Yum_Yum

[Digital Forensic] 클라우드 보안과 디지털 포렌식

(1) 클라우드 서비스

• 일반적으로 사용하는 전기, 수도, 공공서비스 등의 자원을 사용하는 것과 같음

• 이는 미국의 존 맥카시가 제안한 개념

• 네트워크로 연결된 컴퓨팅 환경에서 여러 컴퓨터 자원들을 현실에사 사용하는 전기, 수도 등의 자원처럼 사용하는 것

대부분의 사람들은 클라우드에 대해 얼핏 들어 클라우드 서비스와 클라우드 컴퓨티에 대해 혼동을 하곤 한다.

1) 클라우드 컴퓨팅

• 가상화와 분산 기술을 이용해 인터넷을 통해 사용자에게 IT 자원을 빌려주고 그 자원을 사용한 만큼 돈을 지불 받는 컴퓨팅 환경

2) 클라우드 서비스

• 사용자에게 클라우드 컴퓨팅 환경을 제공하는 주문형 IT 서비스

클라우드 서비스의 설명을 듣다 보면 우리가 일반적으로 사용하는 웹하드가 생각날 수 있다.

얼핏 보면 웹하드와 비슷한 점이 많지만, 웹하드와의 큰 차이는 분명히 존재한다.

클라우드 서비스 중 스토리지 제공 서비스와 웹하드를 혼동할 수 있는데 웹하드와 스토리지 서비의 차이는 다음 표와 같다.

[표 1] 클라우드와 기존 서비스의 차이

위 차이점 말고도 몇 가지가 더 있지만, 큰 차이점을 바로 위 차이점들이다.

1-1. 클라우드 서비스 모델

1) IaaS(Infrastructure as a Service)

• 해당 모델은 사용자에게 서버, 스토리지 등의 하드웨어 자원 만을 제공하는 서비스

• 스토리지 제공 서비스 형태

• 우리가 잘 알고 있는 N드라이브나 i Cloud가 이 모델에 속함

2) PaaS(Platform as a Service)

• 해당 모델은 사용자에게 서버, 스토리지 등의 하드웨어 자원 뿐만이 아니라 응용 소프트웨어 개발에 필요한 여러 플랫폼도 같이 제공

• 해당 모델은 응용 프로그램 개발 환경 제공 서비스 형태

• 구글의 App Engine이 대표적인 예

3) SaaS(Software as a Service)

• 해당 모델은 IaaS, PaaS를 포함한 것에 응용 소프트웨어를 제공하는 모델

• 제공되는 소프트웨어는 당연히 사용자가 원하는 소프트웨어

• 대표적으로 구글 Docs가 있음

클라우드 서비스는 모델 뿐만이 아닌 사용자가 사용하려는 목적에 따라 서비스 성격을 다음과 같이 나눌 수 있다.

• Public(공공용) : 해당 성격은 불특정 다수로 서비스를 하는 사용자에게 적합한 서비스 성격

• Private(사설용) : 해당 성격은 서비스를 제공하고자 하는 사람에게만 제공하려는 사용자에게 적합한 서비스 성격

• Hybrid(혼합용) : 해당 성격은 Public + Private 성격의 서비스이며, 공개를 하되 일부 서비스는 공개하고 싶지 않을 때 적합한 서비스 성격

1-2. 클라우드 서비스 구조

클라우드 컴퓨팅 환경은 [그림 2]의 클라우드 서버들이 모여 있는 하나의 환경을 지칭하는 것이다.

여러 개의 클라우드 서버가 연결되어 클라우드 컴퓨팅 환경을 구성할 때에는 하이퍼 바이저가 서버마다 존재하는 것이 아니라 여러 서버들의 하드웨어 자원들을 통합적으로 관리하는 위치에 존재하게 된다.

그 후 그 위에 Host/Guest OS가 설치 되고 그 윗 단에 응용 프로그램이 존재하게 되는 것이다.

클라우드 컴퓨팅 환경은 그 환경으로 인해 다음과 같은 특징을 가지게 된다.

• 정보 위탁 특징 : 사용자 정보가 클라우드 서버에 위치하게 됨

• 자원 공유 특징 : 서로 다른 사용자 간에는 자원을 독립적으로 사용하는 것처럼 느껴지지만, 물리적 자원은 결국 공유함

• 단말 다양성 : 다양한 단말로부터 접속이 가능함

(2) 보안 측면에서의 클라우드

위 3가지 특징으로 인해 보안 위협이 발생하게 되는데, 여러 기관이나 단체에서 클라우드 위협에 대해 정리해 놓은 문건들이 존재한다.

다음 내용은 핵심적인 위협에 대한 내용이다.

1) 가상화 기반의 취약점

• 이전부터 가상화 기술은 IT 업계에서 계속 사용해 왔었음

• 이러한 역사가 말을 해주듯 가상화에 대한 취약점 또한 어느 정도 발표가 되어 있는 것이 현실

• 가상화 기술에 취약점이 발견되었고 공격을 당한다면 공격자는 특정 Guest OS에서 Host OS로 넘어갈 수 있을 것이고, Host OS에서 동일 하드웨어 자원을 사용하는 다른 Guest OS를 침범할 수 있을 것

• 이러한 경우 동일 하드웨어 자원을 사용하는 다른 사용자들은 모두 침해를 받는 위협에 놓이게 됨

2) 정보 위탁의 위험

• 정보 위탁 특징에서도 봤듯이 정보가 모두 클라우드 서버에 위치하게 됨

• 이는 서비스 제공자에게 정보를 모두 주는 형국을 뜻함

• 서비스를 제공하는 측의 내부자가 정보를 유출할 수도 있고, 악의적인 사용자가 서비스 제공자 측을 공격해 클라우드 서비스의 정보를 탈취해 갈 수도 있음

3) 동일한 물리적 자원 공유의 위험

• 논리적으로 자원을 독립적으로 사용한다고는 하지만 하드웨어 자원은 그렇지가 못함

• 따라서 하드웨어 자원에 문제가 생기면 해당 하드웨어 자원을 사용하는 여러 서비스 사용자들의 서비스 가용성을 보장하지 못 함

4) 다양한 단말기를 이용한 정보 유출

• 요즘은 스마트폰, 태블릿 PC 등이 보급화 되어 언제 어디서든지 클라우드 서비스가 제공하는 서비스를 이용할 수 있음

• 하지만 휴대성이 큰 만큼 분실성 또한 휴대성 못지 않게 큼

• 만약 휴대용 단말기를 분실할 경우 악의적인 사용자가 해당 단말기를 습득하여 클라우드 서비스에 접속하여 정보를 유출할 수 있게 됨

• 또 이러한 다양한 단말기들은 대부분 무선 통신

• MITM(Man In The Middle), 스니핑(Sniffing), 도청 등의 공격을 받아 사용자도 모르게 정보가 유출될 수 있음

5) 법 관련 문제

• 국외의 클라우드 서버를 사용할 시 어떻게 법을 적용해야 하는지 난감해 짐

• 클라우드 컴퓨팅 환경에서 사용자의 가상 환경은 동적으로 배치되기 때문에 보안 법규 적용 검토를 위한 감사 중적 문제가 발생할 수 있음

• 또 아직까지는 클라우드 서비스를 위한 보안 감사 항목과 제도가 존재하지 않음

이러한 위협들을 인지하고 여러 보안 업체나 IT 업체들은 클라우드 서비스와 컴퓨팅 환경에 대한 보안 제품을 개발 및 판매하고 있다.

여러 클라우드 보안을 위한 솔루션이 나왔다고는 하지만 아직까지 그 보안 위협이 완전히 사라진 것은 아니다.

모든 보안에서 제일 중요한 것은 바로 사람이다.

결국 클라우드도 서비스를 제공하는 제공자나 서비스를 이용하는 사용자가 제일 중요한 것이다.

(3) 디지털 포렌식 관점에서의 클라우드

보안 위협이 있다면 당연히 디지털 포렌식 측면도 생각해야 한다.

보안 사고가 발생하였다면 침해대응부터 포렌식까지 꼭 필요하기 때문이다.

그런데 클라우드 포렌식은 지금까지의 포렌식과는 그 형태가 다르다.

일반 디지털 포렌식은 증거를 수집하는 물리적인 위치나 논리적인 위치가 그다지 많지 않았다.

하지만 클라우드 포렌식에서는 증거를 얻는 그 위치가 물리적 / 논리적으로 다양하며, 또 사건 발생 시 클라우드 환경으로부터 포렌식에 필요한 데이터를 얻기가 어렵다.

즉, 기존의 덤프 파일처럼 bit-by-bit 형식으로 데이터를 얻을 수 없다.

다만 클라우드 서비스 제공자 측에서 제공하는 기능들 중 스냅샷 기능을 이용해 어느 정도의 데이터는 얻을 수 있다.

만약 국내 업체의 클라우드 서버가 침해를 당하였는데 침해 당한 클라우드 서버의 관할권이 다른 나라에 있다면 어떻게 해야 할까?

또 클라우드 환경의 로그와 클라이언트 환경의 로그를 서로 비교하였더니 시간이 일치하지 않는다면, 과연 이 데이터는 증거로 인정 받을 수 있을까?

이렇듯 위치가 다양함에 따라 따져봐야 할 점이 많아지면서 증거를 위한 데이터 수집과 증거로서의 인증 능력이 까다로워진다.

현재로서의 최선의 방법은 클라우드 환경에서 제공하는 스냅샷 기능을 이용한 데이터 수집과 클라우드 서비스를 사용한 클라이언트 시스템의 분석이다.

