KR20130049437A - 듀얼 포렌식 장치 및 방법 - Google Patents

듀얼 포렌식 장치 및 방법 Download PDF

Info

Publication number
KR20130049437A
KR20130049437A KR1020110114461A KR20110114461A KR20130049437A KR 20130049437 A KR20130049437 A KR 20130049437A KR 1020110114461 A KR1020110114461 A KR 1020110114461A KR 20110114461 A KR20110114461 A KR 20110114461A KR 20130049437 A KR20130049437 A KR 20130049437A
Authority
KR
South Korea
Prior art keywords
unit
forensic
image
analysis
dual
Prior art date
Application number
KR1020110114461A
Other languages
English (en)
Other versions
KR101300093B1 (ko
Inventor
박용갑
Original Assignee
유앤아이비즈니스솔루션 (주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 유앤아이비즈니스솔루션 (주) filed Critical 유앤아이비즈니스솔루션 (주)
Priority to KR1020110114461A priority Critical patent/KR101300093B1/ko
Publication of KR20130049437A publication Critical patent/KR20130049437A/ko
Application granted granted Critical
Publication of KR101300093B1 publication Critical patent/KR101300093B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0727Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a storage system, e.g. in a DASD or network based storage system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 압수된 디지털 저장매체 등의 증거물에 포함된 데이터를 처리하는 포렌식 장치에 있어서, 증거의 수집과 분석을 위한 수집부와 분석부 구성을 모두 구비하는 듀얼 포렌식 장치를 구현하여 증거의 수집과 분석을 하나의 시스템에서 모두 처리할 수 있도록 함으로써, 종래 분석 장치를 대용량 서버로 구현하여 여러 사용자가 네트워크를 통해 접속하도록 하는 포렌식 시스템과 비교하여 증거 수집 및 분석 작업에 대한 처리 속도를 크게 향상시킬 수 있다.

