(이벤트)/state(상태)} at relevant times (관련 시간)
- consistent (일관됨) → hypothesis is confirmed (가설이 확인됨)
- Inconsistent (일관되지 않음) → hypothesis is refuted (가설이 반박됨)
Kwan et. al.의 모델
- Legal requirement () with a violation
- 임의의 에 대해서 evidence chain 존재
- : event evidenced by trace
- 각 evidence에 가중치 , 탐지 비용 부여
- 조사 시작, 비용을 들여 탐지하고 가중치가 임계치를 초과하면 다음 단계로 진행, 임계치 보다 낮으면 버림
- 범죄 발생 방식에 대한 가설 검증 : Bayesian network
- 최소 비용 최대 효과를 달성
조사 모델
- Legal Context
- : a set of hypothesized claims (가설 주장의 집합)
- : set of events within and outside of the digital system (디지털 시스템 내부 및 외부의 이벤트 집합)
- : Traces from the DFE (디지털 포렌식 증거에 의한 흔적)
- : internal consistency (내적 일관성)
- : consistency with events (이벤트들과의 일관성)
- : the forensic procedures (포렌식 절차)
- : resource (자원)
- : schedules (스케쥴)
- Result : support(지지) (1), refute(반박) (-1), orthogonal(독립) (0)
- : law(법률) is associsted with a violation (위반)
(법률은 법률 위반과 관련됨)
- : 법률 조항
- : 관계,
-
- 각 를 충족하는지 증명해야 함
제50조(영리목적의 광고성 정보 전송 제한)
① 누구든지 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받아야 한다.
② 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우에는 영리목적의 광고성 정보를 전송하여서는 아니 된다.
③ 오후 9시부터 그 다음 날 오전 8시까지의 시간에 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 그 수신자로부터 별도의 사전 동의를 받아야 한다.
④ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 대통령령으로 정하는 바에 따라 다음 각 호의 사항 등을 광고성 정보에 구체적으로 밝혀야 한다.
⑤ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 다음 각 호의 어느 하나에 해당하는 조치를 하여서는 아니된다.
⑥ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 수신자가 수신거부나 수신동의의 철회를 할 때 발생하는 전화요금 등의 금전적 비용을 수신자가 부담하지 아니하도록 대통령령으로 정하는 바에 따라 필요한 조치를 하여야 한다.
⑦ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 수신자가 제1항에 따른 사전 동의, 제2항에 따른 수신거부의사 또는 수신동의 철회 의사를 표시할 때에는 해당 수신자에게 대통령령으로 정하는 바에 따라 수신동의, 수신거부 또는 수신동의 철회에 대한 처리 결과를 알려야 한다.
⑧ 제1항 또는 제3항에 따라 수신동의를 받은 자는 대통령령으로 정하는 바에 따라 정기적으로 광고성 정보 수신자의 수신동의 여부를 확인하여야 한다.
