디지털포렌식, 이것만 알자!

디지털 포렌식 , 이것만 알자 1

디지털 포렌식 , 이것만 알자나고야공업대학 정보공학과 윤승용

2015-10-13


발표자 소개 학력

• 일본 나고야공업대학 정보공학과• 한국디지털미디어고등학교 해킹방어과

자격• 디지털 포렌식 전문가 2 급

대회• MWS Cup 2012 3 위• 제 3 회 디지털 범인을 찾아라 은상

2015-10-13

윤승용 Yoon SeungYong

[email protected]://github.com/forcom


디지털 포렌식디지털 포렌식은 전자적 증거물 등을 사법기관에 제출하기 위해 데이터를 수집 · 분석 · 보고서를 작성하는 일련의 작업을 말한다 .

2015-10-13

출처 : 컴퓨터 포렌식 - Wikipedia ─── https://ko.wikipedia.org/wiki/ 컴퓨터 _ 포렌식

• 전자적 증거물 문서 파일 , 인터넷 사용기록 , 방화벽 로그 , 사진 · 동영상 파일 등• 사법기관 제출 형사소송법의 증거 능력에 부합하도록 조사

• 데이터 수집 · 분석 · 보고서 작성 전자적 증거물의 적법성 , 검증가능성 , 신속성 , 연계보관성 , 동일성을 증명


디지털 포렌식2015-10-

13

기술 법


포렌식 관점에서 본 디지털 포렌식바이너리 데이터가 사법기관에 제출되려면

2015-10-13


증거란 ?

2015-10-13

형사소송법 제 307 조 ( 증거재판주의 )

① 사실의 인정은 증거에 의하여야 한다 .

② 범죄사실의 인정은 합리적인 의심이 없는 정도의 증명에 이르러야 한다 .

범죄에 대한 사실관계를 확실하게 하기 위하여 사용되는 자료증거


증거로 인정받으려면 ?

2015-10-13

형사소송법 제 308 조 ( 자유심증주의 )

증거의 증명력은 법관의 자유판단에 의한다 .

형사소송법 제 308 조의 2( 위법수집증거의 배제 )

적법한 절차에 따르지 아니하고 수집한 증거는 증거로 할 수 없다 .

독수독과의 원칙 대판 2009. 3. 12. 선고 2008 도 11437

형사소송법 제 310 조의 2( 전문증거와 증거능력의 제한 )

제 311 조 내지 제 316 조에 규정한 것 이외에는 공판준비 또는 공판기일에서의 진술에 대신하여 진술을 기재한 서류나 공판준비 또는 공판기일 외에서의 타인의 진술을 내용으로 하는 진술은 이를 증거로 할 수 없다 .

형사소송법 제 318 조 ( 당사자의 동의와 증거능력 )

① 검사와 피고인이 증거로 할 수 있음을 동의한 서류 또는 물건은 진정한 것으로 인정한 때에는 증거로 할 수 있다 .


바이너리 데이터가 증거로 인정받으려면 ?과학적 증거방법

2015-10-13

대판 2007.05.10. 선고 2007 도 1950, 대판 2009.03.12. 선고 2008 도 8486, 대판 2010.03.25. 선고 2009 도 14772,대판 2011.05.26. 선고 2011 도 1902, 대판 2014.02.13. 선고 2013 도 9605

전제로 하는 사실이 모두 진실임이 입증되고 추론의 방법이 과학적으로 정당하여 오류의 가능성이 전무하거나 무시할 정도로 극소한 것으로 인정되는 경우에는 법관이 사실인정을 함에 있어 상당한 정도로 구속력을 가진다 . 그 증거방법이 전문적인 지식 · 기술 · 경험을 가진 감정인에 의하여 공인된 표준 검사기법으로 분석을 거쳐 법원에 제출된 것이어야 할 뿐만 아니라 , 채취 · 보관 ·

분석 등 모든 과정에서 자료의 동일성이 인정되고 인위적인 조작 · 훼손 · 첨가가 없었음이 담보되어야 한다 .


