[디지털 포렌식의 세계] Ch 1

[디지털 포렌식의 세계] - 이준형, 조정원

Ch 1. 첫 번째 디지털 범죄 현장

 

section 01. 디지털 포렌식 일반

 

(1) 디지털 포렌식의 정의

• 디지털 데이터를 근거로 삼아 해당 디지털 기기를 매개체로 하여 발생한 특정 행위의 사실 관계를 법정에서 규명하고 증명하기 위한 절차와 방법
• 디지털 포렌식 원칙 : 로카르드의 교환법칙 (접촉하는 두 개체는 서로의 흔적을 주고받는다)
• 디지털 포렌식의 목적 : 법정에서 디지털 매체 등이 증거로서 인정받을 수 있도록 디지털 매체와 관련된 데이터 등을 보존하고 복구, 분석하는 것
• 디지털 증거 : 디지털 포렌식 기법을 이용하여 수집된 데이터로 법정에서 증거 능력을 가지는 디지털 데이터 (증거의 형태가 디지털의 형태이며 증거 가치와 신뢰성을 가져야 한다.)

디지털 데이터가 법정에서 증거 능력을 가지기 위해서는 다음과 같은 성격을 가지고 있어야 한다. 

무결성	증거 수집 이후에 해당 증거에 어떠한 변화가 있어서는 안 된다. (Chain of Custody)
진정성	내용의 진정성 성립 여부로, 현재로서는 증거 수집 과정을 녹화한 동영상, 사진 등이 진정성 능력을 디지털 증거에 부여한다.
동일성	법정에 제출되는 증거가 사본일 경우 원본과 동일하다는 것을 증명해야 한다. (hash 값 비교)
신뢰성	증거를 수집하기 위해 사용되었던 도구나 방법 등이 믿을만한 방법이어야 하고 제 3자에 이해 동일한 환경에서 다시 재현 시 같은 결과가 나와야 한다.
정당성	증거는 현재 법적으로 허용하는 범위 내인 적법절차에 의해 수집되어야 한다.

 

(2) 디지털 포렌식과 컴퓨터 포렌식의 적용 분야

1) 디지털 포렌식의 적용 분야 

사이버 범죄 및 지능 범죄	해킹, 바이러스 및 악성코드 피해 시스템 조사, 사이버 테러, 정보 은닉, 암호화, 침해사고 대응
일반 범죄 및 강력 범죄	공갈, 사기, 위조, 협박, 횡령, 명예훼손 등의 일반 범죄
	회계부정, 세금포탈, 기업 비밀 유출(내부 감사)
	살인, 강도, 강간, 폭행 등의 강력 범죄
민사 소송 분쟁	명예훼손, 업무상 과실 재해, 내부 감사

2) 컴퓨터 포렌식의 적용 분야

인터넷 침해사고 조사	외부에서 내부로의 공격이 주를 이루며 해커 혹은 악성 프로그램이 어떻게 침입했고, 후에 어떠한 활동을 했는가에 대한 조사
사용자의 부정이나 범죄 행위에 대한 조사	내부 사용자가 조사 대상이며, 내부 감사가 대표적이다.

 

(3) 디지털 포렌식 증거처리 절차

디지털 포렌식에서는 증거를 다음과 같은 두 가지 형태로 구분하고 있다.

생성 증거	사람이 아닌 시스템이나 응용 프로그램이 자동적으로 (필요에 의해) 생성한 데이터
보관 증거	사람이 생성한 데이터로 사람의 사상이나 감정이 표현되어 있는 데이터

디지털 포렌식 수행 절차 (디지털 증거 처리 절차)

사전 준비 단계

증거 수집 단계

증거 이송 단계

증거 분석 단계

정밀 검토 단계

결과 문서화 단계

(1) 사전 준비 단계

• 증거 수집 단계에서 사용할 도구나 장비 등을 숙지, 증거 수집 단계를 뒷받침하기 위한 물리적 준비를 하는 단계

(2) 증거 수집 단계

• 증거를 획득한 사람, 증거 획득 감독, 증거 획득 인증의 역할을 하는 사람들이 각각 있어야 하며 참관한 상태에서 증거 수집
• 사전 준비 단계에서 숙달하였던 도구나 장비 등으로 디지털 증거를 수집
• 물리적인 증거들은 압수하는데 압수할 목록을 미리 정하고 증거 압수 진행
• 이때 적법절차를 거쳐야 하며, 위법 절차를 거치게 되면 증거로서 효력을 가지지 못하게 된다. 수사에 불필요하게 많은 증거를 수집해서도 안 된다.
• 수집한 증거에는 증거 라벨을 부착해야 한다. 

