컴퓨터 포렌식이란?
컴퓨터 법의학은 법정에서 발표하기에 적합한 방식으로 특정 컴퓨팅 장치로부터 증거를 수집하고 보존하기 위한 조사 및 분석 기술의 응용이다. 컴퓨터 법의학의 목표는 구조화 된 조사를 수행하고 문서화 된 증거 체인을 유지 관리하여 컴퓨팅 장치에서 일어난 일과 누가 책임을 졌는지 정확히 파악하는 것입니다.
컴퓨터 법의학-컴퓨터 법의학 라고도-본질적으로 데이터 복구 법적 절차에서 허용 되는 정보를 만들기 위해 법률 준수 지침. 용어 디지털 포렌식 과 사이버 포렌식 종종 컴퓨터 포렌식의 동의어로 사용됩니다.
디지털 포렌식은 정보의 무결성을 유지하는 방식으로 정보를 수집하는 것으로 시작됩니다. 그런 다음 조사자는 데이터 또는 시스템을 분석하여 변경 여부,변경 방법 및 변경 한 사람을 결정합니다. 컴퓨터 법의학의 사용은 항상 범죄에 묶여 있지 않습니다. 포렌식 프로세스는 추락된 서버,실패한 드라이브,재포맷된 운영 체제 또는 시스템이 예기치 않게 작동을 멈춘 기타 상황에서 데이터를 수집하기 위해 데이터 복구 프로세스의 일부로 사용됩니다.
컴퓨터 포렌식이 중요한 이유는 무엇입니까?
민사 및 형사 사법 시스템에서 컴퓨터 법의학은 법원 사건에 제시된 디지털 증거의 무결성을 보장하는 데 도움이됩니다. 컴퓨터 및 기타 데이터 수집 장치가 삶의 모든 측면에서 더 자주 사용됨에 따라 디지털 증거 및이를 수집,보존 및 조사하는 데 사용되는 법의학 프로세스가 범죄 및 기타 법적 문제를 해결하는 데 더욱 중요해졌습니다.
보통 사람은 현대 장치가 수집하는 많은 정보를 결코 볼 수 없습니다. 예를 들어,자동차의 컴퓨터는 운전자가 인식하지 않고 운전자가 브레이크,교대 및 속도를 변경하는 경우에 대한 정보를 지속적으로 수집합니다. 그러나이 정보는 법적 문제 또는 범죄를 해결하는 데 중요 할 수 있으며 컴퓨터 법의학은 종종 해당 정보를 식별하고 보존하는 역할을합니다.
디지털 증거는 데이터 도난,네트워크 침해 및 불법 온라인 거래와 같은 디지털 세계 범죄를 해결하는 데 유용하지 않습니다. 또한 강도,폭행,뺑소니 사고 및 살인과 같은 물리적 세계 범죄를 해결하는 데 사용됩니다.
기업은 종종 독점 정보를 안전하게 유지하기 위해 다층 데이터 관리,데이터 거버넌스 및 네트워크 보안 전략을 사용합니다. 잘 관리되고 안전한 데이터를 보유하면 해당 데이터를 조사해야 포렌식 프로세스를 간소화하는 데 도움이 될 수 있습니다.
기업은 또한 컴퓨터 포렌식을 사용하여 사이버 공격자를 식별하고 기소하는 데 사용할 수있는 시스템 또는 네트워크 손상과 관련된 정보를 추적합니다. 기업은 또한 디지털 포렌식 전문가 및 프로세스를 사용하여 자연 재해 또는 기타 재해로 인한 시스템 또는 네트워크 장애 발생시 데이터 복구를 도울 수 있습니다.
세계가 삶의 핵심 기능을 위해 디지털 기술에 더 의존하게 되면서 사이버 범죄가 증가하고 있습니다. 따라서 컴퓨터 법의학 전문가는 더 이상 현장에서 독점권을 갖지 않습니다. 영국 경찰이 사이버 범죄의 증가율을 따라 잡기 위해 컴퓨터 포렌식 기술을 어떻게 채택하고 있는지 알아보십시오.
컴퓨터 포렌식 유형
컴퓨터 포렌식 검사에는 다양한 유형이 있습니다. 각각은 정보 기술의 특정 측면을 다룹니다. 주요 유형 중 일부는 다음과 같습니다:
- 데이터베이스 포렌식. 데이터베이스,데이터 및 관련 메타 데이터에 포함 된 정보의 검사.