바이너리 데이터가 증거로 인정받으려면 ? 전문적인 지식 · 기술 · 경험을 가진 포렌식 조사관

• 포렌식 전문 수사관• 포렌식 전문가 자격 취득자

공인된 표준 포렌식 도구• 한국정보통신기술협회 (TTA)

• 컴퓨터 포렌식을 위한 디지털 데이터 수집도구 요구사항 (TTAS.KO-12.0057)• 컴퓨터 포렌식을 위한 디지털 데이터 수집도구 검증 (TTAK.KO-12.0075)• 컴퓨터 포렌식을 위한 디지털 증거 분석도구 요구사항 (TTAK.KO-12.0081)• 컴퓨터 포렌식을 위한 디지털 증거 분석도구 검증 (TTAK.KO-12.0112)

• 미국 국가표준기술연구소 (NIST)• CFTT(Computer Forensics Tool Testing) 프로젝트• CFReDS(Computer Forensic Reference Data Sets) 프로젝트

2015-10-13


디지털 관점에서 본 디지털 포렌식바이너리 데이터를 수집 · 분석하려면

2015-10-13


디지털 포렌식 절차• 대검찰청예규 제 805 호 디지털포렌식 수사관의 증거 수집 및 분석 규정• 경찰청훈령 제 766 호 디지털 증거 수집 및 처리 등에 관한 규칙• 한국정보통신기술협회 (TTA) TTAS.KO-12.0058 컴퓨터 포렌식 가이드라인

2015-10-13

수집 분석 보고서 작성 및 대응


수집 무엇을 수집할 것인가

• 시스템 메모리 , 네트워크 정보 , ···• 하드 디스크 , USB 메모리 , CD-ROM, ···

어떻게 수집할 것인가• 활성 시스템 분석 도구• 메모리 덤프• 저장매체 이미지 작성• 물리적 압수

올바르게 수집되었는가• 해시 값 생성 후 비교• 당사자 및 입회인의 동의• 안전한 포장

2015-10-13


분석시스템 구성 파악

타임라인 작성시점 특정

아티팩트 분석

2015-10-13


보고서 작성 및 대응• 쉽게 이해할 수 있는 용어를 사용하여 정확하고 간결하며 논리

정연하게 작성• 사실 관계 중심으로 객관적 사실 , 설명내용 , 분석관 의견을

구분하여 작성• 수집 · 분석이 “과학적 증거 방법”으로 이루어졌음을 정확하게 기록

2015-10-13


디지털 포렌식 기술 최신 동향디지털 포렌식 기술의 최신 동향

2015-10-13


“

”우울하죠

── 디지털 포렌식 전문가 자격 보수 교육에서

2015-10-13


Internet of Things (IoT)

2015-10-13

스마트폰USB 메모리

네비게이션

드론노트북

CCTV

블랙박스MP3 플레이어

스마트왓치

태블릿

스마트 TV

센서


빅데이터• WD 6TB GREEN WD60EZRX

• 280,300 원 (1GB 당 47 원 )

• Seagate 4TB ST4000DM000• 147,800 원 (1GB 당 37 원 )

• Seagate Portable Drive 1TB• 85,000 원 (1GB 당 85 원 )

···

• SATA2 (3Gbps/s = 375MB/s)• SATA3 (6Gbps/s = 750MB/s)• USB 3.0 (5Gbps/s = 625MB/s)• USB 3.1 (10Gbps/s = 1.2GB/s)

2015-10-13

6000GB ÷ 1.2GB/s = 5000 초 = 1 시간 24 분


Anti Forensics

2015-10-13


모바일 운영체제• 안드로이드 , iOS, Windows Mobile, ···• 기본적으로 관리자 권한 미제공• 활성 시스템 정보 획득 어려움• 저장소 이미지 획득 어려움• 보안 취약점이 많음• 대부분의 앱이 SQLite DB 를 이용

2015-10-13


디지털 포렌식 최신 판례 동향주목할 만한 디지털 포렌식 최신 판례

2015-10-13


대법원 2015. 7. 16. 2011 모 1839 결정• 배경

• 수원지검은 피의자의 배임혐의와 관련한 영장을 발부받아 피의자의 사무실을 압수수색

• 당시 검사는 피의자의 동의를 받아 디지털 저장매체를 반출 후 대검 디지털 포렌식 센터에 인계하여 저장된 파일을 복제하였고 , 피의자는 복제과정의 일부만 지켜보다 이탈

• 검사는 대검에서 복제한 파일을 자신의 매체에 복제 후 파일 수색• 이때 기존 영장에 기재된 혐의 + 영장에 기재되지 않은 혐의 정보 출력• 이 과정에 참여를 보장받지 못한 피의자는 위법한 압수수색이라며 법원에

