전산보안시스템 구축체계에서 수집한 디지털 증거의 원본성 증명에 관한 연구 A Study on the Proof of Originality of Digital Evidence Collected in Computerized Security System Construction System원문보기
과거 포렌식의 개념은 법의학 분야로써 지문, 모발, DNA감식, 변사체 검시 등의 방법으로 증거를 찾는데 이용되었으나, 최근 다양한 정보기기들의 발전과 활용으로 지금의 포렌식 개념은 법의학 형태의 증거만이 아닌 디지털 증거를 다루는 ...
전산보안시스템 구축체계에서 수집한 디지털 증거의 원본성 증명에 관한 연구
이 명 진 지도교수 이 병 엽 배재대학교 대학원 사이버보안학과
과거 포렌식의 개념은 법의학 분야로써 지문, 모발, DNA감식, 변사체 검시 등의 방법으로 증거를 찾는데 이용되었으나, 최근 다양한 정보기기들의 발전과 활용으로 지금의 포렌식 개념은 법의학 형태의 증거만이 아닌 디지털 증거를 다루는 디지털 포렌식으로 발전하였고 포렌식이라는 분야는 디지털 포렌식이라는 개념이 주를 이루고 있다. 현재 디지털 기술의 발전과 정보화 사회로의 빠른 변화는 사건의 중요 증거 또는 자료가 디지털 정보기기로 이용되고 있는 컴퓨터 및 스마트폰 내에 보관되는 경우가 증가 했다. 이에 증거를 수집하고 분석하기 위하여 고도화된 디지털 포렌식 기술이 요구되고 있다. 따라서 수사기관인 경찰청 및 검찰청에서 컴퓨터 범죄 수사대, 사이버테러 대응센터, 디지털 포렌식 센터 등 디지털 범죄를 수사하는 부서들이 생겨났다. 이런 기관들은 디지털 증거를 수집하고 분석하기 위하여 많은 예산과 인원을 사용하여 활용되고 있다. 이러한 현상으로 인해 사법기관은 물론 행정기관 나아가 법무법인, 회계법인, 일반 기업체에서도 많이 사용되고 있다. 사법기관이나 행정기관에서는 수사나 조사를 목적으로 사용되고 있다면 일반기업체에서는 기업의 기술이나 정보의 유출을 방지하기 위하여 사용되고 법무법인, 회계 법인 등에서는 의뢰인의 방어권을 행사하기 위하여 사용되고 있는 것이 현실이다. 하지만 전산보안시스템의 발전으로 디지털 포렌식의 디지털 증거 수집이 어려워지고 있는 것도 현실이다. 다수의 기업은 물론 개인이 사용하는 컴퓨터나 정보저장매체에도 전산보안시스템을 구축하여 사용하고 있으며 디지털 기기의 매우 중요한 시스템 중 하나로 발전해 나가고 있다. 따라서 기업의 전산 자료를 보호하는 보안시스템은 기업의 업무 특성에 맞게 발전되고 있다. 이에 기업들은 내부적으로 전산자료 보안 규정을 두고 절차대로 기업에서 생산하는 디지털 자료가 여러 보안 시스템을 거치며 보관 하도록 변화 되었다. 기업에서 사용하는 전산보안시스템을 분류하자면 네트워크 보안, 시스템 보안, 정보유출 및 컨텐츠 보안 관제라 불리는 보안관리, 인증 및 암호 등으로 볼 수 있고, 네트워크보안에는 웹방화벽, 네트워크방화벽, IDS/IPs, 가상사설망, 통합보안시스템, 디도스차단시스템, 네트워크접근제어와 시스템보안인 시스템접근통제, 보안운영체제, 바이러스 백신 등이 있다. 또한, 정보유출방지 보안에는 보안 USB, DB보안, DLP, 보안관제, 인증 및 암호화 등 많은 보안시스템으로 기업의 전산시스템을 관리하고 있다. 그러나 디지털 포렌식 조사를 하는 실무자들의 관점으로 보안시스템을 구분한다면 크게 문서보안의 용도로 사용하는 DRM(Digital Rights Management), DLP(Data Loss Prevention)라고 하는 매체제어, 개인의 업무용 PC에 자료를 저장하지 못하게 하는 문서 중앙화(ECM), VPN(Virtual Private Network) 등으로 볼 수 있을 것이다. 과거의 디지털 증거의 수집 방법은 앞에서 설명한 전산보안시스템과는 무관한 전체이미지 즉, 디지털저장장치 및 디지털저장매체 안에 존재하는 모든 데이터를 수집하는 방식이었다. 하지만 광범위한 압수 및 조사가 이루어지면서 개인의 프라이버시 및 기업의 방어권 침해가 크다는 문제점이 생기기 시작하였고 지금의 디지털 증거 수집은 선별 수집이라는 사건과 관련된 자료만을 수집하는 방법이 많이 사용되고 있다. 하지만 저장매체 전체를 수집하는 방법에서는 원본이라는 개념의 문제가 나타나지 않았지만 선별 수집이나 전산보안시스템 구축 안에서의 디지털 증거 수집은 원본이라는 개념을 어디에 두어야 하는지에 대한 문제점이 생길 수 있는 요지가 있었다. 이에 선별 수집에 대한 방법론은 많은 연구가 이루어지고 있으나 전산보안시스템이 구축되어있는 컴퓨터 및 정보저장매체에서 수집한 자료의 디지털 증거의 원본성 및 동일성에 대한 연구는 부족하다. 즉 보안시스템에서 로컬 드라이브나 외부저장장치로 다운로드한 디지털 자료도 원본으로 볼 수 있는지 기존 원본매체의 디지털 자료가 무조건적인 원본인지에 대하여 고민해 볼 필요가 있다. 현재 무분별한 증거의 수집을 방지하기 위하여 사건과 관련된 자료를 수집하는 방법인 선별 방법으로 디지털 증거를 수집하고 있으나 선별을 하여 수집하는 방법에 앞서 전산보안시스템의 구축은 디지털 증거의 원본성의 기준이 불분명하다는 문제가 발생한다. 이에 본 논문에서는 전산보안시스템의 구축체계에서 수집한 디지털 증거가 기본원칙인 원본의 기준을 실무적으로 명확히 하는 디지털 증거의 수집 방안을 제시해 보고자 한다.
전산보안시스템 구축체계에서 수집한 디지털 증거의 원본성 증명에 관한 연구
이 명 진 지도교수 이 병 엽 배재대학교 대학원 사이버보안학과
과거 포렌식의 개념은 법의학 분야로써 지문, 모발, DNA감식, 변사체 검시 등의 방법으로 증거를 찾는데 이용되었으나, 최근 다양한 정보기기들의 발전과 활용으로 지금의 포렌식 개념은 법의학 형태의 증거만이 아닌 디지털 증거를 다루는 디지털 포렌식으로 발전하였고 포렌식이라는 분야는 디지털 포렌식이라는 개념이 주를 이루고 있다. 현재 디지털 기술의 발전과 정보화 사회로의 빠른 변화는 사건의 중요 증거 또는 자료가 디지털 정보기기로 이용되고 있는 컴퓨터 및 스마트폰 내에 보관되는 경우가 증가 했다. 이에 증거를 수집하고 분석하기 위하여 고도화된 디지털 포렌식 기술이 요구되고 있다. 따라서 수사기관인 경찰청 및 검찰청에서 컴퓨터 범죄 수사대, 사이버테러 대응센터, 디지털 포렌식 센터 등 디지털 범죄를 수사하는 부서들이 생겨났다. 이런 기관들은 디지털 증거를 수집하고 분석하기 위하여 많은 예산과 인원을 사용하여 활용되고 있다. 이러한 현상으로 인해 사법기관은 물론 행정기관 나아가 법무법인, 회계법인, 일반 기업체에서도 많이 사용되고 있다. 사법기관이나 행정기관에서는 수사나 조사를 목적으로 사용되고 있다면 일반기업체에서는 기업의 기술이나 정보의 유출을 방지하기 위하여 사용되고 법무법인, 회계 법인 등에서는 의뢰인의 방어권을 행사하기 위하여 사용되고 있는 것이 현실이다. 하지만 전산보안시스템의 발전으로 디지털 포렌식의 디지털 증거 수집이 어려워지고 있는 것도 현실이다. 다수의 기업은 물론 개인이 사용하는 컴퓨터나 정보저장매체에도 전산보안시스템을 구축하여 사용하고 있으며 디지털 기기의 매우 중요한 시스템 중 하나로 발전해 나가고 있다. 따라서 기업의 전산 자료를 보호하는 보안시스템은 기업의 업무 특성에 맞게 발전되고 있다. 이에 기업들은 내부적으로 전산자료 보안 규정을 두고 절차대로 기업에서 생산하는 디지털 자료가 여러 보안 시스템을 거치며 보관 하도록 변화 되었다. 