- 이메일 포렌식. 일정 및 연락처와 같은 이메일 플랫폼에 포함된 이메일 및 기타 정보의 복구 및 분석
- 맬웨어 포렌식. 가능한 악성 프로그램을 식별하고 페이로드를 분석하기 위해 코드를 선별합니다. 이러한 프로그램에는 트로이 목마,랜섬웨어 또는 다양한 바이러스가 포함될 수 있습니다.
- 메모리 법의학. 컴퓨터의 랜덤 액세스 메모리(램)및 캐시에 저장된 정보를 수집합니다.
- 모바일 포렌식. 모바일 장치의 검사는 연락처,수신 및 발신 문자 메시지,사진 및 비디오 파일을 포함하여 포함 된 정보를 검색하고 분석합니다.
- 네트워크 포렌식. 방화벽 또는 침입 탐지 시스템과 같은 도구를 사용하여 네트워크 트래픽을 모니터링하여 증거를 찾습니다.
컴퓨터 포렌식은 어떻게 작동합니까?
법의학 수사관은 일반적으로 법의학 조사,조사 대상 장치 또는 정보 조사관이 찾고있는 상황에 따라 달라지는 표준 절차를 따릅니다. 일반적으로 이러한 절차에는 다음 세 단계가 포함됩니다:
- 데이터 수집. 전자적으로 저장된 정보는 무결성을 유지하는 방식으로 수집되어야 합니다. 이것은 종종 물리적으로 실수로 오염 또는 변조 할 수 없도록 조사중인 장치를 분리 포함한다. 심사관은 장치의 저장 매체의 법의학 이미지라고도하는 디지털 사본을 만든 다음 원래 장치를 안전 또는 기타 보안 시설에 잠가 초기 상태를 유지합니다. 이 조사는 디지털 사본에 대해 수행됩니다. 다른 경우,공개적으로 이용 가능한 정보는 비세모 웹사이트에 게재된 불법 제품 또는 서비스 구매에 대한 페이스북 게시물이나 공개 Ven 등의 법의학적 목적으로 사용될 수 있습니다.
- 분석. 조사관은 멸균 환경에서 저장 매체의 디지털 사본을 분석하여 사례에 대한 정보를 수집합니다. 다양한 도구는 하드 드라이브 조사 및 와이어 샤크 네트워크 프로토콜 분석기에 대한 기초 기술의 부검을 포함,이 과정을 지원하기 위해 사용됩니다. 마우스 흔들림은 컴퓨터를 검사하여 컴퓨터가 절전 모드로 전환되거나 전원을 잃을 때 손실되는 휘발성 메모리 데이터를 잃지 않도록 할 때 유용합니다.
- 발표. 법의학 수사관 판사 또는 배 심원 소송의 결과 결정 하는 데 그들을 사용 하는 법적 절차에 그들의 발견을 제시 합니다. 데이터 복구 상황에서 법의학 조사관은 손상된 시스템에서 복구 할 수 있었던 것을 제시합니다.
종종 컴퓨터 포렌식 조사에서 여러 도구가 생성 된 결과를 검증하는 데 사용됩니다. 아시아의 카스퍼스키랩 연구원이 시스템 무결성을 손상시키지 않고 멀웨어 증거를 원격으로 수집하기 위한 오픈 소스 포렌식 도구를 어떻게 만들었는지 알아보세요.
기술 포렌식 조사관은
다양한 기술과 독점 포렌식 응용 프로그램을 사용하여 손상된 장치의 복사본을 검사합니다. 숨겨진 폴더와 할당되지 않은 디스크 공간을 검색하여 삭제,암호화 또는 손상된 파일의 복사본을 찾습니다. 디지털 사본에서 발견 된 모든 증거는 발견 보고서에 신중하게 문서화되고 발견,증언 또는 실제 소송과 관련된 법적 절차를 준비하기 위해 원래 장치로 확인됩니다.
컴퓨터 포렌식 조사는 기술과 전문 지식의 조합을 사용합니다. 몇 가지 일반적인 기술은 다음과 같습니다:
- 역 스테 가노 그래피. 스테 가노 그래피는 모든 유형의 디지털 파일,메시지 또는 데이터 스트림 내에서 데이터를 숨기는 데 사용되는 일반적인 전술입니다. 컴퓨터 포렌식 전문가는 해당 파일에 포함된 데이터 해싱을 분석하여 스테 가노 그래피 시도를 반대합니다. 사이버 범죄자가 이미지 또는 다른 디지털 파일 안에 중요한 정보를 숨기면 훈련받지 않은 눈에는 이전과 동일하게 보일 수 있지만 이미지를 나타내는 기본 해시 또는 데이터 문자열이 변경됩니다.
