머리말 

(사)한국포렌식학회와 한국인터넷진흥원이 공동주관하는 포렌식전문가 시험이 시행된 지도 벌써 10년이 되어간다. 민간자격으로 출범하여 법무부 국가공인을 받아 2017년 제10회 시험까지 실시되었고, 합격자도 660명에 이르고 있다. 2018년 5월에는 제11회 시험이 실시될 예정이다. 

포렌식 전문가 자격을 채용 우대조건으로 하는 국가기관의 숫자도 늘어가고, 승진조건으로 하는 기관도 늘어가고 있다. 기업에서도 기업의 윤리경영, 투명경영을 위하고, 송무사건 중 E-Discovery에 대비하기 위해서도 포렌식 전문가 시험 합격자를 우선 선발하고 있다. 

성균관대학교에서는 최초로 일반대학원에 과학수사학과를 개설하였다. 주로 경험과 감으로 이어온 과학수사에 관해 학문적 체계를 세우고, 미래 과학수사를 책임질 전문연구자를 양성하고 있다. 특히 産學官협력사업을 통해 과학 수사의 기법과 도구개발에도 집중하는 것은 매우 다행스러운 일이다. 향후 대학 학부과정에서도 디지털 포렌식 분야는 물론 과학 수사 일반학과가 개설되어 이 분야에 대한 초급 전문가 양성을 기대해 본다. 

디지털 증거와 관련해서는 형사소송법의 개정을 통해 그 동안 사적 상황 하에서 작성된 문서에 입법의 불비를 이유로 증거능력을 부정해 오던 것을 개선하여 포렌식 분석결과에 의해 작성자를 추정하고, 성립의 진정을 입증할 수 있도록 길을 열어 놓았다. 본 책자는 그에 맞추어 기록매체별로, 도구별로 작성자와 진술자, 소유자를 입증할 수 있는 수사기법을 추가하고, 법정 증언의 구체적 예시를 담았다. 특히 관련 최근 대법원과 하급심 판례도 상당부분 보충하였다. 

책자발간을 위해 성균관대학교 과학수사학과 박사과정 정환우, 석사과정 최진욱 군의 도움이 컷다. 아무쪼록 본 책자가 디지털 포렌식 분야의 발전은 물론 새롭게 포렌식 분야에 입문하는 학생들에게 많은 도움이 되기를 기도한다. 

