[인프런 스터디] 1주차 - 섹션 1. 디지털 포렌식 소개

디지털 포렌식이란?

• 컴퓨터 범죄와 관련하여 디지털 장치에서 발견되는 자료를 복구하고 조사하는 법과학의 한 분야

 

 

디지털 포렌식의 필요성?

• 일반 범죄에서도 디지털 포렌식으로 획득할 수 있는 증거가 주요 단서가 되는 경우가 많아짐
• 범죄 수사 이외의 분야에서도 활용도 증가 →  민사사건에서의 포렌식, 일반 기업에서의 수요 급증(내부 정보 유출, 회계 감사 등)

 

 

디지털 포렌식의 유형

침해 사고 대응	증거 추출
실시간	사후 조사
사태 파악 및 수습	범죄 증거 수집
엄격한 입증 필요 X	엄격한 입증 필요 O

 

 

 

디지털 포렌식의 대상

• 디스크 포렌식 → 컴퓨터 디스크 (윈도우, 리눅스, MacOS / 개인, 서버, 클라우드)
• 메모리 포렌식 → 컴퓨터 메모리 (ram)
• 네트워크 포렌식 → 네트워크 패킷, 네트워크 장비 로그, 네트워크 관련 설정들
• 모바일 포렌식 → 모바일 디바이스 (저장소, 메모리) / IoT 디바이스
• 기타 → 데이터베이스 포렌식, 암호 포렌식, 회계 포렌식, 소스코드 포렌식 …

 

 

디스크와 메모리의 차이

• 디스크: 흔히 말하는 C드라이브, D드라이브 ← 데이터가 담겨있는 공간, 프로그램 자체가 다운되어 있는 공간 like 창고
• 메모리: 그 프로그램, 데이터를 실행하기 위한 공간, 데이터 휘발성
• 크게 디스크에 대한 포렌식과 메모리에 대한 포렌식이 있음

 

 

주요 용어

• 디스크 이미징: 데이터를 통째로 가져올 수 없으니 디스크를 파일 형태로 변환하는 것
  → 핵심은 원본 데이터를 안전하게 보존하면서 분석을 위한 사본을 만드는 것 (증거 보존에 필수적)
• 디스크 마운트: 디스크 이미징된 파일을 내 컴퓨터에 등록시키는 것
  →  이미징된 파일을 포렌식 툴이나 시스템에서 가상의 드라이브처럼 인식시키는 과정, 마운트를 해야 분석 도구들이 파일 시스템에 접근하여 데이터 읽기 가능
• 메모리 덤프: 켜져있는 컴퓨터의 데이터를 똑 떼와서 수사하는 것 like 도마에 음식들이 뛰어놀고 있는데 사진 찍듯이 똑 떼어와서 가져옴
  → 시스템의 순간 상태(실행 중인 프로그램, 휘발성 데이터 등)를 파일로 저장, 시스템이 켜져 있을 때 휘발성 증거를 확보하는 데 사용됨