기업에서 사용하는 전산보안시스템을 분류하자면 네트워크 보안, 시스템 보안, 정보유출 및 컨텐츠 보안 관제라 불리는 보안관리, 인증 및 암호 등으로 볼 수 있고, 네트워크보안에는 웹방화벽, 네트워크방화벽, IDS/IPs, 가상사설망, 통합보안시스템, 디도스차단시스템, 네트워크접근제어와 시스템보안인 시스템접근통제, 보안운영체제, 바이러스 백신 등이 있다. 또한, 정보유출방지 보안에는 보안 USB, DB보안, DLP, 보안관제, 인증 및 암호화 등 많은 보안시스템으로 기업의 전산시스템을 관리하고 있다. 그러나 디지털 포렌식 조사를 하는 실무자들의 관점으로 보안시스템을 구분한다면 크게 문서보안의 용도로 사용하는 DRM(Digital Rights Management), DLP(Data Loss Prevention)라고 하는 매체제어, 개인의 업무용 PC에 자료를 저장하지 못하게 하는 문서 중앙화(ECM), VPN(Virtual Private Network) 등으로 볼 수 있을 것이다. 과거의 디지털 증거의 수집 방법은 앞에서 설명한 전산보안시스템과는 무관한 전체이미지 즉, 디지털저장장치 및 디지털저장매체 안에 존재하는 모든 데이터를 수집하는 방식이었다. 하지만 광범위한 압수 및 조사가 이루어지면서 개인의 프라이버시 및 기업의 방어권 침해가 크다는 문제점이 생기기 시작하였고 지금의 디지털 증거 수집은 선별 수집이라는 사건과 관련된 자료만을 수집하는 방법이 많이 사용되고 있다. 하지만 저장매체 전체를 수집하는 방법에서는 원본이라는 개념의 문제가 나타나지 않았지만 선별 수집이나 전산보안시스템 구축 안에서의 디지털 증거 수집은 원본이라는 개념을 어디에 두어야 하는지에 대한 문제점이 생길 수 있는 요지가 있었다. 이에 선별 수집에 대한 방법론은 많은 연구가 이루어지고 있으나 전산보안시스템이 구축되어있는 컴퓨터 및 정보저장매체에서 수집한 자료의 디지털 증거의 원본성 및 동일성에 대한 연구는 부족하다. 즉 보안시스템에서 로컬 드라이브나 외부저장장치로 다운로드한 디지털 자료도 원본으로 볼 수 있는지 기존 원본매체의 디지털 자료가 무조건적인 원본인지에 대하여 고민해 볼 필요가 있다. 현재 무분별한 증거의 수집을 방지하기 위하여 사건과 관련된 자료를 수집하는 방법인 선별 방법으로 디지털 증거를 수집하고 있으나 선별을 하여 수집하는 방법에 앞서 전산보안시스템의 구축은 디지털 증거의 원본성의 기준이 불분명하다는 문제가 발생한다. 이에 본 논문에서는 전산보안시스템의 구축체계에서 수집한 디지털 증거가 기본원칙인 원본의 기준을 실무적으로 명확히 하는 디지털 증거의 수집 방안을 제시해 보고자 한다.
A Study on the Proof of Originality of Digital Evidence Collected in Computerized Security System Construction System
Myung-Jin Lee
Department of Cyber Security, Graduate School of Paichai University Daejeon, Korea (supervised by Professor Byoung-Yup Lee)
In th...
A Study on the Proof of Originality of Digital Evidence Collected in Computerized Security System Construction System
Myung-Jin Lee
Department of Cyber Security, Graduate School of Paichai University Daejeon, Korea (supervised by Professor Byoung-Yup Lee)
In the past, forensic concepts were used to find evidence by fingerprints, hair, DNA identification, and autopsy in the field of forensics, but with the recent development and use of various information devices, forensic concepts have developed into digital forensic. Currently, the development of digital technology and rapid change in the information society have increased the number of cases where important evidence or data of events are stored in computers and smartphones used as digital information devices. Advanced digital forensic technology is required to collect and analyze evidence. Therefore, the National Police Agency and the Public Prosecutor's Office, which are investigative agencies, have established departments to investigate digital crimes such as computer crime investigation teams, cyber terrorism response centers, and digital forensic centers. These institutions use large budgets and personnel to collect and analyze digital evidence. Due to this phenomenon, it is widely used not only in judicial institutions but also in administrative organizations, even law firms, accounting firms and general enterprises. If it is used by judicial and administrative agencies for investigation or investigation purposes, it is used by ordinary companies to prevent leakage of corporate technology or information, and by law firms and accounting firms to exercise their client's defense rights. However, it is also a reality that digital forensic digital evidence collection is becoming difficult due to the development of computer security systems. It is developing into one of the most important systems for digital devices as it establishes and uses computer security systems not only in many companies but also in computers and information storage media used by individuals. As a result, the computer security system has developed according to the characteristics of