디지털 포렌식이란 무엇인가?
디지털 포렌식(Digital Forensics)은 디지털 기기에서 법적으로 유효한 증거를 수집·분석·보존하는 과학적 절차입니다. 정보보안기사 시험에서는 증거 수집의 법적 유효성 요건, 분석 도구, 타임라인 분석 방법론이 핵심 출제 포인트입니다.
증거 수집 절차와 법적 유효성
법원에서 인정받는 디지털 증거가 되려면 다음 요건을 충족해야 합니다.
- 무결성(Integrity): 해시값(MD5, SHA-256)으로 수집 전후 동일성 증명
- 연속성(Chain of Custody): 증거 취급자, 일시, 장소를 기록한 보관 연속성
- 재현성(Reproducibility): 동일 절차 반복 시 동일 결과 도출
- 적법성(Legality): 적법한 압수수색 영장 또는 동의 취득
증거 수집 순서는 휘발성 높은 데이터 우선(Order of Volatility): RAM → 네트워크 연결 → 프로세스 → 디스크 순으로 진행합니다.
주요 포렌식 도구
- FTK(Forensic Toolkit): AccessData사 제품. 디스크 이미징·인덱싱·키워드 검색. 레지스트리 분석, 암호화 파일 복호화 지원
- Autopsy: 오픈소스 GUI 기반 포렌식 플랫폼. Sleuth Kit 기반. 타임라인 분석, 해시 검증, 파일 복구 기능
- dd / dcfldd: 비트 단위 디스크 복사. 법적 증거 이미지 생성 표준 도구
- EnCase: 기업·수사기관 표준 포렌식 도구. E01 포맷 사용. 법원 증거 채택률 높음
타임라인 분석과 메모리 포렌식
타임라인 분석은 파일시스템 메타데이터(MAC Time: Modified·Accessed·Changed)를 활용해 사건 재구성을 합니다. log2timeline/plaso 도구로 다양한 아티팩트를 통합 타임라인으로 생성합니다.
메모리 포렌식은 RAM 덤프에서 실행 중인 프로세스, 네트워크 연결, 암호화 키, 악성코드 흔적을 추출합니다. Volatility 프레임워크가 표준 도구이며 주요 플러그인은 다음과 같습니다.
- pslist / pstree: 프로세스 목록 및 부모-자식 관계 확인
- netscan: 네트워크 연결 소켓 정보 추출
- malfind: 의심스러운 메모리 영역(코드 인젝션 탐지)
- hivelist / printkey: 레지스트리 하이브 및 키 값 추출
안티포렌식과 대응 전략
공격자는 포렌식 분석을 방해하기 위해 데이터 삭제(Wiping), 스테가노그래피, 파일 타임스탬프 조작(Timestomping), 암호화 등을 사용합니다. 포렌식 분석가는 삭제된 파일 복구(파일 카빙), MFT 분석, 로그 이상 탐지로 대응합니다.
정보보안기사 기출 핵심 정리
- 디지털 증거 4대 요건: 무결성·연속성·재현성·적법성
- 휘발성 순서: RAM → 네트워크 → 프로세스 → 디스크
- FTK vs EnCase: 상용 도구 / Autopsy: 오픈소스
- MAC Time: Modified(수정), Accessed(접근), Changed(변경-메타데이터)
- Volatility malfind: 코드 인젝션 탐지 핵심 플러그인