• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.23 no.1
• /
• pp.57-67
• /
• 2013

Lately, intrusive incidents (including system hacking, viruses, worms, homepage alterations, and data leaks) have not involved the distribution of an virus or worm, but have been designed to acquire private information or trade secrets. Because an attacker uses advanced intelligence and attack techniques that conceal and alter data in a computer, the collector cannot trace the digital evidence of the attack. In an initial incident response first responser deals with the suspect or crime scene data that needs investigative leads quickly, in accordance with forensic process methodology that provides the identification of digital evidence in a systematic approach. In order to an effective initial response to first responders, this paper analyzes the collection data such as user usage profiles, chronology timeline, and internet data according to CFFPM(computer forensics field triage process model), proceeds to design, and implements a collection application to deploy the client/server architecture on the Windows based computer.

• Review of KIISC
• /
• v.26 no.5
• /
• pp.44-53
• /
• 2016

본 논문에서는 그동안 축적된 디지털 증거 관련 판례를 분석하여 디지털 증거가 법정에서 유효하게 사용될 수 있는 증거 능력 요건을 검토하였다. 법정에 제출된 디지털 증거가 증거능력을 인정받기 위해서는 다음과 같은 요건을 충족해야 한다. 첫 번째 요건으로서 적법하게 수집된 증거이어야 한다. 영장주의에 위반하거나, 압수수색절차에 피압수자의 참여권을 보장하지 않은 경우에는 증거의 증거능력이 인정되지 않는다. 또한 그동안 논란이 되었던 별건정보도 앞서 살펴본바와 같이 대법원이 제시한 요건을 충족해야 한다. 두 번째 요건으로는 법정에 제출된 디지털 증거의 진정성이 인정되어야 한다. 대법원은 디지털 증거의 진정성이 인정되기 위해서는 무결성과 동일성, 신뢰성이 인정되어야 한다고 판시한바 있다. 세 번째 요건으로 법정에 제출된 증거가 전문증거인 경우에는 당사자의 동의가 없는 한 전문법칙의 예외에 해당되어야 한다. 2016년 5월 형사소송법 제313조가 개정되기 전에는 법정에 제출된 디지털 증거를 진술자가 진정성립을 부인하는 경우, 해당 문서가 업무상 필요로 작성한 통상문서나 기타 특히 신용할 만한 정황에 의하여 작성된 문서에 해당되지 않는 한 증거능력을 인정받을 수 없었다. 그러나 형사소송법 제313조 제2항의 개정으로 인하여 이제는 진술자가 진정성립을 부인하는 경우에도 "과학적 분석결과에 기초한 디지털 포렌식 자료, 감정 등 객관적 방법"에 의해 성립의 진정을 인정받을 수 있다. 과학적 분석결과에 기초한 디지털 포렌식 자료, 감정 등 객관적 방법에 대한 구체적인 내용은 앞으로 판례를 통해 정립해 나아가야 할 것이다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2008.06d
• /
• pp.66-70
• /
• 2008

진화되고 위협적인 사이버공격 및 피해가 증가함에 따라 기업이나 기관의 정보보호에 대한 책임도 증가하게 되었다. 이에 종합적인 컴퓨터 범죄 재현과 정확한 침입경로 및 피해규모, 정보의 신뢰성을 파악하기 위한 컴퓨터 포렌식에 대한 연구가 활발해 지고 있다. 이에 대부분의 기업이나 조직에서 이기종의 보안장비에서 발생하는 다량의 경보와 이벤트를 효과적으로 수집, 통합하고 상호연관분석 할 수 있는 통합보안관리시스템(ESM)을 도입하여 운영하고 있으나 많은 경보발생으로 인해 적절한 판단이나 분석 및 효율적인 대응이 이루어지고 있지 않다. 이에 본 논문에서는 수집되는 증거의 범위를 재 정의하고, 이벤트 상관분석을 통해 발생된 침해경보에 대해 경보검증을 적용하여 경보의 오탐율을 감소시켰으며, 검증된 경보에 대해서 신속히 분석 및 대응이 이루어지는 포렌식 모델을 제안한다. 이를 통해 오탐율 감소는 물론 신속하고 신뢰성 있는 탐지 및 침해 분석이 가능하다.

• Journal of Digital Convergence
• /
• v.10 no.3
• /
• pp.99-104
• /
• 2012

The digital forensics are new kinds of security that investigate and verificate fact relation about activities based on digital data. In this paper, we implemented digital forensic tool that can be used in collecting, analyzing, and reporting evidences. This tool support intuitional GUI that everybody can analyze easily. And a simple operation can collect and analyze active data. Also, we can decrease much time and endeavor by using this forensic tool that support reliable data.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2006.06a
• /
• pp.555-559
• /
• 2006