- The hypothesized Claims
- DFE에 의해 입증되거나 반박되는 statements
- The hypothesized Event claims
- 디지털 시스템의 내부 또는 외부에서 관찰된 event
- 관련 법적 요건을 충족
- 조사자 : conform or refute these events
- The Traces
- 존재하는 증거에 남아있는 디지털 흔적
- Trace를 결합하고, 다른 것과 비교
- An internal consistency
- 모순되어 보여도 아닐 수 있음: 시간 설정 오류
- An demonstration consistency
- Trace가 항상 신뢰할 수 있는 것은 아님
- Anchor event 사용
포렌식 절차
- 절차: 적정한 방법과 적합한 도구의 사용으로 실행됨
- 의 부분 집합에 대해 적용됨
- 각 절차는 오탐과 미탐 발생 가능
- 모든 당사자에게 (이론적으로) 유용해야 함
- 자원
- (Resources) 은 유한함, 시간, 돈, 능력, 전문지식 → 최적화 필요
- (Schedule)
- 한정된 일정 내에 변론과 반론을 수행
- 새로운 증거의 제시 또는 배제
- 절차는 자원을 소모
- 재판관할의 변경
- 예산, 시간의 한계
- 상반되는 증거의 발견
- 증거 검토 후 위조된 증거 발견
- 한정된 자원을 이용하여 최대한 많이 분석해야 함
조사 모델에 대한 검토
- (법률)은 유한함, (자원)은 단순하게 표현가능
- (가설)는 무한하지만, 특정 건에서는 확정되고, 일정기간 후에는 변경 불가
- (증거)는 많을 수 있지만 대부분 수천개 이내이며, 녹취 또는 증언 과정에 확정
- (흔적)는 수집된 것으로 한정됨, 축소해도 많음, 관련된 것만 보존
- (내적 일관성) : 모든 Trace의 결합(X), 아주 소수만 조사, 잘 개발되지 않음
- (이벤트들과의 일관성) : 모든 trace와 event의 결합은 불가능, 아주 소수만 조사
- (포렌식 절차): 정의된 시간 내에 와 에 적용되는 모든 가능한 작업
- 모든 가능한 절차를 수행하는 것은 불가능
- 법적 요건을 충족하면서 적정한 방법을 적절하게 적용
- 검증된 도구를 사용
- 자원은 사건의 중요도에 따라 달라짐: 경미사건(?), 시간, 돈, 사람
- 재판 일정은 사건에 따라 다름
- 수주에서 수년까지 다양
조사 모델의 한계
- 이론적인 프레임워크가 아님
- 조사자의 지식에 기반하여 유용한 도구를 사용하여 조사함
- 수학적인 구조가 필요하나 사람의 판단에 의존
- N명이 제한된 정보로 oppositional game을 하는 것과 유사
- 아직 정립되지 않음, Deception plays a substantial part in legal strategiers (속임수는 법적 전략에서 중요한 역할을 함)
- 신뢰성, 오류율 등이 알려져 있지 않음
- OS, SW 등은 거의 알려져 있지 않음 → test 범위가 작음
- 통계적인 방법을 사용하나 디지털 시스템의 에러는 discontinuous(불연속적)
- 신뢰성
- the use of redundancy for analysis (분석을 위해 중복성을 사용함)
- 서로 다른 도구와 기술을 사용하여 별도로 검증
- CFTT
- 정보 역학에 근거하여 모순성과 일치성 규명
- Translating words in event into testable statements (이벤트를 테스트 가능한 상태로 번역)
Diplomatics 관점의 모델
- Acts(행위):
- 필기 → 기록
- Probative records (증거가 될 수 있는 기록)
- Dispositive records (처분할 기록)
- supporting records (도움을 줄 수 있는 기록)
- narrative records (이야기/서사 기록)
- instructive records (실행 기록)
- enabling records (활성화 기록)
- Persons(사람):
- Author, writer, addressee, creator, originator
- Procedure(절차):
- Draft(초안), fair copy, Registration, Validation(검증)
- Medium(매체), Script, Language(언어), Special signs, Seals(봉인)
- Protocol, Text, Eschatocol(에샤토콜)
- Archival bond
- Originary, Necessary, Determined
- Archives consistency(아카이브 일관성)
- Status of transmission (제출본의 상태)
- Original(원본): Primitiveness(원시성), Completeness(완전성), Effectiveness(효율성)
- Copy(사본)
- Trustworthiness(신뢰성)
- Reliability, Authenticity
- Accuracy(정확성)
- Truthfulness(진실성), Exactness(정확성), Precision(정밀성), Completeness(완전성)
- Authentication(인증)
조사 모델
- 사람의 행위 → 인터페이스 → 디지털 기기의 상태 변화, 흔적 생성
- 디지털 흔적 → 사람의 행위를 재구성
- 시작 : 특정한 이벤트, 흔적 관찰
- 이벤트 발생 원인 규명
- 알려진 것인가?