(3) 증거 이송 단계

• 증거의 무결성 등을 보존하기 위해 CoC (Chain of Custody)를 수행해야 하며 증거 포장부터 증거 이송 단계까지 신중을 기해야 한다.
• 증거물 이송팀 : 증거물 수집팀이 증거 수집 단계에서 작성한 증거물 목록과 인수받은 증거물들을 일일이 대조하여 누락된 증거물이 있는지 확인한다. 증거물들의 밀봉 상태가 완벽한지 체크해야 한다. 밀봉 상태가 훼손되어 있는 증거물이 있다면 이는 증거 목록에서 제외하여야 한다. 
• 증거물들을 이송한 후에는 다시 한 번 이송 전 과정을 다시 수행한다.

(4) 증거 분석 단계

• 증거 수집 단계에서 수집하였던 활성 정보나, 디스크(이미지), 메모리 이미지 등을 분석하는 단계
• 각 데이터들을 분석하여 어떠한 의사결정을 할 수 있게 해주는 정보를 추출해야 한다. 
• 증거물 분석 시 원본 증거물을 손상시키지 않기 위해 증거물 복제를 시도하는 과정이 포함되어 있다. 증거물 복제는 원본과 동일한 분석이 가능토록 복제되어야 하며 복제 또한 원본에 손상이 가지 않는 범위 내에서 행해져야 한다.
• 증거물 복제는 보관용과 분석용으로 나누어 복제한다.
• ↓ 증거물 복제/이미지 작업 준수사항

1. 원본 증거물의 무결성 유지를 위해 쓰기방지장치를 사용해야 한다. * 쓰기 방지 장치 : 무결성이 훼손되는 사태를 막기 위해 특수 제작된 하드웨어 또는 소프트웨어

2. 증거물 복제는 보관용과 분석용으로 나뉘는데 이 둘은 물리적 위치를 따로 지정하여 관리해야 한다.

3. 원본/보관용/분석용 증거물에 대한 무결성을 유지해야 한다.

4. 분석용/보관용 복제 증거물에 대한 일련번호를 부여하고 원본 증거물 복제 과정을 기록해야 한다.

5. 증거물 복제는 제 3자 입회 하에 이루어져야 하며, 복제 증거물과 무결성에 대하여 입회자와 분석에 대한 책임자의 서명이 있어야 한다.

6. 원본 증거물의 복제는 원본 증거물이 위치하고 있던 장치와 동일하거나 거의 유사한 장치에서 이루어져야 한다.

• ↓ 이미지 작업 준수사항

1. 분석용 복제 증거물을 대상으로 이미지 작업을 수행하며 분석용 복제 증거물의 무결성을 위해 쓰기방지장치를 사용한다.

2. 획득한 이미지의 무결성을 유지한다.

3. 이미지 작업은 제 3자의 입회 하에 이루어져야 하며, 획득 이미지와 무결성에 대한 입회자와 분석 책임자의 서명이 있어야 한다.

• * FTK Imager 도구로 증거를 분석한다. 

(5) 정밀 검토 단계

• 디지털 포렌식을 수행한 자가 정학하게 분석을 수행하여 정보를 추출하였는지 검토하는 단계
• 발견되지 않은 증거는 없는지 다시 한번 살펴보거나 잘못 추출된 증거가 있는지 분석하는 단계 → 정확성 

(6) 결과 문서화 단계

• 얻어진 정보와 그 정보의 객관적인 설명, 해당 문서를 읽는 사람은 이 분야를 모르는 사람일 수도 있으니 몇 가지의 간략한 부연설명, 정보가 의미하는 결과 등을 기술하는 단계
• 보고서에는 다음과 같은 항목들이 기본적으로 기재되어야 한다.
• 증거 처리 절차의 문서화와 별도로 증거처리 절차의 모든 단계는 처음부터 끝까지 문서화되어 있어야 한다. 