특히 클라이언트 분석 시 클라우드는 대부분 브라우저로 이용하기 때문에 브라우저를 중심으로 분석을 수행해야 한다.

다음 내용은 클라우드 서비스 모델에 따른 포렌식 특징이다.

1) IaaS

• 다른 서비스들에 비해 가장 많은 데이터를 얻을 수 있는 서비스 모델

• 서비스 사용자가 임대 받은 가상 머신의 보안을 담당하기 때문에 포렌식 준비와 수행을 할 수가 있음

• 또 스냅샷 기능을 이용해 메모리를 포함한 여러 데이터를 얻을 수 있다는 장점도 존재

• 또 해당 모델의 VMM(Virtual Machine Monitor)의 정보를 포렌식에 활용 할 수도 있음

• VMM은 가상머신 자원에 대한 모든 접근 권한을 가지고 있는데 고객 측면에서는 보안 위협으로 다가올 수 있지만 포렌식 관점에서는 아주 유용한 기능

• 비활성 / 활성 분석이 가능한 서비스 모델로 가장 일반적인 포렌식과 비슷한 분석을 할 수 있는 서비스 모델

2) PaaS

• 해당 서비스 모델은 사용자가 환경을 제어하는 권한을 가지지 못함

• 그러나 사용자가 개발한 프로그램이 시스템에 종속적인 데이터베이스나 스토리지와 상호 연동이 가능하도록 하는 권한은 사용자가 가지고 있음

• 그러므로 해당 시스템에서 제공되는 개발 플랫폼의 API를 이용해 시스템의 로그나 정보를 얻을 수 있음

3) SaaS

• 해당 서비스 모델은 다른 서비스 모델들에 비해 데이터가 가장 적게 수집되는 서비스 모델

• 해당 서비스 모델이 분석 대상이라면 해당 서비스 모델 분석보다는 이 서비스 모델을 사용한 클라이언트 시스템을 분석하는 것이 가장 효율적

아무리 스냅샷 기능이 좋아도, 기대 이상으로 포렌식 관점의 데이터를 수집한다 하여도 분석에 있어 그 데이터는 충분하지는 못할 수 있다.

포렌식을 위해서 클라우드의 환경을 고칠 수도 없으며, 이러한 이유로 가장 좋은 클라우드 포렌식 발전 방향은 클라이언트 시스템 분석이다.

해당 클라이언트가 클라우드 서비스를 사용함으로써 클라이언트 시스템에 어떠한 데이터가 남는지 알아내고 분석하는 것이 현재로서는 현실적인 발전 방향이다.

또 법적인 문제도 여러 가지 면으로 해결되어야 할 것이다.

# Reference

http://www.yes24.com/Product/Goods/8511539

[Tool] 디지털 포렌식 유용 도구 소개 (Digital Forensics Tool)

디지털 포렌식 업무를 수행하는데 도구는 필수적인 요소 중 하나이다.

디지털 포렌식만을 위한 전문적인 포렌식 도구가 있는 반면 포렌식을 위해 개발되지는 않았지만 포렌식 업무에 사용되는 도구가 있다.

또 여러 기능을 종합해 놓은 종합 도구도 존재한다.

하지만 디지털 포렌식 도구는 대부분 상용 소프트웨어이기 때문에 개인적으로 사용할만한 도구는 많지 않다.

본 글은 사용자가 아무런 제약 없이 사용할 수 있는 무료 디지털 포렌식 도구나 디지털 포렌식이 목적은 아니지만 포렌식 업무에 적용할 수 있는 도구, 세계적으로 검증된 도구 등을 위주로 소개한다.

(1) Live CD

• 도구가 실행되는 환경에 구애 받지 않고 이동 장치 단에서 실행되는 도구

• 대부분 여러 가지 도구가 설치되어 있는 OS로 배포

• Live CD에서 생성한 파일 또한 Live CD가 실행되고 있는 장치에 저장되므로 설치할 때에는 데이터 용량이 충분한 이동 장치 준비 필요

1-1) Kali 

• 설치 / 참조 사이트 : https://www.kali.org/

• 포렌식 보다 모의해킹에 특화된 Live CD이긴 하지만 포렌식을 수행하기에 있어 필요한 대부분의 도구들은 갖춰짐

• 지속적으로 디지털 포렌식 분야의 도구들이 추가되고 있음

• 2013년까지는 BackTrack이었으며, 이후 Kali라는 이름으로 바뀜

• 처음 Live CD로 만들어 사용할 때에는 설정이 정상적으로 되어 있지 않아 작동되지 않는 도구들도 있음

• 디지털 포렌식 업무 수행 전에 간단히 도구들을 모두 테스트해 보는 것이 좋음

1-2) SIFT

• 설치 / 참조 사이트 : https://digital-forensics.sans.org/community/downloads/

• 세계적인 정보보호 교육 기관인 SANS에서 개발한 포렌식 도구이며, 무료로 제공되는 도구 중 하나

• 해당 도구는 다른 Live CD 도구들에 비해 설치된 도구가 적음

• 해당 도구를 사용할 때에는 어떠한 도구가 설치되어 있는지 확인하고 자신이 필요한 도구를 더 설치해 사용하는 것이 좋음

1-3) DEFT

• 설치 / 참조 사이트 : http://www.linuxandubuntu.com/home/deft-linux-a-linux-distribution-for-computer-forensics

• 해당 도구는 Windows를 대상으로 한 Live CD 도구로 SIFT와 동일한 포렌식만을 위한 Live CD 도구

• SIFT와 비교 했을 때 DEFT의 도구 개수가 2배 넘게 많은 편

• 하지만 도구가 많다고 좋은 것은 아님

• 얼마나 도구가 문제 없이 실행되는지가 문제

• 그리고 네트워크 카테고리 부분의 툴이 조금은 부족한 것이 특징

1-4) Santoku

• 설치 / 참조 사이트 : https://santoku-linux.com/

• ViaForensics에서 만든 우분투 기반의 악성코드 분석 전용 Live CD 포렌식 도구

• 특히 모바일 앱이 주 목적이며, 부수적으로 일반 악성코드 분석도 가능

• 설치되어 있는 도구들은 악성 앱 분석에 주로 사용되는 것들

• 일반적인 메모리 분석, 파일 시스템 분석에는 적합하지 않은 도구

(2) Disk Imaging

• 디스크 이미징 도구는 필수적인 도구 중 하나이며, 제일 디지털 흔적을 많이 발견할 수 있는 부분이 하드 디스크와 파일 시스템

• 그렇기 때문에 현재까지도 가장 많이 분석을 시도하는 부분이며, 향후에도 계속 그러할 것

• 하드 디스크 전체를 복사하거나 덤프할 때는 숨김 영역을 고려해야 하는데 하드 디스크 복제나 복사는 대부분 하드웨어 이미징 도구로 이루어짐

• 도구 선택 시 숨김 영역까지 복제 및 덤프를 시도하는지 알아보고 선택해야 함

2-1) FTK Imager

• 설치 / 참조 사이트 : https://accessdata.com/product-download

• AccessData사에서 개발한 도구로 무료로 제공되고 있음

• 디스크 이미징 기능뿐만 아닌 메모리 캡처, 디스크 이미지 분석 기능까지 제공

• 개인적으로 사용할 때에는 해당 도구를 사용해도 무리없이 분석 가능

• Lite 버전도 함께 무료로 제공되어 포터블 파일로 분석 가능

2-2) dd

• 설치 / 참조 사이트 : http://gmgsystemsinc.com/fau/

• George M. 와 Garner Jr.가 개발한 도구로 무료로 제공되며 이미징 기능 또한 강력함

• 해당 도구와 nc 등을 같이 사용하면 원격에서 디스크 이미징을 수행 가능

• 가장 좋은 것은 모든 OS 플랫폼에서 실행 가능하다는 것

(3) Memory

• 메모리 분석 도구는 계속해서 급격히 많은 발전과 수요가 증가

• 악성코드의 언패킹이 날로 어려워져 메모리를 덤프하여 덤프 파일로 악성코드를 분석하는 경우가 많음

• 이러한 이유 때문에, 메모리 분석 도구가 많이 사용됨

3-1) Volatility

• 설치 / 참조 사이트 : https://www.volatilityfoundation.org/

• 현재 나온 메모리 분석 도구 중 단연 으뜸인 도구로 Volatile system 사에서 개발한 도구

• 메모리 이미지를 통한 프로세스 덤프, 프로세스 메모리 덤프, 레지스트리 분석 기능 등 많은 기능 지원

• 현재 버전은 베타 버전인 3 버전까지 나온 상태

• 해당 도구는 Python으로 제작되어 대부분의 OS 플랫폼에서 동작이 가능

• Windows, Mac OS X, Linux 메모리 분석을 지원

3-2) RedLine

• 설치 / 참조 사이트 : https://www.fireeye.kr/services/freeware/redline.html

• 해당 도구는 Memoryze 도구를 기초로 GUI 기반의 메모리 분석 도구

• 메모리 분석 속도를 위해 메모리 분석 모드가 3가지로 나뉨

• Mandiant 사에서 개발, 배포

• 메모리 분석에 대한 갖가지 레포트 기능도 있어 시각화에서는 volatility보다 우수

• 하지만 volatility보다 많은 기능을 지원하지는 않고 메모리 이미지에 대한 내용만 시각화해 주므로 프로세스 덤프 등의 기능은 존재하지 않음

