디지털 포렌식, 컴퓨터 포렌식 과학 또는 사이버 포렌식이라고도 하는 컴퓨터 포렌식은 컴퓨터 과학과 법률 포렌식을 결합하여 법정에서 인정할 수 있는 방식으로 디지털 증거를 수집합니다.
법 집행관이 범죄 현장을 샅샅이 뒤져 단서를 찾는 것과 마찬가지로 컴퓨터 포렌식 조사관은 디지털 디바이스를 수색하여 변호사가 범죄 수사, 민사 소송, 사이버 범죄 수사 및 기타 기업 및 국가 보안 문제에 사용할 수 있는 증거를 찾습니다.법 집행 기관과 마찬가지로 컴퓨터 포렌식 조사관도 디지털 증거를 찾는 것뿐만 아니라 수집, 취급, 처리하여 법정에서 증거가 인정되고 증거의 충실성을 보장할 수 있는 전문가가 되어야 합니다.
컴퓨터 포렌식은 사이버 보안과 밀접한 관련이 있습니다. 컴퓨터 포렌식 결과는 사이버 보안 팀이 사이버 위협 탐지 및 해결 속도를 높이고 향후 사이버 공격을 방지하는 데 도움이 될 수 있습니다. 새로운 사이버 보안 분야인 디지털 포렌식 및 인시던트 대응(DFIR)은 컴퓨터 포렌식과 인시던트 대응 활동을 통합하여 사이버 위협의 해결을 가속화하는 동시에 관련 디지털 증거가 손상되지 않도록 합니다.
컴퓨터 포렌식은 1980년대 초 개인용 컴퓨터가 발명되면서 처음으로 두각을 나타냈습니다. 기술이 일상 생활의 필수 요소가 되면서 범죄자들은 틈새를 찾아 전자 디바이스를 이용해 범죄를 저지르기 시작했습니다.
얼마 지나지 않아 거의 모든 사람이 인터넷을 사용하게 되면서 이메일과 기업 및 조직 컴퓨터 네트워크에 대한 원격 액세스가 가능해졌고, 더 복잡한 멀웨어와 사이버 공격에 노출되기 시작했습니다.이와 같은 사이버 범죄라는 새로운 영역에 대응하여 법 집행 기관은 전자 데이터를 조사하고 분석할 수 있는 시스템이 필요했으며 이에 따라 컴퓨터 포렌식이 탄생했습니다.
처음에는 대부분의 디지털 증거가 컴퓨터 시스템과 IT 디바이스(개인용 컴퓨터, 서버, 휴대폰, 태블릿, 전자 저장 디바이스)에서 발견되었습니다. 하지만 오늘날 사물인터넷(IoT) 및 운영 기술(OT) 디바이스에서부터 자동차, 가전제품, 초인종, 개 목걸이에 이르기까지 점점 더 많은 산업 및 상업용 디바이스와 제품이 디지털 증거를 수집하고 마이닝할 수 있는 데이터와 메타데이터를 생성하고 저장하고 있습니다.
자동차 사고를 예로 들어 보겠습니다. 과거에는 법 집행 기관에서 범죄 현장을 조사하여 차량 선회 자국이나 깨진 유리와 같은 물리적 증거를 찾았을 수도 있고, 운전자의 휴대폰에서 운전 중 문자 메시지를 보낸 증거가 있는지 확인했을 수도 있습니다.
오늘날 최신 자동차는 모든 종류의 타임스탬프가 찍힌 디지털 데이터와 메타데이터를 생성하고 저장하여 어떤 시점에서든 각 차량의 위치, 속도 및 운행 상태에 대한 상세한 기록을 생성합니다. 이 데이터는 최신 차량을 또 다른 강력한 포렌식 로 변환하여 조사관이 사고 전후, 사고 발생 중, 사고 발생 후의 상황을 재구성할 수 있게 해주며, 기존의 조사에서 사용되던 물리적 증거나 목격자 증언이 없는 경우에도 사고의 책임자를 파악하는 데 도움이 될 수 있습니다.
