본문 바로가기
디지털 포렌식

디지털 포렌식 1

by 윤라경 2024. 10. 18.

[2024.10.15 ~ 2024.10.18]

 

 

 

 

디지털이란 숫자, 문자 등의 신호로 표현하는 일이다

 

 

정보 보안의 궁극적인 목표는 데이터를 수집하는 것이다

데이터란 기호화, 숫자화한 자료를 뜻한다

또한, 데이터를 모아 놓은 것을 정보라고 한다

 

 

어떤 목적에 맞게 정리(처리)된 자료를 정보라고 한다

 

 

디지털 데이터는 변조의 가능성, 복제 용이성으로 인해

법정에서는 직접적으로 채택이 불가능하다

포렌식은 증거 수집부터 이동, 절차가 완벽해야 증거로 인정된다

 

 

정당성의 원칙에서 당사자들이 통화 녹음하는 건 괜찮지만,

제3자가 통화 녹음을 하는 것은 불법이 된다

그렇기 때문에 제3자의 녹취록은 법적 효력이 상실된다

 

무결성의 원칙이란 포렌식을 함으로써 데이터를 보존해 주는 것이다

5대 원칙 중 중요한 원칙이라고 할 수 있다

 

신속성의 원칙은 무결성의 원칙을 해치지 않도록 신속하게 진행되어야 한다

 

재현의 원칙은 우리나라에서 나온 결과는 미국에 가서도 같은 결과가 나와야 된다

같은 환경에서 피해 당시와 동일한 결과가 나와야 한다

 

연계보관성의 원칙은 습득, 이송, 분석, 보관, 법정 제출 각 단계에서

대충 넘기는 것이 아닌 절차와 담당자를 명확히 해야 된다

 

*5대 원칙은 정보보안기사 시험에도 자주 나왔음

 

 

이론 후 가장 먼저 침해사고 포렌식에 대해 실습을 진행하게 된다 

침해사고에서 제일 중요한 것은 로그 파일이며,

시스템에서의 지문과 같은 것이 로그 파일이다

해당 로그 파일을 조사하여 신원 피해 내용, 경로 등을 파악한다

 

 

디스크에 저장되어 있는 것들은 파일이나 디렉터리 형식으로 저장되어 있기 때문에

부팅 시에도 남아 있는 자료로 비휘발성 저장매체라고 한다

 

 

데이터 암호에는 SSL/TLS가 있다

 

 

WAS는 동적인 웹 애플리케이션을 실행하는 서버

FTP는 파일 전송 프로토콜

WWW는 웹 사용하여 인터넷 상에서 정보를 공유하기 위한 시스템

 

 

ERP -> 전사적 자원 관리 시스템

 

 

포렌식 종류는 크게 다섯 가지로 볼 수 있으며,

세부적으로는 더 많은 포렌식이 존재한다

 

1) Intrusion

2) Disk

3) Memory

4) Network

5) Mobile

 

 

레지스트리, 커널 정보와 모듈, 임시 파일, 라우터 설정은 비휘발성 데이터다

 

 

*EMP -> 전기, 자기장

 

 

보고서 작성 단계는 중요하다

보고서 자체가 증거가 되기 때문이다

 

 

이미지 관련 프로그램으로는 FTK Imager을 많이 사용한다

 

 

이 화면은 하드웨어 도구들에 대한 사진 예시다

 

 

디스크 포렌식 솔루션에서는 Encase, Forensic Toolkit, Autopsy를 주로 사용한다

윈도 레지스트리 분석 솔루션에서 Rega를 많이 사용할 예정이다

하지만 모두 사용하고, 다 기억하고 있는 게 좋다

 

 

 

 

 

 

 

이와 같이 법률에 대해서 알아보는 게 좋고,

법률보다 시행령을 더 유의 깊게 보는 편이 좋다

 

 

대규모의 경우 DDoS, 단일적으로 공격한다면 DoS가 있다

 

 

 

분석 절차는 중요하다

 

*포렌식 시험에도 나오고 정보보안기사에도 나온다

 

 

 

사고가 나면 직속 상관한테 바로 알리는 것이 중요하다

 

 

*오탐 = 오작동 여부 확인

 

 

위험 처리 전략

 

1) 위험 감소

2) 위험 수용

3) 위험 회피

4) 위험 전가(전이)

 

 

사고 조사 단계는 데이터 수집 단계와 데이터 분석 단계로 두 개로 나뉘게 된다

 

 

실제 정보 수집 단계에서도 증언은 중요하다

목격자의 증언이 일관성이 있으면 그대로 중요한 정보가 된다

 

 

보고서 작성 4단계에서 기획 및 구성이 제일 중요하다고 보면 된다

어떠한 것을 진행하더라도 정보 수집이 제일 중요하다

그 다음으로는 "처음부터 너무 완벽한 보고서를 만들려고 하기보다는"

이 문장이 중요하다 전체적인 뼈대를 만들고 나서

차근차근 점검하다 보면 최종 보고서까지 만들어지게 된다

 

 

윈도우부터 나오지만, 처음으로는 리눅스 침해사고부터 시작한다

 

 

마지막으로 실습을 진행하기 위해서 운영 체제를 설치해야 된다

아래의 다섯 가지는 필수로 설치하는 게 좋다

 

1) Kali Linux

2) Rocky Linux

3) Windows XP

4) Windows 10

5) Windows 7

 

 

 

강의 소감

오늘까지 총 4일에 걸쳐 디지털 포렌식에 대한 이론 수업이 끝났다

먼저 실습 진행에 앞서 디지털 포렌식의 정의부터 공부하게 되었고,

또한 개요 및 유형, 특성 등에 대해서도 알게 되었다

그 다음으로 포렌식의 종류 중 하나인 침해사고 방식에 대해서

정의 및 방식, 절차를 배우는 시간이었다

 

출처 - 정보 보안 박성업 강사님 제공

'디지털 포렌식' 카테고리의 다른 글

디지털 포렌식 6  (0) 2024.10.24
디지털 포렌식 5  (0) 2024.10.23
디지털 포렌식 4  (0) 2024.10.23
디지털 포렌식 3  (0) 2024.10.23
디지털 포렌식 2  (0) 2024.10.18

관련글

티스토리툴바