컴퓨터PC(디스크) 포렌식 뜻과 데이터복구 및 디지털증거 분석
컴퓨터 포렌식의 뜻
포렌식이란 라틴어 ‘Forum’에서 유래된 것으로 ‘법의학’, ‘범죄 수사’라는 뜻을 가지며 범죄 과학 수사와 관련된 모든 기술을 의미합니다. 그리고 컴퓨터(디스크) 포렌식은 컴퓨터(PC)나 노트북에서 사용되는 디바이스 또는 운영체제에서 획득한 디지털 증거를 수집, 획득 및 분석하여 활용하며, 법정에서 사용될 디지털증거의 증거능력을 유효시키기 위한 과학 수사 기법을 말합니다.
컴퓨터(PC) 포렌식은 디지털 포렌식과 마찬가지로 포렌식의 원칙(진정성, 무결성, 원본성, 신뢰성)과 형사소송법 제307조(증거재판주의) 1항, 2항, 제308조(자유심증주의), 제308조 2항(위법수집증거의 배제)에 법적 근거를 두고 있으며 디지털 포렌식 원칙에 따라 진행해야 하며 사법기관에 제출될 수 있도록 포렌식 분석보고서(감정서)를 작성하여 제공되어야 합니다.
대표적인 활용 예로 윈도우 사용자 행위분석, 사망자 행위분석, 회사기밀 문서유출 사건, 배임 행위 등으로 많이 의뢰하고 계십니다.
데이터 복구란?
하드디스크(HDD, SSD), 외장하드, USB, SD 메모리, CF카드, Micro SD 등과 같은 디지털 저장매체에 저장되어 있던 데이터들이 논리적(소프트웨어손상: 삭제, 포맷, 시스템오류 등) 또는 물리적(하드웨어손상: 충격, 침수, 화재 등)으로 손상되어 문서나 사진, 파일들을 정상적인 방법으로 확인할 수 없을 때에 데이터복구를 통해 기존의 자료들을 확인할 수 있도록 하는 것을 말합니다.
디지털 포렌식과 데이터 복구의 차이점
디지털포렌식과 데이터복구는 비슷하지만 다릅니다. 포렌식은 과학 수사 기법을 뜻하는 말로 범죄나 사고 현장 또는 민형사 소송에서 유무죄를 입증하기 위한 수단으로 디지털 증거의 위변조를 막고 원본성, 신뢰성으로 증거능력을 유효시키기 위한 모든 과정이라 보시면 됩니다. 데이터복구는 어떠한 이유로 기존에 저장되어 있던 자료들을 확인할 수 없을 때 복구를 통해 되돌리는 것을 말합니다.
여기서 포렌식을 위해 데이터복구를 진행하기도 하는데 예를 들어 어느 회사의 컴퓨터에서 회사기밀을 삭제했다면 데이터복구를 진행한 뒤 복구된 데이터를 바탕으로 혐의를 입증할 수 있도록 수집, 분석, 보고서 작성까지를 컴퓨터 포렌식이라 할 수 있겠습니다.
컴퓨터(디스크) 포렌식과 데이터복구의 종류?
디바이스 매체에 따라 하드디스크(HDD), SSD, 외장하드, USB, SD카드, Micro SD카드, CF카드 등의 디바이스 매체에서 포렌식 데이터복구가 가능하며, 데이터의 저장방식에 따라 윈도우 포렌식, 맥(MAC) 포렌식, 블랙박스복구, CCTV 복구, 데이터베이스 포렌식, 카카오톡 포렌식복구 등이 있습니다.
컴퓨터(윈도우) 포렌식 분석 항목
윈도우 포렌식은 사람들이 가장 많이 사용하고 이용하는 서비스로 컴퓨터의 기본 정보부터 사용되었던 흔적을 분석을 합니다.
- 운영체제 정보
– 윈도우 설치 날짜, 빌드번호, 제품키, 사용자 아이디, DHCP DNS 서버 등의 정보를 확인합니다. - 응용 프로그램 내역
– 컴퓨터에 설치되고 실행되었던 프로그램에 대한 정보를 확인합니다. - Link File & Jump List 접근 내역
– Link File과 Jump List는 윈도우 아티팩트 로그파일이며 응용프로그램, 디렉터리, 문서파일 등의 원본 파일에 속성 정보를 담고 있으며, 윈도우 응용프로그램 별로 그룹화하고 최근 실행된 파일 및 폴더를 기록하는 것으로 회사기밀 정보유출과 배임 혐의에 중요한 증거가 되고 있습니다. - 휴지통 & 삭제파일
– 삭제된 폴더와 파일을 확인합니다. - USB 외부저장장치 연결 내역
– 윈도우 이벤트를 통해 USB외부저장장치가 컴퓨터에 언제 연결되고 해제되었는지 연결된 디바이스 내역을 확인합니다. - Internet 접속 기록
– 인터넷 접속기록과 검색, 다운로드 내역을 확인합니다. - USB 외부저장장치 연계분석
– 링크파일과 점프리스트 연계 분석을 통하여 특정 일자의 외부 장치의 사용 흔적에 대한 행위를 분석을 통해 확인하며 회사기밀 정보유출과 배임 혐의에 중요한 증거가 되고 있습니다.
분석된 컴퓨터(윈도우) 포렌식의 결과물은 디지털 증거의 증거효력을 위해 진정성, 무결성, 원본성, 신뢰성 검증을 마친 뒤 포렌식 분석보고서(감정서)가 제출됩니다.