[Mobile Forensics] 조사와 분석, 증거의 원칙

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 모바일 포렌식 조사와 분석, 증거법에 대해 알아보겠습니다. 모두 화이팅 하세요!!!

 

Examination and analysis

조사단계

잘 시험되고 과학적인 방법론을 적용해야 합니다.

 

분석 단계

범죄와 관련된 데이터를 잔여 잉여 데이터와 구별하는 것이 중요합니다.

사건과 관련하여 가치가 있는 데이터를 탐색합니다.

사건에 대한 이해력이 데이터에 대한 표적 분석(a targeted analysis of the data)을 수행하는데 도움이 됩니다.

조사자가 포렌식 도구를 얼마나 적절하게 사용할 수 있느냐 하는 것도 매우 중요합니다.

도구의 기능이나 옵션을 능숙하게 사용할 줄 알면 조사의 속도를 빠르게 할 수 있습니다.

어떤 도구가 제대로 처리하지 못하는 경우 그런 상황을 빨리 파악해서 대체 도구를 활용할 수 있어야 합니다.

도구의 기능과 제약 사항, 장단점을 두루 파악하여 두어야 합니다.

 

https://www.g2.com/articles/digital-forensics

 

 

US Department of Justice 의 Forensic Examination of Digital Evidence – A Guide for Law Enforcement 에서 언급한 분석항목

 

사용자 및 소유자 확인 (Ownership and possession)

파일을 생성/수정/접근한 사람이 누구인지 확인합니다.

특정한 일시에 혐의 데이터의 소유하거나 점유한 사람이 누구인지 확인합니다.

비정상적인 위치에 존재하는 혐의 파일을 찾습니다.

점유한 것임을 방증하는 패스워드를 복원합니다.

사용자에게 귀속되는 파일의 내용을 확인합니다.

 

어플리케이션 및 파일 분석 (Application and file analysis)

파일의 내용을 조사하면서 조사와 관련된 정보를 확인합니다.

파일을 설치된 어플리케이션과 연관시켜 봅니다.

파일간의 관련성을 확인합니다. (예: 이메일과 이메일 첨부파일)

알려져지 않은 파일의 유형과 그 의미를 확인합니다.

시스템 환경설정 파일을 조사합니다.

파일의 메타데이터(예: 작성자 이름)를 분석합니다.

 

시간정보 분석 (Timeframe analysis)

해당 시스템에서 이벤트가 발생한 때가 언제인지 특정합니다.

메시지 및 이메일의 시간 정보를 확인합니다.

 

데이터 은닉 분석 (Data hiding analysis)

 숨겨진 데이터를 탐지하고 복원합니다.

 

Rules of evidence

모바일 포렌식은 비교적 새로운 분야이며, 증거의 유효성과 관련된 법은 나라마다 다릅니다.

 

디지털 포렌식에 적용되는 증거에 대한 5개의 일반 원칙

허용성 (Admissible)

가장 기본적인 원칙이며 증거의 유효성과 중요성의 척도입니다.

증거는 법정 또는 다른 장소에서 사용가능한 방식으로 보존되고 수집되어야 합니다.

 

진정성 (Authentic)

증거는 적정한 방법으로 사건과 결부되어 있어야 한다.

포렌식 조사자는 증거의 출처(the origin of the evidence)에 대해 설명할 책임이 있습니다.

 

완전성 (Complete)

증거가 제시되면 그것은 명백하고 완전해야 하며, 전체의 스토리를 반영할 수 있어야 한다.

 

신뢰성 (Reliable)

디바이스에서 수집되는 증거는 신뢰할 수 있어야 합니다.

신뢰도는 사용하는 도구와 방법론에  의해 영향을 받는다.

 

개연성 (Believable)

포렌식 조사자는 명확하고 간결하게 설명할 수 있어야 합니다.

조사자에 의해 제시된 증거는 명확해야 하고, 이해하기 쉬워야 하며 믿을 만한 것이어야 합니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Practical Mobile Forensics (Rohit Tamma)