사건 번호 및 보고서 번호

증거 수집과 보고서 작성 일시

수사관/분석관/보고서 작성자의 신분과 서명

조사 및 분석에 사용된 장비와 환경

증거처리 절차의 각각 개략적인 설명

첨부 자료

증거물에서 나온 증거 데이터의 분석 설명 및 결과

결론

 

4) 디지털 포렌식 업무 유의사항

• 증거물을 수집하거나 압수하는 경우 무조건적으로 수집하지 못한다. 수집하려고 하는 데이터가 개인 정보 등에 해당된다면, 필수적으로 당사자의 동의가 필요하다.
• 증거를 수집한 후에는 해당 증거의 관리 또한 철저히 해야 하며 증거 분석 단계에서 알게 된 어떠한 내용도 다른 사람에게 알려져서는 안 된다. 

 

section 02. Digital Forensic 관련 법규 및 사례

 

디지털 포렌식에 대한 법률과 디지털 포렌식이 적용된 실제 사례들을 소개한다.

1) Digital Forensic 관련 법규

- 2009년 발생한 '전교조시국선언' 사건의 판결로 형사소송법에 디지털 증거와 관련된 규정이 신설되었다. 해당 판결에서 디지털 증거의 압수 원칙 및 대상에 대한 명시가 이루어졌고 디지털 증거가 법에 어떻게 적용되는지에 대한 적법 요건의 명시가 이루어졌다.  그 후 몇 가지 판결에서도 해당 판결의 결정을 따르고 있으며 그 결과 형사소송법이 개정(디지털 증거와 관련)되어 2012년 1월 1일부로 시행되었다.

자유심증주의

• 법정에 제출 된 증거의 증거능력을 법률을 근거로 판단하는 것이 아닌 법관의 자유판단을 근거로 판단하는 주의
• 이와 반대되는 개념으로 증거의 증명력을 적극적 또는 소극적으로 법률에 근거하여 판단하는 법정증거주의가 있다.

위법수집증거배제법칙

• 위법한 절차에 의하여 수집된 증거에 대한 증거능력을 배제(인정하지 않는)하는 법칙
• 위법수집증거배제법칙이 적용된 증거에서 파생되거나 추출한 제 2차 증거에도 증거능력으로 인정받을 수 없는데, 이를 독수독과이론 또는 독수과실이론이라고 한다. 

전문증거배제법칙

• 전문증거는 사실인정이라는 기초하에 경험자가 경험적 사실을 법원에 직접 보고하지 않고 다른 형태로 간접적으로 보고하는 것을 말하며 이런 증거는 원천적으로 증거가 될 수 없다는 법칙

* 위법수집증거배제법칙에 적용되지 않는 증거능력이 인정된 증거에 대한 증명력은 아직까지도 자유심증주의에 근거하여 판단한다. 

증거 인증 과정 

• 수사 기관 : 획득할 증거 구별, 동의서 확인을 받은 후 증거 획득
• 무결성을 입증하기 위해 → 해시값 생성
• 법원 : 전달 받은 해시 값을 자신들의 인증서로 전자서명하여 전자 증거 보관소에 저장
• 수사기관에 증거를 제출하면 법원은 전자증거 보관소에 저장되어 있는 해시 값과 수사기관이 제출한 증거의 해시값을 비교해 증거가 변조 또는 훼손되었는지 판단한다.

* 무결성을 위한 해시값은 매우 중요하다. 

 

2) Digital Forensic 관련 사례

1. 외무부 전분 변조사건 → 디지털 포렌식이 적용된 우리나라 최초의 사건
2. 일심회 사건 → 디지털 증거의 진정성에 대해 이해할 수 있는 사건
3. 창원지법 진주지원 재심사건 → 디지털 증거의 무결성
4. 삼성 비자금 의혹 관련 특별검사 → 디지털 포렌식의 기술이 잘 드러나는 사건
5. 신정아 스캔들 → 이메일 내용 복구
6. 통합진보당 비례대표 부정선거 → 서버 압수 및 서버 이미징, 분석 등
7. 황우석 논문 조작 사건 → 노트북 포맷 후 새로운 하드디스크이 영역을 덮어씌우려고 했지만 검찰이 이를 복원. 
8. 카지노 횡령사건 → 계좌 추척, 전화통화 내역 조사에 디지털 포렌식이 사용된 사례
9. 국정원 여직언의 대선 관련 댓글 사건 

