한국형 디지털포렌식 수사절차 및 검증체계 구축방안

권양섭(Yang-Sub Kwon) 한국디지털포렌식학회 2021 디지털 포렌식 연구 Vol.15 No.1

본 논문에서는 2010년 이후 디지털증거와 관련된 규범 환경의 변화와 쟁점에 대해 살펴본 후, 한국형 디지털포렌식 수사절차 및 검증체계 구축방안을 제안하였다. 2010년 이후 디지털증거 과잉압수를 제한하기 위한 법률적 노력이 지속되어 왔으며, 이제는 그동안의 성과를 분석하고, 보완할 사항을 검토한 후 이를 체계화해야 한다. 형사소송법 제106조 제3항 선별적 압수를 실현하기 위해서는 디지털포렌식 전문 수사관이 압수·수색 현장을 지원해야 하며, 이를 위해서는 디지털포렌식 현장지원 전문인력을 확충하고, 디지털포렌식 현장지원 조직을 분산형 권역지원 체제 방식으로 운영할 필요가 있다. 압수·수색 현장에서 압수·수색 규정과 업무 매뉴얼이 제대로 작동될 수 있도록 지속적인 교육과 보완이 이루어져야 한다. 피압수자 등의 참여권이 실질적으로 보장되기 위해서는 디지털포렌식 전문가의 조력을 용이하게 받을 수 있는 방안이 마련되어야 한다. 나아가 디지털포렌식 전문입회인 제도를 통해 압수·수색 과정에서 디지털증거의 진정성을 담보할 필요가 있다. 디지털증거는 취약성을 특징으로 하고 있다. 증거의 위·변조나 오염 등으로 인한 오판가능성을 방지할 수 있는 제도적 장치가 마련되어야 한다. 이를 위해서는 디지털증거 인증 및 검증체계가 구축되어야 한다. 디지털포렌식 전문가 인증을 위하여 국가 차원에서 디지털포렌식 전문가 자격시험 제도를 시행해야 한다. 디지털포렌식 과정에서 사용되는 디지털포렌식 도구에 대한 검증이 필요하다. 현재 우리나라에는 이를 검증하는 표준이나 기관·단체가 존재하지 않는다. 디지털포렌식 도구검증을 위한 체계를 구축할 필요가 있다. 디지털증거 분석실에 대한 인증도 필요하다. 시설과 설비·기기 그리고 증거관리·감독에 대한 표준과 평가기준을 제시할 필요가 있다. 나아가 디지털포렌식 표준절차를 마련하여 보관의 연속성을 통해 증거의 무결성과 신뢰성을 확보해야 한다. In this paper, changes and issues in the normative environment related to digital evidence since 2010 have been analyzed. Finally, a method for establishing a Korean digital forensic investigation procedure and verification system was proposed. Since 2010, legal efforts to limit excess seizure of digital evidence have continued. Now, it is necessary to analyze the achievements so far, review the items to be supplemented, and systemize them. In order to realize the selective seizure of Article 106 (3) of the Criminal Procedure Act, a digital forensic investigator must support the seizure and search sites. For this, it is necessary to expand digital forensic field support professionals and operate a digital forensic field support organization. At the site of seizure and retrieval, continuous education and supplementation should be provided to ensure that the seizure and retrieval regulations and work manuals are properly applied. In order to substantially guarantee the right to participate, such as the confiscated person, it is necessary to prepare a plan to easily receive the help of a digital forensic expert. Furthermore, it is necessary to ensure the authenticity of digital evidence in the process of seizure and search through a digital forensic professional witness system. Digital evidence is characterized by vulnerabilities. Institutional arrangements should be provided to prevent the possibility of false judgments caused by forgery or falsification of evidence. For this, a digital evidence authentication and verification system must be established. For digital forensic expert certification, a digital forensic expert qualification test system must be implemented at the national level. It is necessary to verify the digital forensic tools used in the digital forensic process. Currently, there are no standards, institutions or organizations to verify this in Korea. It is necessary to establish a system for verifying digital forensic tools. Certification for the digital evidence analysis laboratory is also required. It is necessary to present standards and evaluation criteria for facilities, facilities, equipment, and evidence management and supervision. Furthermore, digital forensic standard procedures should be established to ensure the integrity and reliability of evidence through continuity of storage.

