본문 바로가기 주메뉴 바로가기
22대 대한민국 국회 국회정보길라잡이 국회의원검색
회원가입 로그인
HOME

정보검색

소장정보 검색

국회도서관 홈으로 정보검색 소장정보 검색
결과 내 검색 동의어 포함
결과 내 검색 동의어 포함

-

목차보기

표제지

목차

Abstract 9

초록 11

제1장 서론 13

제2장 이론적 배경 및 문제 정의 15

2.1. 라이브포렌식 (Live Forensic)과 안티포렌식(Anti-Forensic) 15

2.1.1. 라이브포렌식의 개념 15

2.1.2. 라이브포렌식의 증거 처리 절차 15

2.1.3. 안티포렌식의 개념 17

2.1.4. 안티포렌식 기법 및 도구 18

2.2. 선행연구 분석 19

2.2.1. AFA(Anti-Forensic Activity)모델 20

2.2.2. 안티포렌식 행위 탐지를 위한 퍼지 전문가 시스템 21

2.2.3. 선행연구의 한계 22

2.3. 내부정보유출 실태와 디지털 증거 수집의 한계 23

2.3.1. 내부정보유출 현황 및 실태 23

2.3.2. 라이브포렌식에서 휘발성 자료 수집의 한계 25

2.3.3. 활성시스템에서 휘발성자료의 법적 증거로서의 문제점 25

제3장 안티포렌식 행위 탐지 및 휘발성 정보 수집을 위한 설계 28

3.1. 요구사항 분석 28

3.1.1. 기능적 요구사항 28

3.1.2. 비기능적 요구사항 31

3.2. 제안 메소드의 개요 33

3.3. 디지털 증거의 동일성 및 증거수집의 적법성 확보 방안 35

3.3.1. 디지털 증거의 동일성 확보 방안 35

3.3.2. 디지털 증거 수집의 적법성 확보 방안 36

3.4. 안티포렌식 행위 탐지 방법 및 기본설계 39

3.4.1. 안티포렌식 전문 도구 사용 흔적 분석 39

3.4.2. 안티포렌식 행위 탐지 지표 정의 및 시그니처DB 설계 43

3.5. 안티포렌식 행위 탐지에 의한 휘발성 정보 수집 방법 46

3.5.1. 활성시스템에서 휘발성데이터 수집 과정 46

3.5.2. 활성시스템에서의 휘발성 정보 추출 방법 47

제4장 안티포렌식 대응을 위한 디지털 증거 확보구현 및 분석 51

4.1. 실험 방법 51

4.1.1. 실험 데이터 51

4.1.2. 실험 환경 51

4.1.3. 안티포렌식 행위 탐지 및 디지털 증거 확보 실험 52

4.2. 구현 결과 52

4.2.1. 안티포렌식 행위 탐지를 위한 시그니처 DB 구축 53

4.2.2. 안티포렌식 행위 탐지 및 디지털 증거 수집 55

4.2.3. 디지털 증거 확보에 대한 요구사항 만족도 분석 62

4.3. 관련 연구와의 비교 분석 64

4.3.1. 안티포렌식 행위 탐지 관점에서의 비교 분석 64

4.3.2. 탐지 지표의 확장성 및 자동화 관점에서 비교 분석 66

제5장 결론 및 향후과제 67

참고문헌 68

표목차

[표 2-1] 휘발성/비휘발성 데이터 수집 방법 및 데이터 목록 16

[표 2-2] 안티포렌식 유형 및 관련 도구 18

[표 2-3] 안티포렌식 행위 탐지 모델 20

[표 2-4] 휘발성정보 수집 증거에 대한 허용선 기준 26

[표 3-1] 디지털 데이터 수집도구 요구사항 29

[표 3-2] 안티포렌식 행위 탐지 및 휘발성 정보수집 모듈의 요구사항 32

[표 3-3] RFC3227의 증거수집 처리 지침에 대한 적법성 확보 방안 37

[표 3-4] 실행파일의 운영체제 고유 흔적 분석 정보 39

[표 3-5] 안티포렌식 행위 탐지 지표 44

[표 3-6] 중첩코딩 방법을 이용한 시그니처 생성 예시 45

[표 4-1] 안티포렌식 도구의 사용 흔적 수집 및 시그니처DB 구축 54

[표 4-2] 안티포렌식 행위 탐지 정보 추출 항목 56

[표 4-3] 휘발성 증거 수집 로그 항목 62

[표 4-4] 디지털 증거 수집 도구의 요구사항 검증 63

[표 4-5] 기존 연구와 안티포렌식 행위 탐지 관점의 비교 65

[표 4-6] 기존 연구와 탐지 지표의 확장성 및 자동화 관점의 비교 66