3-3) Volafox

• 설치 / 참조 사이트 : https://code.google.com/archive/p/volafox/

• 포렌식 연구를 하시는 n0fate라는 닉네임을 사용하시는 우리나라 사람이 만든 메모리 분석 도구

• Volatility와 마찬가지로 Python 기반의 메모리 분석 도구

• 하지만 Volatility처럼 모든 OS를 지원하는 것이 아닌 Mac OS X 메모리 분석에 특화되어 있는 도구

• 또 다른 도구로 Volafunx가 있으며, 이것은 FreeBSD 메모리 분석에 특화된 도구

(4) Network

• 인터넷은 사람들의 일상 생활과 아주 밀접한 관계에 있어 포렌식 업무 수행에 있어 분석 대상 시스템에 인터넷 활동을 빼놓으면 안 됨

• 분석 대상 시스템에서 어떠한 인터넷 활동을 했는지 파악할 수 있는 부분은 인터넷 브라우저를 분석하는 경우도 있지만 네트워크 패킷 분석을 수행하는 경우도 적지 않음

• 예를 들어, 파일을 전송했을 때 인터넷 브라우저에서는 그 흔적을 찾기 힘들고, 이유는 인터넷 브라우저에는 대부분 다운로드 흔적만 남기 때문

• 하지만 네트워크 패킷을 분석해보면 파일의 전송 흔적을 쉽게 찾을 수 있음

• 이렇듯 상황에 따라 분석 방향을 잘 잡아야 효율적인 포렌식 업무 수행이 됨

4-1) Wireshark

• 설치 / 참조 사이트 : https://www.wireshark.org/download.html

• 패킷 캡처와 분석에 있어서 유명한 도구 중 하나

• 특히 프리웨어이고 지원하는 기능이 다양하여 더 많은 관심을 받는 도구

• 패킷의 다양한 프로토콜들을 지원하며 몇몇 암호화 프로토콜의 복호화 기능을 지원

• 사용자 편의를 위해 Visualization 기능을 지원

• 대부분 OS 플랫폼에서 동작이 가능하다는 점도 관심 받는 이유 중 하나

• 해당 도구는 기본적으로 GUI를 제공하고, Tshark라는 도구는 CLI도 지원

4-2) Tcpdump

• 설치 / 참조 사이트 : http://www.tcpdump.org/

• 리눅스에서 가장 많이 사용하는 패킷 캡처 도구

• CLI 기반으로 여러 가지 옵션과 조건을 설정해 자신이 보고 싶은 패킷만 필터해서 볼 수 있는 강력한 필터 기능 제공

• 사용법을 알면 알수록 편한 도구여서 전문가들이 자주 애용

4-3) Scapy

• 설치 / 참조 사이트 : https://scapy.net/

• Python 모듈로 Python script 작성을 불러와 사용할 수 있는 도구

• 모듈로 사용하지 않고 바로 인터프리터에서 사용해도 상관 없음

• raw socket을 지원하여 패킷 캡처는 물론 인터프리터를 통해 임의로 소켓을 조작하여 여러 가지 플래그의 패킷을 사용자가 실시간으로 전송할 수 있는 장점을 지님

(5) File System

• 시스템에서 생성되는 모든 파일이나 데이터들은 하드 디스크 또는 메모리에 저장 됨

• 하지만 반 영구적으로 저장하기 위해서는 하드 디스크에 저장해야 하는데 하드 디스크에는 파일과 디렉토리를 효율적으로 저장하고 처리하기 위해 파일 시스템이 존재

• 사용자나 시스템이 남긴 흔적을 찾기 위해서는 파일 시스템을 분석하는 것이 가장 좋으며 많은 흔적을 발견할 수 있는 좋은 곳이 바로 파일 시스템

5-1) TSK

• 설치 / 참조 사이트 : http://www.sleuthkit.org/sleuthkit/download.php

• The Sleuth Kit이라는 풀 네임을 가지는 해당 도구는 파일 시스템에 특화된 도구

• 현존하고 있는 대부분의 파일 시스템 분석을 지원

• 지원하는 파일 시스템은 NTFS, FAT, HFS+, Ext2, Ext3, UFS1, UFS2

• 대부분의 OS와 Cygwin에서도 해당 도구는 작동

5-2) Autopsy

• 설치 / 참조 사이트 : http://www.sleuthkit.org/autopsy/index.php

• TSK의 GUI 버전으로 웹 브라우저 형식

• TSK에서 지원하는 기능 대부분을 지원하며, 버튼 클릭만으로 파일 시스템을 분석, 삭제 파일 복구 등을 할 수 있는 유용 도구

(6) File Carving

• 파일 카빙과 관련된 도구들은 그렇게 많지는 않음

• 파일이 조각화 되어 디스크에 존재할 때 파일 카빙 도구나 파일 복구 도구는 완벽하게 복구하지 못함

• 이 부분은 아직까지 연구 중이며, 앞으로도 계속 연구 되어야 하는 부분

6-1) foremost

• 설치 / 참조 사이트 : http://foremost.sourceforge.net/

• 해당 도구는 특별 수사 및 보안 연구를 하는 미공군 연구실에서 개발된 도구

• 파일 시그니처를 기반으로 대상 파일에서 여러 파일들을 카빙하는 도구

• 옵션으로 카빙하고자 하는 파일의 확장자를 지정하면 해당 확장자 파일만 카빙

• all이나 옵션을 지정하지 않으면 foremost에서 지원하는 모든 확장자 파일을 카빙

6-2) scalpel

• 설치 / 참조 사이트 : https://github.com/machn1k/Scalpel-2.0

• 해당 도구도 foremost와 동일하게 시그니처 기반으로 파일을 복구하지만 또 하나의 카빙 패턴을 가짐

• 파일 시스템에서 데이터 조각들을 검색하여 하나로 모아 파일을 카빙

• 지원하는 파일 시스템은 FAT, NTFS, ext2/3, HFS+가 있음

6-3) recoverjpeg

• 설치 / 참조 사이트 : https://rfc1149.net/devel/recoverjpeg.html

• jpeg 파일과 동영상 파일만을 카빙하는  도구로 무료로 배포

(7) 기타 도구

• 부수적으로 포렌식에 도움이 되는 도구들이 해당

• 포렌식 업무 수행 목적이 아닌 다른 프로그래밍, 디버깅 등이 목적인 도구들

• 하지만 포렌식 업무에서도 필요한 도구들이므로 사용법이나 어떤 기능을 하는지 정도는 알아두는 것이 좋음

7-1) HxD

• 설치 / 참조 사이트 : https://mh-nexus.de/en/hxd/

• 해당 도구는 HexViewer로 일반 HexViewer랑 대부분 비슷한 기능을 가짐

• 해당 도구에는 파일 비교 기능과 복사할 때의 타입 결정 기능, 프로세스 메모리 덤프 기능 등의 기능이 존재

• 현재 여러 가지 나라의 언어로 지원

7-2) SQLite Database Browser

• 설치 / 참조 사이트 : https://sqlitebrowser.org/

• 해당 도구는 SQLite 파일 포맷을 분석할 때 유용하게 사용되는 도구

• 요즘 스마트폰의 파일들을 보면 거의 SQLite 파일 포맷이고, firefox, chrome 등이 브라우저도 여러 가지 정보를 SQLite 파일 포맷으로 저장

• 이러한 파일들은 HexViewer로 수동 분석해도 되지만, 간편하게 해당 도구를 사용하면 테이블 별로 정보들을 볼 수 있어 분석하기가 더욱 더 쉬움

• 더구나 SQLite는 어떠한 정보를 지워도 기본적으로 SQLite 파일 포맷에서는 지워지지 않기 때문에 포렌식에 있어 중요한 의미를 지님

7-3) AnalyzeMFT

• 설치 / 참조 사이트 : https://code.google.com/archive/p/opensourceforensics/downloads

• 해당 도구는 MFT 파일 분석 도구로 사용법이 간단

• 해당 도구의 결과를 저장할 파일을 사용자가 지정

• CSV 파일 등으로 지정하여 excel을 사용하여 간편하게 그 결과를 보고 MFT 엔트리들을 분석 가능

• 해당 도구는 CLI 기반

7-4) Inkanalyser

• 설치 / 참조 사이트 : https://github.com/woanware/woanware.github.io/blob/master/forensics/lnkanalyser.md

• Windows의 링크 파일(바로가기)을 분석해주는 도구

• Windows의 링크 파일은 여러 가지 많은 정보를 담고 있고 포렌식 관점에서의 의미도 상당함

• 사용법도 간단하며 CLI 기반 도구

7-5) DCode, TimeLord

• DCode 설치 / 참조 사이트 : https://www.digital-detective.net/dcode/

• TimeLord 설치 / 참조 사이트 : http://computerforensics.parsonage.co.uk/timelord/timelord.htm

• 해당 도구들은 TimeStamp 변환 도구

• 포렌식에서 시간은 아무 큰 의미이며 절대로 추측이 되어서는 안될 정보

• 대부분 파일이나 디렉토리 또 이벤트 등은 시간이 기록되는데 이 시간은 분석 대상 컴퓨터가 위치했던 장소나 파일 시스템의 정책 등에 의해 여러 가지 표준 시간으로 기록