- 조작된 것은 아닌가?
- 진술한 사람을 믿을 수 있는가?
- 이벤트 관련 흔적 검색, 검색, 검색
- FSM은 의도된 대로 동작하는 것이 아니라 구현된 대로 동작한다
- 역공학 필요
- Black box 분석 → 실험에 의한 확인
- Gray box 분석
- 남아 있는 것만으로 모든 것을 증명할 수는 없다.
- : event evidenced by trace
- Legal Context
- : a set of hypothesized claims (가설 주장의 집합)
- : set of events within and outside of the digital system (디지털 시스템 내부 및 외부의 이벤트 집합)
- : Traces from the DFE (디지털 포렌식 증거에 의한 흔적)
- : internal consistency (내적 일관성)
- : consistency with events (이벤트들과의 일관성)
- : the forensic procedures (포렌식 절차)
- : resource (자원)
- : schedules (스케쥴)
- Result : support(지지) (1), refute(반박) (-1), orthogonal(독립) (0)
- : law(법률) is associsted with a violation (위반)
(법률은 법률 위반과 관련됨)
- : 법률 조항
- : 관계,
- - 각 를 충족하는지 증명해야 함
제50조(영리목적의 광고성 정보 전송 제한) ① 누구든지 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받아야 한다. ② 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우에는 영리목적의 광고성 정보를 전송하여서는 아니 된다. ③ 오후 9시부터 그 다음 날 오전 8시까지의 시간에 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 그 수신자로부터 별도의 사전 동의를 받아야 한다. ④ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 대통령령으로 정하는 바에 따라 다음 각 호의 사항 등을 광고성 정보에 구체적으로 밝혀야 한다. ⑤ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 다음 각 호의 어느 하나에 해당하는 조치를 하여서는 아니된다. ⑥ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 수신자가 수신거부나 수신동의의 철회를 할 때 발생하는 전화요금 등의 금전적 비용을 수신자가 부담하지 아니하도록 대통령령으로 정하는 바에 따라 필요한 조치를 하여야 한다. ⑦ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 수신자가 제1항에 따른 사전 동의, 제2항에 따른 수신거부의사 또는 수신동의 철회 의사를 표시할 때에는 해당 수신자에게 대통령령으로 정하는 바에 따라 수신동의, 수신거부 또는 수신동의 철회에 대한 처리 결과를 알려야 한다. ⑧ 제1항 또는 제3항에 따라 수신동의를 받은 자는 대통령령으로 정하는 바에 따라 정기적으로 광고성 정보 수신자의 수신동의 여부를 확인하여야 한다.
- The hypothesized Claims
- DFE에 의해 입증되거나 반박되는 statements
- The hypothesized Event claims
- 디지털 시스템의 내부 또는 외부에서 관찰된 event
- 관련 법적 요건을 충족
- 조사자 : conform or refute these events
- The Traces
- 존재하는 증거에 남아있는 디지털 흔적
- Trace를 결합하고, 다른 것과 비교
- An internal consistency
- 모순되어 보여도 아닐 수 있음: 시간 설정 오류
- An demonstration consistency
- Trace가 항상 신뢰할 수 있는 것은 아님
- Anchor event 사용
포렌식 절차
- 절차: 적정한 방법과 적합한 도구의 사용으로 실행됨
- 의 부분 집합에 대해 적용됨
- 각 절차는 오탐과 미탐 발생 가능
- 모든 당사자에게 (이론적으로) 유용해야 함
- 자원
- (Resources) 은 유한함, 시간, 돈, 능력, 전문지식 → 최적화 필요