Description

듀얼 포렌식 장치 및 방법{DUAL FORENSIC APPARATUS AND METHOD THEREOF}
본 발명은 포렌식 시스템(forensic system)에 관한 것으로, 특히 압수된 디지털 저장매체(digital storage media) 등의 증거물에 포함된 데이터를 처리하는 포렌식 장치에 있어서, 증거의 수집과 분석을 위한 수집부와 분석부 구성을 모두 구비하는 듀얼 포렌식 장치를 구현하여 증거의 수집과 분석을 하나의 시스템에서 모두 처리할 수 있도록 함으로써 종래 분석 장치를 대용량 서버(server)로 구현하여 여러 사용자가 네트워크를 통해 접속하도록 하는 포렌식 시스템과 비교하여 증거 수집 및 분석 작업에 대한 처리 속도를 크게 향상시킬 수 있도록 하는 듀얼 포렌식 장치 및 방법에 관한 것이다.
최근 들어, 컴퓨터(computer)의 급속한 보급으로 인해 개인 생활의 많은 부분들이 컴퓨터와 연관성을 가지게 되었다. 이러한 추세에 따라 범죄 수사에 있어서도 여러 가지 중요한 증거들이 범죄자와 컴퓨터 시스템 혹은 이와 관련된 다양한 저장장치로부터 발견됨에 따라 관련 기관의 관심이 집중되고 있다.
디지털 포렌식(digital forensic)은 컴퓨터, PDA(personal digital assistant) 및 휴대전화(mobile phone) 등에 내장된 디지털 자료를 근거로 사건에서 발생한 사실 관계를 증명하는 첨단 수사방식을 말하는 것으로, 일반적으로 컴퓨터 등에 내장된 디지털 저장매체(digital storing media)에서 디지털 데이터 자료를 수집하는 단계로부터 이를 분석하고 분석된 자료에 대한 보고서를 작성하며 수집된 증거물의 원본 일치성을 보증하는 일련의 과정을 말한다.
즉, 디지털 포렌식은 컴퓨터 등에 내장된 디지털 데이터 자료를 근거로 삼아 그 컴퓨터를 매개체로 해서 일어난 어떤 행위의 사실 관계를 규명하고 증명하는 기법으로, 주로 국가의 주요 수사기관과 금융, 보험회사 등에서 디지털 증거를 수집하고 이를 분석하는데 이용되고 있다.
위와 같은 디지털 포렌식 기법이 적용되는 디지털 포렌식 시스템은 도 1에서 보여지는 바와 같이, 크게 디지털 데이터 자료로부터 원본 데이터를 변경하지 않도록 데이터를 이미징(imaging)을 통해 복제하여 수집하는 증거 수집 장치(A)와, 증거 수집 장치(A)로부터 수집된 증거 자료를 이용하여 사실 관계의 확인을 위한 다양한 증거 분석을 수행할 수 있는 증거 분석 장치(B)를 포함한다.
대한민국 공개특허번호 10-2009-0064690호 공개일자 2009년 06월 22일에는 증거 수사를 위한 디지털 포렌식 서버 및 그 방법에 관한 기술이 개시되어 있다.
그러나, 위 도 1에서 보여지는 바와 같은, 종래 증거 수집 장치(A) 및 증거 분석 장치(B)는 통상적으로 워크 스테이션 형태의 서로 독립적인 장치로 구성되어, 사무실 등과 같은 제한된 영역에서 많은 공간을 차지하며, 또한 각 장치가 고가의 장치여서 디지털 포렌식 시스템을 구성하는 비용이 높게 소요되고, 다수의 사용자가 동시에 분석 장치(B)에 접속하는 경우 증거의 분석을 위한 데이터 처리속도가 저하되는 문제점이 있었다.
따라서, 본 발명은 압수된 디지털 저장매체 등의 증거물에 포함된 데이터를 처리하는 포렌식 장치에 있어서, 증거의 수집과 분석을 위한 수집부와 분석부 구성을 모두 구비하는 듀얼 포렌식 장치를 구현하여 증거의 수집과 분석을 하나의 시스템에서 모두 처리할 수 있도록 함으로써 종래 분석 장치를 대용량 서버로 구현하여 여러 사용자가 네트워크를 통해 접속하도록 하는 포렌식 시스템과 비교하여 증거 수집 및 분석 작업에 대한 처리 속도를 크게 향상시킬 수 있도록 하는 듀얼 포렌식 장치 및 방법을 제공하고자 한다.
상술한 본 발명은 듀얼 포렌식 장치로서, 디지털 저장매체에 저장된 데이터를 이미지화하여 이미지 메모리 파일 형태의 포렌식 이미지를 생성하는 수집부와, 상기 수집부로부터 생성된 포렌식 이미지를 수신하고, 상기 포렌식 이미지의 구조 및 내용을 분석한 후, 분석한 결과를 출력하는 분석부를 포함한다.