• 표준 시간은 각각 시차가 있어 표준 시간 변환도 여러 가지 의미로 중요하게 작용

• 해당 도구들은 이러한 시간 변환을 해주는 도구들로서 GUI 기반

7-6) BinText

• 설치 / 참조 사이트 : https://softfamous.com/bintext/

• 스트링을 나열해 주는 도구

• 여러 가지 스트링 검색 도구들이 있지만 해당 도구가 제일 많이 쓰임

• GUI 기반으로, 스트링 검색은 악성코드 분석이나 실행 파일 분석을 수행할 때 자주 사용

7-7) Lnk Parser

• 설치 / 참조 사이트 : https://tzworks.net/prototype_page.php?proto_id=11

• 해당 도구도 lnkanalyser처럼 lnk 파일을 분석해 주는 도구

• 각 오프셋을 parsing 하여 정보를 분석해 보기 좋게 출력해 줌

• 32bit와 64bit 모두 지원

• Windows, Linux, Mac OS X 모두 지원하는 CLI 기반의 도구

7-8) AliveRegistry Viewer

• 설치 / 참조 사이트 : http://lastbit.com/arv/default.asp

• 레지스트리 하이브를 트리 구조로 만들어 주고 각 하이브의 value와 데이터를 regedit과 동일하게 보여주는 도구

• 해당 도구를 이용하면 활성 시스템의 레지스트리가 아닌 비활성 레지스트리도 분석이 가능

• 하이브를 txt 파일로 export하면 하이브의 마지막 수정 시간 등 여러 가지 파악 가능

7-9) WFT

• 설치 / 참조 사이트 : http://www.foolmoon.net/security/wft/

• Windows Forensics ToolChest의 약자

• 포렌식에 필요한 Windows OS의 정보를 자동적으로 수집하고 보고서를 작성해 주는 도구

• 특징으로 CD-ROM에서 작동이 가능

• 해당 도구는 따로 cmd.exe의 경로를 지정해주어 하며, 침해 시스템의 cmd.exe보다는 직접 가지고 다니는 무결성이 보장된 cmd.exe를 지정해 주는 것이 좋음 

# Reference

http://www.yes24.com/Product/Goods/8511539

[Digital Forensic] 디지털 포렌식 관련 법규

디지털 포렌식에서 법률은 매우 중요한 부분이며, 최근 디지털 포렌식의 관심과 연구가 늘어나고 또 인력에 대한 수요와 기술적 수요가 늘어나면서 디지털 포렌식에 관련된 법률 또한 신설되어 디지틸 포렌식과 관련된 법률 공부를 하지 않고서는 제대로 된 디지털 포렌식을 수행할 수 없다.

(1) Digital Forensic 관련 법규

디지털 포렌식과 관련된 법률은 다음과 같은 법률들이 존재한다. 

1-1. 디지털 증거 수집 및 분석 규정

1-2. 디지털 포렌식 수사관 인증심의위원회 운영 규정

1-3. 형사소송법

• 제 106조 (압수)

• 제 215조 (압수 / 수색 검증)

• 제 218조의 2조 (압수물의 환부, 가환부)

• 자유심증주의

• 위법수집증거배제원칙

• 전문증거배제법칙

1-4. 통신비밀보호법

• 제 9조의 3 (압수 / 수색 / 검증의 집행에 관한 통지)

• 제 13조 (범죄 수사를 위한 통신 사실 확인 자료 제공의 절차)

• 제 13조의 3 (범죄 수사를 위한 통신 사실 확인 자료 제공의 통지)

1-5. 정보통신망 이용촉진 및 정보보호 등에 관한 법률

1-6. 부정경쟁방지 및 영업비밀보호에 관한 법률

1-7. 산업기술의 유출방지 및 보호에 관한 법률

1-8. 신용정보의 이용 및 보호에 관한 법률

위에서 언급한 법률들 중 법률의 일부 조항만이 디지털 포렌식과 관련이 있는 법률도 있지만 대부분의 법률의 모든 조항들이 디지털 포렌식과 관련이 있어 이 책에서 모두 언급하지 못하였다.

(2) 법률 관련 용어

다음은 디지털 포렌식 법률에 관한 용어들에 대한 설명들이다.

2-1. 위법수집증거 배제원칙

• 위법한 절차에 의하여 수집된 증거에 대한 증거 능력을 배제(인정하지 않는) 법칙

• 형사소송법 제 308조 2에 의하여 적법한 절차에 따르지 아니하고 수집한 증거는 증거로 할 수 없음

• 미국에서 유래하였으며, 우리나라에서는 2007년 6월 1일 개정한 형사소송법에 이 법칙의 규정을 신설 

2-2. 독수독과이론 (독수과실이론)

• 위법하게 수집된 증거(독수)에 의하여 발견된 제 2차 증거(독과)의 증거 능력은 인정할 수 없다는 이론

• 위법수집증거배제법칙이 적용된 증거에서 파생되거나 추출한 제 2차 증거에도 증거 능력으로 인정 받을 수 없는데 이를 독수독과이론 또는 독수과실이론이라고 함

2-3. 자유심증주의

• 법정에 제출된 증거의 증거 능력을 법률을 근거로 판단하는 것이 아닌 법관의 자유 판단을 근거로 판단하는 주의

• 법정증거주의에 대한 것으로서 증거의 증명력을 적극적 또는 소극적으로 법정하지 아니하고 이를 법관의 자유로운 판단에 일임하는 주의

2-4. 진술거부권 고지

• 진술거부권 피고인, 피의자, 증인, 감정인 등이 질문 또는 심문에 대하여 진술을 거부할 수 있는 권리

• 다른 말로 묵비권이라 함

2-5. 법정증거주의

• 증거의 증명력에 관한 법칙을 법률로 정립하여, 사실의 인정에 있어 법관으로 하여금 반드시 이 법칙을 따르도록 하는 주의

2-6. 무죄추정의 원칙

• 피고인이 유죄로 판결이 확정될 때까지는 무죄로 추정한다는 원칙

2-7. 별건증거 (플래인뷰)

• 특정 범죄 혐의에 대해 영장을 발부 받아 압수수색한 휴대전화에서 다른 범죄의 증거가 나온 경우, 다른 범죄 증거에 대해 사후영장을 받지 않았다면 그 증거나 이에 기반한 관련자 진술은 증거 능력이 없다는 판결이 나옴

• 법원은 다만 검찰이 새롭게 드러난 별건의 범죄 혐의에 대해 2차 압수수색영장을 받았다면 절차적 위법성이 치유되어 증거 능력이 인정된다고 판단함

2-8. 이익형량

• 충돌하는 기본권의 법익을 비교 & 형량하여 결정하는 방법

• 공익 대 공익, 공익 대 사익 간에도 이익형량 법칙이 적용됨

2-9. 압수수색

• 증거물 또는 몰수할 것으로 예상되는 물건의 점유를 취득하여 유지하는 처분인 압수와 사람의 신체, 물건, 주거 기타의 장소에서 압수할 물건이나 사람을 발견하기 위해 이를 찾는 처분인 수색

• 많은 국가에서 압수 수색을 위해 영장을 요구하며, 불법적인 압수수색으로 부터 보호받을 헌법적 권리를 보장받고 있음

2-10. 참여권보장

• 수사기관은 압수수색한 저장매체에서 영장 혐의와 상관 없는 별도의 범죄 혐의와 관련된 전자 정보를 발견하더라도 피압수자 측에 적정한 참여권 등을 보장하지 않으면 적법하게 그 내용을 압수할 수 없음

• 또 압수한 전자 정보를 수사기관으로 가져와 복제하고 재복제하는 등 순차적인 압수수색 과정에서 한 차례라도 정보 소유자의 참여권을 보장하지 않았다면 해당 압수수색 전체가 위법하므로 이 과정에서 획득한 증거는 증거 능력을 인정받을 수 없음

2-11. 압수수색과 참여권

• 수사기관의 전자 정보에 대한 압수수색은 원칙적으로 영장 발부의 사유로 된 범죄 혐의사실과 관련된 부분만을 문서 출력물로 수집하거나 수사 기관이 휴대한 저장매체에 해당 파일을 복제하는 방식으로 이루어져야 함

• 저장매체 자체를 직접 반출하거나 복제본 형태로 수사기관 사무실 등 외부로 반출하는 방식은 현장의 사정이나 전자 정보의 대량성으로 관련 정보 획득에 긴 시간이 소요되거나 전문 인력에 의한 기술적 조치가 필요한 경우 등 범위를 정해 출력 또는 복제하는 방법이 불가능하거나 압수의 목적을 달성하기에 현저히 곤란하다고 인정되는 때에 한해 예외적으로 허용될 수 있음

• 저장매체 자체를 직접 반출하거나 복제본 형태로 이용하는 것이 허용되는 예외적인 경우에도 이를 수사기관 사무실 등에서 복제, 탐색, 출력하기 위해서는 피압수자나 그 변호인에게 참여 기회를 보장하고 혐의 사실과 무관한 전자 정보의 임의적인 복제 등을 막기 위한 적절한 조치를 취하는 등 영장주의 원칙과 적법절차를 준수해야 함

• 이와 같은 예외적인 경우에도 혐의 사실과 관련된 전자 정보 이외에 이와 무관한 전자 정보를 탐색 / 복제 / 출력하는 것은 원칙적으로 위법한 압수수색에 해당하므로 허용될 수 없음

2-12. 임의수사

• 강제력을 행사하지 않고, 상대방의 동의나 승낙을 받아서 행하는 수사

• 임의동행, 보호실 유치, 수색, 거짓말 탐지기, 마취 분석, 최면 수사 등이 포함

• 수사의 필요성과 상당성, 자유의사에 대한 승낙

• 상대방의 승낙을 매개로 강제수사에 대한 법적 규제를 회피하거나 탈법적으로 이용해서는 안 됨

2-13. 강제수사

• 강제 처분에 의한 수사

• 체포 (형사소송법 제 200조의 2)

• 피의자 구속 (형사소송법 제 201조의 2)

• 압수수색검증 (형사소송법 제 215조)