2018. 2 

대표저자 노명선 

제1강 디지털 포렌식 개론 

제1장 | 디지털 포렌식 의의 25 

1. 배 경 25 

2. 디지털 포렌식의 의의와 유용성 26 

3. 디지털 포렌식의 일반원칙 31 

제2장 | 디지털 포렌식의 유형과 수행과정 33 

1. 디지털 포렌식의 유형 33 

2. 디지털 포렌식의 수행과정 36 

제3장 | 전자적 증거의 특성과 규제법률 41 

1. 전자적 증거의 의의와 특성 41 

2. 전자적 증거의 규제법률의 동향 50 

제2강 컴퓨터 구조와 디지털 저장매체 

제1편 컴퓨터 구조

제1장 | 컴퓨터 구조의 발전 65 

1. 컴퓨터의 구성장치와 기본구조 65 

2. 컴퓨터 구조의 발전 과정 65 

제2장 | 프로세스 구조 68 

1. 프로세스 제어 블록(PCB) 69 

2. 프로세스 관련 작업 69 

3. 대기와 재동작 69 

4. 인터럽트 처리 70 

제2편 디지털 데이터의 표현

제1장 | 데이터의 구성단위 71 

1. 물리적 단위 71 

2. 논리적 단위 72 

제2장 | 수 체계(Numeral System) 73 

1. 2진수(Binary Numbers) 73 

2. 2Byte 계산 73 

3. 빅 엔디안(Big-Endian)과 리틀 엔디안(Little-Endian) 74 

4. 빅 엔디안을 사용하는 시스템 74 

5. 리틀 엔디안을 사용하는 시스템 74 

6. 16진수(Hexadecimal Numbers) 74 

7. 고정 소수점 75 

8. 부동 소수점 76 

제3장 | 문 자(Characters) 77 

1. 문자 코드 77 

2. ASCII 문자 코드 77 

3. 엡시딕(EBCDIC) 코드 77 

4. 한글 조합형, 완성형, 확장형 코드 77 

5. 유니코드(Unicode) 78 

제4장 | 데이터 인코딩(Data Encoding) 80 

1. 데이터 인코딩 80 

2. Base 64 80 

3. Base 58 82 

제5장 | 무결성과 해쉬함수 83 

제3편 디지털 기기 및 저장매체

제1장 | 디지털 기기의 구성 요소 87 

제2장 | 디지털 저장매체의 종류 및 특징 88 

1. 반도체를 이용한 저장매체 88 

2. 광학 저장매체(Optical Disc) 96 

3. 차세대 광학 저장매체(Blu-Ray Disc) 97 

4. 저장매체 및 기기의 입출력 97 

제3장 | 디지털 기기의 종류 115 

1. 범용 시스템 115 

2. 개인 휴대용 시스템 116 

3. 네트워크 장비 116 

4. 임베디드 시스템 등 기타 119 

제4장 | 하드디스크 드라이브 이해 121 

1. 하드디스크의 구조 121 

2. 디스크 접근 시간 127 

3. 디스크 주소 지정 기법 127 

4. 디스크 분할 128 

제3강 파일시스템과 운영체제 

제1편 파일시스템

제1장 | 파일의 기본개념 133 

1. 파일의 유형 133 

2. 파일의 선별 134 

3. 파일의 상태 정보 136 

제2장 | 파일의 기반 요소들 137 

1. 파일의 구성 137 

2. 블록킹 및 레코드 저장 방식 137 

3. 버퍼링의 개념 138 

제3장 | 파일 시스템의 구조 140 

1. 논리적 구조 140 

2. 물리적 구조 141 

제4장 | 파일 시스템의 유형 144 

1. FAT 파일시스템 144 

2. NTFS 파일시스템 147 

3. UFS 파일 시스템 151 

4. EXT 파일시스템 154 

5. 모바일 파일시스템 159 

제5장 | 파일 보호 기법 166 

1. 패스워드 166 

2. 접근 행렬 167 

제2편 운영체제

제1장 | 운영체제의 역할 및 기능 172 

제2장 | 운영체제의 분류 177 

1. 단일-사용자 시스템과 다중-사용자 시스템 178 

2. 단일-태스킹 시스템과 다중-태스킹 시스템 178 

제3장 | 컴퓨팅 환경별 운영체제 180 

1. 일괄처리 시스템 180 

2. 시분할 시스템 181 

3. 분산 시스템 182 

4. 실시간 시스템 185 

제4장 | 운영체제의 기능 186 

1. 프로세스 관리 186 

2. 프로세서 관리 186 

3. 기억장치 관리 187 

4. 파일 관리 188 

5. 보조기억장치 관리 189 

6. 입출력 및 통신 관리 189 

제5장 | Windows 기반 시스템 191 

1. DOS(Disk Operation System) 191 

2. Windows 191 

3. 주요 Windows Artifacts 202 

제6장 | UNIX 기반 시스템 218 

1. UNIX의 특징 218 

2. UNIX의 종류 218 