사회연결망분석기법을 이용한 디지털포렌식 연구동향 분석

이연주,박희원,이성진,김기범 한국디지털포렌식학회 2023 디지털 포렌식 연구 Vol.17 No.1

Although digital forensics is an area of speciality that requires both technology and legislation, it has tended to be recognized only as a technology research field. Digital forensics is growing as a field of study, but there is a lack of research on evaluation and problem of the development of digital forensics. For the purpose of finding digital forensic research trends and future research topics, we used a social network analysis approach focusing on research keywords and author information among bibliographic information of papers on digital forensics. According to the analysis result, first, digital forensics has a convergence of technology and legal practice. Second, we confirmed the quantitative growth of research from the increasing number of papers, and third, research topics are gradually subdivided and deepened compared to earlier studies. Fourth, it shows that a few research subjects and researchers have high network centrality and influence on the academic world. In digital forensics, the research for new technologies is relatively lacking, so more research is needed in the future. Recently, technology-oriented papers are more published than the legal practice, so convergence research should be encouraged more and more. It is also necessary to consider policy considerations for research promotion, human resource training, and budget input at the national level for areas that show limitations in the practice of digital investigation. 디지털포렌식은 기술과 법제의 융합 영역임에도 그간 기술 중심의 연구분야로만 인식되는 경향이 있다. 디지털포렌식은 학문의 한 분야로 성장하고 있으나 디지털포렌식의 발전에 대한 평가와 문제점에 대한 연구가 부족한 실정이다. 디지털포렌식 연구동향 및 향후 연구주제 발굴에 사용하기 위한 목적으로 디지털포렌식을 주제로 한 논문의 서지정보 중 연구 키워드와 저자 정보를 중심으로 사회연결망분석기법을 수행하였다. 분석결과에 의하면 첫째, 디지털포렌식은 기술과 법제의 융합적 성격을 띄고 있으며, 둘째, 논문 수의 증가 추세로 보아 학문의 양적인 성장이 확인되고, 셋째, 초기 연구에 비해 연구주제가 점차 세분화되고 심화되고 있으며, 넷째, 소수의 연구주제와 연구자가 높은 네트워크 중심성을 가지며 학계에 높은 영향력을 가지고 있다는 것을 확인할 수 있었다. 디지털포렌식 분야에서는 신기술을 적용한 연구가 상대적으로 부족한 실정이므로 향후 더 많은 연구가 필요하며, 학계에서는 기술 중심의 논문이 법제 분야보다 많이 연구되고 있으므로 융합적인 관점에서의 연구도 장려되어야 할 것이다. 디지털수사 실무에서 한계를 보이는 분야에 대한 국가차원의 연구장려, 인력양성, 예산투입에 대한 정책적인 고려도 필요하다.