- (Schedule)
- 한정된 일정 내에 변론과 반론을 수행
- 새로운 증거의 제시 또는 배제
- 절차는 자원을 소모
- 재판관할의 변경
- 예산, 시간의 한계
- 상반되는 증거의 발견
- 증거 검토 후 위조된 증거 발견
- 한정된 자원을 이용하여 최대한 많이 분석해야 함
조사 모델에 대한 검토
- (법률)은 유한함, (자원)은 단순하게 표현가능
- (가설)는 무한하지만, 특정 건에서는 확정되고, 일정기간 후에는 변경 불가
- (증거)는 많을 수 있지만 대부분 수천개 이내이며, 녹취 또는 증언 과정에 확정
- (흔적)는 수집된 것으로 한정됨, 축소해도 많음, 관련된 것만 보존
- (내적 일관성) : 모든 Trace의 결합(X), 아주 소수만 조사, 잘 개발되지 않음
- (이벤트들과의 일관성) : 모든 trace와 event의 결합은 불가능, 아주 소수만 조사
- (포렌식 절차): 정의된 시간 내에 와 에 적용되는 모든 가능한 작업
- 모든 가능한 절차를 수행하는 것은 불가능
- 법적 요건을 충족하면서 적정한 방법을 적절하게 적용
- 검증된 도구를 사용
- 자원은 사건의 중요도에 따라 달라짐: 경미사건(?), 시간, 돈, 사람
- 재판 일정은 사건에 따라 다름
- 수주에서 수년까지 다양
조사 모델의 한계
- 이론적인 프레임워크가 아님
- 조사자의 지식에 기반하여 유용한 도구를 사용하여 조사함
- 수학적인 구조가 필요하나 사람의 판단에 의존
- N명이 제한된 정보로 oppositional game을 하는 것과 유사
- 아직 정립되지 않음, Deception plays a substantial part in legal strategiers (속임수는 법적 전략에서 중요한 역할을 함)
- 신뢰성, 오류율 등이 알려져 있지 않음
- OS, SW 등은 거의 알려져 있지 않음 → test 범위가 작음
- 통계적인 방법을 사용하나 디지털 시스템의 에러는 discontinuous(불연속적)
- 신뢰성
- the use of redundancy for analysis (분석을 위해 중복성을 사용함)
- 서로 다른 도구와 기술을 사용하여 별도로 검증
- CFTT
- 정보 역학에 근거하여 모순성과 일치성 규명
- Translating words in event into testable statements (이벤트를 테스트 가능한 상태로 번역)
Diplomatics 관점의 모델
- Acts(행위):
- 필기 → 기록
- Probative records (증거가 될 수 있는 기록)
- Dispositive records (처분할 기록)
- supporting records (도움을 줄 수 있는 기록)
- narrative records (이야기/서사 기록)
- instructive records (실행 기록)
- enabling records (활성화 기록)
- Persons(사람):
- Author, writer, addressee, creator, originator
- Procedure(절차):
- Draft(초안), fair copy, Registration, Validation(검증)
- Medium(매체), Script, Language(언어), Special signs, Seals(봉인)
- Protocol, Text, Eschatocol(에샤토콜)
- Archival bond
- Originary, Necessary, Determined
- Archives consistency(아카이브 일관성)
- Status of transmission (제출본의 상태)
- Original(원본): Primitiveness(원시성), Completeness(완전성), Effectiveness(효율성)
- Copy(사본)
- Trustworthiness(신뢰성)
- Reliability, Authenticity
- Accuracy(정확성)
- Truthfulness(진실성), Exactness(정확성), Precision(정밀성), Completeness(완전성)
- Authentication(인증)
조사 모델
- 사람의 행위 → 인터페이스 → 디지털 기기의 상태 변화, 흔적 생성
- 디지털 흔적 → 사람의 행위를 재구성
- 시작 : 특정한 이벤트, 흔적 관찰
- 이벤트 발생 원인 규명
- 알려진 것인가?
- 조작된 것은 아닌가?
- 진술한 사람을 믿을 수 있는가?