the company, and digital data produced by the company will go through various security systems according to the procedures internally prescribed by the company. Computer security systems used by companies can be considered as security management, authentication and password called network security, system security, information leakage and content security control. In addition, for information leakage prevention security, corporate computer systems are managed by many security systems such as security USB, DB security, DLP, security control, authentication and encryption. However, if the security system is divided from the perspective of a person in charge of digital forensic research, it can be seen as DRM (Digital Rights Management), DLP (Data Loss Prevention), ECM (Document Centralization) and VPN (Virtual Private Network). In the past, digital evidence collection methods were to collect all images unrelated to the aforementioned computer security system, that is, all data present in digital storage devices and digital storage media. However, as extensive seizures and investigations have begun to cause problems such as large violations of personal privacy and corporate defense rights, digital evidence collection is currently using a method of collecting only data related to events called selective collection. However, there was no problem with the concept of the original as a method of collecting the entire storage medium, but there was a point where digital evidence collection in selective collection or computer security system construction could cause problems. As a result, many studies are underway on methodologies for selective collection, but there is a lack of research on the originality and identity of digital evidence collected from computers with computer security systems and information storage media. In other words, it is necessary to consider whether digital data downloaded to local drives or external storage devices from the security system can also be viewed as the original, and whether digital data from existing original media are unconditional. Currently, digital evidence is collected by a method called screening, but the establishment of a computer security system prior to screening collection causes problems that blur the standards for digital evidence sources. Therefore, in this paper, we would like to present a digital evidence collection plan that clarifies the original standard, which is the basic principle of digital evidence collected by the computer security system construction system.
A Study on the Proof of Originality of Digital Evidence Collected in Computerized Security System Construction System
Myung-Jin Lee
Department of Cyber Security, Graduate School of Paichai University Daejeon, Korea (supervised by Professor Byoung-Yup Lee)
In the past, forensic concepts were used to find evidence by fingerprints, hair, DNA identification, and autopsy in the field of forensics, but with the recent development and use of various information devices, forensic concepts have developed into digital forensic. Currently, the development of digital technology and rapid change in the information society have increased the number of cases where important evidence or data of events are stored in computers and smartphones used as digital information devices. Advanced digital forensic technology is required to collect and analyze evidence. Therefore, the National Police Agency and the Public Prosecutor's Office, which are investigative agencies, have established departments to investigate digital crimes such as computer crime investigation teams, cyber terrorism response centers, and