디지털 포렌식에서 디지털 정보나 데이터는 범죄의 실마리를 풀 수 있는 증거로 사용되고 있어 사이버 범죄 현장에서 반드시 확보해야한다. 최근에는 사이버 범죄 뿐 아니라 민사, 형사 소송의 일반적인 범죄에서 중요한 역할을 담당하고 있지만, 범죄의 유형이 점차 다양해지고 복잡해짐에 따라 디지털 증거들을 수집, 관리하는데 어려움이 있으며, 디지털 범죄 수사 결과는 수사관, 분석관, 감정관 등 각 담당자마다 해석하고 필요로 하는 정보가 다르기 때문에 데이터의 가공과 다양한 형태의 보고서가 제공되어야 한다. 따라서 본고에서는 웹에서의 데이터 처리 표준으로 자리 잡은 XML을 이용하여 보다 편리하게 디지털 증거를 구조화하고 처리하는 방법과, 이를 효과적으로 데이터를 표현하는 방법을 제시하고자 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2008.06d
• /
• pp.52-56
• /
• 2008

컴퓨터 시스템을 대상으로 하거나 컴퓨터 시스템을 이용하는 범행의 상당수가 PC방에서 이루어지고 있다. 그러나 불특정 다수의 네티즌들이 이용하는 PC방은 관리상의 용이 등의 이유로 대부분 하드디스크 초기화 프로그램(복원)을 사용하고 있으며, 이와 같은 PC방의 관리 환경은 수사의 직접적인 목적인 증거수집 및 복구을 통하여 실체적 진실발견에 많은 어려움을 초래하고 있다. 본 논문에서는 이와 같은 복원 프로그램의 동작원리를 분석하고, 이를 바탕으로 인터넷 접속기록의 효율적인 복원 방법에 대한 논리적인 접근법을 제시하고, 프로그램 구현을 통한 정확한 디지털 증거수집의 실접근법을 제공한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.28 no.4
• /
• pp.839-845
• /
• 2018

Sensitive data is encrypted and stored as privacy policy is strengthened through frequent leakage of personal information. For this reason, the cryptographically owned encrypted data is a very important analysis from the viewpoint of digital forensics. Until now, the digital evidence collection procedure only considers imaging, so hardware specific information is not collected. If the encryption key is generated by information that is not left in the disk image, the encrypted data can not be decrypted. Recently, an application for performing encryption using hardware specific information has appeared. Therefore, in this paper, hardware specific information which does not remain in file form in auxiliary storage device is studied, and hardware specific information collection method is introduced.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2014.04a
• /
• pp.457-460
• /
• 2014

클라우드 컴퓨팅은 IT 자원의 효율적인 관리와 비용 대비 양질의 서비스 제공을 위한 새로운 패러다임으로써, 국내외의 기업뿐만 아니라 많은 사용자들에게 주목 받고 있다. 하지만 관련 시장의 빠른 성장과 함께 다양한 사이버 범죄에 노출될 수 있는 위험이 높아졌음에도 불구하고, 클라우드 컴퓨팅에 대한 디지털 포렌식은 실질적인 역할을 수행하기에 아직 미비한 실정이다. 클라우드 컴퓨팅은 증거 데이터가 물리적으로 분산되어 있고, 자원이 가상공간에 존재할 수 있기 때문에 기존의 디지털 포렌식 수사와는 다르게 접근해야 한다. 이에, 본 논문에서는 추상화된 클라우드 계층에 따른 기존 포렌식 절차 상의 데이터 수집 방법에 관한 한계를 분석하고, 확보한 증거 데이터의 신뢰성 보장 및 다양한 클라우드 환경에 보다 유연하게 적용할 수 있는 디지털 증거 수집 절차를 제안한다. 해당 절차는 클라우드 구성 요소들 중 물리적인 자원들을 가상화하여 논리적으로 구성할 수 있도록 하며, 가상화된 자원들을 서비스 목적에 따라 폭넓게 활용할 수 있도록 관리 체계를 제공해주는 클라우드 플랫폼을 기반으로 한다.

• The KIPS Transactions:PartD
• /
• v.16D no.2
• /
• pp.265-272
• /
• 2009

Although the various crime involved numerous digital evidence, the digital evidence is hard to be acknowledged as a evidence to proof the crime fact in court. We propose the method of verification for the legal admissibility of digital evidence using digital forensics ontology. In order to verify the legal admissibility of digital evidence, we will extend the digital ontology by standard digital forensics process from Digital Forensics Technical Manual defined by KNPA and set up the relation properties and the rule of property constraint to process class in the digital forensics ontology. It is possible for proposed ontology to utilize to plan the criminal investigation and to educate the digital forensics.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.25 no.1
• /
• pp.49-60
• /
• 2015

Smart Grid devices are the major components of the Smart Grid. They collect and process a variety informations relating power services and support intelligent power services by exchanging informations with other SG devices or systems. However, If a SG device is attacked, the device can provide attack route to attacker and attacker can attack other SG devices or systems using the route. It may cause problem in power services. So, when cyber incident is happened, we need to acquire and examine digital evidence of SG device quickly to secure availability of SG. In this paper, we designed remote evidence acquisition system to acquire digital evidences from SG devices to response quickly to incidents of SG devices. To achieve this, we analyzed operating environment of SG devices and thought remote digital evidence acquisition system of SG devices will be more effective than remote digital evidence acquisition system targeted general IT devices. So, we introduce design method for SG devices remote evidence acquisition system considered operating environment of SG devices.