제1장 디지털포렌식

디지털 포랜식의 개념

디지털 포렌식 : 범죄현장에서 확보하는 스마트폰, 태블릿, 컴퓨터 등 디지털데이터 저장매체에서 수집할 수 있는 전자적 증거물 등을 사법기관에 제출하기 위해 데이터를 수집 및 분석하고, 보고서를 작성하는 일련의 작업이다.

• 과정: 식별 → 수집 → 획득 → 보존 → 분석
• 디지털 조사의 일반 원칙

  1. 무결성의 원칙: 수집된 증거가 위변조되지 않았음을 증명해야 한다. 보통 디지털 증거 수집시 데이터 해쉬(Hash) 값과 법정제출시점의 데이터 해쉬값이 같다면 디지털 증거의 무결성이 입증된다.

     해쉬(Hash) : 임의의 길이의 데이터를 고정된 길이의 데이터로 매핑하는 해쉬 함수로 얻은 값을 해쉬 값이라고 한다.

  2. 연계보관성(Chain of Custody)의 원칙: 디지털 증거물을 획득 > 이송 > 분석 > 법정제출의 각 단계에서 담당자 및 책임자를 명확히 해야 한다

  3. 정당성의 원칙: 디지털 증거를 수집 획득하는 절차가 적법한 절차를 거쳐서 얻어져야 법적으로 증거 능력이 부여된다.

  4. 재현의 원칙: 같은 조건에서 항상 같은 결과가 나와야 한다.

  5. 신속성의 원칙: 디지털포렌식 과정은 지체없이 신속하게 진행되어야 한다.

해쉬 값 비교분석

1. 해쉬 프로그램(HashCalc)을 설치하기

다운로드 사이트: https://www.slacasoft.com/hashcalc

프로그램을 실행시키면 아래와 같은 화면이 나온다.

2. 해쉬 값 분석

Data부분에 검증할 파일을 넣고, 하단의 Caculate를 클릭하면 해쉬 값이 계산된다.

파일의 내용 일부가 다른 경우:

메모장에 "11111...111"만 적은 파일 1과 2를 만들고, 뒤에 두 숫자만 "00"으로 바꾼 파일 3을 만든 후, 이 세 개의 파일을 계산하여 그 해쉬 값을 비교해보았다.

그 결과, 파일 1과 2는 동일한 해쉬 값이 나왔고, 파일 3은 다른 해쉬 값이 나왔다.

만든 날짜, 수정한 날짜, 액세스한 날짜가 다른 경우:

같은 한글 파일로 2개의 복사본을 만들어서 3개의 파일을 비교해보았다.

그 결과, 해쉬 값은 동일했다.