Forensics, Digital Behavior 등 뭐 그런거...

원문 : Law Practice TODAY의 'The Dangers of Do-It-Yourself Computer Forensics'

얼마전에 읽은 글인데 기사는 2007년 11월-_-;; 아무튼 좋은글..
기사 초반 예시 상황을 그려서 독자의 흥미를 끌며 말하고자 했던 부분은 바로
'선무당이 사람 잡는다'는...지극히 공감되는 내용이다.
내가 바로 선무당이라 잘 아는데, 내가 여럿 잡아봤다. ㅋ 분명 나는 소심한 사람인데
이상하리만치 컴퓨터 영역에 들어가면 배짱이 두둑해진다. 대책 없이 지우고 못살려서 고생
하던 경우가 셀수가 없다. 그런데 업무에서까지 그러다 보니 여럿 잡게 되는 셈...
뭐도 모르고 하는 포렌식은 정작 프로 포렌식 조사관에게 악몽이 된다는 서두는 정말이지
공감되고 반성이 많이 되는 내용이다(특히 요새 ' -';;;;)

이어서 DIY 포렌식의 일반적은 함정들을 설명하여 주는데, 이 부분은 우리나라 실정과
맞는 부분도 있고 아닌 부분도 있다. 대충 제목만 보면

1. Chain of Custody 가 약하게 유지되거나 아예 없는 상태
   : 일반적으로 잠재적 증거에 대해서 Chain of Custody를 고려하지 않는게 문제라는 점
2. 간섭, 약탈의 행위
   : 해석이 이상한데, 전문 포렌식 조사관이 아닌 IT요원이 포렌식을 한다고 컴퓨터를 뒤지면
     메타 데이터들이 전부 변조된다는 점
3. 조심성 없는 변호사의 실수
   : 심각한 경우 법률 대리인이 조사대상자이기까지 한 사용자 자신에게 그들 영역에 대하여
    수집을 요청하는 상황도 있다는 점
4. 간과되는 데이터
   : 법률 대리인이건 IT 인력이건 상관없이 중요하고도 명백하게 관련있는 중요한 증거 Data를
    간과 하기 마련이며 심각한 실수가 된다는 점
5. 열악한 도구, 방법, 교육
   : IT 인력은 EnCase나 FTK같은 인증된 전문 도구보다 노턴 고스트나 NT Backup 같은 툴을
    이용하기도 하는데 이들의 도구들은 다양한 데이터 형태의 처리에 부적합하여 검색이 안되는
    경우가 있으며 법적인 목적을 위해서 시험되거나 인증되지 않은 게 문제라는 점
6. 태생적인 문제
   : 전문 증인으로서 진술할 자격 자체가 없다는 점

로펌들은 ESI 추출과 수집 분석을 할수는 있지만,일반적으로 자신들만의 포렌식 조사를 고려하지
않도록 해야 한다.

원문은 상기한 것에 대해 좀 더 자세히 구술하고 있다.-_-;
아무튼 결론은 정상적인 상황에서 데이터의 수집등을 위하여 DIY 전략을 가지고 일을 할순 있지만,
필요한 때가 오면 전문가를 고용하여 내부 직원은 그 전문가를 도와 업무를 할 수 있도록 하는게
좋겠다 하는 식이다.

중간에 흥미로운 부분은 대략 내부 포렌식 랩을 운영할때 장비와 인력을 위해 연간 드는 비용은
$125,000~250,000 정도가 든다고 한다. 대략 우리나라 돈으로 1억3천에서 2억7천정도...
...꽤많이든다-_-;;이중에 인력한테 돌아가는게 얼마나 되는거지@_@;;ㅋ
아 다시 읽어보니 월급은 뺴고 장비 운영비랑 교육비 등만 말한거 같다'-';;