라이브 리스폰스 라이브 리스폰스는 일단 컴퓨터의 플러그부터 뽑고 하드디스크의 이미지를 복사하던 과거 방식과는 달리 동작하고 있는 컴퓨터로부터 휘발성 정보들을 수집하고 분석하는 것을 목적으로 한다. 휘발성 정보들에는 메모리, 프로세스, 네트워크 연결 정보, 시간과 날짜, 열려있는 파일 목록 등이 속한다. 라이브 리스폰스는 '초기 대응 (First Response)' 또는 '사고 대응(Accident Response)'이라고 불리기도 한다. 라이브 리스폰스란? 전통적인 컴퓨터 포렌식 방법론에는 컴퓨터를 조사하기 전에 우선 전원 플러그를 뽑고 하드 드라이브의 이미지를 복사하는 것이 가장 기본적이고 상식적인 절차였다. 최근에는 컴퓨팅 환경의 변화로 인해 저장 매체의 이미지 복사에 앞서 휘발성 정보(Volatil..

라이브 리스폰스 (Live Response) 컴퓨터 포렌식의 초기 조사 단계중 하나다. 라이브 리스폰스는 일단 컴퓨터의 플러그부터 뽑고 하드디스크의 이미지를 복사하던 과거 방식과는 달리 동작하고 있는 컴퓨터로부터 휘발성 정보들을 수집하고 분석하는 것을 목적으로 한다. 휘발성 정보들에는 메모리, 프로세스, 네트워크 연결 정보, 시간과 날짜, 열려있는 파일 목록 등이 속한다. 메모리 분석 (Memory Analysis) 윈도우 메모리 분석은 최근 연구가 활발히 이루어지기 시작된 분야로 컴퓨터 포렌식에서도 가장 어렵고 복잡한 분야이기도 하다. 윈도우의 가상 메모리 구조와 가상 주소, 물리 주소 변환 방법, 프로세스 구조를 이해해야 한다. 윈도우 메모리는 구조 자체가 매우 복잡하고 각 버전마다 구조가 다르기 때..

컴퓨터 포렌식의 적용 분야 컴퓨터 포렌식은 넓은 의미와 다양한 세부 분야를 가지고 있기 때문에 컴퓨터 포렌식이라는 용어를 어느 특정 직업이나 목적에 한정해서 설명하기란 매우 어렵다. 컴퓨터 포렌식의 정의를 좀 더 확장하자면 '컴퓨터에 담긴 증거의 수집, 보관, 분석, 그리고 그 결과로서의 보고서 제출에 이르는 전 과정에 일반적으로 적용되는 절차와 기법'이라고 할 수 있다. 인터넷 침해 사고조사 외부에서 내부로의 공격이 주를 이룬다. 해커 혹은 악성 프로그램(인터넷 웜)이 어떻게 내부로 침입했고, 침입 후에는 어떤 활동을 했는가를 주요 대상으로 한다. 메모리 덤프나 프로세스 덤프, 네트워크 연결 정보, 열려있는 포트 정보 같은 휘발성 정보와 각종 보안 로그들이 사고 조사에서 가장 큰 역할을 한다. 컴퓨터 ..

비슷한 내용임에도 불구하고 디지털 포렌식, 컴퓨터 포렌식, 사이버 포렌식이 혼재되어 사용되고 있다. 사실 넓은 의미에서 셋은 같다고 볼 수 있지만, 디지털, 컴퓨터, 사이버의 사전적 의미가 모두 다르므로 이들을 구분해 줄 필요가 있을 것 같다. 디지털 포렌식은 정보를 디지털 형태로 저장하는 모든 기기가 그 대상이다. 따라서 셋 중에서 가장 넓은 의미를 갖는다. 예로 MP3 플레이어, 휴대폰, 게임기 심지어 인터넷과 연결되어 있는 냉장고도 그 대상이 될 수 있다. 정보가 디지털로 기록되어 있다면 면에서는 모두 같지만 이들 기기들이 사용하는 파일 시스템이나 OS, CPU 가 모두 다르기 때문에 기술적인 면에서 이들은 완전히 다른 포렌식 분야라고 할 수 있다. 컴퓨터 포렌식은 말 그대로 그 대상을 컴퓨터로 한..

컴퓨터와 인터넷이 친숙하지 않던 시절, 범죄 현장의 컴퓨터는 하나의 부수적인 증거물에 지나지 않았다. 그러다 컴퓨터가 업무와 일상생활 양쪽에서 밀접한 관계를 맺기 시작하면서 컴퓨터는 더 이상 부수적인 증거물이 아니라 또 하나의 '범죄 현장'으로 인식되기 시작했다. 조금만 생각해보면 컴퓨터가 우리의 생활에서 차지하는 비중이 예전에 비해 놀랍도록 커졌음을 알 수 있다. 기업에서는 손으로 작성하던 보고서가 워드프로세서로 대체된 지 이미 한참이 흘렀고, 자재 관리나 회계 관리용 SW 는 회사 운영에 빼놓을 수 없는 요소가 되었으며, 사내 전화는 점점 메신저나 이메일로 대체되어가고 있다. 우리도 컴퓨터와 인터넷만 있으면 인쇄 신문이 제공하던 뉴스를 웹 브라우저를 통해 읽고, 영화나 콘서트 티켓을 인터넷으로 예매하..