디지털 포렌식 [ digital forensics ]
디지털적인 법과학의 한 분야로, 컴퓨터와 디지털 기록 매체에 남겨진 법적 증거에 관한 것 등을 다룬다. 컴퓨터 법과학(computer forensic science)이라고도 한다.
디지털 기기를 매개체로 하여 발생한 특정 행위의 사실 관계를 법적으로 규명하고 증명하기 위한 절차와 방법을 말한다. 사건의 정확한 진상 규명을 위해 현대적 기술 및 장비와 과학적 기술 및 지식을 활용하는 과학 수사의 한 분야로, 과학 수사는 원래 주로 법의학(forensic)을 기반으로 하였으나 1980년대 이후 디지털 포렌식 영역까지 확장되었다.
1970년대 후반 미국을 중심으로 컴퓨터 관련 법이 만들어지며 처음 도입되었다. 저작권, 개인정보보호, 사이버 스토킹 등에 대처하기 위한 관련 법안이 통과되고, 1990년대에 이르러 법 집행 기관을 중심으로 디지털 포렌식 관련 기관이 설립되기 시작하였다. 2000년대에 들어서면서 국가별로 디지털 포렌식 표준이 수립되었고, 국가기관을 중심으로 디지털 포렌식 정책 수립 및 신기술에 대한 연구가 진행되었다. 하지만 2010년대 이후로는 안티포렌식 기법과 고급 은닉 기술들이 사용되면서 여러 가지 어려움이 등장하기 시작하였다. 특히 분석 대상 디지털 기기가 매우 다양해지고 관련 법제도로 인해 디지털 포렌식 적용 범위가 제한되면서 이러한 한계를 극복하기 위한 디지털 포렌식 기술 개발이 요구되고 있다.
디지털 포렌식은 그 분석 대상에 따라 디스크 포렌식, 라이브 포렌식(휘발성 데이터 대상), 네트워크 포렌식, 웹 포렌식, 모바일/임베디드 포렌식, 소스코드 포렌식, 데이터베이스 포렌식 등으로 나눌 수 있다.
디지털 데이터가 법적 효력을 가지는 증거 데이터로 사용되기 위해서는 논리적이고 체계적인 증거 수집 절차에 따라 수집되어야 하며, 신뢰성 있는 디지털 포렌식 도구에 의해 확보되어야 한다. 또한 자격 있는 증거 분석관에 의해 검증되어야 한다. 이러한 디지털 포렌식 절차의 기본 원칙은 다음과 같다.
- 정당성 : 증거가 적법 절차에 의해 수집되었는가
- 무결성 : 증거가 수집, 이송, 분석, 제출 과정에서 위변조되지 않았는가
- 연계보관성 : 각 단계에서 증거가 명확히 관리되었는가
- 신속성 : 디지털 포렌식의 전 과정이 신속히 진행되었는가
- 재현 : 같은 조건과 상황 하에서 항상 동일한 결과를 보장하는가
이러한 원칙에 따라 디지털 포렌식은 크게 사전 준비, 증거 수집, 증거 포장 및 이송, 조사 분석, 정밀 검토, 보고서 작성의 6단계 절차에 따른다. 또한 전체 포렌식에 필요한 요소 기술로는 크게 데이터를 수집하는 기술과 수집된 디지털 데이터를 분석하여 증거를 추출하는 기술로 나눌 수 있다.
- 원본 데이터 수집 기술 : 이미징 기술, 이미지 인식 기술, 네트워크 정보 수집, 메모리기반 장치 복제 기술, 휘발성 데이터 수집, 하드디스크 복구, 메모리 복구, 삭제된 파일 복구, 암호 통신 내용 해독 등
- 증거 분석 기술 : 로그 및 레지스트리 분석, 영상 정보 분석, 데이터마이닝, 네트워크 시각화, 저장 매체 사용 흔적 분석 기술 등
출처 : [네이버 지식백과] 디지털 포렌식 [digital forensics] (두산백과)