준항고 , 수원지법이 압수수색 전부 취소 결정 , 검찰이 재항고

2015-10-13


대법원 2015. 7. 16. 2011 모 1839 결정• 결정 주요 내용

• 디지털 증거에서 영장에 기재된 범죄 혐의에 관한 정보만 압수 수색• 영장에 기재된 내용 이외의 범죄에 관한 정보가 나올 시 , 즉시 수색을

중단하고 해당 범죄 행위와 관련된 영장을 다시 발부 후 수색• 현장에서의 압수수색이 어려워 원본 압수 후 수사기관의 사무실에서 복제

시 , 당사자 혹은 변호인이 모든 과정에 참여

2015-10-13


디지털포렌식 예제주요 공격 시나리오를 통해

2015-10-13

시나리오 출처 : FICON 2015https://github.com/F-INSIGHT/Slides/tree/master/FICON


시나리오• 국내 언론을 통해 고객정보의 중국 거래 확인• 데이터 대조결과 내부망에 저장된 전체 고객정보• 내부 확인결과

• 3개월전부터 악성코드 증가• 진단된 PC 는 모두 포맷해 위협 제거• 스피어 피싱 메일이 5개월 전 45 명의 직원에게 전달• 악성 링크의 클릭 여부를 기억하지 못함• 인터넷망 (애드웨어 66 건 , 트로이목마 5 건 , 봇 12 건 ) 과 내부망 (애드웨어 10 건 , 트로이목마 5 건 ) 의 악성코드 감염 확인

2015-10-13

출처 : FICON 2015


시나리오2015-10-

13

출처 : FICON 2015

인터넷 업무망

PMS FileServer

Web DB

PC PC PC PC PC

PC PC PC PC PC

PC PC PC PC GW

Firewall

PC PC PC PC PC

PC PC PC PC PC

GW PC PC PC PC

Firewall

DC Mail

ERP DB


분석 절차1. 취득 가능한 전자적 정보 선별

• 피해 사실과 이미 조사된 내용 청취• 초동조치의 시작은 전산망 구조 파악에서 부터• 유효한 정보를 보관하고 있는 보안장비를 특정

2. 채증• 악성프로그램 (애드웨어 , 트로이목마 , 봇 등 )• Spearphishing mail 원문 ( 수신자 45 명에 대한 )• 악성프로그램이 진단된 기록과 피해 PC 의 하드디스크 이미지 ( 수신자 45명 포함 )• 방화벽 로그 , 접근제한장비 로그 , DB쿼리기록 , MRTG 등 트래픽 정보

3. 1 차 분석과 확정 검색• 회원정보가 유출되었을 기준시간 특정• 악성프로그램이 통신하는 C&C IP 주소 파악

4. 2 차 채증 및 채증 자료의 분석

2015-10-13

출처 : FICON 2015


분석 결과2015-10-

13

출처 : FICON 2015

• 메일서버와 피해자 PC 이미지로 보아 , 용의자는 2014. 10. 21. 10:45 경 [email protected] 으로 읽어봐 .hwp 를 첨부하여 직원 45 명에게 발송

• 악성프로그램을 분석한 결과 , 읽어봐 .hwp 를 열람하면 1 차 C&C 123.123.123.123 으로 접속하여 추가 악성프로그램을 내려받아 설치하는 기능의 악성 프로그램 taskmgr.exe 가 설치• 방화벽 기록으로 보아 , 내부망 업무용 컴퓨터 중 120 대가 123.123.123.123 에 접속• 추가로 확인된 PC 를 분석한 결과 , 용의자가 발송한 전자우편을 추가로 3종 확인 . 4종의 이메일로 200 명이 수신 .

• 좀비 PC 120 대를 분석한 결과 , 2 차 C&C 234.234.234.234 로 접속하는 Gh0st RAT 을 1차 C&C 에서 내려 받아 설치된 사실 확인• DB 접근제한 기록으로 보아 , 좀비 PC 120 대 중 1 대인 DB admin 의 PC 에서 점심시간 동안 DB 를 덤프받은 사실이 확인• 방화벽 기록으로 보아 , 2014. 11. 01. 12:15 경 DB admin 의 PC 에서 IP 주소

111.111.111.111 로 접속해 4GB 의 내용이 전송된 사실이 확인• DB admin 의 PC 이미지에서 , 회원정보가 압축되어 삭제된 내역과 htran, arpstorm 등이 확인


“

”감사합니다

2015-10-13

Technology

디지털포렌식, 이것만 알자!