디지털 포렌식의 단계별 절차

3단계

디지털 포렌식 수사에서 단순히 증거 처리에 중점을 둔 디지털 포렌식 절차이다.

• 증거물 획득 단계
  • 현장에서 디지털 증거를 수집하고 증거의 무결성(데이터의 변조 및 손상되지 않았음을 보장)을 확보한다.
  • live response에서의 휘발성 데이터 수집과 비휘발성 데이터(데드 시스템에서도 가능)를 수집한다.
• 증거물 분석 단계
  • 사건과 관련된 유용한 정보를 수집한다.
  • 메모리 및 레지스트리 분석, 타임라인 확보, 삭제된 파일과 로그 분석 안티 포렌식 행위 수집 등
• 보고서 작성 단계
  • COC(Chain of Custody)를 준수하며 포렌식 표준 절차에 따른 보고서를 작성한다.
  • 이 단계에서 사용한 포렌식 프로그램에 대한 검증도 실시한다.

 

4단계

미 법무부 사법연구원(National Insitute of Justice)의 "전자적 범죄현상 수사 가이드(Electronic Crime Scene Investigation : A Guide for First Responders)"에 따른 포렌식 절차이며 증거의 무결성에 대한 이의 제기를 방지하는데 초점을 두었다.

• 수집 단계
  • 디지털 증거에 대한 수색과 수집에 따른 문서화를 진행한다.
• 조사 단계
  • 증거를 가시적으로 만들며 증거로서의 효력 발생 여부를 명확히하고 중요성을 입증한다.
• 분석 단계
  • 효력 발생 여부를 판단한 디지털 증거에 대한 중요하고 가치 있는 부분을 찾는다.
• 보고 단계
  • 조사에 대한 일련의 과정과 복구 데이터를 개괄하는 서면 보고서를 작성한다.

 

6단계

단순히 증거를 조사하는 단계에서 벗어나 사건 인지부터 법정 증언까지 증거 처리의 전 과정을 다루는 형태로 발전하였다.

• 조사 준비
  • 본격적인 수사에 앞서 내부적으로 사건에 대한 사전 정보 습득 및 사건 발생 확인, 조사 권한, 인원 구성, 도구 준비를 포함한다.
• 현장 대응
  • 본격적인 증거 수집을 시작하기 이전에 현장 통제 및 보존을 포함하며 수집할 증거를 명확히하고 전체적인 증거 수집 과정을 준비한다.
• 증거 확보 및 수집
  • 영장에 의거한 압수 수색을 진행하여 증거물을 압수한다. 당연히 중요 자료에 대한 사본을 생성한다.
• 증거 운반 및 확인
  • 획득한 증거물의 무결성을 유지하고 훼손을 방지한다.
• 조사 및 분석
  • 증거에 대한 본격적인 분석을 진행한다.
• 보고 및 증언
  • 증거에 대한 조사 결과 보고서에 확보한 내용들과 분석 과정을 정확히 기록하고 증거로 인정받을 수 있게 작성한다.
  • 포렌식 보고서는 컴퓨터에 대한 지식이 부족한 사람이 보더라도 쉽게 알 수 있는 형태로 작성해야 한다.

---

Reference

Eoghan Casey, Digital Evidence and Computer Crime, 2nd Edition, Elsevier, 2004.

David W. Hagy, Electronic Crime Scene Investigation Guide: A Guide for First Responders, National Institute of Justice, 2001.

이석희, 홍길동, 박철수, "안티포렌식 기술과 대응방향," 정보보호학회지, 제18권, 제1호, pp. 1-20, 2008.

정익래, 김영희, "디지털 포렌식 기술 및 동향," 전자통신동향분석, 제22권, 제1호, pp. 35-48, 2007.

탁희성, 박민수, "디지털 증거분석도구에 의한 증거수집절차 및 증거능력확보방안," 한국형사정책연구원 연구총서, 06-21, 2006.

임경수, 이상훈, "국내 환경을 고려한 디지털 포렌식 조사 모델 정립 방안," 한국정보처리학회 학술대회논문집, 제18권, 제2호, pp. 78-89, 2011.

한국정보통신기술협회, 정보통신단체표준, 휴대폰 포렌식 가이드라인

이중, "디지털 포렌식 한 권으로 끝내기," 바른북스, 2022