Digital Forensics
디지털 증거물을 분석하여 수사에 활용하고, 디지털 증거물의 증거 능력을 향상시키기 위해 사용되는 특수한 과학 수사 기법을 총칭하는 용어이다.
디지털 기록 매체를 마치 부검하듯이 복원 프로그램을 사용하고[1] 암호 등 보안을 해제하고, 메타데이터[2]까지 활용하거나 하드디스크 내부에 삭제 로그를 저장하는 스왑 파일(스왑 폴더라고 하기도 한다)에서 삭제 로그를 복원해 디지털 기기의 사용자나 이를 통해 오간 정보를 추적, 조사한다. 원본의 손상을 봉쇄하기 위해 이미지를 뜨는 것이 일반적이라고 한다.
해킹(크래킹)과 디지털 포렌식은 언뜻 보면 비슷해 보이지만 다르다. 해킹은 불법적으로 접근 권한 등을 얻어 정보를 추출해 악이용하는 것이고,[3] 디지털 포렌식은 수사 영장이나 데이터 소유주의 동의를 받은 뒤[4] 디지털 기기에 저장된 증거를 추출하거나 추출된 증거를 분석하는 작업이다. 암호를 해제하는 작업 등은 기술적으로는 크래킹과 다를 게 없지만 포렌식은 합법적으로 이루어진다. 자신의 개인 컴퓨터를 직접 크래킹하는 것이 불법이 아닌 것과 비슷하다. 다만 영장 등의 아무런 법적 근거 없이 디지털 포렌식을 하는 것은 불법 수사이다.
우리나라의 디지털 포렌식은 90년대 경찰의 해킹 수사대가 수사에 활용
하며 시초가 되었으며, 현재 경찰청 디지털 포렌식 센터가 전국적으로 최대의 규모를 가지고 있다. 그 외에도 검찰, 국정원, 군 등이 각 발전을 위해 노력 중이다.
-
컴퓨터 법과학: USB 드라이브, SD 드라이브 등등 복원
-
모바일 장치 법과학: 내장된 GPS / 위치 추적 또는 셀 사이트 로그 범위 추적, 내장된 통신 시스템(예: GSM)
-
네트워크 법과학: 정보 수집 및 로컬 및 WAN/인터넷의 네트워크 트래픽을 모니터링하고 분석 패킷 레벨 분석법
-
데이터 분석 법과학: 금융 범죄로 인한 사기 행위 패턴을 발견 분석 구조화된 데이터 조사
-
데이터베이스 법과학: 데이터베이스와 관련된 포렌식 / 인로그, 데이터베이스 내용. RAM의 타임라인 구축 및 복구
출처 : 나무 위키