[Digital Forensic] 디지털 포렌식 준비도

[Digital Forensic] 디지털 포렌식 준비도

 

디지털 포렌식 준비도

---

(1) 디지털 포렌식 준비도

• 2009년 영국에서 제도화하면서 알려지기 시작 (이론의 역사는 길지 않음)

• 2001년 Tan의 Forensic Readiness에서 처음 그 개념이 소개

Tan은 Forensic Readiness 문서에서 포렌식 준비도의 개념을 다음과 같이 정의하였다.

 

1) 신뢰할 수 있는 증거 수집 환경의 능력을 최대화하고

 

2) 사고 대응 비용을 최소화 하도록 도와준다.

 

 

위와 같은 개념을 바탕으로 여러 학자들은 자신만의 포렌식 준비도 개념을 정의하여 왔다.

 

하지만 공통적으로 신뢰성 있는 증거에 대한 수집 환경 능력은 극대화시키는 것을 말하고 있다.

 

즉, 포렌식 준비도는 다음과 같이 정의할 수 있다.

 

• 법적 증거 능력을 가지는 증거 데이터를 수집하고 분석하기 위한 환경을 갖추고 디지털 포렌식 수행 비용 최소화

• 디지털 포렌식에 맞는 환경이 얼마나 잘 갖추어져 있는지에 대한 지표이기도 한 계획적 시스템

• 디지털 포렌식 인력 준비 및 충원에 대한 제도

 

포렌식 준비도에 대한 오해는 이러한 정의들에 애매모호한 이해에서부터 출발한다.

 

포렌식 준비도에 대한 완전한 이해가 없는 몇몇 사람들은 포렌식 준비도를 로그 데이터 시스템 설치 및 로그 보존 정도로 이해하거나 포렌식 전문 인력의 의무고용 정책처럼 이해하여 많은 비용이 드는 것으로 착각한다.

 

하지만 정의에서도 보았듯이 포렌식 준비도의 개념 및 최종 목적은 디지털 포렌식 수행 비용 최소화, 침해 대응 초기에 디지털 포렌식 수행이 얼마나 매끄럽게 진행되는지에 대한 지표로 사용되는 것이다.

 

 

포렌식 준비도의 개념이 정의되고 나서 얼마 후 대부분의 디지털 포렌식 가이드라인에서 언급하는 디지털 포렌식 프로세스 중 처음 단계인 디지털 포렌식 준비 단계에 포렌식 준비도를 포함시키고 있다.

 

모든 가이드라인이 포렌식 준비도를 디지털 포렌식 프로세스에 추가한 것은 아니지만 대부분의 디지털 포렌식 프로세스를 보면 준비 단계에 포렌식 준비도가 포함되어 있다.

---

(2) 포렌식 준비도의 특징

 

포렌식 준비도의 개념 및 목적을 살펴보면 침해사고가 발생한 후 디지털 포렌식을 수행할 때 그 과정을 지원하는 제도라고 생각이 들 것이다.

 

 

1) 포렌식 준비도는 침해사고 이후에 진행되는 디지털 포렌식을 지원 또는 보충해준다.

• 디지털 포렌식은 침해사고를 기준으로 침해사고 이전에 이루어지는 사전적 포렌식, 침해사고 당시에 이루어지는 라이브 포렌식, 침해사고 이후에 이루어지는 사후적 포렌식으로 분류 가능

• 포렌식 준비도는 사전적 포렌식에 속하며, 우리가 흔히 알고 있는 하드 디스크 이미지 덤프 파일 분석, 로그 분석 등의 업무가 사후적 포렌식에 속함

• 포렌식 준비도는 이런 침해사고 이후 이루어지는 디지털 포렌식 업무에 여러 가지 필요한 부분들은 보충하고 지원하여 업무 진행이 성공적으로 끝나도록 하는 역할 담당

 

2) 포렌식 준비도와 일반 정보보호 정책은 그 요구사항이 많이 겹친다.