 

section 03. Digital Forensic 관련 자격증

 

https://h-factory.tistory.com/227

 

section 04. CoC (Chain of Custody)

 

CoC (Chain of Custody)

• 현재의 증거가 최초로 수집된 상태에서 지금까지 어떠한 변경도 되지 않았다는 것을 보증하기 위한 절차적인 방법
• 수사 기관 등에서 의도적인 증거조작으로부터 피의자를 보호하려는 성격을 가지고 있다. 

 

1) Chain of Custody 부정

• 부정하는 방법 중 대표적인 것은 일시적 증거 무관리 상태를 증명하는 것이다. (일시적 증거 무관리 상태 : 증거 보관자와 증거가 물리적으로 떨어진 상태)
• 무관리 상태는 증거 보관자가 증거와 떨어져 있는 사이 증거가 변경될 수 있다는 가정을 의미하기 때문에 부정 방법으로 쓰인다.

2) Chain of Custody 수행

• CoC를 수행하기 위해 작성하는 문서가 있는데, 이 문서의 포맷은 각 기관마다 양식의 차이가 있지만 기입하는 내용은 대부분 동일하다.

• Chain of Custody는 '연계 보관성'으로 번역되기도 한다. 
• CoC의 가장 중요한 점은 어떠한 물건이 이동하는 과정의 기록이라 할 수 있다. 디지털 포렌식의 입장에서는 증거물의 이동 과정에서 그 대상의 무결성이 보존되었다는 증거로도 활용되며 그 과정에서 발생하는 사건에 대해서 기록되어야 한다는 것이다.
• 디지털 포렌식에 있어서 무결성이란 그 무엇보다 중요하며 그 무결성에 의해 큰 제약을 받기도 한다. 

 

section 05. E-discovery 전자증거개시제

 

E-Discovery

• Eletronic Discovery의 약자로, '전자증거개시제' 혹은 '디지털 증거개시제'라고 한다.
• 미국에서 민사소송 규칙이 개정되면서 Discovery에 사용되는 증거 범위에 전자 포맷의 문서(Electronically Stored Information, ESI)가 포함되어 해당 단어를 사용하기 시작하였다. 
• * Discovery : 소송자가 공판 전 공판에서 사용될 증거들을 법정에서 사용 하는 방법

E-Discovery를 시행하는 이유

• 모든 소송자가 해당 증거물을 검토 할 수 있게 하여 공정한 재판을 하기 위해 시행한다.
• ESI에는 PC문서, 이메일, 메신저 대화 내용 등 모두 포함되며, 소송에 관련된 어떠한 전자적인 자료도 해당한다.
• ESI를 증거로 제시할 때는 무결성 또는 진정성, 신뢰성 등이 보장되어야 한다.

 

EDRAM(Electronic Discovery Reference Model)에서 제시하는 전자증거개시제 참조모델

EDRM은 기존의 증거개시의 다양함을 표준화하기 위해 만들어진 참조모델로, EDRAM을 기준으로 각 단계가 무엇을 의미하는지 알아보자. 

