디지털 포렌식 기본원칙 5가지
| 원칙 | 한 줄 요약 | 핵심 포인트 | 현장 적용 팁 | 증빙 예시 |
|---|---|---|---|---|
| 정당성 (Legality) | 법·내규에 맞게 수집/분석해야 한다 | 영장/동의서, 개인정보·통신비밀 보호 준수 | 수집 전 권한·범위 확인 체크리스트 사용 | 영장/동의서 사본, 승인 메일·결재 문서 |
| 연속성 (Chain of Custody) | 증거의 소유·이관 이력이 끊기지 않아야 한다 | 누가·언제·어디서·무엇을·왜·어떻게 | 수령→이관→보관→분석 전 단계 기록·서명 | 증거관리대장, 인수인계서, 봉인번호 사진 |
| 무결성 (Integrity) | 원본이 변형되지 않아야 한다 | 쓰기금지, 해시값(SHA-256 등) | 원본은 W/B(Write-Block) 장치로 이미지 획득, 이미지·해시 이중 보관 | 원본·이미지 해시값, 획득 로그, 해시 재검증 스크린샷 |
| 재현성 (Repeatability) | 같은 절차면 같은 결과가 나와야 한다 | 표준 도구·버전 고정, 절차 문서화 | 도구 버전, 옵션, 스크립트까지 업무기록에 남김 | 절차서(SOP), 도구 버전·옵션이 포함된 분석 노트 |
| 신속성 (Timeliness) | 휘발성 증거가 사라지기 전에 확보해야 한다 | 우선순위: 메모리→네트워크→디스크 | 라이브 수집 키트 준비, 타임라인 즉시 작성 | 수집 시작 시각, 캡처된 메모리/네트워크 덤프, 타임라인 초안 |
실무 체크리스트
-
권한·범위 확인(영장/동의/내규) 후 수집 시작
-
Chain of Custody: 수령·이관·보관·분석 로그와 서명 남김
-
원본은 쓰기금지 장치 사용, 해시(SHA-256) 계산·기록·재검증
-
도구 버전/옵션/스크립트를 분석 노트에 그대로 기록
-
휘발성 증거 먼저 확보(메모리/네트워크), 수집 시각과 타임라인 동시 작성