또한, 상기 수집부는, 상기 디지털 저장매체에 대하여 쓰기방지 기능을 수행하는 쓰기 방지부와, 상기 쓰기 방지부를 통해 연결된 디지털 저장매체의 물리적 레벨에서 설정된 섹터크기만큼 복사를 수행하여 저장된 디지털 데이터에 대해 메모리 이미지화를 수행하여 상기 포렌식 이미지를 생성하는 이미지 생성부와, 상기 생성된 포렌식 이미지를 저장하는 저장부와, 상기 분석부와 데이터 송수신을 위한 인터페이스를 수행하여 상기 포렌식 이미지를 상기 분석부로 전송하는 통신부를 포함하는 것을 특징으로 한다.
또한, 상기 이미지 생성부는, 상기 메모리 이미지화를 수행하여 상기 디지털 저장매체에 저장된 원본의 메모리의 동일한 형태를 갖는 메모리의 복사본을 생성하는 것을 특징으로 한다.
또한, 상기 이미지 생성부는, 상기 메모리 이미지화의 수행 시 상기 포렌식 이미지에 대한 해쉬값을 생성하여 상기 저장부에 저장하는 것을 특징으로 한다.
또한, 상기 이미지 생성부는, 상기 분석부의 오동작 발생 시 상기 포렌식 이미지에 대한 분석 동작을 절체받아 대신 수행하는 것을 특징으로 한다.
또한, 상기 분석부는, 상기 수집부에서 생성된 포렌식 이미지에 대해 디지털 증거의 원본과 사본이 동일한지 확인하는 무결성 검증부와, 상기 포렌식 이미지로 생성된 원본 파일을 보관하는 원본 저장부와, 상기 수집부에서 생성된 포렌식 이미지를 통신부를 통해 수신하고, 상기 포렌식 이미지에 대해 파일의 구조 및 내용 등을 분석하여 증거 수집된 데이터에 대해 분석하는 이미지 분석부와, 상기 이미지 분석부로부터 분석된 결과를 수신받아 증거 분석 결과 보고서를 작성하는 분석결과 생성부를 포함하는 것을 특징으로 한다.
또한, 상기 분석결과 생성부는, 상기 증거 분석 결과 보고서를 모니터를 포함하는 외부 표시장치를 통해 출력시키는 것을 특징으로 한다.
또한, 상기 이미지 분석부는, 상기 포렌식 이미지에 대한 분석 동작 시 오류가 발생하는 경우, 상기 수집부로 상기 포렌식 이미지에 대한 분석 동작을 절체시키는 것을 특징으로 한다.
또한, 상기 디지털 저장매체는, 하디 디스크 드라이브, CD 또는 USB 메모리를 포함하는 것을 특징으로 한다.
또한, 본 발명은 수집부와 분석부를 포함하는 듀얼 포렌식 장치에서 증거 처리 방법으로서, 상기 수집부에서 디지털 저장매체에 저장된 데이터를 쓰기 방지를 통해 원본과 동일하게 복사하는 단계와, 상기 복사된 데이터에 대한 메모리 이미지화를 수행하여 포렌식 이미지를 생성하는 단계와, 상기 포렌식 이미지를 내부 데이터 통신을 통해 상기 분석부로 전송하는 단계와, 상기 분석부에서 상기 포렌식 이미지를 분석하여 분석된 결과를 출력시키는 단계를 포함한다.
또한, 상기 분석부에서의 분석 과정에서 오류가 발생하는 경우, 상기 분석부에서 상기 수집부로 분석 동작의 절체를 요청하는 단계와, 상기 수집부에서 상기 요청에 따라 상기 포렌식 이미지에 대한 분석을 수행하는 단계를 더 포함하는 것을 특징으로 한다.
또한, 상기 포렌식 이미지를 생성하는 단계에서, 상기 수집부에서 상기 메모리 이미지화의 수행 시 상기 포렌식 이미지에 대한 해쉬값을 생성하는 것을 특징으로 한다.
본 발명은 압수된 디지털 저장매체 등의 증거물에 포함된 데이터를 처리하는 포렌식 장치에 있어서, 증거의 수집과 분석을 위한 수집부와 분석부 구성을 모두 구비하는 듀얼 포렌식 장치를 구현하여 증거의 수집과 분석을 하나의 시스템에서 모두 처리할 수 있도록 함으로써, 종래 분석 장치를 대용량 서버로 구현하여 여러 사용자가 네트워크를 통해 접속하도록 하는 포렌식 시스템과 비교하여 증거 수집 및 분석 작업에 대한 처리 속도를 크게 향상시킬 수 있는 이점이 있다.
또한, 단일 시스템에서 크로스 기가빗 이더넷 등을 이용하여 이미지의 원본 백업 및 사본 분석작업을 수행하고, 다른 네트워크로 공유하지 않으므로써 서로 부하가 걸리지 않아 이미징 작업시간을 단축시킬 수 있으며, 단절된 개인 네트워크의 사용으로 업무 전문성과 관련된 내부 보안을 유지시킬 수 있는 이점이 있다.