1. 정보관리 (Information Management) 단계 : 전자증거개시제에 필요한 정보들을 신속하게 사용할 수 있도록 관리하는 단계. 증거개시가 요청되면 제한 시일내에 증거개시가 이루어져야 하기 때문에 미리 필요한 정보를 준비한다.
2. 식별 (Identification) 단계 : 정보관리 단계에서 관리하였던 정보들 중 증거개시 가능성이 존재하는 모든 자료를 식별하는 단계. 정보를 식별하며 정보의 소유자와 관리자를 명확히 하고 증거의 출처 등을 명확하게 하는 단계이다.
3. 보존 (Preservation) 단계 : 식별 단계에서 식별한 정보의 무결성과 안전성을 유지하는 단계. 이유불문하고 훼손된 증거에 대해서는 법정에서 불이익을 받기 때문에 이 단계는 매우 중요하다.
4. 수집 (Collection) 단계 : 식별되고 보존된 정보에서 원본의 무결성을 유지하며 증거로 사용될 만한 일련의 데이터 (파일의 내용, 파일명, 파일 타임라인 등)을 추출해 내는 단계. 원본의 보존을 위해 원본의 물리적 복사본을 이용한다던가, 논리적 이미징을 수행해 이미지를 통해 데이터를 추출한다.
5. 처리 (Processing) 단계 : 수집 단계에서 수집 된 데이터들을 연관성이 있는 정보들끼리 결합하는 단계. 각각의 데이터는 별 의미가 없어보이지만 결합 할 시 증거에 큰 도움이 되는 데이터가 될 수 있다. 이러한 이유 외에도 추후 분석 솔루션 등을 이용할 때 효율성 있게 분석하기 위해 데이터들을 결합하기도 한다.
6. 검토 (Review) 단계 : 처리단계에서 처리된 자료들에 대해 관련 사건과 관련이 있는지 검토하는 단계. 일반적으로 법률 관계자 (변호사 등)가 수행하는 단계이다.
7. 분석 (Analysis) 단계 : 수집 단계에서 수집 된 데이터들에서 사건과 관계가 있는 키워드나 문맥 등을 추출해 내는 단계. 검토나 처리 단계와 비슷하다고 생각할 수 있는데, 이 세 단계는 상호관계가 있는 단계들이다.
8. 제작 (Production) 단계 : 위 세 단계를 거친 정보를 소송 당사자들과 합의한 제출 포맷이나 법정에서 제시한 제출 폼새으로 정보를 제작하는 단계
9. 제출 (Presentation) 단계 : 제작 단계를 거친 정보를 소송 당사자들끼리 약속한 제출 방법으로 서로에게 전달하거나 법원에 제출하는 단계

 

1) EDBP란?

EDBP(Electronic Discovery Best Practice) 

• EDRM에서 추구하고자 하는 법률적, 기술적 가이드라인에 대한 제시와는 달리 법률적인 분야에 더 세부적인 절차를 제시하여 기업들에게 법률 서비스를 제공하는 모델 
• EDBP에서는 EDRM의 디지털 포렌식 기술 등을 제외하고 EDRM의 모든 절차를 근거로 하는 법률적인 분야의 내용만 제시한다.
• EDBP는 EDRM를 근거로 기업에게 법률 서비스를 제공하는 분야라고 할 수 있다.
• EDBP는 법률적 사실을 제공하기 위해 연방민사소송규칙에 명시된 절차를 중점적으로 하여 모델을 구성하였고, 과정 중간에 근거들을 제시하여 신뢰성을 더한다. 
• EDBP는 법률적 분야를 다루는 모델이기 때문에 소송 준비 단계에서부터 정책과 관련한 이야기를 많이 다루고 ,제시한다.

2) EDRM과 EDBP의 차이 > 제시 모델

• EDRM : 정보관리 항목을 소송 전 준비단계에서 중요한 부분으로 단계 전반에 걸쳐 다룬다.
  • 내용 확인을 위한 사람과의 만남이 주를 이룬다.
• EDBP : 정보관리를 소송 전 준비 단계의 일부분으로 다룬다.
  • 기존에 있던 e-Discovery의 판례들을 모델에 적극적으로 제시 
  • 정보를 분석하고 식별하는 팀을 구성하여 키워드 검색을 하는 기술적 중심으로 절차를 구성하는 EDRM과 다르게 절차가 전반적으로 사람 중심이다.
  • e-Discovery에 이용한다면 소송 준비 단계부터 비용을 절감할 수 있으며 세부적인 절차와 신뢰성 있는 근거를 제시하기 때문에 e-Discovery에 알맞는 모델임을 알 수 있다. 

 

section 06. 디지털 포렌식 준비도 (Digital Forensic Readiness)

 

디지털 포렌식 준비도는 2001년 Tan의 Forensic Readiness에서 처음 그 개념이 소개되었다. 

1. Maximizing an environment's ability to collect credible digital evidence, and (신뢰할 수 있는 증거 수집 환경의 능력을 최대화하고)
2. Minimizing the cost of forensics in an incident response. (사고 대응 비용을 최소화 하도록 도와준다.)

→ 공통적으로 신뢰성 있는 증거에 대한 수집 환경 능력을 극대화시키는 것을 말하고 있다.

