• 디지털 포렌직 조사의 일반원칙

 

정당성의 원칙 - 입수 증거가 적법덜차를 거쳐 얻어져야 함

                     위법수집증거배제원칙 - 위법절차를 통해 수집된 증거의 증거능력 부정

                     독수의 과실이론 - 위법하게 수집된 증거에서 얻어진 2차 증거능력 부정

재현의 원칙 - 같은 조건에서 항상 같은 결과가 나와야 함

신속성의 원칙 - 전 과정은 지체없이 신속하게 진행되어야 함

연계보관성의 원칙 - 증거물 획득->이송->분석->보관->법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야 함

                           수집된 하드 디스크가 이송 단계에서 물리적 손상이 있었다면 이송 담당자는 이를 확인하고 해당 내용을

                           인수인계, 이후 과정에서 복구 및 보고서 작성 등 적절한 조치를 취할수 있어야 함

무결성의 원칙 - 수집증거가 위,변조 되지 않았을음을 증명

                     수집 당시의 데이터 hash 값과 법정 제출시점 데이터의 hash 값과 같다면 hash함수의 특성에 따라 무결성 입증

동일성의 원칙 - 증거물은 입수단계와 동일 해야 함

 

• 증거물 수집의 기본원칙

적법절차의 준수

원본의 안전한 보존

증거의 무결성 확보

 

• 디지털 포렌직 절차

준비 - 계획수립, 팀구성 출동장비 준비

획득 - 현장출동, 휘발성자료 수집, 획득과정 기록, 포장

이송 - 컴퓨터 본체 등 증거물 이송, 사건 관계자 압송

분석 - 검색, 시그니처 분석, 삭제파일 복구, 암호해독, 레지스트리 분석

보관 - 증거물 보관실에 보관, 반출입시 기록 유지

보고 - 본석결과 보고서 작성, 논리적인 체계하에 작성