3. UNIX의 기능과 구조 219 

4. 파일 시스템 222 

5. 프로세스 관리 223 

6. 메모리 관리 225 

7. 입·출력 관리 226 

8. UNIX 시스템 로그 226 

제7장 | Linux 기반 시스템 229 

1. Linux의 특징 229 

2. X Windows 230 

3. Linux 시스템 로그 230 

4. Linux 로그 관리 232 

5. Linux 파일시스템 232 

제8장 | OS X 기반 시스템 236 

1. OS X의 특징 236 

2. OS X의 구조분석 및 자료수집 237 

제4강 응용프로그램과 네트워크의 이해 

제1편 응용프로그램 

제1장 | 웹 브라우저 241 

1. Microsoft Internet Explorer 241 

2. Mozilla 파이어폭스(FireFox) 243 

3. Google 크롬(Chrome) 243 

4. Apple 사파리(Safari) 244 

5. 그 밖의 웹 브라우저 245 

제2장 | 인터넷 메신저 247 

1. Windows Live Messenger 247 

2. Yahoo! Messenger 247 

3. Nate On 248 

제3장 | 전자우편(E-Mail) 249 

1. Microsoft Office Outlook 249 

2. Outlook Express 251 

3. Mozilla Thunderbird 251 

4. IBM Lotus Notes 252 

5. Mac OS X 메일 252 

제4장 | 오피스 응용프로그램 253 

1. 한컴 오피스 253 

2. Microsoft Office 254 

3. 오픈 오피스(Open Office) 256 

제5장 | 기타 응용프로그램 257 

1. 멀티미디어 관련 프로그램 257 

2. 안티 포렌식 응용프로그램 257 

제2편 네트워크

제1장 | 네트워크의 이해 260 

1. 네트워크 개요 260 

2. OSI 참조 모델 261 

제2장 | 네트워크의 종류 265 

1. LAN 265 

2. WAN(Wide-Area Network, 광역 통신망) 269 

3. Wireless 270 

4. TCP(Transmission Control Protocol) / IP(Internet Protocol) 273 

제3장 | 네트워크 보안 276 

1. 침입탐지시스템(IDS) 276 

2. 침입차단시스템(Firewall) 278 

3. 침입방지시스템(IPS) 280 

4. 가상 사설망(VPN) 280 

제4장 | 네트워크 공격유형 284 

1. 인터넷을 통한 개인 호스트에 악성코드를 침투하는 유형 284 

2. 서버와 네트워크 기반 구조를 공격하는 유형 285 

3. 크래커가 패킷을 탐지하는 유형 286 

4. 사용자가 신뢰하는 사람처럼 위장하는 유형 287 

5. 크래커가 메시지를 수정 및 삭제하는 유형 287 

제5장 | 네트워크 증거수집 방법 288 

1. 시스템에서의 네트워크 증거수집 방법 288 

2. 보안시스템에서의 네트워크 증거수집 방법 292 

제5강 데이터베이스 

제1편 데이터베이스 시스템

제1장 | 데이터베이스 개념 303 

1. DBMS의 개념 304 

2. DBMS의 기능 305 

3. DBMS(DataBase Mangement System)의 종류 311 

제2장 | 데이터베이스 암호화 323 

1. 암호화의 필요성 323 

2. 암호화 방식 323 

제2편 데이터베이스 모델링

제1장 | 데이터베이스 모델링의 개념 325 

1. 데이터베이스 모델링 325 

2. 데이터베이스 모델링 단계 326 

제2장 | ER Model 330 

1. 개 체(Entity) 331 

2. 속 성(Attribute) 331 

3. 관 계(Relationship) 333 

4. 약 엔티티 타입(Weak Entity Type) 336 

제3편 관계형 데이터 모델

제1장 | 관계형 모델의 개념 337 

1. 릴레이션의 정의 및 특성 337 

2. 키의 정의 및 유형 338 

3. 무결성 제약조건(Intergrity Constraints) 340 

4. 무결성 제약조건의 검증 342 

제2장 | 관계형 대수(Relational Algebra) 343 

1. 집합 연산자 343 

2. 특수 연산자 345 

3. 관계형 대수의 완전 집합 348 

제4편 데이터베이스 언어

제1장 | 데이터 정의어(DDL) 350 

1. 테이블 구조의 생성 350 

2. 테이블 정의의 변경 351 

제2장 | 데이터 조작어(DML) 353 

1. 단순 질의 353 