도 1은 종래 독립적 장치로 구비되는 증거 수집 장치와 증거 분석 장치의 예시도,
도 2는 본 발명의 실시예에 따른 수집부와 분석부를 포함한 듀얼 포렌식 장치의 상세 블록 구성도,
도 3은 본 발명의 실시예에 따른 듀얼 포렌식 장치에서 증거의 수집과 분석을 수행하는 동작 개념도,
도 4는 본 발명의 실시예에 따른 듀얼 포렌식 장치에서 분석부의 오류 발생 시 수집부로 증거 작업이 절체되는 동작 개념도.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하, 첨부된 도면을 참조하여 본 발명의 실시 예를 상세히 설명하기로 한다.
도 2는 본 발명의 실시예에 따른 듀얼 포렌식 장치의 개념을 도시한 것으로, 본 발명의 듀얼 포렌식 장치(200)는 수집부(210)와 분석부(250)를 포함한다.
먼저, 수집부(210)는 압수된 하드디스크(hard disk), USB(universal serial bus) 메모리, CD(compact disk) 등의 디지털 저장매체로부터 증거자료 데이터를 이미지 파일로 복제하여 디지털 포렌식 데이터로 수집한다. 이때, 수집부(210)는 증거 자료를 복제함에 있어서 어떤 데이터의 변경 없이 디지털 저장매체에 저장된 원본 데이터를 그대로 복제하여 데이터의 무결성을 유지시킨다.
이하, 수집부(210)의 각 구성요소의 동작을 상세히 설명하기로 한다.
쓰기 방지부(212)는 컴퓨터 관련 범죄 등으로 조사가 필요하여 수사기관에 의해 압수된 하드디스크 드라이브, CD, USB 메모리 등 다양한 디지털 저장매체에 대하여 쓰기방지 기능을 수행하여 증거를 다루는 동안 압수된 디지털 저장매체를 조작하지 않았음을 입증하도록 한다. 이때, 위 쓰기 방지부(212)는 증거 데이터를 수집하는 수집부(210)내에 내장될 수 있으며, 혹은 외부에 연결될 수 있다.
이미지 생성부(214)는 쓰기 방지부(212)를 통해 연결된 디지털 저장매체의 물리적 레벨에서 설정된 섹터크기만큼 복사를 수행하여 저장된 디지털 데이터에 대해 메모리 이미지화를 수행하여 포렌식 이미지를 생성한다. 이때, 메모리 이미지화란, 시스템에서 사용 중인 메모리 구조의 데이터 등의 원본과 동일한 형태를 갖는 메모리의 복사본 생성을 말한다.
또한, 이미지 생성부(214)는 이와 같은 메모리의 이미지화 시, 이미지화하여 생성된 포렌식 이미지에 대한 무결성(integrity)을 확보하기 위해 해쉬(hash)함수를 사용하여, 메모리의 이미지화를 통해 생성된 포렌식 이미지에 대한 해쉬값을 생성하고, 이 생성된 해쉬값 및 포렌식 이미지를 저장부(220)에 저장한다.
이때, 무결성은 포렌식 이미지로 생성된 복제된 파일내 저장된 데이터가 원본과 정확하게 동일한 형태로 저장되는 것을 말한다. 또한 해쉬함수는 다양한 길이의 입력을 고정된 짧은 길이의 출력으로 변환하고, 해쉬 결과값으로 입력값 계산이 불가능한 특징을 갖는 한방향(one-way) 함수를 말하며, 이러한 해쉬함수는 일반적으로 데이터 무결성 입증및 메시지 인증 시에 사용할 수 있다.
압축부(218)는 이미지 생성부(214)에 의해 생성된 해쉬값에 대하여 옵션에 따라 해쉬값을 압축하여 이미지 생성부(214)에 제공한다. 암호화부(216)는 이미지 생성부(214)에 의해 생성된 해쉬값에 대하여 옵션에 따라 해쉬값을 암호화하여 이미지 생성부(214)에 제공한다. 통신부(222)는 이미지 생성부(214)에서 생성된 포렌식 이미지를 듀얼 포렌식 장치(200)의 분석부(250)로 전송한다.
다음으로, 분석부(250)는 수집부(210)로부터 생성된 포렌식 이미지를 수신하여 수사관 등의 사용자가 입력한 검색 조건에 따른 증거 분석 작업을 수행하고 분석 결과를 제공한다.
이하, 분석부(250)의 각 구성요소의 동작을 상세히 설명하기로 한다.