즉, 포렌식 준비도는 법정 증거능력을 가지는 증거 데이터를 수집하고 분석하기 위한 환경을 갖추고 디지털 포렌식 수행 비용을 최소화하며, 디지털 포렌식에 맞는 환경이 얼마나 잘 갖추어져 있는지에 대한 지표이기도 한 계획적 시스템이자 디지털 포렌식 인력 준비 및 충원에 대한 제도라 할 수 있다.

1) 포렌식 준비도의 특징

- 침해사고 이후에 진행되는 디지털 포렌식을 지원 또는 보충해 업무 진행이 성공적으로 끝나도록 한다.

디지털 포렌식은 침해사고를 기준으로 침해사고 이전에 이루어지는 사전적 포렌식, 침해사고 당시에 이루어지는 라이브 포렌식, 침해사고 이후에 이루어지는 사후적 포렌식으로 나눌 수 있는데 포렌식 준비도는 사전적 포렌식에 속하며, 하드디스크 이미지 덤프 파일 분석, 로그 분석 등의 업무가 사후적 포렌식에 속한다. 

- 포렌식 준비도와 일반 정보보호 정책은 요구사항이 많이 겹친다.

• 일반적인 정보 보호 정책 : 법정 증거능력을 중점으로 데이터를 보존하는 것이 아니고 정보를 보호하기 위한 사고대응에 초점이 맞추어져 있기 때문에 로그의 불완전한 상태, 변조/삭제 등과 같은 데이터 훼손으로 인해 실질적인 범죄자를 검거하지 못하는 한계가 존재한다.
• 포렌식 준비도 : 범죄자를 검거하기 위해 데이터에 대한 법정 증거능력을 중점으로 데이터를 보존하기 때문에 본질적으로 정보보호정책과는 그 성격이 다르다. 

- 공격과 방어 비용에 관한 불균형을 해소해 줄 수 있다.

• 공격자 → 몇 시간만에 시스템을 공격해 자신이 원하는 정보를 탈취
• 공격 당한 시스템 → 사건의 원인규명과 대응책을 마련하기 위해 공격자가 공격에 들인 시간과 비용보다 몇 배 많은 시간, 비용이 필요하다.
• 방어자 입장에서 시간을 줄이고 공격자를 빠른 시간 내에 추적, 검거하려면 우선적으로 증거가 효율적으로 빠른 시간 내에 습득, 분석되어야 한다.

2) 포렌식 준비도 절차

• 2004년 Jeker Danielsson과 Ingvar Tjostheim이 Tan의 포렌식 준비도 개념과 자신들이 재정립한 포렌식 준비도의 개념을 이용해 The need for a structured approach to Digital Forensic Readiness 문서에서 포렌식 준비도에 최소한 다음과 같은 절차가 들어가야 한다고 말했다.

1. An analysis of legal requirements and constraints on collection and preservation of potential digital evidence in the applicable legal context.	디지털 증거 수집 및 잠재적 보존에 관한 관련 법률 맥락의 요구사항과 제한사항을 분석해야 한다.
2. A method for analyzing the organizations' need for digital evidence.	디지털 증거에 대한 조직의 필요성을 분석해야 한다.
3. An identification and classification of potential digital evidence sources, and enumeration of tech-nologies and process for utilizing these sources.	잠재적인 디지털 증거 소스 활용을 위해 기술과 프로세스를 열거/식별하고 분류해야 한다.
4. Guidelines for preserving digital evidence, including precesses, procedures, and suggestions as to how techonology solutions can be used.	디지털 증거 보존에 관한 디지털 증거 보존 절차 및 프로세스, 기술, 솔루션 등을 사용할 수 있도록 가이드라인을 작성해야 한다.
5. Guidance on when and how to report incidents to the law enforcement, including content and formats of reports, criteria for reporting, and standardization of the interaction between affected parties and law enforcement.	관계당국에 사건을 보고 할 때 보고서는 표준 형식을 포함해야 하며, 관계 기관과의 상호작용 또한 포함되어 있어야 하고 언제, 어떻게 등의 항목도 포함되어 있어야 한다.

• 여러 포렌식 준비도 절차의 공통점을 이용해 정리하면 다음과 같다. 