표준규정과 판례 비교를 통한 디지털 포렌식의 법적 증거능력 인증기준

정진효,이창무 한국디지털포렌식학회 2017 디지털 포렌식 연구 Vol.11 No.3

The number of digital forensic implementations has been increasing and the scope of application diversifying as well. Digital forensics for securing concrete evidence in criminal investigations has been becoming critical and related technologies developing rapidly. However, the legal system in Korea has been focused heavily on physical evidence with little emphasis on digital evidence for digital forensic. For digital evidence derived from digital forensics to be recognized, integrity, originality, and reliability must be proven. In Korea, digital forensics is mainly used in crime investigation work by the prosecution and the police. In this process, standard guidelines written by each organization are used to acquire integrity, identity and credibility of digital forensic. There is a controversy that the defendant's complaint about the use of digital forensics is raised or that the technology can not be admitted because the guideline is not based on legislation. It is the most obvious way to revise the law, but it will take a long time to come up with laws that can encompass various electronic devices and digital forensic technologies that have been quickly developing. Therefore, supplementing and refining the existing standard guidelines will be more helpful in expanding the scope of digital forensics. To this end, this paper compares domestic and US digital forensic standard guidelines and precedents to analyze the actual standards for obtaining integrity, originality, and reliability. Through the comparison, it is possible to identify the proof standard of the digital forensic objectively, and to identify the factors for developing the Korean standard guidelines. 해가 지나갈수록 디지털 포렌식 실시 횟수는 증가하고 있으며 적용 대상 역시 다양해지고 있다. 범죄수사 과정에서 구체적 증거를 확보하기 위한 디지털 포렌식은 나날이 중요해지고 있으며 관련 기술들 역시 빠르게 발전하고 있다. 하지만 이를 뒷받침해줄 법률체계는 여전히 물리적인 증거에 집중되어 있으며 디지털 포렌식을 뒷받침하기에는 아직 보완해야할 부분들이 산재해 있다. 디지털 포렌식이 도출한 디지털 증거가 공인되기 위해서는 무결성, 동일성, 신뢰성이 입증되어야 한다. 국내에서 디지털 포렌식은 검찰과 경찰의 범죄수사 업무에 주로 사용되며 이 과정에서 무결성, 동일성, 신뢰성을 획득하기 위해 각 조직이 만든 표준규정이 활용되고 있다. 해당 표준규정이 법적인 지위를 획득한 것이 아니기에 디지털 포렌식 사용에 관한 피고측의 불만이 제기되거나 해당 기술을 인정할 수 없다는 반론이 나오곤 한다. 법률을 개정하는 것이 가장 확실한 방법이지만 빠르게 발전하고 있는 각종 전자기기와 디지털 포렌식 기술을 포괄할 수 있는 법이 나오기까지는 오랜 시간이 걸릴 수밖에 없다. 따라서 현재 활용되고 있는 표준 규정을 보완하고 구체화하는 것이 디지털 포렌식의 활용범위를 넓히는데 더 큰 도움이 될 것으로 보인다. 이를 위해 본 논문은 국내와 미국의 디지털 포렌식관련 표준 규정들과 판례들을 비교하여 무결성, 동일성, 신뢰성을 획득하기 위한 실질적 기준이 무엇인지 분석했다. 비교결과를 통해 현재 통용되고 있는 디지털 포렌식의 입증기준을 객관적으로 파악하고 국내 표준규정을 발전시키기 위한 요소들이 무엇인지 확인할 수 있었다.