2-14. 영장주의

• 피의자 체포, 구속, 압수, 수색, 검증 등의 강제수사를 함에 있어 판사가 발부한 영장에 의하여야 한다는 원칙

임의수사로 볼 것인지 강제수사로 볼 것인지에 대한 새로운 수사 방법을 고려해야 한다. (비디오 촬영, CCTV, 음주 측정, 해혈, 채뇨, 체액이나 채모 채취, DNA 감정, 무인카메라 등)

2-15. 전문증거

• 원진술자가 공판 기일 또는 심문 기일에 행한 진술 이외의 진술로서 그 주장 사실이 진실임을 입증하기 위하여 제출된 것

• 경험 사실을 들은 타인이 전문한 사실을 법원에서 진술하는 경우, 경험자 자신이 경험 사실을 서면에 기재하는 경우 및 경험 사실을 들은 타인이 서면에 기재하는 경우가 포함

2-16. 전문증거배제법칙

• 전문증거는 사실 인정이라는 기초하에 경험자가 경험적 사실을 법원에 직접 보고하지 않고 다른 형태로 간접적으로 보고하는 것을 뜻함

• 이런 증거는 원천적으로 증거가 될 수 없다는 법칙이 전문증거배제법칙

• 현재 형사소송법 제 310조의 2에 명시, 규정 됨

2-17. 자백배제법칙

• 피고인의 자백 또는 그 피고인에게 불이익한 유일한 증거인 때는 유죄의 증거로 하지 못함

(3) 증거 인증 과정

디지털 포렌식에서 무결성은 굉장히 즁요하고, 무결성을 입증 하는데에는 여러 가지 절차와 해시 값 등이 사용된다고 언급하였다.

실제로 수사기관과 법원 사이의 증거 인증 과정은 다음과 같다.

먼저 수사기관에서는 획득할 증거를 구별하고 증거 수집에 있어 동의서 확인을 받은 후 증거를 획득하기 시작한다.

증거 획득 과정에서는 무결성을 입증하기 위해 해시 값을 생성하는데, 이때 생성된 해시 값은 수사기관에서 별도로 기록하여 관리하기도 하지만 법원에 이 해시 값이 전달된다.

법원에서는 전달 받은 해시 값을 자신들의 인증서로 전자서명 하여 전자증거 보관소에 저장한다.

그 후 추후에 수사시관에서 증거를 제출하면 법원은 전자증거 보관소에 저장되어 있는 해시 값과 수사기관이 제출한 증거의 현재 해시 값을 비교해 증거가 변조 또는 훼손되었는지 판단한다.

이때 당연히 해시 값이 일치하지 않다면 증거는 훼손되었다는 것이 입증되며 증거는 증거 효력을 가지지 못하게 된다.

이런 과정이 있기 때문에 증거를 획득하는데 있어 무결성을 위한 해시 값은 굉장히 중요하다.

또 해시 알고리즘 특성상 1bit만 변경되더라도 해시 알고리즘에 의해서 생성되는 값은 전혀 다른 값이기 때문에 증거의 훼손 정도 또한 판단할 수 없어 증거 효력을 잃게 된다.

그러므로 증거를 획득할 때에는 신중히 절차대로 증거를 수집해야 한다.

(4) 증거 효력

4가지의 증거력과 5가지의 디지털 포렌식 증거력으로 나눌 수 있으며 다음과 같다.

4-1. 증거력

1) 진정성(Authenticity)

• 해당 증거가 특정인이 특정 시간에 생성한 파일이 맞는지 여부

2) 무결성(Integrity)

• 원본으로부터 증거 처리 절차 과정동안 수정, 변경, 손상이 없어야 함

3) 원본성(Originality)

• 실제 법정에 제출되는 원본과 다른 사본 증거에 대한 증거 능력을 부여할 수 있는가?

4) 신뢰성(Relability)

• 증거의 분석 과정에서 증거가 위조 / 변조 되거나 의도하지 않은 오류를 포함해서는 안 됨

4-2. 디지털 포렌식 증거력

1) 정당성

• 적법절차에 의해 수집되었는가?

2) 재현성

• 같은 조건 상황에서 같은 결과를 가지는가?

3) 신속성

• 전 과정이 신속하게 진행되었는가?

4) 절차 연속성 (연계 보관성)

• 수집, 이동, 보관, 법정 제출의 각 단계에서 담당자 및 책임자가 명확한가?

5) 무결성

• 수집된 증거가 위조 / 변조 되지 않았는가?

(5) 추가 내용 정리

법정에서 유효한 증거가 되기 위해서는 디지털 증거가 증거 능력을 갖고 충분한 증명력을 갖는다는 것을 의미한다.

증거 능력은 증거가 엄격한 증명의 자료로 사용될 수 있는 법률상의 자격을 말하며, 조건은 다음과 같다.

5-1. 법정에서 유효한 디지털 증거

• 증거 능력 관점에서 유의하여 증거를 수집 / 분석 / 제출해야 함 (진정성, 무결성 보증)

• 판사에 의해 증거 능력이 인정 됨

• 위법수집증거배재원칙과 전문법칙에 따라 증거 능력 인정 여부가 결정 됨

• 증명력은 증거의 실질적 가치를 의미, 신빙성의 정도를 가리킴

• 재판을 통해 증명력을 평가 받음

• 자유심증주의에 근거하여 법관의 자유로운 판단에 의해 결정

5-2. 전문법칙의 예외

1) 전문법칙 예외

• 진술이 진실일 가능성이 큰 경우

• 잘못된 의미를 전달할 가능성보다 다른 요소가 더 큰 경우

• 전문가 증언의 경우 전문가들이 근거로 하는 자료

• 원진술자가 법정에서 증언할 수 없다는 것을 입증할 경우

2) 전문법칙 예외 기준

• 해당 진술의 진실성을 담보할 수 있는 구체적이고 외부적인 정황이 있음

• 전문증거이지만 동일한 가치의 증거를 얻는 것이 다른 방식으로는 불가능하여 이 증거라도 사용할 필요가 있을 경우

• 원 진술과 동일한 내용의 진술을 구하는 것이 불가능하거나 현저히 곤란하여 비록 전문증거라도 사용하여 실체적 진실을 규명할 필요가 있을 경우

3) 일반적인 전문법칙의 예외

• 법원 또는 법관의 면전조서

• 피의자 신문조서

• 진술조서 및 진술 기재서

• 진술서

• 검증조서

• 감정서

•  증거 능력이 있는 서류 등

4) 디지털 증거와 전문법칙의 관계

• 디지털 증거는 사람의 지각, 기억, 표현, 서술이라는 진술 과정을 거치지 않고 그것이 기계적으로 처리되어 작성된 것

• 전문법칙에 근거하여 컴퓨터에 저장되어 있는 디지털 자료는 전문증거로 판단되어 증거 능력을 인정할 수 없음

• 압수한 디지털 증거가 무결성 문제, 신뢰성 문제 및 원본성 문제를 모두 통과하여도 디지털 증거가 진술 증거로 인정되는 경우에는 전문법칙이 적용되어 증거 능력이 부정될 수 있음

• 디지털 증거는 프로그램을 이용, 사람이 표현하고자 하는 내용의 자료를 입력하여 처리, 생성된 부분이 존재

• 따라서 내용의 진실성 입증을 위해 전문 법칙의 관계에 유의하여 증거 능력에 대한 검토가 필요

• 디지털 증거도 적절한 조건을 갖출 경우 전문법칙의 예외로 적용

5) 전문법칙의 예외의 디지털 증거

• 주로 컴퓨터에 의해 생성된 증거 (생성 증거)

• 컴퓨터 시스템이 작동하면서 자동적으로 기록, 저장되는 디지털 증거들

• 시스템 로그 파일, 이벤트 기록 및 인터넷 웹 히스토리, 파일 등

• 이러한 디지털 데이터 자체가 증거로서 제출되는 경우에는 진술 증거가 아니므로 전문 법칙이 적용될 여지 없음

• 또한 진정성, 무결성, 신뢰성 등이 인정되면 일반적으로 증거 능력 인정

6) 진술 증거로서의 디지털 증거(전문 여부 판단 필요)

• 주로 컴퓨터에 저장된 증거 (보관 증거)

• 대부분 진술 증거로서 전문 법칙 적용

• 전자 문서로 된 비즈니스 기록은 진술 증거임에도 일정 요건이 만족되는 경우 전문 법칙의 예외로 인정

(6) 형사소송 절차

수사는 기본적으로 임의수사와 불구속수사를 원칙으로 하며, 수사기관은 법원의 영장을 전제로 강제수사를 할 수 있다.