- 확률 적 법의학. 여기에서 조사자는 디지털 아티팩트를 사용하지 않고 디지털 활동을 분석하고 재구성합니다. 아티팩트는 디지털 프로세스에서 발생하는 의도하지 않은 데이터 변경입니다. 아티팩트에는 데이터 도난 중 파일 속성 변경과 같은 디지털 범죄와 관련된 단서가 포함됩니다. 확률 적 포렌식은 공격자가 디지털 아티팩트를 남기지 않을 수있는 내부자로 생각되는 데이터 유출 조사에 자주 사용됩니다.
- 교차 드라이브 분석. 이 기술은 여러 컴퓨터 드라이브에있는 정보를 상호 연관시키고 상호 참조하여 조사와 관련된 정보를 검색,분석 및 보존합니다. 의혹을 제기 이벤트는 유사성을 찾아 컨텍스트를 제공하기 위해 다른 드라이브에 대한 정보와 비교된다. 이를 이상 탐지라고도 합니다.
- 라이브 분석. 이 기술을 사용하면 컴퓨터의 시스템 도구를 사용하여 컴퓨터 또는 장치가 실행되는 동안 운영 체제 내에서 컴퓨터를 분석합니다. 이 분석은 종종 캐시 또는 램에 저장되는 휘발성 데이터를 살펴 봅니다. 휘발성 데이터를 추출하는 데 사용되는 많은 도구는 증거 체인의 정당성을 유지하기 위해 컴퓨터가 법의학 연구소에 있어야합니다.
- 삭제 된 파일 복구. 이 기술은 한 곳에서 부분적으로 삭제되었지만 컴퓨터의 다른 곳에 흔적을 남긴 파일 조각에 대한 컴퓨터 시스템 및 메모리를 검색하는 것과 관련이 있습니다. 이를 파일 조각 또는 데이터 조각이라고도합니다.
이 장에서 컴퓨터 포렌식 분석에 대해 자세히 알아보십시오 파이썬 포렌식:디지털 포렌식 기술을 발명하고 공유하기 위한 워크벤치,쳇 호스머. 파이썬과 사이버 보안 기술을 사용하여 디지털 증거를 보존하는 방법을 보여줍니다.
컴퓨터 포렌식은 어떻게 증거로 사용됩니까?
컴퓨터 법의학은 1980 년대부터 법 집행 기관 및 형사 및 민법에 의해 증거로 사용되어 왔습니다.몇 가지 주목할만한 사례는 다음과 같습니다:
- 애플 영업 비밀 도난. 애플의 자율 자동차 부문에서 장 샤오랑이라는 엔지니어는 은퇴를 발표하고 자신의 노인 어머니를 돌보기 위해 중국으로 돌아갈 것이라고 말했다. 그는 자신의 매니저에게 중국의 전자 자동차 제조업체에서 일할 계획이라고 말하면서 의심을 불러 일으켰습니다. 연방 수사 국에 따르면 애플의 보안 팀은 회사 네트워크에서 장의 활동을 검토하고 사임하기 며칠 전에 자신이 액세스 할 수있는 기밀 회사 데이터베이스에서 영업 비밀을 다운로드 한 것을 발견했다. 그는 2018 에서 연방 정부에 의해 기소되었습니다.
- 엔론. 가장 일반적으로 인용되는 회계 사기 스캔들 중 하나 인 엔론,미국. 에너지,상품 및 서비스 회사는 거짓 많은 직원과 회사에 투자 한 다른 사람들에게 재정적 인 피해를 초래,2001 년 파산하기 전에 매출 수십억 달러를보고했다. 컴퓨터 법의학 분석가들은 복잡한 사기 계획을 이해하기 위해 테라 바이트의 데이터를 조사했습니다. 스캔들은 공공 기업에 대한 새로운 회계 준수 요구 사항을 설정 2002 년 사베 인-옥 슬리 법의 통과에 중요한 요인이었다. 이 회사는 2001 년에 파산을 선언했다.