통신부(224)는 수집부(210)의 통신부(222)와 데이터 송수신을 위한 인터페이스(interface)를 수행하고, 이미지 생성부(214)에서 생성된 포렌식 이미지를 수신하여, 이미지 분석부(226)로 전송한다.
이미지 분석부(226)는 수집부에서 생성된 복제된 파일의 포렌식 이미지를 통신부(224)를 통해 수신하고, 수신한 포렌식 이미지에 대해 파일의 구조 및 내용 등을 분석하여 증거 수집된 데이터에 대해 분석한다.
무결성 검증부(230)는 수집부(210)에서 생성된 포렌식 이미지에 대해 디지털 증거의 원본과 사본이 동일한지 확인한다.
원본 저장부(232)는 포렌식 이미지로 생성되기 전 디지털 저장매체에 저장된 원본 파일을 보관한다.
분석결과 생성부(228)는 이미지 분석부(226)로부터 분석된 결과를 수신받아 증거 분석 결과 보고서를 작성한다. 이와 같이 분석결과 생성부(228)에서 작성된 증거 분석 결과 보고서는 듀얼 포렌식 장치(200)의 모니터 등과 같은 표시장치(도시하지 않음)를 통해 출력될 수 있으며, 증거 분석 작업을 수사관 등의 사용자는 증거 분석 결과 보고서를 통해 증거 분석 결과를 확인할 수 있다.
즉, 증거 수집과 분석을 동시에 수행하도록 구현되는 본 발명의 듀얼 포렌식 장치(200)의 수집부(210)에서는 하드디스크 드라이브 등의 디지털 저장 매체에 기록되어 있는 데이터를 쓰기 방지기능을 통해 읽어 들여 원본을 변경시키지 않으면서, 메모리 이미지화를 수행하여 복제된 파일인 포렌식 이미지로 생성한다. 이때, 디지털 포렌식에서 디지털 데이터를 분석하는 것은 원본을 복제한 복제본에서 이루어지는 것이 원칙으로, 원본은 안전하게 보관해 두고 원본과 동일한 데이터를 포함하는 복제본을 이용하여 디지털 데이터를 분석한다.
이와 같이, 수집부(210)로부터 생성된 복제된 파일의 포렌식 이미지는 내부 데이터 통신을 통해 듀얼 포렌식 장치(200)의 분석부(250)로 제공되며, 분석부(250)에서는 수집부(210)에서 생성된 복제된 파일의 포렌식 이미지에 대해 파일의 구조 및 내용 등을 분석하여 증거 수집된 데이터에 대한 분석하고, 분석된 결과를 듀얼 포렌식 장치(200)의 모니터 등의 표시장치를 통해 출력하여 수사관 등의 사용자가 확인할 수 있도록 한다.
따라서, 위 설명한 바와 같이, 본 발명에서는 증거 분석을 수행하는 수사관 등 각 사용자의 증거 분석을 위한 장치 예를 들어 컴퓨터 등의 데이터 처리장치를 증거의 수집 및 분석을 수행할 수 있도록 듀얼 포렌식 장치로 구현함으로써, 종래 분석 장치를 대용량 서버로 구현하여 여러 사용자가 네트워크를 통해 접속하도록 구현한 시스템과 비교하여 증거 수집 및 분석 작업에 대한 처리 속도를 크게 향상시킬 수 있다.
도 3은 본 발명의 실시예에 따른 듀얼 포렌식 장치에서 증거 분석을 위해 압수된 디지털 저장매체로부터 증거의 수집과 분석을 수행하는 동작 개념을 도시한 것이다.
도 3을 참조하면, 먼저, 증거용으로 수사관 등에 의해 압수된 하드디스크(hard disk), USB(universal serial bus) 메모리, CD(compact disk) 등의 디지털 저장매체(202)가 듀얼 포렌식 장치(200)에 구비되는 접속 포트 등을 통해 듀얼 포렌식 장치(200)에 연결되는 경우(S30), 수집부(210)는 쓰기 방지부(212)를 통해 디지털 저장매체(202)에 저장된 데이터를 원본 데이터의 훼손 없이 이미지 파일로 복제하여 포렌식 이미지를 생성하는 이미징 작업을 수행하게 된다(S32).
위와 같이, 수집부(210)에서 이미징 작업을 통해 생성되는 포렌식 이미지는 듀얼 포렌식 장치(200)의 수집부(210)와 분석부(250)간 내부 데이터 통신을 통해 분석부(250)로 전송된다(S34).
그러면, 분석부(250)에서는 수집부(210)에서 생성된 복제된 파일의 포렌식 이미지에 대해 파일의 구조 및 내용 등을 분석하여 증거 수집된 데이터에 대한 분석을 수행하고(S36), 증거 분석 결과를 듀얼 포렌식 장치(200)의 모니터 등의 표시장치를 통해 출력하여 수사관 등의 사용자가 확인할 수 있도록 한다(S38).