- 이벤트 관련 흔적 검색, 검색, 검색
- FSM은 의도된 대로 동작하는 것이 아니라 구현된 대로 동작한다
- 역공학 필요
- Black box 분석 → 실험에 의한 확인
- Gray box 분석
- 남아 있는 것만으로 모든 것을 증명할 수는 없다.
- 의 부분 집합에 대해 적용됨
- 각 절차는 오탐과 미탐 발생 가능
- 모든 당사자에게 (이론적으로) 유용해야 함
- (Resources) 은 유한함, 시간, 돈, 능력, 전문지식 → 최적화 필요
- (Schedule)
- 한정된 일정 내에 변론과 반론을 수행
- 새로운 증거의 제시 또는 배제
- 절차는 자원을 소모
- 재판관할의 변경
- 예산, 시간의 한계
- 상반되는 증거의 발견
- 증거 검토 후 위조된 증거 발견
- 한정된 자원을 이용하여 최대한 많이 분석해야 함
- (법률)은 유한함, (자원)은 단순하게 표현가능
- (가설)는 무한하지만, 특정 건에서는 확정되고, 일정기간 후에는 변경 불가
- (증거)는 많을 수 있지만 대부분 수천개 이내이며, 녹취 또는 증언 과정에 확정
- (흔적)는 수집된 것으로 한정됨, 축소해도 많음, 관련된 것만 보존
- (내적 일관성) : 모든 Trace의 결합(X), 아주 소수만 조사, 잘 개발되지 않음
- (이벤트들과의 일관성) : 모든 trace와 event의 결합은 불가능, 아주 소수만 조사
- (포렌식 절차): 정의된 시간 내에 와 에 적용되는 모든 가능한 작업
- 모든 가능한 절차를 수행하는 것은 불가능
- 법적 요건을 충족하면서 적정한 방법을 적절하게 적용
- 검증된 도구를 사용
- 자원은 사건의 중요도에 따라 달라짐: 경미사건(?), 시간, 돈, 사람
- 재판 일정은 사건에 따라 다름
- 수주에서 수년까지 다양
조사 모델의 한계
- 이론적인 프레임워크가 아님
- 조사자의 지식에 기반하여 유용한 도구를 사용하여 조사함
- 수학적인 구조가 필요하나 사람의 판단에 의존
- N명이 제한된 정보로 oppositional game을 하는 것과 유사
- 아직 정립되지 않음, Deception plays a substantial part in legal strategiers (속임수는 법적 전략에서 중요한 역할을 함)
- 신뢰성, 오류율 등이 알려져 있지 않음
- OS, SW 등은 거의 알려져 있지 않음 → test 범위가 작음
- 통계적인 방법을 사용하나 디지털 시스템의 에러는 discontinuous(불연속적)
- 신뢰성
- the use of redundancy for analysis (분석을 위해 중복성을 사용함)
- 서로 다른 도구와 기술을 사용하여 별도로 검증
- CFTT
- 정보 역학에 근거하여 모순성과 일치성 규명
- Translating words in event into testable statements (이벤트를 테스트 가능한 상태로 번역)
Diplomatics 관점의 모델
- Acts(행위):
- 필기 → 기록
- Probative records (증거가 될 수 있는 기록)
- Dispositive records (처분할 기록)
- supporting records (도움을 줄 수 있는 기록)
- narrative records (이야기/서사 기록)
- instructive records (실행 기록)
- enabling records (활성화 기록)
- Persons(사람):
- Author, writer, addressee, creator, originator
- Procedure(절차):
- Draft(초안), fair copy, Registration, Validation(검증)
- Medium(매체), Script, Language(언어), Special signs, Seals(봉인)
- Protocol, Text, Eschatocol(에샤토콜)
- Archival bond
- Originary, Necessary, Determined
- Archives consistency(아카이브 일관성)
- Status of transmission (제출본의 상태)
- Original(원본): Primitiveness(원시성), Completeness(완전성), Effectiveness(효율성)
- Copy(사본)
- Trustworthiness(신뢰성)
- Reliability, Authenticity
- Accuracy(정확성)
- Truthfulness(진실성), Exactness(정확성), Precision(정밀성), Completeness(완전성)
- Authentication(인증)
조사 모델
- 사람의 행위 → 인터페이스 → 디지털 기기의 상태 변화, 흔적 생성
- 디지털 흔적 → 사람의 행위를 재구성
- 시작 : 특정한 이벤트, 흔적 관찰
- 이벤트 발생 원인 규명
- 알려진 것인가?