1. 포렌식 준비도를 도입하는 조직은 조직 내의 가치있는 자산을 식별한다.

2. 식별한 자산에 대해서 잠재적 위험을 평가한다.

3. 식별된 위험 관련 자산에 관한 디지털 증거 데이터들을 식별하고, 식별한 디지털 증거 데이터 저장 및 보존에 대한 요구사항과 제한사항을 포함해 포렌식 준비도 정책을 수립한다. (이때 소프트웨어적 하드웨어적 환경도 같이 구성한다.)

4. 포렌식 준비도를 강제적으로 수행시키기 위한 제도적 장치 등을 수립한다.

5. 수립된 포렌식 준비도 정책에 관한 검증 및 평가를 수행한다.

• 이와 같은 절차들은 표준일 뿐 조직 상황에 맞게 수정되어야 하며, 각 조직 상황에 맞는 포렌식 준비도가 도입되어야만 제대로 된 포렌식 준비도의 효과를 조직 입장에서 느낄 수 있다.

 

section 07. 디지털 포렌식 어카운팅

 

1) 디지털 포렌식 어카운팅 정의

• 컴퓨터 발달 → 대부분의 자산 정보를 전산으로 처리 → 디지털 포렌식 확장 → 디지털 포렌식 어카운팅 분야 발전 (Digital Forensic Accounting)

디지털 포렌식 어카운팅 : 기업에서 일어나는 일련의 회계부정 사건들에 대해 부정을 법정에서 증명하기 위해 적법한 절차에 따라 회계증거를 수집하고 분석하는 행위 또는 과정 

ex) 국내에서 포렌식 어카운팅이 적용된 사례 : 현대차 비자금 사건, 세종증권 매각 비리 사건 등 

2) 부정의 정의

회계분야에서 부정 

• 큰 의미 : 기업에서 자산을 관리할 때 의도적으로 기업의 자산을 절취하거나 횡령하는 것
• 세부적 : 재무제표를 작성할 시 고의로 재무제표를 수정하거나 기입하지 않는 행위 

부정 형태 

1. 기업 자산을 절취하거나 횡령하여 부정을 저지른 형태
2. 제무 허위보고 

3) 포렌식 어카운팅 필요 능력

1. 재무제표에서의 문제점 파악 능력 → 재무적 이슈가 무엇인지 신속하고 명확하게 파악하는 능력, 해당 기업의 실상 파악 능력
2. 수사에 대한 지식 필요 
3. 증겨 개념 알고 있기 → 재무적 이슈에 대한 증거는 어떤 증거가 있는지, 수집 방법은 어떻게 되는지 등
4. 수집한 증거를 분석하기 위한 회계지식 필요 → 여러 가지 관점에서 보려면 회계지식을 이용해 회계분야의 관점으로 회계 데이터들을 바라보고, 그 데이터들에서의 부정 흔적을 찾아내야 한다.
5. 보고를 쉽게 하는 능력  

4) 포렌식 어카운팅 기술

디지털 포렌식의 여러 기술들이 근간이 되어 획득된 회계 데이터를 분석 하는 기술

1. 회기분석(Regression Analysis) : 수학적 근거의 모델을 이용해 어떤 현상에서 변수들의 종속관게를 설명하는 분석 기법
2. 상관분석(Correlation Analysis) : 회기분석에서 설명 된 변수들만이 가지고 있는 밀접한 정보를 분석하는 기술 (통계적 분석 방법에 속하는 분석 기법)
3. 분포분석(Dispersion Analysis) : 변수들이 가지고 있는 알려진 정보들을 이용해 가치 있는 정보와 내용의 특성 등을 분석하기 위해 사용하는 통계기법 중 하나
4. 벤포드법칙(Benford's Law) : 이론적인 확률 값과 실제 분석한 결과 값이 불일치 하다는 것을 보여줄 때 사용하는 통계 기법 > 회계 데이터의 샘플링을 수행할 때 가장 적절한 방법 중 하나 (숫자의 자리 중 특정 자리에 특정 숫자가 위치하는 것이 예측 가능하다는 법칙)

* 샘플링 : 회계 데이터를 일부 추출하여 검증하는 작업 

 

section 08. 디지털 포렌식 동향 (Digital Forensic Reference)

 

https://h-factory.tistory.com/228