[지금 무료] 기초부터 따라하는 디지털포렌식 | 훈지손 - 인프런
훈지손 | 기초부터 따라하는 디지털포렌식 강의입니다. 강의를 따라하다보면 "물 흐르듯, 자연스럽게" 실력이 늘어가는 강의를 추구합니다., 초보자 눈높이에 딱 맞춘, 원리를 이해하는 디지털
www.inflearn.com
이 글은 훈지손님의 인프런 강의 <기초부터 따라하는 디지털포렌식> 강의를 수강하며 작성된 글입니다.
디지털 포렌식
- 컴퓨터 범죄와 관련해 디지털 장치에서 발견되는 자료 복구, 조사하는 법과학의 한 분야 (위키백과)
법과학 = 포렌식
포렌식 = 과학수사
과학수사: 어떤 범죄를 수집하고 추적하는 기법
컴퓨터 범죄 → 스마트폰, 인공지능 스피커, 자동차 시스템, 보안장비 등을 사용해 이용하는 범죄
✨ 디지털 포렌식의 필요성
- 주요 컴퓨터 관련 범죄(해킹, 디도스, 랜섬웨어 등)외의 일반 범죄에서도 디지털 포렌식으로 획득할 수 있는 증거가 주요 단서가 되는 경우 ↑
→ 정보를 지우나, 빼오거나, 파괴시키는(정보보호 3요소 파괴하는 요건) 컴퓨터 범죄의 대표적 예시
→ 일반적인 범죄에서도 컴퓨터와 스마트폰을 활용해 증거가 되는 경우 多
→ 범죄수사 이외 분야에서도 多
- 형사사건 아닌 민사사건 수요 높아짐
- 일반 기업에서 포렌식 사용 ↑ 내부 정보 유출, 회계감사 등 데이터 파악
✨ 디지털 포렌식 유형
목적에 따라 구분
1. 침해사고 대응
- 실시간, 사태파악 및 수습, 엄격한 입증 필요 x
ex) 기업에 당장 백도어가 설치되어 위험성이 큰 상태 → 당장의 사태 파악 및 조치가 필요
✓ 어떤 경로로 들어왔고 타임라인 구성 후 조치하기
2. 증거 추출
- 사후 조사, 범죄 증거 수집, 엄격한 입증 필요 O
ex) 경찰이나 검찰 -> 증거를 범죄사실과 관련한 증거 획득 위함
※ 정적으로 움직이지 않는 데이터 사용
✓ 범죄 현장에서 증거가 될 수 있는 부분 선별 압수/ 디스크 전체 이미징해 증거 수집
⁕ 디지털 포렌식의 엄격한 입증
→ 데이터가 처음 수집부터 끝까지 정확히 동일한 데이터인지, 데이터를 찾는 과정에서 변조 여부가 없으며 적법한 절차를 통해 수집되었는지
✨ 디지털 포렌식 유형
1. 디스크 포렌식(컴퓨터 디스크 포렌식)
- 윈도우, 리눅스, MacOS/ 개인, 서버, 클라우드
→ 포맷의 차이 多 USB, 스마트폰, 내부 칩 등의 차이 O
2. 메모리 포렌식
- 컴퓨터 메모리 → 디스크 공간이 아닌 램 공간에서만의 포렌식
→ 프로그램의 실행흔적, 사용자의 패스워드 찾는 등의 행위
3. 네트워크 포렌식
- 네트워크 패킷, 네트워크 장비 로그, 네트워크 관련 설정에서의 포렌식
→ 방화벽, IDS, IPS 등의 네트워크 장비, 네트워크 장비 로그
해킹 사고 발생 시 네트워크 관련 설정(ARP 테이블, DNS 설정 변주 여부) 등 살피는 것
4. 모바일 포렌식
- 모바일 디바이스의 저장소, 메모리 포렌식 / IoT 디바이스(큰 범주의 모바일 포렌식)
일종의 컴퓨터 디바이스로 볼 수 있기에 일종의 리눅스 포렌식으로 봄
ADB 프로그램으로 데이터 빼오기 가능 → APK 파일, iOS에 대한 모바일 포렌식의 특이점이 있음
※ 안드로이드 → 리눅스 기반
데이터베이스 포렌식, 암호 포렌식, 회계 포렌식, 소스코드 포렌식 등등의 분야가 더 있음
데이터와 관련된 데이터, 데이터베이스와 관련한 부분에서 로그, 증거를 찾으면 데이터베이스 포렌식, 회계와 관련된 데이터에서 증거를 찾을 경우 등등의 차이만 존재