2. 고급 질의 357 

3. 뷰(view)의 사용 361 

제3장 | 데이터 제어어(DCL) 364 

제4장 | SQL Injection 365 

제5편 트랜잭션 처리

제1장 | 트랜잭션 367 

1. 트랜잭션의 개념 367 

2. 트랜잭션의 특성 367 

3. 트랜잭션의 상태 전이도 368 

제2장 | 회 복(Recovery) 370 

1. 회복의 필요성 370 

2. 실패(혹은 고장)의 유형 370 

3. 시스템 로그 371 

제3장 | 회복 기법 373 

1. 지연 갱신(Deferred Update)기법 373 

2. 즉시 갱신(Immediate Update)기법 373 

3. 그림자 페이징 374 

4. 디스크 손상 시 회복기법 375 

제6편 데이터베이스 포렌식

제1장 | 데이터베이스 서버 환경 377 

1. 일반적인 서버 377 

2. RAID로 구성되어 있는 서버 378 

제2장 | 데이터베이스 분석 도구 379 

제3장 | 데이터베이스 증거수집·분석 절차 380 

1. 데이터베이스 증거수집 절차 380 

2. 휘발성 자료 수집 절차 384 

3. 데이터베이스 Dump 절차 392 

4. 테스트 시스템 구축절차 398 

5. 로그분석 절차 402 

6. 데이터 분석 절차 407 

제6강 디지털포렌식 기초실무와 법률 

제1편 디지털 포렌식 일반

제1장 | 포렌식 도구에 대한 일반적인 요구사항 415 

1. 개 요 415 

2. 일반적인 요구사항 415 

제2장 | 디지털 포렌식의 도구와 기능 417 

1. 일 반 417 

2. 엔케이스(EnCase) 프로그램 419 

3. FTK(Forensic Tool Kit) 421 

4. X-Ways Forensics 425 

5. Autopsy 426 

6. ProDiscover 427 

7. Volatility 428 

8. 기타 Forensic 프로그램 428 

9. 수집·분석도구 기재요령 431 

제3장 | 전자적 증거의 수집기술 432 

1. 활성 시스템(Live System) 조사 432 

2. 디스크 이미징 기술 433 

3. 임베디드 시스템 증거 확보 방법 439 

제4장 | 전자적 증거의 분석기술 440 

1. 디스크 브라우징(Disk Browsing) 기술 440 

2. 데이터 뷰잉(Data Viewing) 기술 441 

3. 검색 기술 441 

4. 증거 분석 기술 446 

5. 분석방법에 관한 보고서 기재요령 예시 448 

제5장 | IoT 환경에서의 증거수집·분석 453 

1. IoT 시대 환경변화 453 

2. IoT 대응 포렌식 전략 454 

3. IoT 기기 특성과 착안사항 454 

4. 증거 수집 및 분석 도구 457 

5. 향후 전망 460 

제2편 형사절차상 수집과 분석절차

제1장 형사절차 개요 462 

1. 개 론 462 

2. 임의 수사절차 463 

3. 강제수사절차 468 

4. 압수물의 보관과 환부 473 

제2장 | 압수·수색 476 

1. 압수의 대상인지 여부 476 

2. 압수하는 정보의 유형 477 

3. 압수대상인 저장매체의 유형 481 

4. 기타 컴퓨터 주변장치 486 

5. 압수·수색 영장의 특정 488 

6. 압수·수색의 구체적인 방법 489 

제3장 | 전자적 증거의 압수와 분석 단계별 요령 499 

1. 개 요 499 

2. 단계별 요령 500 

3. 보고서 작성 505 

제3편 형사소송법상 증거법칙

제1장 | 증거의 의의와 분류 513 

1. 서 론 513 

2. 증거의 분류 514 

3. 증명의 3원칙 516 

4. 증거개시 519 

제2장 | 증거능력에 관한 사항 523 

1. 서 설

2. 전자적 증거의 증거능력 530 

제3장 | 증명력에 관한 사항 549 

1. 증명력의 의의 549 

2. 주요 판례동향 549 

제4장 | 증거조사 절차 552 

1. 증거조사신청 552 

2. 증거조사 순서와 방법 553 

제5장 | 전문조사관의 증언능력과 증언 예시 558 

1. 서 설 558 

2. 전문조사관 작성의 분석보고서의 증거능력 559 

3. 전문조사관 증언의 증명력 562 

4. 전문가 증언의 구체적 예시 566 

제4편 통신제한 조치와 개인정보보호

1. 통신제한 조치 582 

2. 개인정보보호와 수집제한 586 

제5편 민사절차상 전자적 증거

1. 총 설 597 

2. 증명의 대상 597 

3. 증인신문 599 

4. 서류의 증명력 599 

5. 서증제출의 절차 601 

6. 자유심증주의 602 

판례색인 606 

사항 색인 607