디지털 포렌식 수행 절차

| 1. 수사 준비(Preparation)

 

  - 장비와 확보 및 포렌식 툴 테스트

  - 협조체계 확립

| 2. 증거물 획득(Acquisition)

  

  - 현장 분석

  - Snap shot

  - Disk Imaging

  - 증거물 인증

  : 증거물을 획득할 때는 증거를 획득한 사람과 이를 감독한 사람, 그리고 이를 인증해 주는 사람이 있어야 한다. 그리고 세 사람의 참관하에 다음과 같은 절차를 수행

  1) 컴퓨터의 일반적인 하드디스크를 검사할 때에는 컴퓨터 시스템에 관한 정보를 기록

  2) 복제 작업을 한 원본 매체나 시스템의 사진을 찍음

  3) 모든 매체에 적절한 증거 라벨을 붙인다. 증거 라벨에는 증거 획득 일시, 피의자 동의 여부, 사건 번호, 라벨 번호가 포함된다.

| 3. 보관 및 이송(Preservation)

 

  - Image 복사

  - 증거물 포장 및 운반

  : 획득된 증거는 앞서 언급한 연계 보관성을 만족하게 하며 보관 및 이송되어야 함

    이송되거나 담당자/책임자가 바뀔 때는 증거를 획득한 사람 및 감독한 사람, 검토자의 이름, 서명, 날짜, 시각, 연락처를 기재

  * Evidence safe : 연계보관성을 만족시키는 안전한 장소

| 4. 분석 및 조사(Eaxm & Analysis)

  - 자료복구/검색

  - TimeLine 분석

  - Signature 분석

  - 은닉자료 검색

  - Hash/log 분석

  : 포렌식과 관련해서 증거를 관리할 때는 '최량 증거 원칙(The Best Evidence Rule)'을 따른다. 원본이 존재하지 않으면 가장 유사하게 복사한 최초 복제물이라도 증거로 제출해야한다.

  > 법원에 제출하는 원본 또는 최소 복제물은 기본적으로 보관 후, 이를 다시 복사한 문서로 분석 및 조사해야 함

  > 무결성을 확보할 수 있는 정보가 계속 기록되어야 하며, 분석을 위해 사용하는 프로그램은 공증을 받은 프로그램에 한함

  > 프로그램 내에서 사용되는 스크립트는 그 내용과 실행 단계별 결과가 문서화 되어야 함

  * 최량 증거 원칙 

    : 복사본 등의 2차적인 증거가 아닌 원본을 제출하도록 요구하는 영미 증거법상의 원칙

| 5. 보고서 작성(Reporting)

  - 증거분석 결과

  - 증거 담당자 목록

  - 전문가 소견

  : 분석을 마친 뒤에는 분석에 사용한 증거 데이터, 분석 및 조사 과정에서 증거 수집을 위해 문서로 만들며 무결성과 관련 정보, 스크립트 수행 결과를 보고서로 작성해 증거와 함께 제출한다.

[참고]

http://dyaniworld.tistory.com/16