I. 모바일 기기를 통한 디지털 증거확보, 모바일 포렌식의 개요
가. 모바일 포렌식의 정의
- 모바일 장치를 대상으로 하여 범죄나 수사에서 디지털 증거를 수집, 식별, 보존, 문서화하여 법정에 제출하는 포렌식 기법
나. 모바일 포렌식의 데이터 유형
- 연락처, 통화기록, 문자, 캘린더, 이메일, GPS, 지도, 웹 브라우저, SNS, 클라우드, 금융, 키관리 APP 등
II. 모바일 포렌식의 증거수집 절차와 데이터 추출방식
가. 모바일 포렌식의 증거수집 절차
|
절차 |
주요활동 |
설명 |
|
1. 현장보존 |
- 증거훼손 방지 - 증거현장 사진촬영 |
- 범죄현장에서 모바일 발견되면 사진 찍어 현장을 보존 - 전원이 켜진 상태일 경우 화면 사진 캡쳐 |
|
2. 증거확보 |
- 네트워크 차단 - 페러데이 백 - 에어플레인 모드 - 무선주파수 차폐 주머니 |
- 모바일 상태 변경을 위해 네트워크 차단 - 페러데이 백을 통한 무선 신호의 차단 - ON 상태일 경우 전원 공급하여 활성데이터 보존 - 식별 및 격리 추가 - 격리: 비행기 모드 설정 후 무선주파수 차폐 주머니 보관 |
|
3. 데이터수집 및 분석 |
- 해시값 통한 무결성 검증 - 추출데이터와 장치 내 데이터 비교 |
- 수집된 데이터의 법적 효력 확보 및 무결성 검증 - 증거인멸 우려, 데이터 무결성, 네트워크 연결 여부 등 - 분석 후 검증(원본과 추출 데이터) - 여러 도구 사용의 결과 비교 |
|
4. 보고서작성 |
- 증거, 분석의 객관성 유지 |
- 사건정보, 증거의 획득과정, 분석결과, 전문가 소견 등 보고서 작성 - 상호평가 과정을 거쳐 데이터가 검사되고 조사가 완료 되었음을 보장 |
나. 모바일 포렌식의 데이터 추출방식
|
방식 |
설명 |
|
|
논리적 추출 |
개념 |
- USB 인터페이스를 이용, 스마트폰의 플래시 메모리 파일 시스템으로부터 스마트폰에 저장된 파일과 디렉토리를 추출하는 방법 |
|
사례 |
- 메모리 파티션 확인 à 루팅 à 추출 / 데이터 유형 결정 à 탈옥 à 추출 |
|
|
물리적 추출 |
개념 |
- 플래시 메모리 전체를 비트단위로 복사하는 방법 |
|
사례 |
- 운영체제 기반, JTAG 포트 이용, 칩 오프 부트로더 이용, 마이크로 칩 읽기 |
|
'IT기술노트 > 디지털보안' 카테고리의 다른 글
| 네트워크 포렌식 (0) | 2021.02.26 |
|---|---|
| 스테가노그래피(Steganography) (0) | 2021.02.26 |
| 슬랙 스페이스(Slack Space) (0) | 2021.02.26 |
| 데이터 카빙(Data Carving) (0) | 2021.02.26 |
| 컴퓨터 포렌식(Computer Forensic) (0) | 2021.02.26 |
| 전자증거개시제도(E-Discovery) (0) | 2021.02.26 |
| 평판기반 탐지보안 (0) | 2021.02.26 |
| 행위기반 탐지보안 (0) | 2021.02.26 |
댓글