따라서, 본 발명에서는 증거 분석을 수행하는 수사관 등 각 사용자의 증거 분석을 위한 장치 예를 들어 컴퓨터 등의 데이터 처리장치를 증거의 수집 및 분석을 수행할 수 있도록 듀얼 포렌식 장치로 구현하여, 압수된 디지털 저장매체에 저장된 디지털 데이터에 대한 증거 수집과 분석을 동시에 수행하도록 함으로써, 증거 수집 및 분석 작업에 대한 처리 속도를 크게 향상시킬 수 있게 된다.
도 4는 본 발명의 실시예에 따른 증거 수집과 분석을 동시에 수행할 수 있는 듀얼 포렌식 장치(200)에서 분석부(250)의 오류 발생 시 수집부(210)로 증거 작업이 절체되는 동작 개념을 도시한 것이다.
이하, 도 4를 참조하여 분석부(250)의 오류 발생 시 수집부(210)로 증거 작업이 절체되는 동작을 상세히 설명하기로 한다.
먼저, 증거 수집 과정에 있어서는 도 3에서와 같이 증거용으로 수사관 등에 의해 압수된 하드디스크(hard disk), USB(universal serial bus) 메모리, CD(compact disk) 등의 디지털 저장매체(202)가 듀얼 포렌식 장치(200)에 구비되는 접속 포트 등을 통해 듀얼 포렌식 장치(200)에 연결되는 경우(S40), 수집부(210)는 쓰기 방지부(212)를 통해 디지털 저장매체(202)에 저장된 데이터를 원본 데이터의 훼손 없이 이미지 파일로 복제하여 포렌식 이미지를 생성하는 이미징 작업을 수행하게 된다(S42).
이어, 위와 같이 수집부(210)에서 이미징 작업을 통해 생성되는 포렌식 이미지는 듀얼 포렌식 장치(200)의 수집부(210)와 분석부(250)간 내부 데이터 통신을 통해 분석부(250)로 전송된 후(S44), 분석부(250)에서 복제된 파일의 포렌식 이미지에 대해 파일의 구조 및 내용 등을 분석하게 된다.
그러나, 이때 분석부(250)가 증거 자료의 분석을 위한 동작 과정에서 증거 자료내 존재하는 바이러스(virus) 등에 의해 바이러스에 감염되는 등과 같이 정상적으로 분석 작업을 수행하지 못하는 경우 발생할 수 있다.
위와 같이, 분석부(250)가 정상적으로 분석 작업을 수행할 수 없는 경우(S46) 분석부(250)는 내부 데이터 통신을 통해 듀얼 포렌식 장치(200)의 수집부(210)로 증거 자료에 대한 분석을 요청하게 된다(S48).
그러면, 수집부(210)는 분석 요청된 포렌식 이미지에 대해 분석부(250)를 대신하여 증거 분석을 수행하고(S50), 분석된 결과를 듀얼 포렌식 장치(200)의 모니터 등의 표시장치를 통해 출력하여 수사관 등의 사용자가 확인할 수 있도록 한다(S52).
즉, 본 발명에서는 수집부(210)의 동작 제어 프로그램을 작성함에 있어서, 수집부(210)의 동작을 제어하는 이미지 생성부(214)의 비상 동작으로 분석 작업을 수행하도록 프로그램하여 분석부(250)에서의 오류 발생 시 일시적으로 분석 작업을 수행할 수 있도록 한다. 이에 따라, 분석부(250)의 오류 동작 시에도 분석 작업이 정상적으로 수행될 수 있다.
상기한 바와 같이, 본 발명은 압수된 디지털 저장매체 등의 증거물에 포함된 데이터를 처리하는 포렌식 장치에 있어서, 증거의 수집과 분석을 위한 수집부와 분석부 구성을 모두 구비하는 듀얼 포렌식 장치를 구현하여 증거의 수집과 분석을 하나의 시스템에서 모두 처리할 수 있도록 함으로써, 종래 분석 장치를 대용량 서버로 구현하여 여러 사용자가 네트워크를 통해 접속하도록 하는 포렌식 시스템과 비교하여 증거 수집 및 분석 작업에 대한 처리 속도를 크게 향상시킬 수 있다.
한편 상술한 본 발명의 설명에서는 구체적인 실시예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.
210 : 수집부 212 : 쓰기 방지부
214 : 이미지 생성부 216 : 암호화부
218 : 압축부 220 : 저장부
222 : 통신부 250 : 분석부
224 : 통신부 226 : 이미지 분석부
228 : 분석결과 생성부 230 : 무결성 검증부
232 : 원본 저장부