실제 범죄 현장 증거와 마찬가지로 디지털 증거도 올바르게 수집되고 처리되어야 합니다. 그렇지 않으면 데이터 및 메타데이터가 손실되거나 법정에서 인정되지 않을 수 있습니다.
예를 들어, 조사관과 검사는 디지털 증거에 대한 적절한 관리 체계를 입증해야 합니다. 즉, 디지털 증거의 처리, 처리 및 보관 방법을 문서화해야 합니다. 또한 데이터를 변경하지 않고 수집하고 저장하는 방법을 알아야 하는데, 파일 열기, 인쇄, 저장과 같이 겉보기에 무해해 보이는 작업도 메타데이터를 영구적으로 변경할 수 있다는 점을 고려하면 쉽지 않은 일입니다.
이러한 이유로 대부분의 조직에서는 컴퓨터 포렌식 조사관(컴퓨터 포렌식 전문가, 컴퓨터 포렌식 분석가 또는 포렌식 컴퓨터 검사관이라는 직책으로도 알려져 있음)을 고용하거나 계약하여 범죄 또는 사이버 범죄 수사와 관련된 디지털 증거를 수집하고 처리합니다.
컴퓨터 포렌식 전문가는 일반적으로 컴퓨터 과학 또는 형사 사법 학사 학위를 취득하고 정보 기술(IT) 기초에 대한 탄탄한 기능적 지식을 겸비합니다. 운영 체제, 정보 보안, 네트워크 보안, 프로그래밍 언어, 그리고 디지털 증거와 사이버 범죄의 법적 함의에 대한 배경 지식을 갖추고 있어야 합니다. 일부는 모바일 포렌식 또는 운영 체제 포렌식과 같은 분야를 전문으로 할 수 있습니다.
컴퓨터 포렌식 조사관은 법적으로 허용되는 데이터를 찾아내고 보존하는 전문가입니다. 그들은 오프사이트 서버 및 가정용 컴퓨터와 같이 사내 IT 직원이 간과할 수 있는 소스에서 데이터를 수집하는 방법을 알고 있습니다. 또한 디지털 증거를 수집할 때 시간과 비용을 절약하고, 사이버 범죄의 피해를 완화하며, 향후 공격으로부터 네트워크와 정보 시스템을 보호하는 데 도움이 되는 올바른 컴퓨터 포렌식 정책을 개발하는 데 도움이 될 수 있습니다.
컴퓨터 포렌식에는 네 가지 주요 단계가 있습니다.
첫 번째 단계는 조사와 관련된 데이터, 메타데이터 또는 기타 디지털 아티팩트가 포함되어 있을 수 있는 디바이스 또는 저장 매체를 식별하는 것입니다. 이러한 디바이스는 프로토콜을 따르고 적절한 데이터 복구를 보장하기 위해 수집되어 포렌식 실험실 또는 기타 보안 시설에 배치됩니다.
포렌식 전문가는 보존할 데이터의 이미지 또는 비트 단위 복사본을 만듭니다. 그런 다음 이미지와 원본을 모두 안전하게 저장하여 변경되거나 파괴되지 않도록 보호합니다. 전문가들은 디바이스의 로컬 하드 드라이브에 저장되는 지속성 데이터와 메모리 또는 전송 중인 휘발성 데이터(예: 레지스트리, 캐시, RAM(랜덤 액세스 메모리))의 두 가지 종류의 데이터를 수집합니다. 휘발성 데이터는 일시적이며 디바이스가 종료되거나 전원이 꺼지면 손실될 수 있으므로 특히 주의해서 처리해야 합니다.
