디지털포렌식, 이것만 알자!

디지털 포렌식, 이것만 알자
나고야공업대학 정보공학과 윤승용
2015-10-13 1

발표자 소개
 학력
• 일본 나고야공업대학 정보공학과
• 한국디지털미디어고등학교 해킹방어과
 자격
• 디지털 포렌식 전문가 2급
 대회
• MWS Cup 2012 3위
• 제3회 디지털 범인을 찾아라 은상
2015-10-13 2
윤승용
Yoon SeungYong
forcom@forcom.kr
https://github.com/forcom

디지털 포렌식
디지털 포렌식은 전자적 증거물 등을 사법기관에 제출하기 위
해 데이터를 수집·분석·보고서를 작성하는 일련의 작업을 말한
다.
2015-10-13 3
출처 : 컴퓨터 포렌식 - Wikipedia ─── https://ko.wikipedia.org/wiki/컴퓨터_포렌식
• 전자적 증거물
문서 파일, 인터넷 사용기록, 방화벽 로그, 사진·동영상 파일 등
• 사법기관 제출
형사소송법의 증거 능력에 부합하도록 조사
• 데이터 수집·분석·보고서 작성
전자적 증거물의 적법성, 검증가능성, 신속성, 연계보관성, 동일성을 증명

디지털 포렌식
2015-10-13 4
기술 법

포렌식 관점에서 본 디지털 포렌식
바이너리 데이터가 사법기관에 제출되려면
2015-10-13 5

증거란?
2015-10-13 6
형사소송법 제307조(증거재판주의)
① 사실의 인정은 증거에 의하여야 한다.
② 범죄사실의 인정은 합리적인 의심이 없는 정도의 증명에 이르러야 한다.
범죄에 대한 사실관계를 확실하게 하기 위하여 사용되는 자료
증거

증거로 인정받으려면?
2015-10-13 7
형사소송법 제308조(자유심증주의)
증거의 증명력은 법관의 자유판단에 의한다.
형사소송법 제308조의2(위법수집증거의 배제)
적법한 절차에 따르지 아니하고 수집한 증거는 증거로 할 수 없다.
독수독과의 원칙 대판 2009. 3. 12. 선고 2008도11437
형사소송법 제310조의2(전문증거와 증거능력의 제한)
제311조 내지 제316조에 규정한 것 이외에는 공판준비 또는 공판기일에서의 진술에
대신하여 진술을 기재한 서류나 공판준비 또는 공판기일 외에서의 타인의 진술을 내
용으로 하는 진술은 이를 증거로 할 수 없다.
형사소송법 제318조(당사자의 동의와 증거능력)
① 검사와 피고인이 증거로 할 수 있음을 동의한 서류 또는 물건은 진정한 것으로 인
정한 때에는 증거로 할 수 있다.

바이너리 데이터가 증거로 인정받으려면?
과학적 증거방법
2015-10-13 8
대판2007.05.10.선고2007도1950,대판2009.03.12.선고2008도8486,대판2010.03.25.선고2009도14772,
대판2011.05.26.선고2011도1902,대판2014.02.13.선고2013도9605
전제로 하는 사실이 모두 진실임이 입증되고 추론의 방법이 과학적으로 정당
하여 오류의 가능성이 전무하거나 무시할 정도로 극소한 것으로 인정되는 경
우에는 법관이 사실인정을 함에 있어 상당한 정도로 구속력을 가진다. 그 증거
방법이 전문적인 지식·기술·경험을 가진 감정인에 의하여 공인된 표준 검사기
법으로 분석을 거쳐 법원에 제출된 것이어야 할 뿐만 아니라, 채취·보관·분석
등 모든 과정에서 자료의 동일성이 인정되고 인위적인 조작·훼손·첨가가 없었
음이 담보되어야 한다.

