Electronic Catalog(전자 카탈로그)

46페이지 내용 : 1. 머리말 디지털 포렌식은 정보저장매체에 저장되어 있는 데이터를 수집하여 이미 발생한 사실 관계를 규명하 고 범죄의 단서와 증거를 찾아내는 과학수사 기법을 말한다. 사이버 공간에서 발생하는 범죄의 경우에는 범죄의 단서가 저장되는 영역이 특정 매체에만 국한 되지 않고 원격지에 존재하는 경우 예클라우드 저 장소 가 많아 최근에는 데이터의 수집 범위가 확대 되고 있으며 디지털 포렌식의 역할이 갈수록 중요해 지고 있다. 디지털 포렌식에서 다루는 대상인 디지털 데이터 는 눈으로 직접 내용을 확인하기 어려우므로 이를 다룰 수 있는 도구 HW, SW 를 사용해야 하고, 삭 제, 변경 등에 취약하며 복제되기가 쉽다. 이러한 특 징들로 인해 법적으로 증거능력을 가지는 디지털 증 거를 추출하기 위해서는 전문적인 기술과 논리적인 절차와 방법이 요구되는데 이와 관련한 과정이나 원 칙 등을 포괄하는 내용은 단체별 규정[1][2]이나 표 준문서로 작성된다. 본고에서는 디지털 포렌식과 관련된 국내외 표준 화 동향을 살펴보고, 디지털 포렌식 조사 과정에서 요구되는 효율적인 정보 처리와 통합 관리를 위해 개 발된 규격에 대해 소개한다. 2. 디지털 포렌식 표준화 동향 디지털 포렌식과 관련하여 국내 표준화 활동으로 디지털 증거의 증거능력 확보를 위한 절차와 도구의 신뢰성 검증에 대한 표준화가 2007년부터 2009년에 TTA에서 추진되었으며[3][4] 최근에는 개정된 형사 소송법과 각종 판례의 요구사항을 반영한 가이드라 인[7] 개정과 네트워크 패킷을 처리하는 절차를 규정 하는 내용의 지침[8] 제정이 진행되었다. 국제 표준화 활동을 살펴보면, ISO와 IEC에서 추 진하는 디지털 증거에 대한 가이드라인[9]과 침해사 고 Incident response 대응 등의 방법이나 절차를 주요 내용으로 하는 정보기술표준이 있다. 이러한 경향은 나라별로 법률이나 제도가 상이하므로 규정 으로 통합하는 것이 어렵고 기술 변화의 속도에 맞 춰 국제표준을 추진하는 과정이 제한되기 때문에 절 차상 원칙을 바로 세우는 데 초점을 맞춘 것으로 보 Special Report 사이버 위협 대응 한재혁 _ 고려대학교 정보보호대학원 이상진 _ 고려대학교 정보보호대학원 사이버 범죄수사를 위한 디지털 포렌식 표준화 동향 T T A J o u r n a l v o l 1 8 644

47페이지 내용 : 인다. 이에 디지털 포렌식 분야에서는 사실상 표준 de facto standard 의 형태로 참고하는 문서가 다양 한데, 미국 국립표준기술연구소 NIST 에서 출판하 는 문서 예SP, Special Publication 나 제시되는 방 법론 예CFTT, Computer Forensics Tool Testing Program 이 대표적이다. 이와 같이 디지털 포렌식 조사 과정에서의 원칙 을 다루는 표준 외에도, 디지털 증거에 취해진 조 사자의 행위, 보관에 대한 기록 등을 구조적이고 통 합적으로 관리할 수 있는 정보를 포함하는 포맷을 기술적으로 정의하는 국내표준[5][6]이 있다. 이 포 맷은 디스크 덤프 이미지 파일과 같이 비교적 크기 가 큰 파일을 교환하거나 무결성 검증이 반드시 필 요할 때 많이 사용되며, 체크섬 checksum 과 해시 값, 그리고 관리 연속성 Chain of Custody 을 용이 하게 하는 정보 예사건 정보 를 저장할 수 있다. 하 지만 현재 가장 많이 쓰이는 포맷은 EWF Expert Witness Compression Format [10]라고 할 수 있으 며, EnCase의 E01, Ex01이나 FTK의 SMART는 모 두 EWF를 기반으로 개발되었다. 공통적으로 이러 한 포맷은 안전한 데이터 교환을 보장하고 있다는 점에서 앞으로도 꾸준히 사용될 것이나, 파일 단위 로 생성되는 포맷이므로 조사 과정에서 불필요한 데이터가 다수 포함될 가능성이 높아 정보를 효과 적으로 공유하기 위한 CybOX Cyber Observable eXpression 가 개발되었다. CybOX는 현재 STIX 2.0[11]에 통합되었으며 사이 버 공간에서 관찰되는 모든 이벤트나 대상을 구조화 하여 일관된 분석과 자동화된 해석이 가능하게 하 는 정보 표현 규격이다. STIX는 시스템이나 네트워크 상에서 발생된 침해사고나 악성코드 감염을 식별하 고 사이버 위협 정보를 공유하는 것을 목적으로 하 므로, 표현할 수 있는 대상이 주로 동작 중인 시스템 에서만 수집이 가능한 정보 예프로세스, 네트워크, 메모리 로 한정적이다. 또한 탐지를 위한 메타데이터 를 표현하는 데 필요한 규격만 정의되어 있다. 예를 들어, 전자우편 파일을 살펴보면 STIX에는 송수신 자, 메시지ID와 같은 헤더 정보, 첨부된 파일, 본문 에 포함된 URL만 포함된다. 만약 조사관이 이 정보 를 제공받았다면 전자우편에서 본문의 내용은 확인 하지 못하는 상태에서 조사가 진행되는 것이므로 상 당한 제약이 따를 것이다. 이는 디지털 포렌식 조사 에서 다뤄지는 데이터들이 처리하는 주체나 방법에 따라 표현 방식이 다양하기 때문이며 범죄수사, 감사 등 디지털 포렌식 조사를 목적으로 정보의 교환과 통합적인 관리에 대한 요구사항을 만족시킬 수 있는 규격이 필요해졌다. [그림 1] 디지털 포렌식 조사를 위한 통합 정보 처리 규격 표준의 시리즈 구성 개요, 용어 규격 구조, 객체 정의 표현방법 비교 참고표준 ? TTA, KS, DFXML, CybOX 속성 정의 ? 압축, 실행, 문서, 미디어 ? 메시지, 통화, 일정, 거래 ? 사람, 연결, 웹 기록, 로그 유스케이스 연동 방법 ? CSV 형태 데이터 출력 ? SQLite 형태 데이터 출력 ? STIX 기반 체계 연동 디지털 포렌식 조사를 위한 통합 정보 처리 규격 개요 및 요구사항 데이터 처리 상호 1부 2부 데이터 종류별 규격 정의 3부 호환을 위한 참조 모델 2 0 1 9 N o v E M B E R + d e c e B E R45