디지털 포렌식 절차

<기본 5대 원칙>

1. 정당성의 원칙

2. 재현의 원칙

3. 신속성의 원칙

4. 연계 보관성의 원칙

(사전 준비 -> 증거 수집 -> 증거 포장 및 이송 -> 조사 분석 -> 정밀 검토 -> 보고서 작성)

5. 무결성의 원칙

---

<디지털 포렌식 절차>

 

1. 대상자를 컴퓨터와 격리, 이후 모든 작업은 조사자가 수행, 현장 사진촬영 및 스케치 수행

- 컴퓨터 등 대상물의 앞.뒷면 사진, 주변기기를 포함한 사진, 전원이 켜져 있는 경우는 모니터 화면 촬영

- 현장에 있는 수집 대상물의 위치를 상세히 스케치

 

2. 네트워크 정보 등 휘발성 증거를 수집, 별도 저장 후 네트워크와 분리함

- 시스템의 유동 IP 확인

- FTP 접속 현황 등 확인 가능한 네트워크 정보 확인

 

3. 수집 대상물의 전원을 확인

- 컴퓨터 등 수집대상물의 전원이 꺼져 있는 경우 그대로 수집

- 전원이 켜져 있는 경우, 확인 가능한 휘발성 데이터 확인

 

4. 컴퓨터 본체 및 주변기기 확보 원칙, 부득이한 경우 하드디스크만 분리 수집

- 시스템 시간과 날짜 정보 확인

- 표준 시간(KST/GMT/UTC) 간의 오차를 휴대폰 시간과 대조하여 확인 후 기록

- 컴퓨터 전원을 끄고 본체에서 하드디스크를 안전하게 분리

 

5. 외장형 디스크, USB 메모리 등 기타 디지털 저장매체와 각종 소프트웨어, 주변장치, 케이블 등을 수집

 

6. 증거물을 포장하고 상세정보를 기재하여 증거물에 부착

- 하드디스크는 보호 박스를 사용, 개별 포장

- 컴퓨터 및 주변 장치 등에 대한 상세 정보를 기재, 라벨로 증거물에 부착

- 상세정보의 내용은 사건번호, 수집자, 입회인, 수집 일시, 장소, 물품, 제조번호 등이고, 하드디스크만 분리, 수집 시 추가로 BIOS 시간 오차를 기재 

 

7. 수사관은 압수조서를 작성하고, 압수 목록은 2부를 작성하여 피 처분자의 서명을 받은 다음 1부를 교부

 

8. 기본 조사서 작성

- 컴퓨터 사용자를 상대로 컴퓨터의 사용 용도, 운영체계, 응용 프로그램, 패스워드가 설정된 프로그램 명, 패스워드 정보 등을 확인 후 기록

- 피조사자, 입회인 확인 후 서명 및 날인