네트워크 포렌식

I. 네트워크 기반 디지털 증거확보 기술, 네트워크 포렌식의 개요

가. 네트워크 포렌식의 정의

   - 네트워크를 통하여 전송되는 데이터나 패스워드 등 데이터 트래픽을 분석하거나 접근 에러로그, 네트워크 환경 등을 조사하여 수사 단서를 찾아내는 기법

---

II. 네트워크 포렌식의 절차

절차	항목	설명
정보수집	사건	- 사건에 대해 알고 싶고, 알아야 하는 정보
	주변환경	- 주변 환경에 따라 수집되는 정보의 수준이 달라지며, 환경이 끊임없이 변화하고 복잡해 질 수 있으므로 계속해서 체크
전략수립		- 조사 목표와 기간, 증거의 출처, 증거의 가치 대비 들어가는 비용 등, 증거 수집의 우선순위를 정하고 초기 증거수집과 분석계획
증거수집	문서화	- 모든 시스템의 접근한 사실과 증거 수집 과정의 모든 행위를 문서화
	수집	- 증거 자체 수집
	저장과 수송	- 증거가 안전하게 보관되고 있는지 확인하고 관리 연속성 유지
분석	연관성	- 네트워크 포렌식 특징 중 하나는 출처가 다양하고 증거들의 연관성을 고려
	타임라인	- 누가 무엇을 언제 어떻게 했는지 정리
	흥미로운 이벤트	- 특정 이벤트가 강한 연관성을 가질 수 있다.
	확증	- 오탐의 가능성을 줄이기 위해 여러 출처를 비교하여 확실한 증거를 찾아야 한다.
	추가적 증거복구	- 새로운 증거의 필요성이 있을 수 있으며, 과정을 반복하여 계속해서 증거를 복구하여 흥미로운 이벤트를 이해 할 수 있도록 한다.
	해석	- 분석과정에서 사건의 이론을 정리하고 증거의 의미를 평가하는 등의 해석 과정 필요
보고서	보고서에 포함되어야 할 내용	- 기술적 능력이 없는 비전문가(법무팀, 판사, 경영자, 배심원 등)가 이해 할 수 있는 내용