Claims (12)

  1. 듀얼 포렌식 장치로서,
    디지털 저장매체에 저장된 데이터를 이미지화하여 이미지 메모리 파일 형태의 포렌식 이미지를 생성하는 수집부와,
    상기 수집부로부터 생성된 포렌식 이미지를 수신하고, 상기 포렌식 이미지의 구조 및 내용을 분석한 후, 분석한 결과를 출력하는 분석부
    를 포함하는 듀얼 포렌식 장치.
  2. 제 1 항에 있어서,
    상기 수집부는,
    상기 디지털 저장매체에 대하여 쓰기방지 기능을 수행하는 쓰기 방지부와,
    상기 쓰기 방지부를 통해 연결된 디지털 저장매체의 물리적 레벨에서 설정된 섹터크기만큼 복사를 수행하여 저장된 디지털 데이터에 대해 메모리 이미지화를 수행하여 상기 포렌식 이미지를 생성하는 이미지 생성부와,
    상기 생성된 포렌식 이미지를 저장하는 저장부와,
    상기 분석부와 데이터 송수신을 위한 인터페이스를 수행하여 상기 포렌식 이미지를 상기 분석부로 전송하는 통신부
    를 포함하는 것을 특징으로 하는 듀얼 포렌식 장치.
  3. 제 2 항에 있어서,
    상기 이미지 생성부는,
    상기 메모리 이미지화를 수행하여 상기 디지털 저장매체에 저장된 원본의 메모리의 동일한 형태를 갖는 메모리의 복사본을 생성하는 것을 특징으로 하는 듀얼 포렌식 장치.
  4. 제 2 항에 있어서,
    상기 이미지 생성부는,
    상기 메모리 이미지화의 수행 시 상기 포렌식 이미지에 대한 해쉬값을 생성하여 상기 저장부에 저장하는 것을 특징으로 하는 듀얼 포렌식 장치.
  5. 제 2 항에 있어서,
    상기 이미지 생성부는,
    상기 분석부의 오동작 발생 시 상기 포렌식 이미지에 대한 분석 동작을 절체받아 대신 수행하는 것을 특징으로 하는 듀얼 포렌식 장치.
  6. 제 1 항에 있어서,
    상기 분석부는,
    상기 수집부에서 생성된 포렌식 이미지에 대해 디지털 증거의 원본과 사본이 동일한지 확인하는 무결성 검증부와,
    상기 포렌식 이미지로 생성된 원본 파일을 보관하는 원본 저장부와,
    상기 수집부에서 생성된 포렌식 이미지를 통신부를 통해 수신하고, 상기 포렌식 이미지에 대해 파일의 구조 및 내용 등을 분석하여 증거 수집된 데이터에 대해 분석하는 이미지 분석부와,
    상기 이미지 분석부로부터 분석된 결과를 수신받아 증거 분석 결과 보고서를 작성하는 분석결과 생성부
    를 포함하는 것을 특징으로 하는 듀얼 포렌식 장치.
  7. 제 6 항에 있어서,
    상기 분석결과 생성부는,
    상기 증거 분석 결과 보고서를 모니터를 포함하는 외부 표시장치를 통해 출력시키는 것을 특징으로 하는 듀얼 포렌식 장치.
  8. 제 6 항에 있어서,
    상기 이미지 분석부는,
    상기 포렌식 이미지에 대한 분석 동작 시 오류가 발생하는 경우, 상기 수집부로 상기 포렌식 이미지에 대한 분석 동작을 절체시키는 것을 특징으로 하는 듀얼 포렌식 장치.
  9. 제 1 항에 있어서,
    상기 디지털 저장매체는,
    하디 디스크 드라이브, CD 또는 USB 메모리를 포함하는 것을 특징으로 하는 듀얼 포렌식 장치.
  10. 수집부와 분석부를 포함하는 듀얼 포렌식 장치에서 증거 처리 방법으로서,
    상기 수집부에서 디지털 저장매체에 저장된 데이터를 쓰기 방지를 통해 원본과 동일하게 복사하는 단계와,
    상기 복사된 데이터에 대한 메모리 이미지화를 수행하여 포렌식 이미지를 생성하는 단계와,
    상기 포렌식 이미지를 내부 데이터 통신을 통해 상기 분석부로 전송하는 단계와,
    상기 분석부에서 상기 포렌식 이미지를 분석하여 분석된 결과를 출력시키는 단계
    를 포함하는 방법.
  11. 제 10 항에 있어서,
    상기 분석부에서의 분석 과정에서 오류가 발생하는 경우, 상기 분석부에서 상기 수집부로 분석 동작의 절체를 요청하는 단계와,
    상기 수집부에서 상기 요청에 따라 상기 포렌식 이미지에 대한 분석을 수행하는 단계
    를 더 포함하는 것을 특징으로 하는 방법.
  12. 제 10 항에 있어서,
    상기 포렌식 이미지를 생성하는 단계에서,
    상기 수집부에서 상기 메모리 이미지화의 수행 시 상기 포렌식 이미지에 대한 해쉬값을 생성하는 것을 특징으로 하는 방법.
KR1020110114461A 2011-11-04 2011-11-04 듀얼 포렌식 장치 및 방법 KR101300093B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110114461A KR101300093B1 (ko) 2011-11-04 2011-11-04 듀얼 포렌식 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110114461A KR101300093B1 (ko) 2011-11-04 2011-11-04 듀얼 포렌식 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20130049437A true KR20130049437A (ko) 2013-05-14
KR101300093B1 KR101300093B1 (ko) 2013-08-30

