디지털 포렌식 수행과정은?

디지털 포렌식 조사 과정을 살펴보면 디지털 데이터 수집, 데이터 분석 및 증 거 확보, 조사 결과에 대한 보고서 작성으로 나눌 수 있다. 이를 좀 더 세분하면, 사고 조사를 위한 조사자의 사전 준비과정, 사건 발생 인지 후 현장 출동 및 증거 수집, 수집된 증거의 포장 및 이송, 확보된 증거의 분류 및 조사 분석, 사건의 재구성 및 정밀 검토, 보고서 작성 단계로 구성된다.

 

사전 준비 과정은 디지털 포렌식 조사를 위한 기본 훈련 과정으로 디지털 기 기와 디지털 데이터의 종류, 유형을 숙지하며, 각종 디지털 포렌식 도구의 사용법과 도구에서 사용하는 기술과 그 기술의 한계 등에 대한 교육이라고 할 수 있다. 또한 디지털 포렌식 조사 방법에 대한 연구 및 도구 개발이 병행될 것이다.

 

증거 수집 과정은 사건 현장에서 조사해야 하는 대상을 수집하는 것으로 디지털 기기의 파악, 네트워크 구성 현황 파악, 압수 대상 선정 후 증거 목록 작성 등이라 할 수 있다. 형사 사건의 경우에는 물리적인 증거도 함께 수집될 것이다. 또한 연계 보관성 유지를 위해 이 단계부터 모든 것을 기록해야 한다.

 

증거의 포장 및 이송 과정은 조사 대상을 분석할 수 있는 곳까지 안전하게 운반하는 단계이다. 디지털 기기는 가벼운 충격이나, 전자기파에 의해 쉽게 훼손될 수 있으므로 주의 깊게 포장해야 한다. 인수인계할 때 압수물을 확인하기 쉽고, 분류하기 용이하도록 목록을 만들 필요가 있으며, 압수물을 개별 포장하고 확인 용 꼬리표를 부착하거나 식별할 수 있는 표식을 해야 한다.

 

조사 분석 과정은 디지털 기기로부터 데이터를 추출, 분류하고 사건의 실마리 를 찾거나 실체를 규명하는 단계이다. 분석하는 과정에서 디지털 데이터가 손상 되지 않도록 데이터를 이미징(imaging)하여 조사하거나 쓰기 방지 조치를 취한 후에 분석해야 한다. 이 단계에서는 분석한 방법과 사용한 도구를 정확히 기록해 서 향후 법정의 재검토에 대비할 필요가 있다.

 

정밀 검토 과정은 분석 과정에서 도출된 결과가 올바른지, 또는 분석 과정에 실수가 없었는지 확인하며, 반론이 제기될 여지가 있는지 검토하는 단계이다. 이 과정에서는 객관적인 입장에서 검토해야 하며, 분석에 참여하지 않은 자가 반대 되는 입장에서 문제를 제기하면서 진행하는 것이 바람직하다.

 

보고서 작성은 발견된 결과를 정리하는 단계이다. 디지털 포렌식 보고서의 독 자에는 판사, 변호사, 검사 또는 조직의 의사결정권자들이 포함될 가능성이 있으 며, 이들은 디지털 기기 관련 기술과 특성을 잘 모를 수도 있다. 따라서 보고서 는 전문 지식을 모르는 일반인들도 알아 볼 수 있도록 최대한 평이한 용어로 설 명해야 하며, 불가피한 경우에는 예를 들어 설명함으로써 이해할 수 있도록 해야 한다. 또한 의사결정권자가 옳고 그름을 판단하는 것이기 때문에 보고서는 객관적으로 서술하고, 사실관계와 의견을 구별하여 명시해야 한다.

 

디지털 포렌식 조사의 궁극적인 목표는 디지털 데이터에 대한 조사 결과가 법 정에서 증거로 채택되도록 하는 것이며, 이를 위하여 증거 수집부터 적법한 절차 를 지켜야 한다. 특히 조사할 수 있는 권한과 범위를 분명하게 설정해야 하며, 연계 보관성 유지를 위하여 증거의 수집 단계부터 분석 완료까지 모든 내용을 문서로 남겨야 한다.

 

모든 조사 과정은 디지털 데이터의 특성과 처리 방법에 대해 충분한 교육 훈 련을 받은 전문가에 의해 수행되어야 한다. 미숙련자에 의한 실수는 결정적인 증 거를 훼손시켜 증거로서 가치를 상실시킬 위험이 있다. 디지털 포렌식 전문가는 조사하는 디지털 기기와 담겨있는 데이터의 특성을 충분히 숙지하고 데이터의 변화과정을 설명할 수 있어야 한다. 또한 현재까지의 기술적 한계를 분명히 인지 하고 있어야 한다. 디지털 기기는 계속적으로 발전하고 있고 모든 분야를 한 사람이 전부 알 수는 없기 때문에 해당 분야의 전문가들이 서로 협업해야 할 것이다.

 

<출처: 디지털 포렌식 개론 이상진 지음>

 

#디지털_포렌식 #포렌식 #포렌식과정