6-1. 임의수사 절차

1) 강제처분법정주의

• 수사에 관해 그 목적 달성을 위해 필요한 조사를 할 수 있음

2) 임의 동행

• 수사기관이 피해자의 동의를 얻어 피의자와 수사기관까지 동행하는 것

3) 승낙 또는 동의에 의한 경우

• 일반적으로 임의수사는 상대방의 승낙을 전제로 포기 가능

4) 함정 수사

• 범죄의 실행에 필요한 기회를 제공하여 범죄 실행을 기다렸다가 체포

5) 피의자 신문

• 수사에 필요할 때 피의자 출석을 요구하여 진술을 들을 수 있음

6) 진술권의 고지

• 헌법 제 12조 제 2항은 '누구라도 자기에게 불리한 진술을 강요당하지 아니한다.'고 규정

7) 참고인 조사

• 수사에 필요한 때는 피의자가 아닌 출석을 요구하여 진술을 들을 수 있고 피의자가 아닌 자를 참고인이라 함

8) 감정, 통역, 번역의 위촉

9) 사실 조회

6-2. 강제 수사 절차

대물적 강제 처분 : 증거물을 수집하기 위한 강제 처분을 뜻함

1) 영장에 의한 압수 / 수색

• 압수 증거물이나 몰수가 예상되는 물건의 점유를 취득하는 것

• 강제적 점유인 압수

• 임의적 이전인 영치를 합하여 통칭 압수라 함

• 수색은 압수할 물건이다 피의자 발견을 위해 사람의 신체, 물건 또는 주거 기타 장소에 대한 강제 처분을 뜻함

• 일반적 / 탐색적인 압수 / 수색은 금지되고, 압수 / 수색에 대한 대상과 장소는 특정되어야 함

2) 영장에 의하지 않은 압수 / 수색

2-1) 사후 영장을 요하지 않은 경우

• 타인의 주거나 타인이 간수하는 가옥에서 피의자 수사, 유류물(남겨진 물건)이나 임의 제출물들의 영치, 동의에 의한 압수 수색

2-2) 사후 영장이 필요한 경우

• 체포 또는 구속 현장에서의 압수나 수색

• 범죄 장소에서의 압수, 수색, 검증

• 긴급 체포된 자의 소지 보관물

• 특수기록 매체 포함 (컴퓨터), 48시간 이내에 압수 / 수색 영장 청구해야 함

• 영장을 발부 받지 못한 때에는 즉시 반환해야 함

컴퓨터 등을 압수하는 과정에서 우연히 발견된 다른 죄의 증거임이 명백한 증거물에 대해서 피의자를 현행범으로 체포하면서 압수할 수 있다.

그리고 이 경우에는, 압수의 필요성이 있는 경우에는 당연히 사후 압수 / 수색 영장을 발부 받아야 한다.

3) 검증 / 감정

• 검증은 사실 확인을 위해 장소나 물건 또는 사람의 인체에 관해 오감을 통해 감지하는 강제 처분이며, 강제 처분이란 점에서 압수 수색과 같이 영장에 의해야 하고, 검증은 그 자체가 검증 조사

• 감정은 툭별한 지식, 경험을 가지고 있는 자로부터 구체적 사실에 적용하여 얻은 판단을 보고

(7) 증거 법칙

증거는 사실을 인정하기 위한 근거로서 정보를 전달해 주는 것이며, 증명의 3원칙은 다음과 같다.

1) 증거재판주의

• 형사소송법 제 307조는 '사실의 인정은 증거에 의하여야 한다.'라고 규정하여 증거재판주의를 선언

• 증거재판주의는 실체 진실을 발견하기 위한 증거법의 기본 원칙

• 민사 소송에 있어서는 당사자가 자백한 사실(다툼이 없는 사실)에 대해서는 증명을 요하지 않는다(민소법 제 261조)

• 그러나 실체진실주의가 적용되는 형사 소송에 있어서는 자백한 사실 일지라도 그 사실은 증거에 의하지 아니하면 인정할 수 없음

2) 검사의 거증 책임

• 공소가 제기된 범죄 사실에 대한 증명 책임은 검사에게 있음

3) 자유심증주의

• 증거의 증명력을 평가할 때 아무런 제한이나 구속력을 두지 않고 오로지 법관의 자유로운 판단에 맡기는 주의

(8) 과학적 증거의 허용성

과학적 증거의 허용성 인정을 위해서는 과학적 검사 기술의 타당성이 인정되어야 한다.

새로운 기술의 경우 당사자의 입증, 전문가의 증언에 의한 인정이 필요한 경우가 많다.

두 가지의 판결 기준이 있으며, 다음과 같다.

8-1. frye 기준

• 거짓말 탐지기 결과를 증거(과학 분석 결과)로 사용하지 않은 사례

• 특정 분야에 있어서 일반적인 승인을 얻은 충분히 확증된 것이어야 함

• 지문, DNA 검증과 같이 보편적인 승인을 얻어야 함

• 법원이 과학적 사실에 관하여 사실로 받아들이기 위한 요건으로는 적절하지만 기준이 너무 엄격

8-2. Daubert 기준

• 8인의 전문가를 통해 진행된 실험실 테스트 결과를 증거로 제시

• 이전까지 frye 기준을 사용하였지만, 어느 사건 이후로 frye를 폐기하고 새로운 기준 제시

Daubert 기준에 대한 판단 제시 사항은 다음과 같다.

1) 문제된 여론과 기술이 검증될 수 있고 검증된 바가 있는지 여부

2) 동료에 의해 평가되거나 출판된 적이 있는지

3) 잘 알려진 또는 잠재적 오류율이 있는지

4) 문제된 이론과 기술의 운용을 통제하는 기준의 존재 및 지속성 여부

5) 과학적 공동체 내에서 일반적 기법이나 이론을 수용하는지 여부

과학적 증거의 사용이 계속하여 전문적이고 새로워지는 현실에서 일반적 승인을 받기까지 기다리고만 있을 수 없기에 과학적 공동체 내에서 일반적으로 수용한다면 인정하는 기준이지만, 너무 완화해서 인정하는 것은 위험하다.

(9) 통신제한조치와 개인정보보호

9-1. 통신제한조치 

1) 우편물의 검열

• 당사자의 동의 없이 개봉하거나 기타 방법으로 내용을 알아내는 것

2) 감청

• 타인의 대화를 녹음하거나 전자 장치 또는 기계적 수단을 이용하여 청취하는 것

• 상대 동의 없이 녹음하는 것은 증거로 사용 가능

• 그러나 제 3자의 경우 통신하는 모두의 동의를 받지 않는 한 위법한 감청에 해당

9-2. 개인정보와 수집제한

1) 개인정보

• 개인에 관한 정보로 성명, 주민등록번호 뿐만 아니라 둘 이상의 정보로 개인을 특정할 수 있는 정보를 의미

• 개인정보처리자는 개인정보 수집할 경우 최소한의 개인정보를 수집해야 함

• 입증 책임은 개인정보 처리자가 부담

2) 민사절차상 전자적 증거

• 형사소송과 달리 자유심증주의를 채택하기에 원칙적으로 증거 능력의 제한은 없음

• 위법하게 수집한 증거는 원칙적으로 증거 능력이 없으나 민사소송에서는 법원의 재량에 맡김

# Reference

http://www.yes24.com/Product/Goods/8511539

https://blog.naver.com/PostView.nhn?blogId=bitnang&logNo=220692059829&parentCategoryNo=&categoryNo=38&viewDate=&isShowPopularPosts=true&from=search

[Digital Forensic] 디지털 포렌식 어카운팅

(1) 디지털 포렌식 어카운팅 정의

요즘은 컴퓨터가 발달하여 대부분의 회계 정보와 재무 정보 등의 자산 정보를 전산으로 처리하고 있어 디지털 포렌식의 확장 분야로 디지털 포렌식 어카운팅(Digital Forensic Accounting) 분야가 최근 들어 급속도로 발전하고 있다.

일반적으로 디지털 포렌식 어카운팅은 포렌식 어카운팅으로 줄여 부르는데 정확하게 포렌식 어카운팅이 무엇을 의미하는지 살펴보면, 제일 포렌식 어카운팅이 발달되어 있는 미국에서는 다음과 같이 정의한다.

• 기업에서 일어나는 일련의 회계부정 사건들에 대한 부정을 법정에서 증명하기 위해 적법한 절차에 따라 회계증거를 수집하고 분석하는 행위 또는 과정

위 정의에서 살펴보듯이 디지털 포렌식이 회계감사 부분에 적용되었다는 것을 쉽게 알 수 있다.

디지털 포렌식에서 알아야 할 전방위적 지식들과 회계감사에 필요한 지식들이 있어야만 포렌식 어카운팅을 수행할 수 있다.

(2) 부정의 정의

• 회계 분야에서 부정이란, 큰 의미로는 기업에서 자산을 관리할 때 의도적으로 기업의 자산을 절취하거나 횡령하는 것을 의미

• 세부적으로 보면, 재무제표를 작성할 시에 고의로 재무제표를 수정하거나 기입하지 않는 행위를 의미

부정은 다음과 같이 크게  두 가지의 형태로 나눌 수 있다.

• 첫 번째로는 기업의 자산을 절취하거나 횡령하여 부정을 저지른 형태

• 두 번째로는 제무 허위보고가 있으며, 제무 보고 시 이를 허위로 보고하여 주가 상승 등의 효과를 노려 자신이 직 / 간접적으로 이익을 추구하려 부정을 저지르는 형태

첫 번째의 경우, 부정을 저지르는 자는 부정의 목적인 돈을 위하여 재무제표를 의도적으로 수정하여 수정 된 돈을 절취하려 한다.

또는 이미 기업의 돈을 횡령하고 그 사실을 들키지 않기 위해 재무제표를 의도적으로 수정할 수도 있다.

두 번째의 경우, 부정은 내부 직원에 의해서 또는 외부인에 의해서 일어날 수 있는 행위 중 하나이다.

이러한 행위는 기업 입장에 있어 역시 좋지 않은 결과를 가져다 줄 수 있고, 기업은 이런 부정이 일어났을 시 기업 이미지 등을 고려해 사회에 노출되지 않도록 하는 성격도 가지고 있다.

이런 이유로 우리가 알고 있는 여러 부정들은 빙산 일각에 불과하다는 것을 반드시 기억하고 있어야 한다.

(3) 포렌식 어카운팅 필요 능력

1) 재무제표에서의 문제점 파악 능력 필요

2) 수사에 대한 지식 필요

3) 증거 개념 지식 필요

4) 수집한 증거를 분석하기 위한 회계 지식 필요

5) 보고를 쉽게 하는 능력 필요

다섯 가지의 능력에 대한 이유는 다음과 같다.