이동식 저장매체의 은닉 영역에 대한 안티 포렌식 대응 기술 연구

홍표길(Pyo-Gil Hong),김도현(Dohyun Kim) 한국디지털포렌식학회 2021 디지털 포렌식 연구 Vol.15 No.3

디지털 포렌식에서 USB 저장 장치는 이동식 저장 매체 중에서 널리 사용되기 때문에 USB는 디지털 포렌식 조사 및 연구에서 중요한 저장매체 중 하나다. 또한 최근 디지털 포렌식이 대중에게 널리 알려지면서 컴퓨터 공학이나 디지털 포렌식에 대한 지식이 없는 사람들도 안티 포렌식을 위한 도구들을 통해 USB에 은닉 영역을 생성하는 등의 안티 포렌식 행위를 쉽게 할 수 있다. 본 논문에서는 은닉 파티션을 생성하는 기능이 포함된 Fbinst 프리웨어 프로그램에 대해서 분석하여 USB의 은닉된 파티션의 존재를 검사하고 그 파티션의 크기와 위치 등의 정보뿐만 아니라 은닉된 파일들의 이름, 크기, 수정시각 등의 메타데이터를 분석한다. 또한, 추가적으로 삭제된 파일을 복구하는 방안도 연구한다. 이 연구는 은닉 영역을 생성하여 디지털 포렌식 조사를 방해할 수 있는 안티 포렌식 도구인 Fbinst의 내부 구조를 분석하고 데이터 추출 및 복구 방안을 모색한 것으로 안티 포렌식에 대응 기술 발전에 기여할 수 있다. In digital forensic, USB storage devices are widely used among removable storage media. As a result, USB media becomes one of the important storage media in digital forensic investigation and research. In addition, as digital forensics is widely known to non-IT professionals in recent years, even people without knowledge of computer science or digital forensics can easily perform anti-forensic actions such as creating hidden areas on USB using anti-forensics tools. In this paper, we analyzed the Fbinst program, includes a function to create a hidden partition, and invest the existence of a hidden partition in USB. it analyzes the size and location of the hidden partition and metadata such as the name, size, and modification time of hidden files. In addition, we study the method of carving deleted files. As a result, our research contributes to the development of anti-forensic response technology by analyzing the internal structure of Fbinst, an anti-forensic tool that can interfere with digital forensic investigation by creating a hidden area, and finding data recovery and extraction methods.

디지털 포렌식 직무의 효율 재고방안 고찰

조병철(Byung-Chul Cho) 한국디지털포렌식학회 2015 디지털 포렌식 연구 Vol.9 No.1

오늘날 디지털 포렌식은 많은 어려움에 직면해 있다. 본 연구는 기존의 디지털 포렌식 직무체계를 변화된 환경의 관점에서 평가하여 비효율적인 요소들을 제거하고 포렌식 직무 전반의 효율성과 효과성을 제고하는 개선방안에 대해 고찰한다. 개선방안으로 2가지 '장벽 허물기'가 제안되었다. 첫째는 기존 디지털 포렌식 절차에서 '단계 간 장벽 허물기'이며 둘째는 포렌식 조사관과 사건 담당관(또는 수사관)의 '직무간 장벽 허물기'이다. 동 개선의 목적은 포렌식 조사관으로 하여금 수사상 증명력이 있는 핵심과제에만 집중하게하여 궁극적으로 고객 서비스의 질을 제고하는 것이다. Today digital forensic is confronted with various difficulties. This study evaluated the current digital forensic jobs from viewpoint of a changed circumstances, and proposed improbement plans which increase efficiency and effectiveness of the overall digital forensic jobs. Two kinds of dismantling barrier were prosed as improvement plan. The first is 'dismantling process barriers' in the existing digital forensic process, and the second is 'dismantling job barriers' between forensic examiner and case officer. The purpose of the proposed improvement plan is to empower the forensic examiner to focus on the probative key questions in an investigation, and ultimately increase the quality of service to customers.

Bootice의 은닉 영역에 대한 안티포렌식 및 안티포렌식 대응에 대한 연구

홍표길(Pyo-Gil Hong),김도현(Dohyun Kim) 한국디지털포렌식학회 2022 디지털 포렌식 연구 Vol.16 No.1

USB 메모리는 대표적인 이동식 저장 매체 중 하나이며 휴대성과 가용성이 용이하여 여러 분야에서 널리 사용되고 있다. 그러나 USB 메모리가 널리 사용되면서 악의적인 사용자가 USB 메모리에 데이터를 은닉하는 등의 안티포렌식 행위를 하여 디지털 포렌식 조사를 방해할 가능성이 있다. 본 논문에서는 저장매체의 파티션을 관리하는 프로그램인 Bootice에 숨겨진 영역을 생성하는 기능이 존재하여 악용할 경우 디지털 포렌식 조사를 방해할 가능성이 있기 때문에 이 영역을 분석하여 구조를 파악하고 은닉된 파티션을 탐지하는 방안을 제안한다. 또한 은닉 영역에 파일을 저장하고 디지털 포렌식 도구로부터 탐지를 회피하기 위한 방법을 제안한다. 이 연구는 은닉 영역을 생성하는 기능이 존재하는 Bootice 도구를 분석하여 안티포렌식 대응 방안과 안티포렌식 기법 발전에 기여한다. USB flash drive is one of the representative removable storage media and is widely used in various fields due to its ease of portability and availability. However, there is a possibility that malicious users may interfere with digital forensic investigation by performing anti-forensic actions such as hiding data in USB flash drive. In this paper, Bootice, a program that manages partitions of storage media, has a function of creating hidden areas, and if abused, it may interfere with digital forensic investigation, so we propose a plan to analyze this area to identify the structure and detect hidden partitions. It also proposes a method for storing files in hidden areas and avoiding detection from digital forensics tools. This study contributes to the development of anti-forensics countermeasures and anti-forensics techniques by analyzing Bootice tools that have the function of generating hidden areas.