• 일반적인 정보보호 정책은 법적 증거 능력을 중점으로 데이터를 보존하는 것이 아니고 정보를 보호하기 위한 사고대응에 초점이 맞추어져 있기 때문에 로그의 불완전한 상태, 변조 / 삭제 등과 같은 데이터 훼손으로 인해 실질적인 범죄자를 검거하지 못하는 한계가 존재

• 하지만 포렌식 준비도는 범죄자를 검거하기 위해 데이터에 대한 법적 증거 능력을 중점으로 데이터를 보존하기 때문에 본질적으로 정보보호정책과는 그 성격이 다름

 

3) 포렌식 준비도는 공격과 방어 비용에 관한 불균형을 해소해 줄 수 있다.

• 현재의 상황에서는 공격자는 몇 시간만에 시스템을 공격해 자신이 원하는 정보를 탈취해 가지만 공격 당한 시스템 쪽에서는 사건의 원인 규명과 대응책을 마련하기 위해 공격자가 공격에 들인 시간과 비용보다 몇 배 많은 시간과 비용이 필요

• 이러한 불균형이 지속된다면 계속해서 꼬리잡기 형국뿐이 되지 않을 것

• 방어자 입장에서 시간을 줄이고 공격자를 빠른 시간 내에 추적 및 검거하려면 우선적으로 증거가 효율적으로 빠른 시간 내에 습득 및 분석되어야 함

이에 필요한 것이 평상시에 도입해야 할 포렌식 준비도이다.

---

(3) 포렌식 준비도 절차

 

Tan이 처음으로 포렌식 준비도 개념을 정의하여 발표한 후 2004년에 Jeker Danielsson과 Ingvar Tjoskheim이 Tan의 포렌식 준비도 개념과 자신들이 재정립한 포렌식 준비도 개념을 이용해 포렌식 준비도에 최소한 다음과 같은 철차가 들어가야 한다고 하였다.

 

1) 디지털 증거 수집 및 잠재적 보존에 관한 관련 법률 맥락의 요구 사항과 제한 사항을 분석해야 한다.

 

2) 디지털 증거에 대한 조직의 필요성을 분석해야 한다.

 

3) 잠재적인 디지털 증거 소스 활용을 위해 기술과 프로세스를 열거 / 식별하고 분류해야 한다.

 

4) 디지털 증거 보존에 관한 디지털 증거 보존 절차 및 프로세스, 기술, 솔루션 등을 사용할 수 있도록 가이드라인을 작성해야 한다.

 

5) 관계 당국에 사건을 보고할 때에는 보고서는 표준 형식을 포함해야 하며, 관계 기간과의 상호작용 또한 포함되어 있어야 하고 언제 어떻게 등의 항목도 포함되어 있어야 한다.

 

 

위에서 언급한 포렌식 준비도 절차 말고도 여러 학자들이 정립한 포렌식 준비도 절차를 보면 대부분 다른 것 같으면서도 비슷한 절차를 제시하고 있는데, 이는 동일한 개념과 동일한 절차, 그리고 기존에 있던 정보보호 정책을 기준으로 정립되었기 때문이다.

 

 

여러 포렌식 준비도 절차의 공통점을 이용해 정리하면 다음과 같다.

 

1) 포렌식 준비도를 도입하는 조직은 조직 내의 가치있는 자산을 식별

 

2) 식별한 자산에 대해서 잠재적 위험을 평가

 

3) 식별된 위험 관련 자산에 관한 디지털 증거 데이터들을 식별하고, 식별한 디지털 증거 데이터 저장 및 보존에 대한 요구사항과 제한 사항을 포함해 포렌식 준비도 정책을 수립 (소프트웨어적 하드웨어적 환경도 같이 구성)

 

4) 포렌식 준비도를 강제적으로 수행시키기 위한 제도적 장치 등을 수립

 

5) 수립된 포렌식 준비도 정책에 관한 검증 및 평가를 수행

 

하지만 이와 같은 절차들은 표준일 뿐 조직 상황에 맞게 수정되어야 한다.

 

각 조직 상황에 맞는 포렌식 준비도가 도입되어야만 제대로 된 포렌식 준비도의 효과를 조직 입장에서 느낄 수 있다.

---

# Reference

 

http://www.yes24.com/Product/Goods/8511539