디지털 포렌식의 종류

df_column_1_1

디지털 포렌식은 크게 시스템 포렌식, 네트워크 포렌식, 모바일 포렌식, 디스크 포렌식으로 분류할 수 있습니다.

이하에서 각 포렌식에 대해서 간단히 알아보도록 하겠습니다.

 

■ 시스템 포렌식

df_column_1_2

시스템 포렌식이란 서버나 PC등을 대상으로 하는 디지털 포렌식 전반을 일컫습니다.

이때 서버나 PC의 환경은 하드웨어적으로는 호환성 측면에서 대동소이하나, 설치된 운영체제에 따라 그 소프트웨어적 환경이 크게 차이가 납니다. 

가령 Windows, Mac OSX, Linux와 같은 운영체제들은 서로 다른 커널, 셸, 파일시스템을 사용하며 주로 사용되는 응용프로그램도 당연히 다릅니다. 

포렌식의 단서가 되는 아티펙트가  소프트웨어적 환경에 크게 좌우된다는 점을 고려하면, 성공적인 포렌식을 위해선 운영체제 및 응용프로그램에 대한 심도 깊은 이해를 가진 경험많은 전문가가 수행하는 것이 보다 유리합니다.

 

■ 네트워크 포렌식

df_column_1_3

네트워크 포렌식이란, 네트워크에서 오고가는 패킷을 수집한 후 이를 저장 · 분석하는 장비를 통해 법적증거자료를 추출하는 과정을 의미합니다.

네트워크 포렌식에선 패킷에 대한 이해가 필수적입니다. 네트워크상의 오고가는 패킷에 대한 정보를 기반으로 그 분석이 이루어지기 때문입니다.

이를 분석하는 다양한 프로그램들(Wireshark 등)이 존재하나 법적으로 증거능력있는 증거자료를 수집하는 디지털 포렌식 절차에서는 법적 요구를 고려하며 특별히 제작된 포렌식 프로그램을 사용하는 것이 바람직합니다.
 

 

■ 모바일 포렌식

df_column_1_4

모바일 포렌식은 스마트폰의 등장 이후 급격하게 성장한 포렌식 분야입니다.

점점 더 많은 사람들이 스마트폰으로 업무를 보고 작업을 진행하며 범죄행위도 모바일기기를 통해 이루어지는 경우가 많아졌기 때문에, 모바일기기는 중요한 증거자료로 활용되고 있으며 때문에 이를 분석하는 모바일 포렌식 또한 대단히 각광받는 포렌식 분야라 할 것입니다. 

모바일 포렌식은 시스템 포렌식의 하위범주라 정의하여도 크게 무리는 없습니다.

결국 스마트폰의 운영체제(Android, iOS)에 따라 분석방법이 다르기 때문에 각각의 운영체제에 따른 아티펙트의 위치와 그 특징을 잘 알아둬야 성공적인 포렌식이 가능합니다.

 

■ 디스크 포렌식

df_column_1_5

디스크 포렌식이란 저장매체에 관한 포렌식입니다. 

즉, 하드디스크에서 삭제된 데이터를 찾아내어 법원에 증거자료로 제출하는 과정이라할 수 있습니다.

저장매체의 포렌식은 데이터의 변형이 이루어지지 않도록 쓰기방지장치를 반드시 이용하여 저장매체를 복제한 후 복제본을 대상으로 분석을 실시해야 합니다(무결성).

또한 복제본이 원본과 동일하다는 사실을 증명하기 위해서 해쉬값을 통한 검증이 필요합니다(동일성). 

 

 

banner_shalom

error: 컨텐츠 보호 중