digital forensic centers. These institutions use large budgets and personnel to collect and analyze digital evidence. Due to this phenomenon, it is widely used not only in judicial institutions but also in administrative organizations, even law firms, accounting firms and general enterprises. If it is used by judicial and administrative agencies for investigation or investigation purposes, it is used by ordinary companies to prevent leakage of corporate technology or information, and by law firms and accounting firms to exercise their client's defense rights. However, it is also a reality that digital forensic digital evidence collection is becoming difficult due to the development of computer security systems. It is developing into one of the most important systems for digital devices as it establishes and uses computer security systems not only in many companies but also in computers and information storage media used by individuals. As a result, the computer security system has developed according to the characteristics of the company, and digital data produced by the company will go through various security systems according to the procedures internally prescribed by the company. Computer security systems used by companies can be considered as security management, authentication and password called network security, system security, information leakage and content security control. In addition, for information leakage prevention security, corporate computer systems are managed by many security systems such as security USB, DB security, DLP, security control, authentication and encryption. However, if the security system is divided from the perspective of a person in charge of digital forensic research, it can be seen as DRM (Digital Rights Management), DLP (Data Loss Prevention), ECM (Document Centralization) and VPN (Virtual Private Network). In the past, digital evidence collection methods were to collect all images unrelated to the aforementioned computer security system, that is, all data present in digital storage devices and digital storage media. However, as extensive seizures and investigations have begun to cause problems such as large violations of personal privacy and corporate defense rights, digital evidence collection is currently using a method of collecting only data related to events called selective collection. However, there was no problem with the concept of the original as a method of collecting the entire storage medium, but there was a point where digital evidence collection in selective collection or computer security system construction could cause problems. As a result, many studies are underway on methodologies for selective collection, but there is a lack of research on the originality and identity of digital evidence collected from computers with computer security systems and information storage media. In other words, it is necessary to consider whether digital data downloaded to local drives or external storage devices from the security system can also be viewed as the original, and whether digital data from existing original media are unconditional. Currently, digital evidence is collected by a method called screening, but the establishment of a computer security system prior to screening collection causes problems that blur the standards for digital evidence sources. Therefore, in this paper, we would like to present a digital evidence collection plan that clarifies the original standard, which is the basic principle of digital evidence collected by the computer security system construction system.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.