바이너리 데이터가 증거로 인정받으려면?
 전문적인 지식·기술·경험을 가진 포렌식 조사관
• 포렌식 전문 수사관
• 포렌식 전문가 자격 취득자
 공인된 표준 포렌식 도구
• 한국정보통신기술협회(TTA)
• 컴퓨터 포렌식을 위한 디지털 데이터 수집도구 요구사항(TTAS.KO-12.0057)
• 컴퓨터 포렌식을 위한 디지털 데이터 수집도구 검증(TTAK.KO-12.0075)
• 컴퓨터 포렌식을 위한 디지털 증거 분석도구 요구사항(TTAK.KO-12.0081)
• 컴퓨터 포렌식을 위한 디지털 증거 분석도구 검증(TTAK.KO-12.0112)
• 미국 국가표준기술연구소(NIST)
• CFTT(Computer Forensics Tool Testing) 프로젝트
• CFReDS(Computer Forensic Reference Data Sets) 프로젝트
2015-10-13 9

디지털 관점에서 본 디지털 포렌식
바이너리 데이터를 수집·분석하려면
2015-10-13 10

디지털 포렌식 절차
• 대검찰청예규 제805호 디지털포렌식 수사관의 증거 수집 및 분석 규정
• 경찰청훈령 제766호 디지털 증거 수집 및 처리 등에 관한 규칙
• 한국정보통신기술협회(TTA) TTAS.KO-12.0058 컴퓨터 포렌식 가이드라인
2015-10-13 11
수집 분석
보고서 작성
및 대응

수집
 무엇을 수집할 것인가
• 시스템 메모리, 네트워크 정보, ···
• 하드 디스크, USB 메모리, CD-ROM, ···
 어떻게 수집할 것인가
• 활성 시스템 분석 도구
• 메모리 덤프
• 저장매체 이미지 작성
• 물리적 압수
 올바르게 수집되었는가
• 해시 값 생성 후 비교
• 당사자 및 입회인의 동의
• 안전한 포장
2015-10-13 12

분석
시스템 구성 파악
타임라인 작성
시점 특정
아티팩트 분석
2015-10-13 13

보고서 작성 및 대응
• 쉽게 이해할 수 있는 용어를 사용하여 정확하고 간결하며 논
리 정연하게 작성
• 사실 관계 중심으로 객관적 사실, 설명내용, 분석관 의견을 구
분하여 작성
• 수집·분석이 “과학적 증거 방법”으로 이루어졌음을 정확하게
기록
2015-10-13 14

디지털 포렌식 기술 최신 동향
디지털 포렌식 기술의 최신 동향
2015-10-13 15

“
”
우울하죠
── 디지털 포렌식 전문가 자격 보수 교육에서
2015-10-13 16

Internet of Things (IoT)
2015-10-13 17
스마트폰
USB 메모리
네비게이션
드론
노트북
CCTV
블랙박스
MP3 플레이어
스마트왓치
태블릿
스마트TV
센서

빅데이터
• WD 6TB GREEN WD60EZRX
• 280,300원 (1GB 당 47원)
• Seagate 4TB ST4000DM000
• 147,800원 (1GB 당 37원)
• Seagate Portable Drive 1TB
• 85,000원 (1GB 당 85원)
···
• SATA2 (3Gbps/s = 375MB/s)
• SATA3 (6Gbps/s = 750MB/s)
• USB 3.0 (5Gbps/s = 625MB/s)
• USB 3.1 (10Gbps/s = 1.2GB/s)
2015-10-13 18
6000GB ÷ 1.2GB/s = 5000 초 = 1시간 24분

Anti Forensics
2015-10-13 19

모바일 운영체제
• 안드로이드, iOS, Windows Mobile, ···
• 기본적으로 관리자 권한 미제공
• 활성 시스템 정보 획득 어려움
• 저장소 이미지 획득 어려움
• 보안 취약점이 많음
• 대부분의 앱이 SQLite DB를 이용
2015-10-13 20

디지털 포렌식 최신 판례 동향
주목할 만한 디지털 포렌식 최신 판례
2015-10-13 21

대법원 2015. 7. 16. 2011모1839 결정
• 배경
• 수원지검은 피의자의 배임혐의와 관련한 영장을 발부받아 피의자의
사무실을 압수수색
• 당시 검사는 피의자의 동의를 받아 디지털 저장매체를 반출 후 대검
디지털 포렌식 센터에 인계하여 저장된 파일을 복제하였고, 피의자는
복제과정의 일부만 지켜보다 이탈
• 검사는 대검에서 복제한 파일을 자신의 매체에 복제 후 파일 수색
• 이때 기존 영장에 기재된 혐의+영장에 기재되지 않은 혐의 정보 출력
• 이 과정에 참여를 보장받지 못한 피의자는 위법한 압수수색이라며 법
원에 준항고, 수원지법이 압수수색 전부 취소 결정, 검찰이 재항고
2015-10-13 22