그림목차

[그림 2-1] 라이브포렌식 증거 처리 절차 16

[그림 2-2] Fuzzy logic 추론 알고리즘의 IF-THEN rule 적용 방법 21

[그림 2-3] 내부 사용자 보안 위협 기술 24

[그림 2-4] 안티포렌식 도구 사용에 의한 디지털 증거물 훼손 25

[그림 3-1] 안티포렌식 행위 탐지 및 수집 과정 34

[그림 3-2] 프로그램 설치 내역 41

[그림 3-3] 파일 및 폴더의 주요 흔적 예시 42

[그림 3-4] 프리패치 파일 흔적 예시 43

[그림 3-5] 시그니처DB 파일 예시 46

[그림 3-6] 물리메모리 구조 분석을 휘발성 데이터 수집 과정 46

[그림 3-7] ActiveProcessLink 구조 48

[그림 3-8] 실행파일 정보 추출 과정 48

[그림 3-9] 종료된 프로세스 정보 추출 과정 49

[그림 3-10] 캐시파일 정보 추출 과정 49

[그림 3-11] 삭제 및 이름 변경 파일 정보 추출 과정 50

[그림 4-1] 시그니처 DB구축 과정 53

[그림 4-2] 실행 프로세스 파일 정보 수집 소스 및 결과 56

[그림 4-3] 물리메모리 덤프 화면 58

[그림 4-4] 실행 프로세스 정보 수집 소스 및 결과 59

[그림 4-5] 파일 정보 수집 소스 및 삭제 및 변경파일 수집 결과 61

초록보기

 최근 인터넷 사용이 일반화되면서 기술환경 변화에 맞춘 다양한 범죄 방식의 증가로 인해 디지털 포렌식의 중요성이 커지고 있다. 디지털 포렌식은 법정에 제출된 디지털 증거의 증거능력과 증명력을 뒷받침하기 위한 다양한 전문기술로, 사이버 범죄의 감지 및 예방과 증거 수집을 통해 증거의 무결성, 진정성 증명을 위한 증거분석을 수행하여 범죄 증거를 확보하는 일련의 과정을 포함한다. 그러나 디지털 포렌식 도구가 다양해지고 기술이 발전함에 따라, 이에 대응하는 디지털 증거 인멸 및 분석 지연을 위한 안티포렌식 기술이 다양해지고 있다. 또한 라이브 포렌식 기술이 발전하고 있음에도 불구하고 안티포렌식 행위에 여전히 취약하여 디지털 증거 자료 수집을 방해하거나 법정 보고서나 증언으로 가치가 없도록 디지털 증거를 훼손시킨다.

기존의 안티포렌식 대응에 관한 연구는 대부분 네트워크 포렌식에 치중하여 해당 트래픽이 감사 데이터(audit data)와 얼마나 유사한가와 같은 결과를 보여주고 있거나, 시스템 명령어 단위의 안티포렌식 행위 및 점근을 탐지하는 방법이 연구되었다. 네트워크 포렌식 관점에서의 안티포렌식 대응은 해당 트래픽이 얼마나 위험하고 어디에 영향을 끼치며, 어떤 대응을 필요로하는지 알기 어렵다. 또한 시스템 명령어 단위의 안티포렌식 행위 탐지는 시스템에 대한 전문지식을 갖춘 사람이 안티포렌식 기법을 사용할 수 있다는 특성을 갖고 있다. 그리고 기존 연구는 전문 도구를 이용한 안티포렌식 행위에 대해서는 감안하지 못하였다.

본 논문에서는 윈도우 운영체제 환경에서 안티포렌식 행위를 탐지하고 디지털 증거물을 확보하는 방법을 제안한다. 안티포렌식 도구가 설치되고 단순 실행 및 기능실행 되었을 때 운영체제에 고유한 흔적을 남기게 된다. 이러한 안티포렌식 도구의 고유 흔적을 심층적으로 분석하여 안티포렌식 행위 탐지 지표를 설계하고 탐지 모듈을 구현하였다. 또한 전문 도구에 의한 안티포렌식 행위 탐지 시점에 윈도우 파일시스템의 메타데이터를 분석하여 범죄 흔적과 법정 보고서나 증언으로서 가치가 있는 디지털 증거를 획득할 수 있는 디지털 증거 획득 모듈을 구현하였다. 이를 통해 활성시스템에서 전문 도구 사용에 의한 안티포렌식 행위가 발생했을 때 실시간 탐지가 가능하고, 물리메모리에 존재하는 휘발성 정보를 수집하여 디지털 증거물의 손실을 최소화하고 신속한 포렌식 초기 대응을 할 수 있었다.

추천서가 (다양한 추천 자료를 만나보세요)

권호기사보기

권호기사 목록 테이블로 기사명, 저자명, 페이지, 원문, 기사목차 순으로 되어있습니다.
기사명 저자명 페이지 원문 기사목차