디지털 포렌식 (Digital Forensics)

디지털 포렌식 (Digital Forensics)

디지털 증거를 과학적·법적 방법으로 수집·보존·분석하여 법정 증거로 활용하는 기술

특징: 법적 증거력, 무결성 보장, 재현 가능성

5대 원칙: 정당성(적법 절차), 재현성, 신속성(휘발성 증거), 연계보관성(Chain of Custody), 무결성

절차

• •식별: 범위·대상 파악, 휘발성 순서 결정(레지스터→메모리→디스크→원격 로그)
• •보존/수집: 라이브 포렌식(메모리 덤프), 디스크 이미징(Bit-for-Bit), 해시값 무결성, 쓰기 방지
• •분석: 파일시스템(MAC 시간/삭제 복구), 타임라인(log2timeline), 레지스트리, 메모리(Volatility), 네트워크(PCAP)
• •문서화/보고: 법적 유효 형태, 비기술적 언어, 재현 절차 명시
• •제출/증언: 법정 증거, 증거능력·증명력 입증

유형: 디스크(파일 복구), 메모리(프로세스/키), 네트워크(패킷), 모바일(앱/위치), 클라우드(로그/VM)

주요 도구: EnCase(법정표준), FTK, Autopsy(오픈소스), Volatility(메모리), Wireshark(네트워크)

비교: 디스크(비휘발성/복구) vs 메모리(휘발성/실시간) vs 네트워크(통신/경로 추적)

연관: 침해 대응, 안티포렌식, 로그 분석, Chain of Custody