첫 번째는, 포렌식 어카운팅을 수행하는 자는 재무제표에서 재무적 이슈가 무엇인지 신속하고 명확하게 파악하는 능력을 구비하고 있어야 하는데, 이 능력은 경험적 감각이 가장 필요 시 되며 부수적으로 해당 기업의 실상 파악 능력 등이 필요하다.

두 번째는, 재무제표에서 재무적 이슈를 파악했다면 당연히 수사를 진행해야 하며, 이때 수사에 대한 기본 지식(증거 수집 등)이 없다면 수사는 진행될 수 없다.

세 번째는, 법정에서 재무적 이슈에 대한 증거는 어떠한 증거가 있는지, 이런 증거들의 수집 방법은 어떻게 되는지 등에 대한 것들을 알고 있어야 한다.

네 번째는, 수집한 회계 데이터에서 부정을 적발하기 위해서는 회계 지식이 반드시 필요하며, 회계 부정 사건의 경우 한 가지의 시선만을 가지고 바라봐서는 절대로 사건을 전체적으로 파악할 수 없다.

그리고 여러 가지 관점에서 보려면 회계 지식을 이용해 회계 분야의 관점으로 회계 데이터들을 바라보고 그 데이터들에서 부정의 흔적을 찾아내야 한다.

다섯 번째는, 이 부분은 일반 디지털 포렌식과 동일하다고 볼 수 있으며, 디지털 포렌식에서도 보고서를 작성할 시에 최대한 누구나 쉽게 이해할 수 있도록 작성해야 하는데, 포렌식 어카운팅에서도 이 부분은 동일하게 적용된다.

(4) 포렌식 어카운팅 기술

포렌식 어카운팅 기술은 디지털 포렌식의 여러 기술들이 근간이 되어 획득 된 회계 데이터를 분석하는 기술로 대표적으로 4자기 기술로 나눌 수 있으며, 여러 상용 포렌식 어카운팅 분석 툴에서도 해당 기술들을 지원하고 있다.

1) 회기 분석(Regression Analysis)

• 수학적 근거의 모델을 이용해 어떤 현상에서 변수들의 종속 관계를 설명하는 분석 기법 

2) 상관 분석(Correlation Analysis)

• 회기 분석에서 설명된 변수들만이 가지고 있는 밀접한 정보를 분석하는 기술로 통계적 분석 방법에 속하는 분석 기법

3) 분포 분석(Dispersion Analysis) 

• 변수들이 가지고 있는 알려진 정보들을 이용해 가치있는 정보와 내용의 특성 등을 분석하기 위해 사용하는 통계 기법 중 하나

4) 벤포드 법칙(Benford's Law)

• 이론적인 확률 값과 실제 분석한 결과 값이 불일치 하다는 것을 보여줄 때 사용하는 통계 기법

특히 벤포드 법칙은 회계 데이터의 샘플링을 수행할 시 가장 적절한 방법 중 하나이며, 샘플링은 회계 데이터를 일부 추출하여 검증하는 작업을 말한다.

이때 샘플링이 잘못 수행되면 부정을 적발하지 못하게 된다.

이런 이유로 샘플링을 수행할 때에는 벤포드 법칙을 사용해 샘플링을 수행하면 된다.

벤포드 법칙은 간단히 설명하면, 숫자의 자리 중 특정 자리에 특정 숫자가 위치하는 것을 예측 가능하다는 법칙이다.

# Reference

http://www.yes24.com/Product/Goods/8511539

[Digital Forensic] 디지털 포렌식 준비도

(1) 디지털 포렌식 준비도

• 2009년 영국에서 제도화하면서 알려지기 시작 (이론의 역사는 길지 않음)

• 2001년 Tan의 Forensic Readiness에서 처음 그 개념이 소개

Tan은 Forensic Readiness 문서에서 포렌식 준비도의 개념을 다음과 같이 정의하였다.

1) 신뢰할 수 있는 증거 수집 환경의 능력을 최대화하고

2) 사고 대응 비용을 최소화 하도록 도와준다.

위와 같은 개념을 바탕으로 여러 학자들은 자신만의 포렌식 준비도 개념을 정의하여 왔다.

하지만 공통적으로 신뢰성 있는 증거에 대한 수집 환경 능력은 극대화시키는 것을 말하고 있다.

즉, 포렌식 준비도는 다음과 같이 정의할 수 있다.

• 법적 증거 능력을 가지는 증거 데이터를 수집하고 분석하기 위한 환경을 갖추고 디지털 포렌식 수행 비용 최소화

• 디지털 포렌식에 맞는 환경이 얼마나 잘 갖추어져 있는지에 대한 지표이기도 한 계획적 시스템

• 디지털 포렌식 인력 준비 및 충원에 대한 제도

포렌식 준비도에 대한 오해는 이러한 정의들에 애매모호한 이해에서부터 출발한다.

포렌식 준비도에 대한 완전한 이해가 없는 몇몇 사람들은 포렌식 준비도를 로그 데이터 시스템 설치 및 로그 보존 정도로 이해하거나 포렌식 전문 인력의 의무고용 정책처럼 이해하여 많은 비용이 드는 것으로 착각한다.

하지만 정의에서도 보았듯이 포렌식 준비도의 개념 및 최종 목적은 디지털 포렌식 수행 비용 최소화, 침해 대응 초기에 디지털 포렌식 수행이 얼마나 매끄럽게 진행되는지에 대한 지표로 사용되는 것이다.

포렌식 준비도의 개념이 정의되고 나서 얼마 후 대부분의 디지털 포렌식 가이드라인에서 언급하는 디지털 포렌식 프로세스 중 처음 단계인 디지털 포렌식 준비 단계에 포렌식 준비도를 포함시키고 있다.

모든 가이드라인이 포렌식 준비도를 디지털 포렌식 프로세스에 추가한 것은 아니지만 대부분의 디지털 포렌식 프로세스를 보면 준비 단계에 포렌식 준비도가 포함되어 있다.

(2) 포렌식 준비도의 특징

포렌식 준비도의 개념 및 목적을 살펴보면 침해사고가 발생한 후 디지털 포렌식을 수행할 때 그 과정을 지원하는 제도라고 생각이 들 것이다.

1) 포렌식 준비도는 침해사고 이후에 진행되는 디지털 포렌식을 지원 또는 보충해준다.

• 디지털 포렌식은 침해사고를 기준으로 침해사고 이전에 이루어지는 사전적 포렌식, 침해사고 당시에 이루어지는 라이브 포렌식, 침해사고 이후에 이루어지는 사후적 포렌식으로 분류 가능

• 포렌식 준비도는 사전적 포렌식에 속하며, 우리가 흔히 알고 있는 하드 디스크 이미지 덤프 파일 분석, 로그 분석 등의 업무가 사후적 포렌식에 속함

• 포렌식 준비도는 이런 침해사고 이후 이루어지는 디지털 포렌식 업무에 여러 가지 필요한 부분들은 보충하고 지원하여 업무 진행이 성공적으로 끝나도록 하는 역할 담당

2) 포렌식 준비도와 일반 정보보호 정책은 그 요구사항이 많이 겹친다.

• 일반적인 정보보호 정책은 법적 증거 능력을 중점으로 데이터를 보존하는 것이 아니고 정보를 보호하기 위한 사고대응에 초점이 맞추어져 있기 때문에 로그의 불완전한 상태, 변조 / 삭제 등과 같은 데이터 훼손으로 인해 실질적인 범죄자를 검거하지 못하는 한계가 존재

• 하지만 포렌식 준비도는 범죄자를 검거하기 위해 데이터에 대한 법적 증거 능력을 중점으로 데이터를 보존하기 때문에 본질적으로 정보보호정책과는 그 성격이 다름

3) 포렌식 준비도는 공격과 방어 비용에 관한 불균형을 해소해 줄 수 있다.

• 현재의 상황에서는 공격자는 몇 시간만에 시스템을 공격해 자신이 원하는 정보를 탈취해 가지만 공격 당한 시스템 쪽에서는 사건의 원인 규명과 대응책을 마련하기 위해 공격자가 공격에 들인 시간과 비용보다 몇 배 많은 시간과 비용이 필요

• 이러한 불균형이 지속된다면 계속해서 꼬리잡기 형국뿐이 되지 않을 것

• 방어자 입장에서 시간을 줄이고 공격자를 빠른 시간 내에 추적 및 검거하려면 우선적으로 증거가 효율적으로 빠른 시간 내에 습득 및 분석되어야 함

이에 필요한 것이 평상시에 도입해야 할 포렌식 준비도이다.

(3) 포렌식 준비도 절차

Tan이 처음으로 포렌식 준비도 개념을 정의하여 발표한 후 2004년에 Jeker Danielsson과 Ingvar Tjoskheim이 Tan의 포렌식 준비도 개념과 자신들이 재정립한 포렌식 준비도 개념을 이용해 포렌식 준비도에 최소한 다음과 같은 철차가 들어가야 한다고 하였다.

1) 디지털 증거 수집 및 잠재적 보존에 관한 관련 법률 맥락의 요구 사항과 제한 사항을 분석해야 한다.

2) 디지털 증거에 대한 조직의 필요성을 분석해야 한다.

3) 잠재적인 디지털 증거 소스 활용을 위해 기술과 프로세스를 열거 / 식별하고 분류해야 한다.

4) 디지털 증거 보존에 관한 디지털 증거 보존 절차 및 프로세스, 기술, 솔루션 등을 사용할 수 있도록 가이드라인을 작성해야 한다.

