뭐 제목 그대로입니다
사실 떳떳한 사람이라면 폰 압수 수색, 혹은 압수 수색 당하기 전에 삭제해서 복구 못하게해야해!
와 같은 생각은 하지 않겠죠
사실 이러한 정보를 글로 쓸까 하다가 억울하게 당하실 경우도 있기에 정보를 적어보고자 합니다
일단 디지털 자료 및 장치를 분석하였을때 다음과 같은 절차및 항목이 포함되어야 디지털 증거 자료가 효력이 있습니다
1. 정당성
-소장 및 압수 수색 및 증거자료로서 획득하기 위해 정당한 사람 및 기관에서 획득, 또는 정당한 절차에 의해 수집해야 한다 는의미입니다
소장없이 마냥 ' 경찰입니다 휴대폰 압수하여 자료를 확인하겠습니다' 한다면 정당성이 없으므로 어떠한 자료가 나와도 법적 효력이 없습니다
2. 연계보관성
-스마트장치 획득 부터 증거자료를 추출 할 때 까지의 과정을 정당한 절차로서 기록하고 보존하여야 하며, 획득시에 기존 사용자에게 확인 및 동의를 해야 합니다
'소장 나왔으니 우리 이거 가져간다 알겠음?' 'ㅇㅇ 알겠음 확인했음' 과 같은 절차를 해야하며 사인을 해야합니다
3. 무결성
이 부분이 제일 꽃과 같은 부분입니다.
- 획득한 스마트장치가 어떠한 변조가 되지 않음을 증명해야하는 것 으로서 '무결'하다 는 것을 증명해야합니다
이것은 암호학적 기술인 해쉬 알고리즘을 통해 해결하고 있습니다
스마트장치를 압수하였을때 먼저 배터리를 분리하고 정전기나 전파가 닿지 않는 물질로 밀봉을해서 밀봉 확인 서명을 사용자로부터 받습니다
그 후 장치 메모리를 그대로 컴퓨터와 연결하여 해쉬 알고리즘을 사용하여 '해쉬 값'을 얻습니다
이 해쉬값은 조금의 데이터가 바껴도 바뀌게 되므로 변하지 않음을 보장 할 수 있습니다(자세한 부분은 설명을 제외하겠습니다)
그렇게 나온 해쉬 값을 획득자와 사용자에게 나누어 주고 서명을 받습니다
이때 서명을 하지 않는 경우가 많은데 전문가 제 3자에게 '사용자는 해쉬 값에 대해 동의하지않음을 제 3자가 확인'과 같은 서명을 하게 되고 이것으로 보장을 받는 경우도 있습니다
이러한 방법을 하여야 후에 변조 된 파일이다! 라고 주장하여도 니가 가지고 있는 해쉬값 비교하면 된다! 로 주장을 하는 것입니다
4. 재연성
-법적 증거자료로 재출 된 자료는 다시 한번더 똑같이 만들 수 있어야한다.
어떠한 동영상을 획득하여 제출 하였을경우 다시한번더 만들어서 달라 라고 할 수 있습니다
그런데 6개월 뒤에 가능하다 라고 한다면 재연성이 없다고 판단됩니다.
이것은 시간에 관련된 부분이라 앞서 설명한 1~3이 더 큰 비중을 띄고있죠
서론이 길었습니다 그럼 본론으로 어떻게 수집하는가? 복구는? 에 대한 부분입니다
일단 100% 복구는 할수있거나 못하거나 입니다
스마트장치의 메인보드에서 메모리칩을 빼서 다른 메인보드에 꽂아서 분석하여 수집합니다.
아무리 휴대폰의 데이터를 삭제하여도 메모리를 가져와서 분석하면 모든것들이 복구 됩니다
물리적파손을 입지 않는한 복구가능하며 사용한 어플리케이션, 설치한 어플리케이션도 살펴보며 GPS 사용 한 어플리케이션 까지 모든것을 전문가들이 다 분석합니다
하지만 이것을 피하는 방법이있습니다
사실 이 부분을 적어야하나 마나 고민중인데(악의적인 사용으로인해) 일단 적어보자면
-원격에 의한 데이터 삭제
휴대폰이 뺏겼을 경우 통신사에 연락하여 분실하였다고 한뒤에 데이터를 삭제 할 수 있습니다
증거자료를 삭제 시킬 수 있는거죠. 물론 이것도 어느정도 복구는 할 수 있습니다만 작은 혐의에서는 바로 넘어가겠죠
-부팅에 의한 삭제
컴퓨터 조각모음을 아시나요? 조각모음을 통해 우리는 컴퓨터의 메모리를 정리하고 줄일 수 있습니다
하지만 휴대폰에서 조각모음 기능은 못보셨을겁니다 왜그러냐 하면 휴대폰은 부팅시에 자동적으로 실행합니다
그래서 한번이라도 부팅을 하게 된다면 데이터 복구율은 90%도 안됩니다 글자가 깨지거나 누락되고 하죠
그래서 압수 당하기전에 문자를 삭제하고 휴대폰을 껏다 켰다 계속하게되면 복구는 힘들어집니다
-전자파, 정전기에 의한 삭제
전자기기이기 때문에 악의적으로 전자파차단이 되는 물질로 밀봉을 하지않음을 확인하고 감행 할 수 있는겁니다
-스팸메일에 의한 삭제
부팅에 의한 삭제와 비슷한 명목으로 스펨문자를 계속 보내어 삭제한 데이터를 복구 못하도록하는겁니다
메모리는 계속 덮어써서 새로 데이터를 입력하기 때문이죠
위의 방법으로 우리는 압수수색을 당하여도 데이터 복구를 못하게 됩니다
제 전공이 이런쪽에 관련되어있어서 어느정도 적어봅니다
이런일을 당하지 않도록 하는게 제일 좋겠죠 질문 환영합니다
PS: 눈치보면서 작성한거라 두서가없을 수 있습니다
첫댓글 작성한 정보로 억울한 피해를 입지 않길 바라며 또한 악의적인 용도로 사용되지않기를 바랍니다. 어느정도 스압이군요
깨알같은 정보 감사드립니다.
1번은..소장은 민사소송에서 볼수있는 물건이니 영장을 말씀하신듯한데, 보통은 실무상 경찰이 임의제출받아서 냠냠합니다. (복원이 필요해지면 영장받아오죠. 이 지경에 이르렀으면 저렇게 자료를 지우려하는걸 경찰이 보고있진 않습니다) -ㅅ- 민사소송이라면 증거수집과정의 위법을 이유로 증거능력을 부인해봐야 재판부는 받을거 다 받아갑니다.
영장이겠네요 영장과 소장에 대해 그렇게 크게 아는게 아니라서요
디지털포렌식쪽에서 일하시나요? ㅂㄹㅂㄹ쇼에 언제 나와주세요. -ㅅ-!
@[Man..] Kaboom 교수님이 그쪽이고 연구실에서 하는분야라서 겸사겸사하는거죠 주 전공은 암호 프로토콜인데 맨날 듣던게 포렌식이라......... ㅂㄹㅂㄹ쇼 같은 경우는 제가 부산에있어서 서울에 가게된다면 노력해보겠습니다