차량 디지털 포렌식의 프로세스

목차

• 디지털 포렌식 수사 단계
• 미국 국립 표진기술원(NIST) 에서 제시한 디지털 포렌식 프로세스
• SWGDE (Scientific Working Group on Digital Evidence, 디지털 증거에 과한 과학 워킹 그룹) 가 제시한 '차량 인포테인먼트와 텔레매틱스 시스템에 대한 디지털 포렌식 프로세스'
• 포렌식 전문 논문에서 제시한 차량 포렌식 프로세스

 

차량 디지털 포렌식의 프로세스

디지털 포렌식 수사 단계

• 디지털 증거 압수수색 절차
  • 컴퓨터 하드디스크 압수
  • 대검 디지털포렌식센터에서 이미징
    • 삭제된 파일까지 전부 COPY
  • 수사관에 데이터를 대검
  • 해당 사건 수사팀이 이 시스템에 접속해서 데이터 검색, 출력
• 디지털 포렌식 수사 단계 흐름도
  • 불법 현장 압수 지원
  • 압수물 증거 접수
  • 디지털 포렌식 분석
  • 분석 보고서 작성
  • 증거 자료 송치

 

NIST 의 디지털 포렌식 과정

• 포렌식 과정
  • Collection (수집 단계) = 획득 단계
    • 디지털 데이터 획득 시에 Disk Imaging 수행
      • 데이터를 이미지 파일로 복사 (clone)
    • 획득한 데이터의 무결성 보장 
    • Write Blocker (쓰기 방지 장치)
  • Examination (조사/검사 단계)
    • 고려사항
      • 삭제된 데이터가 있다면 복원
  • Analysis (분석 단계)
    • 검사 결과를 분석하는 단계
  • Reporting (보고 단계)
    • 분석 결과르 보고하는 것
    • 고려 사항 (CoC, Chain-of-Custody)

 

IVI 및 텔레매틱스 시스템을 위한 디지털 포렌식 절차

Best Practices for Vehicle Infortainment and Telematics Systems

• Physical Seizure & preservation (물리적 압수 및 보존)
• Data preservation
• Data Acquistion
  • 종류
    • Acquisition level (데이터 수준)
    • Equipment preparation (데이터 수집이나 분석에 사용될 장비 준비)
  • 데이터 획득 수준
    • 논리적
    • 파일 시스템
      • Hidden 파일, DB 파일
        • SQLite DB 로 저장되어 있다.
    • 물리적
  • 고려사항
    • EDR 을 신속히 회수해야 함
• Data analysis
  • 차량에 대한 정보
  • 차량 내 앱들에 대한 정보
  • 네비게이션 데이터
  • 디바이스 정보
  • 이벤트
  • 사용자 데이터

 

학술 논문에서 제시한 차량 디지털 포렌식 절차

자동차 디지털 포렌식 절차

• Forensic Readiness
• Data Acquisition
• Data Analysis
• Documentation

 

포렌식 준비 (forensic readiness) 단계 도입 필요

• 잠재적인 데이터 소스 식별
• V2X 기능 관련, 인터페이스 및 데이터 교환 방법의 이해
• 이용 가능한 도구들의 평가