대법원 2015. 7. 16. 2011모1839 결정
• 결정 주요 내용
• 디지털 증거에서 영장에 기재된 범죄 혐의에 관한 정보만 압수 수색
• 영장에 기재된 내용 이외의 범죄에 관한 정보가 나올 시, 즉시 수색을
중단하고 해당 범죄 행위와 관련된 영장을 다시 발부 후 수색
• 현장에서의 압수수색이 어려워 원본 압수 후 수사기관의 사무실에서
복제 시, 당사자 혹은 변호인이 모든 과정에 참여
2015-10-13 23

디지털포렌식 예제
주요 공격 시나리오를 통해
2015-10-13 24
시나리오 출처 : FICON 2015
https://github.com/F-INSIGHT/Slides/tree/master/FICON

시나리오
• 국내 언론을 통해 고객정보의 중국 거래 확인
• 데이터 대조결과 내부망에 저장된 전체 고객정보
• 내부 확인결과
• 3개월전부터 악성코드 증가
• 진단된 PC는 모두 포맷해 위협 제거
• 스피어 피싱 메일이 5개월 전 45명의 직원에게 전달
• 악성 링크의 클릭 여부를 기억하지 못함
• 인터넷망(애드웨어 66건, 트로이목마 5건, 봇 12건)과 내부망(애드웨
어 10건, 트로이목마 5건)의 악성코드 감염 확인
2015-10-13 25
출처 : FICON 2015

시나리오
2015-10-13 26
출처 : FICON 2015
인터넷 업무망
PMS
File
Server
Web DB
PC PC PC PC PC
PC PC PC PC PC
PC PC PC PC GW
Firewall
PC PC PC PC PC
PC PC PC PC PC
GW PC PC PC PC
Firewall
DC Mail
ERP DB

분석 절차
1. 취득 가능한 전자적 정보 선별
• 피해 사실과 이미 조사된 내용 청취
• 초동조치의 시작은 전산망 구조 파악에서 부터
• 유효한 정보를 보관하고 있는 보안장비를 특정
2. 채증
• 악성프로그램 (애드웨어, 트로이목마, 봇 등)
• Spearphishing mail 원문 (수신자 45명에 대한)
• 악성프로그램이 진단된 기록과 피해PC의 하드디스크 이미지 (수신자
45명 포함)
• 방화벽 로그, 접근제한장비 로그, DB쿼리기록, MRTG 등 트래픽 정보
3. 1차 분석과 확정 검색
• 회원정보가 유출되었을 기준시간 특정
• 악성프로그램이 통신하는 C&C IP 주소 파악
4. 2차 채증 및 채증 자료의 분석
2015-10-13 27
출처 : FICON 2015

분석 결과
2015-10-13 28
출처 : FICON 2015
• 메일서버와 피해자PC 이미지로 보아, 용의자는 2014. 10. 21. 10:45경
suspect@gmail.com으로 읽어봐.hwp를 첨부하여 직원 45명에게 발송
• 악성프로그램을 분석한 결과, 읽어봐.hwp를 열람하면 1차 C&C 123.123.123.123
으로 접속하여 추가 악성프로그램을 내려받아 설치하는 기능의 악성 프로그램
taskmgr.exe가 설치
• 방화벽 기록으로 보아, 내부망 업무용 컴퓨터 중 120대가 123.123.123.123에 접속
• 추가로 확인된 PC를 분석한 결과, 용의자가 발송한 전자우편을 추가로 3종 확인.
4종의 이메일로 200명이 수신.
• 좀비PC 120대를 분석한 결과, 2차 C&C 234.234.234.234로 접속하는 Gh0st RAT을
1차 C&C에서 내려 받아 설치된 사실 확인
• DB 접근제한 기록으로 보아, 좀비PC 120대 중 1대인 DB admin의 PC에서 점심시
간 동안 DB를 덤프받은 사실이 확인
• 방화벽 기록으로 보아, 2014. 11. 01. 12:15경 DB admin의 PC에서 IP주소
111.111.111.111로 접속해 4GB의 내용이 전송된 사실이 확인
• DB admin의 PC 이미지에서, 회원정보가 압축되어 삭제된 내역과 htran, arpstorm
등이 확인

“
”
감사합니다
2015-10-13 29

디지털포렌식, 이것만 알자!

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à 디지털포렌식, 이것만 알자!

Similaire à 디지털포렌식, 이것만 알자! (20)

Plus de SeungYong Yoon

Plus de SeungYong Yoon (8)

Dernier

Dernier (6)

디지털포렌식, 이것만 알자!

Notes de l'éditeur