디지털포렌식 도구의 요구사항

 디지털포렌식 도구는 하드웨어 기반의 장비와 소프트웨어 기반의 도구를 총칭하는 말로 분석도구, 수집도구를 통틀어 일컫는 말이다. 법정에서 디지털 증거가 증거능력을 인정받으려면 이러한 디지털 증거를 도출한 도구의 신뢰성이 보장되어야 하며 정확하고 객관적인 결과를 일관되게 산출한다는 것이 보장되어야 한다.

대한민국

 우리나라에서는 2008년 12월 19일 한국정보통신기술협회에서 "컴퓨터 포렌식을 위한 디지털 증거 분석도구 요구사항(Digital Evidence Analysis Tool Requirements for Computer Forensics)"을 제정하여 운영중이다. 해당 정보통신단체표준에서 요구하는 디지털 증거 분석도구의 요구사항은 유용성(Usability), 포괄성(Comprehensive), 정확성(Accuracy), 동일성(Deterministic), 입증가능(Verifiable), 읽기전용(Read-Only), 건전도 검사(Sanity Check) 이렇게 7가지이다. 

유용성

 복잡도 문제를 해결하기 위해 분석도구는 추상화 계층에서 데이터와 조사관에 도움을 주는 형식을 제공해야 한다. 최소한 조사관은 경계 계층으로 정의된 추상화 계층에 접근해야 한다. 이에 도구는 조사관이 데이터를 부정확하게 해석하지 않도록 정확한 형식의 평문으로 데이터를 제시해야 한다.

포괄성

 모든 증거를 식별하기 위해 조사관은 모든 출력 데이터에 접근이 가능해야 한다.

정확성

오류 문제를 해결하기 위해 분석 도구는 출력 데이터가 정확하고 결과가 적절하게 해석될 수 있도록 오류한계가 계산된다는 것을 보장해야 한다.

동일성

 분석 도구의 정확성을 보장하기 우해 변형 규칙 집합과 입력이 주어지면 항상 동일한 출력을 산출해야 한다.

입증 가능

 분석 도구의 정확성을 보장하기 위해 결과를 입증하는 것이 가능해야 한다. 수동, 서드파티를 통해 수행되어 출력이 입증될 수 있도록 각 계층의 입력과 출력에 접근이 가능해야 한다.

읽기 전용

 필수는 아니지만 권장되는 특성으로 원본을 수정하는 것이 아닌 정확한 사본을 만들어 이 사본을 수정하며 분석을 진행한다. 그리고 결과를 입증하기 위해 입력의 사본이 필요하다.

건전도 검사

 모든 데이터 값은 추상화 계층에서 입력값으로 사용될 수 있다. 이렇게 해서 나온 출력 중 유효한 값과 그렇지 않은 값을 분석관이 쉽게 구별할 수 있도록 도구는 건전도 검사를 수행하여 이를 표시 해주어야 한다.

미국

미국은 미 상무부(United States Department of Commerce) 산하의 국가표준기술연구소(National Institute of Standard and Technology, NIST)에서 별도의 기준을 마련하고 이 기준을 통해 컴퓨터 포렌식 도구 시험(Computer Forensic Tool Testing, CFTT)를 실시하여 도구의 신뢰성을 검증하고 있다. CFTT는 미국에서 실시하고 있으나 사실상의 표준으로 우리나라를 포함한 여러 나라에서 도구에 대한 검증으로 이 CFTT를 이용하고 있다. 그리고 검증 결과는 문서화되어 해당 CFTT 사이트에 공개된다. 

https://www.nist.gov/itl/ssd/software-quality-group/computer-forensics-tool-testing-program-cftt

CFTT에서는 국가 표준 참조 라이브러리(National Software Reference Library, NSRL)을 제공하는데 이는 전세계 15000개 이상 소프트웨어에 포함된 파일을 수집하여 각 파일의 제품정보와 해시값을 DB 형태로 목록화한 데이터셋이다. NSRL은 주로 혐의와 무관한 파일을 제거하기 위해 사용된다. 이러한 과정을 De-NIST, De-NISTing이라고 부르고 이와는 달리 단순 중복파일을 제거하는 과정은 D-Dup, De-Duplication이라고 한다.

https://www.nist.gov/itl/ssd/software-quality-group/national-software-reference-library-nsrl