다음으로 포렌식 조사관은 이미지를 분석하여 관련 디지털 증거를 식별합니다. 여기에는 의도적으로 또는 의도하지 않게 삭제된 파일, 인터넷 검색 기록, 이메일 등이 포함될 수 있습니다. 다른 사람들이 놓칠 수 있는 "숨겨진" 데이터 또는 메타데이터를 발견하기 위해 조사들은 실행 중인 시스템에서 휘발성 데이터를 평가하는 실시간 분석, 평범해 보이는 메시지 내에 민감한 정보를 숨기는 기술인 스테가노그래피를 사용하여 숨겨진 데이터를 노출하는 역스테가노그래피 등의 전문 기법을 사용합니다.
마지막 단계로 포렌식 전문가는 분석 개요를 설명하는 공식 보고서를 작성하고 조사 결과와 결론 또는 권장 사항을 공유합니다. 보고서는 사례에 따라 다르지만 법원에서 디지털 증거를 제시하는 데 자주 사용됩니다.
조직이나 법 집행관이 디지털 포렌식 조사를 시작할 수 있는 영역은 여러 가지가 있습니다.
범죄 수사: 법 집행 기관과 컴퓨터 포렌식 전문가는 컴퓨터 포렌식을 사용하여 사이버 괴롭힘, 해킹 또는 신원 도용과 같은 컴퓨터 관련 범죄는 물론 강도, 납치, 살인 등 실제 세계에서 발생하는 범죄를 해결할 수 있습니다. 예를 들어, 법 집행관은 살인 용의자의 개인용 컴퓨터에서 컴퓨터 포렌식을 사용하여 검색 기록이나 삭제된 파일에 숨겨진 잠재적 단서나 증거를 찾을 수 있습니다.
민사 소송: 조사관은 사기, 고용 분쟁 또는 이혼과 같은 민사 소송 사건에서도 컴퓨터 포렌식을 사용할 수 있습니다. 예를 들어, 이혼 소송에서 배우자의 법률 팀은 모바일 디바이스의 컴퓨터 포렌식을 통해 파트너의 외도를 밝히고 더 유리한 판결을 받을 수 있습니다.
지적 재산권 보호: 컴퓨터 포렌식은 법 집행 공무원이 영업 비밀이나 저작권이 있는 자료의 도용과 같은 지적 재산권 도용을 조사하는 데 도움이 될 수 있습니다. 가장 세간의 이목을 끄는 컴퓨터 포렌식 사례 중 일부는 지적 재산권 보호와 관련이 있습니다. 특히 퇴사하는 직원이 기밀 정보를 도용하여 다른 조직에 판매하거나 경쟁 회사를 설립하는 경우가 특히 그렇습니다. 디지털 증거를 분석함으로써 조사관은 지적 재산을 훔친 사람을 식별하고 책임을 물을 수 있습니다.
기업 보안: 기업은 데이터 유출이나 랜섬웨어 공격과 같은 사이버 공격이 발생한 후 컴퓨터 포렌식을 사용하여 사건의 원인을 파악하고 보안 취약점을 수정하는 경우가 많습니다. 일반적인 예로는 해커가 회사 방화벽의 취약점을 뚫고 민감하거나 필수적인 데이터를 훔치는 경우를 들 수 있습니다. 사이버 범죄가 계속 증가함에 따라 사이버 공격에 맞서기 위해 컴퓨터 포렌식을 사용하는 것은 계속될 것입니다. 2022년 FBI는 컴퓨터 범죄로 인한 미국인의 연간 손실액이 전년도 69억 달러에서 103억 달러로 증가했다고 추정했습니다(PDF, ibm.com 외부 링크).
국가 안보: 국가 간 사이버 범죄가 계속 증가함에 따라 컴퓨터 포렌식은 중요한 국가 보안 툴이 되었습니다. 정부나 FBI와 같은 법 집행 기관은 이제 사이버 공격 이후 컴퓨터 포렌식 기술을 사용하여 증거를 찾아내고 보안 취약점을 보완합니다.