- 구글 영업 비밀 도용. 앤서니 스콧 레반도프스키,동네 짱과 구글의 전 임원은 2019 년 영업 비밀 절도 33 건의 혐의로 기소되었다. 2009 년부터 2016 년까지 레반도프스키는 구글의 자율주행 자동차 프로그램에서 일하면서 암호로 보호된 기업 서버에서 프로그램과 관련된 수천 개의 파일을 다운로드했다. 그는 구글에서 출발 뉴욕 타임즈에 따르면,오토,동네 짱 2016 년에 구입 한자가 운전 트럭 회사를 만들었습니다. 레반 도프 스키는 영업 비밀 절도 한 카운트에 유죄를 인정하고 징역 18 개월 벌금 및 배상에$851,499 을 선고 받았다. 레반도프스키는 2021 년 1 월 대통령 사면을 받았다.
- 래리 토마스. 토마스는 리토 라마-후아레즈를 총살하고 살해했다 2016 년 토마스는 나중에 도살oi 라로라는 가짜 이름으로 만든 수백 개의 페이스북 게시물의 도움으로 유죄 판결을 받았다. 게시물 중 하나는 범죄 현장에서 발견 된 팔찌를 착용 한 사진이 포함되어 있습니다.
- 마이클 잭슨. 수사관들은 마이클 잭슨의 의사의 아이폰에서 메타 데이터 및 의료 문서를 사용하여 의사를 보여 주었다,콘래드 머레이,잭슨에게 약물의 치사량을 처방,누가 사망 2009.
- 미카일라 먼. 먼 그녀의 맨체스터 대학 기숙사의 욕조에 그녀의 신생아를 익사 2016. 수사관들은 그녀의 컴퓨터에서 그녀를 유죄 판결하는 데 사용 된”집에서 낙태”라는 문구가 포함 된 구글 검색을 발견했습니다.
살인은 컴퓨터 법의학이 퇴치에 도움이 될 수있는 많은 범죄 유형 중 하나 일뿐입니다. 법의학 재무 분석 소프트웨어가 사기를 퇴치하는 데 어떻게 사용되는지 알아보십시오.
컴퓨터 포렌식 경력 및 인증
컴퓨터 포렌식은 교과 과정 및 인증과 함께 자체 과학 전문 분야가되었습니다. 엔트리 레벨 컴퓨터 법의학 분석가의 평균 연봉은 약$65,000 에 따르면 Salary.com.사이버 포렌식 경력 경로의 몇 가지 예는 다음과 같습니다:
- 법의학 엔지니어. 이 전문가는 컴퓨터 포렌식 프로세스의 수집 단계,데이터 수집 및 분석 준비를 처리합니다. 그들은 장치가 실패한 방법을 결정하는 데 도움이됩니다.
- 법의학 회계사. 이 위치는 불법 활동을 은폐하기 위해 만든 돈세탁 및 기타 거래를 포함하는 범죄를 다룬다.
- 사이버 보안 분석가. 이 위치는 일단 데이터를 수집하고 나중에 조직의 사이버 보안 전략을 개선하는 데 사용할 수있는 통찰력을 도출하는 것을 다룹니다.
컴퓨터 과학,사이버 보안 또는 관련 분야의 학사 학위(때로는 석사 학위)는 컴퓨터 법의학 전문가가 필요합니다. 이 필드에는 다음과 같은 몇 가지 인증이 있습니다:
- 사이버 보안 연구소의 사이버 보안 법의학 분석가. 이 자격 증명은 최소 2 년의 경험을 가진 보안 전문가를 위해 설계되었습니다. 테스트 시나리오는 실제 사례를 기반으로합니다.
- 국제 컴퓨터 조사 전문가 협회 공인 법의학 컴퓨터 심사관. 이 프로그램은 주로 비즈니스가 확립 된 컴퓨터 포렌식 지침을 따르도록 필요한 기술을 검증하는 데 중점을 둡니다.
- 컴퓨터 해킹 법의학 수사관. 이 인증은 침입자를 식별하고 법정에서 사용할 수있는 증거를 수집하는 신청자의 능력을 평가합니다. 정보 시스템의 검색 및 압수,디지털 증명 및 기타 사이버 포렌식 기술을 다룹니다.
- 국제 법의학 컴퓨터 심사관 학회 인증 컴퓨터 심사관. 이 법의학 심사관 프로그램은 공인 부트캠프 교육 센터에서 교육을 받아야 하며,신청자는 국제법률 윤리강령 및 전문직 책임 강령에 서명해야 합니다.
국방부 사이버 범죄 센터에서 컴퓨터 법의학 조사를 수행 그녀의 경력을 시작했다 아만다 루소,엔드ame 수석 악성 코드 연구원(현재 페이스 북에서)와의 인터뷰에서 사이버 법의학 경력에 대해 자세히 알아보십시오.