디지털 증거 수집절차 개선방안에 관한 연구

윤원대(Won-Dae Yoon) 한국디지털포렌식학회 2015 디지털 포렌식 연구 Vol.9 No.2

디지털 증거는 우리 삶에서 널리 산재해있고 우리나라 수사의 대부분을 차지하고 있는 경찰에게 있어 디지털 증거의 중요성은 나날이 더해간다. 현재 법원에서는 디지털증거의 수집 절차에 있어 엄격함을 요구하고, 경찰에는 현장 수사관이 쉽게 접할 수 있는 매뉴얼은 존재 하지 않는다. 본 논문에서는 디지털 증거 수집과 관련하여 현직 경찰관을 상대로 실시한 설문조사를 바탕으로 나타난 문제점을 파악하고 디지털 증거 수집절차 개선방안으로 새로운 디지털 증거 수집 매뉴얼을 제시하고자 한다. Now days, the digital evidence is widely scattered in our real life, and this evidence is added more important by day goes to police who is responsible for the most of the investigation. Currently the court requires rigor in the procedure of digital evidence collection, the police have no manuals that the frontline police investigators can easily accsess. This study aim is identified problems through statistic research of current police officers about collecting digital evidence and suggests new digital evidence collection manuals for improvement about procedure of digital evidence collection.

디지털증거의 선별압수에 따른 원본성 및 동일성 증명에 관한 연구

이주호,이태명 한국디지털포렌식학회 2020 디지털 포렌식 연구 Vol.14 No.3

With the recent emergence of large storage devices and the constitutional right to self-determination of personal information as specific rights, investigative agencies are facing a situation in which they cannot keep all digital evidence containing personal information. How far should we look at the originality of digital evidence under this judicial investigation environment? Under our criminal procedure structure advocating judicial centralism, what is the original digital evidence that can be verified in court? Therefore, it leads to the question of whether a file physically stored on the computer is the only original and must be submitted to the court. In addition, by studying the systematic status of equivalence, integrity, authenticity, reliability, relevance, originality, etc., which are the requirements for evidence capability of digital evidence, the concepts were clearly outlined by organizing the relationships between each element through a visual schematic model, away from the existing flat and listed explanations. Based on this, the originality of selected pressurized digital evidence was examined and methods for proving the identity were presented. 최근 저장장치의 대용량화와 형사소송법 제106조 제3항 및 헌법상의 개인정보자기결정권이 구체적 권리로 대두되면서 수사기관에서는 개인정보가 포함된 디지털증거 전체를 보관할 수 없는 상황에 직면하고 있다. 이런 사법수사 환경아래에서 디지털증거의 원본성을 어디까지 보아야 할 것이며 공판중심주의를 표방하는 우리 형사소송 구조 아래에서 과연 법정에서 검증될 수 있는 디지털증거의 원본은 어떤 것이며 컴퓨터에 물리적으로 저장된 파일이 유일한 원본이고, 법정에도 반드시 그것이 제출되어야 하는가에 대한 의문이 제기되기에 이른다. 또한 디지털증거의 증거능력 요건인 동일성, 무결성, 진정성, 신뢰성, 관련성, 원본성 등의 체계적 지위에 대해 연구함으로써 기존의 평면적이고 나열적인 설명에서 벗어나 시각적인 도식화 모델을 통해 각 요소들 간의 관계를 정리하여 개념을 명확히 정리하였다. 이를 토대로 선별 압수된 디지털증거의 원본성에 대해 살펴보고 동일성 증명에 대한 방법을 제시하였다.