다시 말하지만, 컴퓨터 포렌식과 사이버 보안은 사이버 공격으로부터 디지털 네트워크를 보호하기 위해 종종 협력하는 밀접하게 관련된 분야입니다. 사이버 보안은 사전 예방적이고 사후 대응적이며 사이버 공격 예방 및 감지는 물론 사이버 공격 대응 및 교정에 중점을 둡니다. 컴퓨터 포렌식은 거의 모든 상황에 활용할 수 있으며 사이버 공격이나 범죄가 발생한 경우 즉시 실행됩니다. 뿐만 아니라 컴퓨터 포렌식 조사는 사이버 보안 팀이 향후 사이버 공격을 예방하는 데 사용할 수 있는 귀중한 정보를 제공하는 경우가 많습니다.
진행 중인 사이버 공격을 탐지하고 완화하는 컴퓨터 포렌식과 인시던트 대응이 독립적으로 수행될 경우 서로 간섭하여 조직에 부정적인 결과를 초래할 수 있습니다. 인시던트 대응 팀은 네트워크에서 위협을 제거하는 동시에 디지털 증거를 변경하거나 파괴할 수 있습니다. 포렌식 조사관은 증거를 찾아 포착하는 동안 위협 해결을 지연시킬 수 있습니다.
디지털 포렌식 및 인시던트 대응(DFIR)은 컴퓨터 포렌식과 인시던트 대응을 통합 워크플로에 결합하여 보안 팀이 사이버 위협을 더 빠르게 차단하는 동시에 위협 완화가 필요한 긴급한 상황에서 손실될 수 있는 디지털 증거를 보존할 수 있도록 도와줍니다. DFIR에서,
포렌식 데이터 수집은 위협 완화 작업과 함께 이루어집니다. 인시던트 대응자는 컴퓨터 포렌식 기술을 사용하여 위협을 억제하고 근절하는 동안 데이터를 수집하고 보존하여 올바른 관리 연속성을 따르고 귀중한 증거가 변경되거나 파괴되지 않도록 보장합니다.
인시던트 후 검토에는 디지털 증거 검토가 포함됩니다. DFIR 팀은 법적 조치를 위한 증거를 보존하는 것 외에도 사이버 보안 인시던트를 처음부터 끝까지 재구성하여 무슨 일이 일어났는지, 어떻게 발생했는지, 피해 범위는 어느 정도인지, 유사한 공격을 어떻게 피할 수 있는지 파악하는 데 사용합니다.
DFIR은 더 빠른 위협 완화, 더 강력한 위협 복구, 형사 사건, 사이버 범죄, 보험 청구 등을 조사하기 위한 증거 개선으로 이어질 수 있습니다.
연결되고 현대화된 보안 제품군으로 공격에 대응 QRadar 포트폴리오에는 엔터프라이즈급 AI가 내장되어 있으며 엔드포인트 보안, 로그 관리, SIEM 및 SOAR을 위한 통합 제품을 제공하며, 모든 제품에 공통 사용자 인터페이스, 공유된 인사이트 및 연결된 워크플로가 갖춰져 있습니다.
사전 위협 헌팅, 지속적인 모니터링 및 위협에 대한 심층 조사는 이미 바쁜 IT 부서가 직면한 최우선 과제 중 일부에 불과합니다. 신뢰할 수 있는 인시던트 대응 팀을 대기 상태로 유지하면 대응 시간을 줄이고 사이버 공격의 영향을 최소화하며 더 빠르게 복구할 수 있습니다.
IBM은 최신 랜섬웨어 위협을 방지하고 퇴치하기 위해 800TB의 위협 활동 데이터, 1천7백만 건 이상의 스팸 및 피싱 공격 정보, 2억 7천만 건의 엔드포인트로 구성된 네트워크에서 수집한 약 1백만 개의 악성 IP 주소에 대한 데이터를 활용합니다.