## 서론 디지털 포렌식이 뭔가에 대해서는 처음 이 분야를 공부하면서부터 꾸준히 질문했던 내용이기도 하고, 가장 많이 듣는 질문이기도 하다. 보안 업계에 종사하지만 다른 취약점 분석이나 모의해킹, 리버싱을 하는 종사자분들이 종종 묻곤 한다. > [!NOTE] 디지털 포렌식은 그래서 뭘 하는 학문,직업이에요? 데이터를 복구하는 일인가요? > > 사실 이런 질문을 받을 때마다 약간에 생각에 잠기곤 하는것 같다. 정말 내가 생각하는게 디지털 포렌식인가? 하는 고민에 빠지기도 하고 여러 커뮤니티에서도 질문되면 핫한 논쟁이 벌어지기도 하는 주제이다. > > 그래서 이번 글에서는 필자가 생각하는 디지털 포렌식의 정의에 대해 알아보고 흔히들 생각하는 착각들을 Q&A 방식으로 처리햐 보도록 하자. 너무 필자의 식견에만 갇혀 있지 않기 위해 마지막 부분에 디지털 포렌식 업계에 종사하는 분들이 생각하는 디지털 포렌식의 정의를 소개해 보도록 하겠다. > ## Digital Forensic vs Incident Response 흔히들 디지털 포렌식을 거론할 때 침해사고 대응을 설명하는 경우가 있다. 디지털 포렌식(Digital Forensic)과 침해사고 대응(Incident Response)는 동일한 것인가? 그게 아니면 어떤 관계가 있는지가 디지털 포렌식을 이해하는데 있어서 중요한 출발점이 될 것이다. 일단 디지털 포렌식에 대한 학술적인 정의부터 알아보자. - **Digital Forensic** 포렌식이라는 단어를 모른다면 포렌식 부터 알아봐야겠다. 우선 포렌식은 법의학이라는 용어로 해석되며 정의는 다음과 같다. ==The adjective _forensic_ describes scientific methods used to investigate crimes. If you're looking for _forensic_ evidence, you're using your scientific know-how to find proof that will help solve crimes.== 설명하자면 민사나 형사 사건을 수사하기 위해 사용되는 과학적인 방법을 포렌식이라 하는 것이다. 디지털 포렌식은 포렌식 기법의 한 종류로, 디지털 형태로 존재하는 물질에 대한 포렌식이다. 디지털 포렌식에 대해 가장 넓고 광범위한 정의에 대해 알아보았다. 보통 여기까지의 해석에는 이견이 없다. 주 쟁점은 디지털 포렌식이 뭘 하는 학문인지에 대해 의문이 많이 생긴다. 디지털 포렌식은 광범위한 해석에서 언급했듯 하나의 법적 사건을 과학적으로 수사하기 위한 방법이다. 즉 법적 절차를 처리하기 위해 존재하는 과정으로 데이터 무리에서 증거로 사용될 수 있는 요소를 식별하며 이를 모두가 인정할 수 있게 보존하고 분석하여 결론을 제시하여 법적 공방에 도움을 보태는 역할이라고 할 수 있겠다. 이제 비교를 위해서 침해사고 대응(Incident Response)도 똑같이 알아보자. - **Incident Response** 침해사고 대응은 어떤 침해가 발생했을 때 즉각적으로 대응하고 대응 이후 사고의 원인을 분석하여 앞으로의 피해를 최소화 하기 위한 조치이다. 즉각적인 조치가 필요하기 위해 CERT 같은 팀을 운영하는 기업이나 서비스도 있다. 사고의 종류는 여러가지인데, 보통 시스템이 해킹당하거나 바이러스, 랜섬웨어가 설치되는 경우, 내부 임직원이 데이터를 빼돌리는 등 여러가지 보안 사고가 침해사고 대응의 대상이 될 수 있다. 그렇다면 왜 우리는 침해사고 대응과 디지털 포렌식을 헷갈리는가? 바로 침해사고 대응의 원인 분석에 있다. 실제로 많은 기업이 해킹사고를 비롯한 보안사고의 원인 분석을 이유로 디지털 포렌식을 업므로 하는 기업에 의뢰를 하곤 한다. ==**침해사고 대응의 원인 분석 과정에서 디지털 포렌식 기술이 사용될 수 있기 때문이다.**== 이제 우리는 좀더 쉽게 이해할 수 있다. 디지털 포렌식과 침해사고 대응은 서로 교집합을 두고 있는 기술 영역인 것이다. 이러한 이유로 이 일련의 과정을 통합하여 DFIR 이라고 소개하기도 한다. ## Digital Forensic Techniques 디지털 포렌식을 침해사고와 비교하면서 디지털 포렌식 기술을 사용한다고 언급했다. 그럼 디지털 포렌식 기술에는 어떤 것들이 있는지 알아보자. 사실 굉장히 많은 기술들이 있어 설명에 부담이 있을 수 있다. 이럴때 일수록 문명의 이기를 사용할 수 있어야 한다. GPT의 답변을 들어보자 > [!Answer] 디지털 포렌식 기술을 설명해줘! > > - **GPT’s Answer** > 1. Disk Imaging: Creating a bit-by-bit copy or image of a storage device (such as hard drives or USB drives) to preserve the original data, ensuring its integrity, and allowing for offline analysis. > 1. File Recovery: Using specialized software to recover deleted or hidden files, including those from recycle bins, unallocated disk space, or overwritten data. > 2. Timeline Analysis: Creating a chronological timeline of events and activities on a digital device to understand how actions and files relate to each other. > 3. Keyword Searching: Scanning digital data for specific keywords, phrases, or patterns that may be relevant to an investigation. > 4. Data Carving: Extracting data fragments or files from unallocated disk space, often useful when file system structures are damaged or missing. > 5. Metadata Analysis: Examining metadata associated with files, such as creation dates, author information, and access timestamps, which can provide valuable context. > 6. Registry Analysis: Analyzing