Memcached 데이터베이스 디지털 포렌식 조사 기법 연구: 안티-포렌식 대응방안을 중점으로

윤호,김준호,김성배,양양한,이상진 한국디지털포렌식학회 2022 디지털 포렌식 연구 Vol.16 No.2

Non-relational databases(NoSQL) are widely used by companies providing big data-oriented services. Nevertheless, only a few studies have been placed on non-relational databases from the digital forensics perspective. This paper proposes a digital forensics investigation technique of Memcached, the key-value model of NoSQL in-memory solution for a database. Techniques for data collection, anti-forensic detection using logs, and discovering original data through memory analysis are covered. 비관계형 데이터베이스는 빅데이터 기반 서비스를 제공하는 기업들에 의해 많이 도입되어 사용되고 있다. 하지만, 사용량이 상대적으로 미비한 일부 비관계형 데이터베이스에 대한 디지털 포렌식 조사 기법이 부족한 상황이다. 이에, 본 논문에서는 데이터베이스를 위한 인메모리 솔루션이자 비관계형 Key-Value 모델인 Memcached의 디지털 포렌식 조사 기법을 제안한다. Memcached의 운영 환경 정보 수집 방법, 데이터 수집 및 분석 방법을 살펴보고, Memcached에 대한 안티-포렌식 대응 방안으로 로그 분석을 통해 안티-포렌식 행위를 탐지하고 메모리로부터 삭제 및 변경된 원본데이터를 확인하는 기법을 제안한다.

피트니스 트래커에 대한 디지털 포렌식 연구

이선경(Sunkyoung Lee),정현지(Hyunji Chung),이상진(Sangjin Lee) 한국디지털포렌식학회 2021 디지털 포렌식 연구 Vol.15 No.3

최근 피트니스 트래커를 착용하고 다니는 사람들이 증가하고 있다. 일부 피트니스 트래커는 일상을 기록하는 life logger와 같은 역할을 한다. 디지털 포렌식 관점에서 이러한 종류의 기기는 사람의 일상 생활을 추정할 수 있게 해주는 중요한 증거를 생성할 수 있다. 그래서 피트니스 트래커에 대한 포렌식 연구는 점차 중요해지고 있다. 본 논문에서는 많이 사용되는 피트니스 트래커/서비스를 대상으로 포렌식 분석한 내용을 설명한다. 최근 많이 사용되는 4가지 피트니스 트래커 기기/서비스를 대상으로 데이터가 남을 수 있는 모든 소스(로컬 기기, 원격지 클라우드)로부터 데이터를 수집하는 다양한 방법들을 정리하였다. 실험 결과를 바탕으로 디지털 포렌식 프레임워크를 제안한다. 이는 향후에 새로운 피트니스 트래커가 출시되더라도 본 논문에서 제안한 절차를 통해 조사할 수 있다는 점에서 중요한 의미를 가진다. In these days, the number of people wearing fitness trackers has been increasing. Fitness tracker plays the same role as a life logger that records daily life beyond fitness trackers. From a digital forensics perspective, this type of device can produce important evidence that allows one to estimate one"s daily life. So forensics research on fitness trackers is becoming increasingly important. In this paper, we describe a forensics analysis of the commonly used fitness tracker/services that are widely used. We experimented with various methods of collecting data from all sources (local devices, remote cloud) where data can remain on four popular fitness tracker devices/services recently. And we have summarized how to collect smartphones and cloud artifacts. Finally, we propose a digital forensics framework that investigates collected fitness trackers. Even if a new fitness tracker is released in the future, our research is of great significance in that it can be investigated through the procedures we proposed.