- 조작된 것은 아닌가?
- 진술한 사람을 믿을 수 있는가?
- 이벤트 관련 흔적 검색, 검색, 검색
- FSM은 의도된 대로 동작하는 것이 아니라 구현된 대로 동작한다
- 역공학 필요
- Black box 분석 → 실험에 의한 확인
- Gray box 분석
- 남아 있는 것만으로 모든 것을 증명할 수는 없다.
- 아직 정립되지 않음, Deception plays a substantial part in legal strategiers (속임수는 법적 전략에서 중요한 역할을 함)
- OS, SW 등은 거의 알려져 있지 않음 → test 범위가 작음
- 통계적인 방법을 사용하나 디지털 시스템의 에러는 discontinuous(불연속적)
- the use of redundancy for analysis (분석을 위해 중복성을 사용함)
- 서로 다른 도구와 기술을 사용하여 별도로 검증
- CFTT
- Acts(행위):
- 필기 → 기록
- Probative records (증거가 될 수 있는 기록)
- Dispositive records (처분할 기록)
- supporting records (도움을 줄 수 있는 기록)
- narrative records (이야기/서사 기록)
- instructive records (실행 기록)
- enabling records (활성화 기록)
- Persons(사람):
- Author, writer, addressee, creator, originator
- Procedure(절차):
- Draft(초안), fair copy, Registration, Validation(검증)
- Medium(매체), Script, Language(언어), Special signs, Seals(봉인)
- Protocol, Text, Eschatocol(에샤토콜)
- Archival bond
- Originary, Necessary, Determined
- Archives consistency(아카이브 일관성)
- Status of transmission (제출본의 상태)
- Original(원본): Primitiveness(원시성), Completeness(완전성), Effectiveness(효율성)
- Copy(사본)
- Trustworthiness(신뢰성)
- Reliability, Authenticity
- Accuracy(정확성)
- Truthfulness(진실성), Exactness(정확성), Precision(정밀성), Completeness(완전성)
- Authentication(인증)
조사 모델
- 사람의 행위 → 인터페이스 → 디지털 기기의 상태 변화, 흔적 생성
- 디지털 흔적 → 사람의 행위를 재구성
- 시작 : 특정한 이벤트, 흔적 관찰
- 이벤트 발생 원인 규명
- 알려진 것인가?
- 조작된 것은 아닌가?
- 진술한 사람을 믿을 수 있는가?
- 이벤트 관련 흔적 검색, 검색, 검색
- FSM은 의도된 대로 동작하는 것이 아니라 구현된 대로 동작한다
- 역공학 필요
- Black box 분석 → 실험에 의한 확인
- Gray box 분석
- 남아 있는 것만으로 모든 것을 증명할 수는 없다.
- 알려진 것인가?
- 조작된 것은 아닌가?
- 진술한 사람을 믿을 수 있는가?
- 이벤트 관련 흔적 검색, 검색, 검색
- 역공학 필요
- Black box 분석 → 실험에 의한 확인
- Gray box 분석
Author And Source
이 문제에 관하여(디지털 포렌식 증거 조사 #4), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://velog.io/@soddokayo/디지털-포렌식-증거-조사-4저자 귀속: 원작자 정보가 원작자 URL에 포함되어 있으며 저작권은 원작자 소유입니다.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)