Family

ID=48660187

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110114461A KR101300093B1 (ko) 2011-11-04 2011-11-04 듀얼 포렌식 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101300093B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180066637A (ko) * 2016-12-09 2018-06-19 기산전자 주식회사 지폐 처리 장치 및 방법
KR20180115904A (ko) * 2017-04-14 2018-10-24 주식회사 디로그 휴대용 정보 분석 장치와 이를 이용한 데이터 분석 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100987064B1 (ko) * 2009-09-11 2010-10-11 유앤아이비즈니스솔루션 (주) 가상 환경을 이용한 디지털 포렌식 시스템 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180066637A (ko) * 2016-12-09 2018-06-19 기산전자 주식회사 지폐 처리 장치 및 방법
KR20180115904A (ko) * 2017-04-14 2018-10-24 주식회사 디로그 휴대용 정보 분석 장치와 이를 이용한 데이터 분석 방법

Also Published As

Publication number Publication date
KR101300093B1 (ko) 2013-08-30

Similar Documents

Publication Publication Date Title
US8171108B2 (en) System and method for providing remote forensics capability
Al-Dhaqm et al. Towards the development of an integrated incident response model for database forensic investigation field
KR102628057B1 (ko) 블록체인 기반 파일 송신 방법 및 그 시스템
WO2018032376A1 (zh) 一种用于区块链自安全存储系统及其方法
WO2018125966A1 (en) Method for ransomware impact assessment and remediation assisted by data compression
US8751450B1 (en) Method and system for securely capturing workloads at a live network for replaying at a test network
US8219766B1 (en) Systems and methods for identifying the presence of sensitive data in backups
JP2009524153A (ja) セキュリティ保護されたデジタルデータのアーカイビング及びアクセス監査システム及び方法
WO2012037247A1 (en) Secure transfer and tracking of data using removable non-volatile memory devices
US20110055590A1 (en) Apparatus and method for collecting evidence data
KR20150128328A (ko) 증거 수집 도구 제공 방법, 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치 및 방법
US9137219B1 (en) Methods and systems for securely managing multimedia data captured by mobile computing devices
Novak et al. New approaches to digital evidence acquisition and analysis
KR101300093B1 (ko) 듀얼 포렌식 장치 및 방법
CN107133517B (zh) 一种基于内存中数据加密和计算的数据还原方法
CN207115412U (zh) 一种复印机安全检查系统
KR101497067B1 (ko) 디지털 포렌식 기반의 전자기록물 이관 방법 및 이관 장치
US20220150241A1 (en) Permissions for backup-related operations
KR100987064B1 (ko) 가상 환경을 이용한 디지털 포렌식 시스템 및 방법
US20220182446A1 (en) Blockchain technology in data storage system
CN106997315B (zh) 一种用于虚拟机的内存转储的方法和装置
Cusack et al. Digital forensics investigative framework for control rooms in critical infrastructure
KR20210017839A (ko) 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템
CN111984605A (zh) 小文件管理方法、电子设备及存储装置
JP2008158596A (ja) 管理装置、管理方法および管理プログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160810

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee