[책 요약] 이제 시작이야! 디지털 포렌식 3장

포렌식 랩이란 미국 전역에 널리퍼진 수사 기관(?) 같은 것이다. 포렌식 조사관들이 이 랩에 소속되어서 조사를 하고는 한다. 몰론 무조건 랩에 소속될 필요는 없다. 대부분의 랩은 그들이 속한 법 집행 기관을 따른다. 대표적으로 버지니아 콴티코의 FBI 범죄연구소가 있다.

FBI는 늘어나는 포렌식 조사관 수요를 만족하기 위해 RCFL이라는 프로그램을 시작하였다. 미국의 16개 시설에서 운영되고 있으며, 연방, 주, 지역 법 집행 기관과의 파트너 쉽을 위해 인력을 충원하고 관리한다. 결과는 매우 성공적으로, 2010년 회계연도 동안 6,564 개의 포렌식 조사를 실시하여, 3,086 테라바이트의 데이터를 처리하였다. 

가상 랩을 운영하기도 한다. 비용절감이나 더 많은 자원에 접근 가능하고, 더 많은 전문성에 접근 가능, 그리고 자원의 불필요한 감소등의 이점이 있다고 한다. 그리고 역할 기반의 접근제어를 할 수 있게 한다. ex) 조사관과 랩 관리자는 완전한 접근 권한을 부여하고 변호사, 검사 그리고 수사관에게는 제한된 접근 권한을 부여할 수 있다. 

가상랩을 운영하기 위해서는 보안, 성능, 비용을 고려해야 한다. 보안이 안좋으면 법정에서 증거가 채택되지 않을 수도 있고, 성능이 안좋으면 원활한 랩 운영이 안될 수도있다. 그리고 가상 랩은 초기 비용이 많이 든다. 

랩 보안은 증거들이 법정에서 채택 되는지가 달려 있기에 매우 중요하다. 증거와 시설에 대한 접근을 엄격하게 관리해야 한다. 물리적으로도 문으로 막고, 금고도 쓰고 해야한다. 특히 카드키로 열리는 문의 경우에는 자동으로 출입 로그가 기록되므로 편하다. 또한 화재나 홍수 등의 자연재해로 부터 보호받을 수 있는 지도 고려해야 한다. 그리고 네트워크에 의한 접근도 차단해야 한다. 애초에 컴퓨터의 인터넷을 차단하면 증거 침해에 대한 주장을 차단할 수 있다. 그리고 바이러스가 증거 드라이브를 통해 들어올 수 있으므로, 최소 하나이상의 백신 제품으로 검사를 해야 한다. 

증거를 저장할 때 데이터 세이프라는 것을 이용하면, 도난과 화재로부터 증거를 보호하는 것을 돕는다. 증거를 저장한 곳은 항상 잠금 장치를 걸어둬야하고 로그나 감사 기록을 유지해야 한다. 

랩에서 증거 처리와 조사, 기록 유지, 시설의 보안에 관련한 것은, 정책과 표준작업 절차서로 통제해야 한다. 표준 작업 절차서란 포렌식 조사가 어떻게 수행되어야 하는지 명시한 문서이다. 너무 광범위하지 않고 동시에 너무 세부적이지 않게 적어야 한다. 랩의 정책과 표준작업 절차서를 확정하고 이를 준수하지 않으면 법정에서 이들에 대한 신뢰성을 의심받을 가능성이 높아진다.

품질보증이란 모든 법과학의 근본이 되는 원칙이다. 모든 랩에는 품질 보증 프로그램이 있어야 한다. 품질보증이란 "문서화 된 프로토콜 시스템으로 분석결과의 정확성과 신뢰성을 유지하기 위해 사용된다"라고 정의된다. 이런 품질 보증을 통해서 조사관들을 평가한다. 이런 평가가 없으면 해당 조사관의 조사에 대한 신뢰성이 떨어진다. 1997년 글렌 우드올 사건이 그 이유를 보여준다. 

포렌식에 사용되는 모든 툴은 하드웨어가 되었든 소프트웨어가 되었든 실제 사건에서 사용하기 전에 검증해야 한다. 툴이 제대로 작동하고 있고, 신뢰할 수 있다는 것을 증명할 수 있어야 한다. 단순히 제조사의 말만 믿으면 안되고, 검증하면서 이런 검증과정또한 문서화 해야 한다.

이쪽 업계에서는 문서화가 매우 중요하다. 문서로 남아있지 않은 노래는 실제로 있었던 일이 아니라는 격언을 담아듣자. 전반적인 포렌식 프로세스에서 사용되는 여러 종류의 문서와 보고서가 있다. 이런 보고서들은 랩이나 기관의 표준 작업 절차서와 메뉴얼에 명시되어 있어야 하고, 제출문서, 연계 보관성 기록, 조사관의 노트, 조사관의 최종 보고서 등이 필요한 문서 중에서 가장 중요하다. 

문서를 작성할 때 미리 서식을 만들어두고 적으면, 문서의 품질이 높게 유지될 수 있도록 돕는다. 서식은 모든 필요한 정보가 동일한 형식으로 기록될 수 있도록 하며, 일반적으로, 증거를 상세하게 설명할 때, 연계보관성을 기록할 때 그리고 조사를 요청할 때 등에 사용된다.

조사관의 노트에는 모든 조사관이 행동과 관찰사항이 날짜와 함께 기록된다. 노트는 충분히 상세히 적혀서 다른 조사관이 프로세스를 반복할 수 있도록 해야한다. 주로 검찰관과 수사관을 포함한 핵심 인물과의 토의, 특이 사항 및 관련 조치, 운영체제, 버전 및 패치 상태, 비밀번호, 랩이나 법 진행 인력이 시스템을 변경한 사항. 등이 적힌다. 노트를 상세히 적어야 미래에 증언을 할 때, 중요한 역할을 할 것이다. 

조사관의 최종보고서는 공식 문서로, 수사가 거의 완료될 때 검사, 수사관, 반대편 변호사 등에 전달된다. 일반적으로 보고서에는 다음과 같은 내용이 적힌다.

• 보고 기관
• 사건 식별 번호, 
• 제출하는 사람과 사건 수사관의 신원 정보
• 받은 날짜 및 보고 날짜
• 시리얼 번호, 제조사, 모델 등 증거를 식별할 세부 정보
• 조사관의 신원 정보
• 조사 방법
• 결과와 결론

이는 일반인들이 읽을 내용이므로, 전문 용어를 줄이고, 이해하기 쉽도록 작성해야 한다. 그리고 요약 내용을 적어주는 것이 매우 유용하게 쓰일 것이다. 용어사전을 보고서에 첨부하는 것도 도움이 될 것이다.

툴은 검증된 툴을 써야 하는데, 업데이트가 될 때마다 검증을 다시 해야 한다.

포렌식 툴들은 시스템 요구사항이 기본적으로 높으므로, 좋은 하드웨어를 갖춰야 한다. 

소프트웨어는 오픈소스인 SIFT가 있고, 상업용 도구는 EnCase 가 있다. 둘다 좋다.

미국범죄감정과학연구소 소장협회의 연구소 인증보드(ASCLD/LAB)는 포렌식 랩 인가에 있어서 세계적으로 인정 받는다. 미국외에 다른 국가의 랩도 인가한다. 꼭 랩이 인가되어야 하는 것은 아니다. 비용이 많이 든다. 하지만 인가를 받으면 신뢰 받을 수 있을 것이다.

자격증과 인가를 비교하면, 자격증은 조사관 개인이 받는것이고, 인가는 랩이 받는 것이다.