the Windows Registry to identify system configuration changes, user activity, and malware artifacts. > 7. Email Analysis: Extracting and analyzing email messages, attachments, and email headers to trace communication and identify relevant evidence. > 8. Network Packet Analysis: Capturing and analyzing network traffic to investigate communication patterns, identify suspicious activities, and determine the source of network-based attacks. > 9. Memory Forensics: Analyzing the contents of a computer’s volatile memory (RAM) to uncover running processes, open network connections, encryption keys, and other volatile information. > 10. Mobile Device Forensics: Extending digital forensics techniques to mobile devices (smartphones and tablets) to extract data, including call logs, text messages, app data, and geolocation information. > 11. Cloud Forensics: Investigating data stored in cloud services like Google Drive, Dropbox, or OneDrive, which may involve requesting data from service providers. > 12. Database Analysis: Examining databases for data manipulation, retrieval, and potential breaches, often used in financial and corporate investigations. > 13. Steganography Detection: Identifying hidden information within files through techniques such as steganography detection tools. > 14. Malware Analysis: Investigating malware to understand its behavior, impact, and potential origins. This includes static and dynamic analysis of malicious code. > 15. Volatility Analysis: Analyzing the volatility of data and processes to understand patterns and anomalies in system behavior. > 16. Hashing and Data Integrity Checks: Using cryptographic hash functions to verify data integrity during the forensic process. > 17. Chain of Custody Management: Maintaining a secure and documented chain of custody to ensure the admissibility of evidence in court. > 어마어마하게 많다. 이러한 이유 때문에 디지털 포렌식 기술은 많은 분야를 넓고 얕게 아는 사람도 있고, 하나의 분야의 specialist가 되는 사람도 있다. (~~괴물처럼 다 잘하는 사람도 있다는게 함정~~) 그래도 인공지능에 의존을 너무 하면 안된다. 필자가 생각하는 디지털 포렌식 기술을 좀 알아보자. 물론 gpt의 답변에서의 큰 차이는 없다. 1. 수집 기술 2. 아티팩트 분석 기술 3. 메모리 분석 기술 4. 스테가노그래피 5. 네트워크 분석 기술 6. 무결성 관리 기술 7. … 8. 기타 분석의 대상이 되는 요소를 분석하기 위한 리버싱 스킬… 정도로 설명할 수 있겠다. ## 툴 의존도에 대한 올바른 이해 다만 정의를 비롯한 혼란을 야기하는 과정을 다 규명하고 난 뒤에도 질문들이 무수히 많이 들어온다. 그중 가장 많이 나오는 내용이 바로 툴에 대한 의존도가 높지 않냐는 질문이다. 질문보다는 비판에 가깝겠다. “과학에 의존하는 전문 직종인데, 상용으로 판매되는 도구들이나, 무료로 풀린 도구들을 접해본 사람들의 입장에서 보면 별다른 학습이 필요하지도 않고 도구 사용법만 숙지한다면 혹은 메뉴얼대로 분석한다면 전문가/비전문가를 구분하지 않고 모두가 해낼 수 있는 것이 아닌가. 이것을 진정한 학문이라 할 수 있겠는가. ” 사실 이렇게 비판하는 사람들에게 틀린 부분은 딱히 없다. 필자도 포렌식 공부를 한 초년기에는 이런 고민을 했었고, 의문을 해소하기 위해 다방면으로 노력했다. 내가 결론적으로 깨닳은 것은 이런 비판을 하는 사람들은 다만 놓친 부분이 있다는 것이다. 도구는 사람을 편리하게 해주기 위한 것이지 의존하면 안된다. 앞서 글을 쓰면서도 gpt를 이용하여 글을 썼다. 그러나 거기에 의존하지 않았다. 정확히는 의심한 것이다. 도구가 완벽히 옳은 결과만을 제시해 준다는 확신이 있는가? 그럼 우리는 어떻게 그 결과를 신뢰할 수 있는가? 바로 알고 있는 내용이여야 한다는 것이다. 디지털 포렌식에서는 분석가 개인에 대한 신뢰도가 중요한 요소이다. 그만큼 사람에 대한 의존도가 높고, 사람마다 같은 도구를 사용해도 내리는 결론이 천차만별이다. 이때 신뢰도를 결정짓는 요소는 도구가 아닌 사람이라는 것을 명심해야 한다. 도구가 오류를 출력하더라도 이를 의심하고 옳은 결론을 제시하는건 분석가의 역량이기 때문이다. ## 결론 이번 글에서는 디지털 포렌식의 정의를 알아보고 가장 많이 질문하는 내용인 디지털 포렌식은 침해사고대응과 뭐가 다른지에 대해서 알아봤다. 디지털 포렌식에 사용되는 기술들도 설명해서 디지털 포렌식이 어떤 학문인지도 이해할 수 있었을 것이다. 또 많이 하는 오해들에 대해서도 다뤄 보았으니 디지털 포렌식을 처음 접하는 분들에게 궁금증을 해소하고 공부에 있어 방향성을 제시해 줄 수 있는 글이 되길 바란다.