5) 관계 당국에 사건을 보고할 때에는 보고서는 표준 형식을 포함해야 하며, 관계 기간과의 상호작용 또한 포함되어 있어야 하고 언제 어떻게 등의 항목도 포함되어 있어야 한다.

위에서 언급한 포렌식 준비도 절차 말고도 여러 학자들이 정립한 포렌식 준비도 절차를 보면 대부분 다른 것 같으면서도 비슷한 절차를 제시하고 있는데, 이는 동일한 개념과 동일한 절차, 그리고 기존에 있던 정보보호 정책을 기준으로 정립되었기 때문이다.

여러 포렌식 준비도 절차의 공통점을 이용해 정리하면 다음과 같다.

1) 포렌식 준비도를 도입하는 조직은 조직 내의 가치있는 자산을 식별

2) 식별한 자산에 대해서 잠재적 위험을 평가

3) 식별된 위험 관련 자산에 관한 디지털 증거 데이터들을 식별하고, 식별한 디지털 증거 데이터 저장 및 보존에 대한 요구사항과 제한 사항을 포함해 포렌식 준비도 정책을 수립 (소프트웨어적 하드웨어적 환경도 같이 구성)

4) 포렌식 준비도를 강제적으로 수행시키기 위한 제도적 장치 등을 수립

5) 수립된 포렌식 준비도 정책에 관한 검증 및 평가를 수행

하지만 이와 같은 절차들은 표준일 뿐 조직 상황에 맞게 수정되어야 한다.

각 조직 상황에 맞는 포렌식 준비도가 도입되어야만 제대로 된 포렌식 준비도의 효과를 조직 입장에서 느낄 수 있다.

# Reference

http://www.yes24.com/Product/Goods/8511539

[Digital Forensic] E-Discovery 전자증거개시제

(1) E-Discovery 전자증거개시제

1-1. E-Discovery 전자증거개시제란?

• Electronic Discovery의 약자로 우리나라 말로 '전자증거개시제' 혹은 '디지털 증거개시제'라고 함

• 해당 단어는 미국의 법률이 개정되면서부터 사용

• 미국에서 민사소송 규칙이 개정되면서 Discovery에 사용되는 증거 범위에 전자 포맷의 문서(ESI)가 포함되어 해당 단어가 사용되기 시작

• Discovery는 소송자가 공판 전 공판에서 사용될 증거들을 법정에서 사용하는 방법으로 수집하여 법원에 120일 이내에 제출하는 것을 말함

E-Discovery를 시행하는 이유는 모든 소송자가 해당 증거물을 검토할 수 있게 하여 공정한 재판을 하기 위해서이다.

ESI에는 PC 문서, 이메일, 메신저 대화 내용 등이 모두 포함되며, 소송에 관련된 어떠한 전자적인 자료도 해당된다고 볼 수 있다.

ESI를 증거로 제시할 때에는 무결성 또는 진정성, 신뢰성 등이 보장되어야 한다.

현재 여러 국가에서 전자증거개시제를 시행하고 있지만 제일 처음 전자증거개시제를 시행한 곳이 영국과 캐나다이지만 현재로서는 미국에서 가장 많이 활용되고 있다.

위 그림은 EDRM(Electronic Discovery Reference Model)에서 제시하는 전자증거개시제 참조 모델이다.

(2) E-Discovery 과정

2-1. 정보 관리(Information Management) 단계

• 전자증거개시제에 필요한 정보들을 신속하게 사용할 수 있도록 관리하는 단계

• 즉, 미리 준비하는 단계라고 말할 수 있음

• 증거 개시가 요청되면 제한 시일내에 증거 개시가 이루어져야 하기 때문에 미리 필요한 정보를 준비해두는 것

2-2. 식별(Identification) 단계

• 정보 관리 단계에서 관리하였던 정보들 중 증거 개시 가능성이 존재하는 모든 자료를 식별하는 단계

• 정보를 식별하며 정보의 소유자와 관리자를 명확히 하고 증거의 출처 등을 명확하게 하는 단계

2-3. 보존(Preservation) 단계

• 식별 단계에서 식별한 정보의 무결성과 안전성을 유지하는 단계

• 실수였든 고의였든 이유를 불문하고 훼손된 증거에 대해서는 법정에서 불이익을 받기 때문에 이 단계는 매우 중요

2-4. 수집(Collection) 단계

• 식별되고 보존된 정보에서 원본의 무결성을 유지하며 증거로 사용될 만한 일련의 데이터(파일 내용, 파일명, 파일 타임라인 등)을 추출해 내는 단계

• 원본의 보존을 위해 원본의 물리적 복사본을 이용하던가, 논리적 이미징을 수행해 이미지를 통해 데이터를 추출

2-5. 처리(Processing) 단계

• 수집 단계에서 수집 된 데이터들을 연관성이 있는 정보들끼리 결합하는 단계

• 각각의 데이터는 별 의미가 없어보이지만 결합할 시 증거에 큰 도움이 되는 데이터가 될 수 있음

• 이러한 이유 외에도 추후 분석 솔루션 등을 이용할 때 효율성 있게 분석하기 위해 데이터들을 결합하기도 함

2-6. 검토(Review) 단계

• 처리 단계에서 처리된 자료들에 대해 관련 사건과 관련 있는지 검토하는 단계

• 이 단계는 일반적으로 법률 관계자(변호사 등)가 수행하는 단계

2-7. 분석(Analysis) 단계

• 수집 단계에서 수집된 데이터들에서 사건과 관계가 있는 키워드나 문맥 등을 추출해 내는 단계

• 검토나 처리 단계와 비슷하다고 생각할 수 있는데 위 사진의 세 가지 단계는 상호 관계에 있는 단계들

2-8. 제작(Production) 단계

• 위 세 단계를 거진 정보를 소송 당사자들과 합의한 제출 포맷이나 법정에서 제시한 제출 포맷으로 정보를 제작하는 단계

• 가끔 합의한 포맷으로 변환하지 않고 원본 데이터를 제출하는 경우도 있지만 대부분은 PDF 등의 포맷으로 변환하여 상대방이 검토하기 좋게 하여 제출함

2-9. 제출(Presentation) 단계

• 제작 단계를 거친 정보를 소송 당사자들끼리 약속한 제출 방법

• 서로에게 전달하거나 법원에 해당 정보를 제출하는 단계

(3) EDBP란?

3-1) EDBP(Electronic Discovery Best Practice)

• EDRM에서 추구하고자 하는 법률적, 기술적 가이드라인에 대한 제시와는 달리 법률적인 분야에 더 세부적인 절차를 제시하여 기업들에게 법률 서비스를 제공하는 모델

• 이런 이유로 EDBP에서는 EDRM의 디지털 포렌식 기술 등을 제외하고 EDRM의 모든 절차를 근거로 하는 법률적인 분야의 내용만 제시

• 즉, EDBP는 EDRM을 근거로 기업에게 법률 서비스를 제공하는 분야로 볼 수 있음

• EDBP는 법률적 사실을 제공하기 위해 연방민사소송규칙에 명시된 절차를 중점적으로 하여 모델을 구성하였고, 모델에서 언급하는 과정 중간에 근거들을 제시하여 신뢰성을 더함

다음은 EDBP에서 제시하는 EDBP 모델이다.

각 항목을 살펴보면 굉장히 세부적으로 많이 나누어 무언가를 제시하고 있는 것을 볼 수 있다.

대부분의 내용을 종합해 생각해보면 EDBP는 법률적 분야를 다루는 모델이어서 그런지 소송 준비 단계에서부터 정책과 관련한 이야기를 많이 다루고, 제시하고 있다.

(4) EDRM과 EDBP의 차이?

EDRM과 EDBP의 차이는 제시 모델의 내용에서부터 확인할 수 있다.

• EDRM은 '정보 관리' 항목을 소송 전 준비 단계에서 중요한 부분으로 단계 전반에 걸쳐 다룸

• EDBP는 '정보 관리'를 소송 전 준비 단계의 일부분으로 다룸

이는 EDBP가 조금 더 자세하고, 여러 주제에 대해 '정보 관리'를 생각하고 있음을 말해주고 있다.

EDBP는 기존에 있던 E-Discovery의 판례들을 모델에 적극적으로 제시하고 있다는 것을 '정보 관리'에서 부터 보여주고 있는 것이다.

또 EDBP는 정보를 분석하고 식별하는 팀을 구성하여 키워드 검색을 하는 기술적 중심으로 절차를 구성하는 EDRM과는 다르게 절차가 전반적으로 사람 중심이다. 

시람 중심이라는 의미는 EDRM의 절차가 주로 면담을 통해서 이루어진다는 것을 의미한다.

EDRM 또한 사람들을 만나 절차가 이루어지지만 면담을 통해 여러가지 방안을 제시하는 EDBP와는 달리 내용 확인을 위한 사람과의 만남이 주를 이룬다.

EDBP를 E-Discovery에 이용한다면 소송 준비 단계부터 E-Discovery 비용을 절감할 수 있으며, E-Discovery의 전 과정에서 소송 비용을 절감하기 위한 모델이라는 것을 EDBP 각 단계에서 느낄 수 있다.

어찌보면 비용 절감 측면에서 EDBP는 상업적 면이 굉장히 많이 부각될 수 있다.

하지만, 세부적 절차와 신뢰성 있는 근거를 제시하는 모델인 만큼 상업적 측면보다는 조금 더 E-Discovery를 준비함에 있어 필요한 모델임이 분명하기에 많은 로펌이나 컨설턴트들이 참조하고 있다는 것을 알아야 한다.

# Reference

http://www.yes24.com/Product/Goods/8511539