무결성과 메모리 덤프

Question

이전 질문에 대한 답변 감사합니다. 이전 질문과 비슷한 질문입니다. 조사 대상의 PC의 메모리 덤프를 하기 위해서는 조사 대상 PC에 메모리 덤프 툴 FTK Imager이나 dumplt등을 설치해야 가능할듯 싶습니다. 이때 무결성이 훼손되는데요. 이부분은 어쩔수 없나요? 리눅스 계 서버에서도 메모리 덤프는 외부툴을 다운받아 메모리 덤프를 떠야 하는경우 에 법정에서 증거 채택에 어려움이 발생하게 되는지 궁금합니다.

훈지손 · Answer

안녕하세요! 질문이 많은 것은 정말 좋은 일입니다 ㅎㅎ 능동적으로 생각하고 학습하고 있다는 증거이니까요. 분명히 실력이 2배로 빠르게 늘고 계실 거라고 생각합니다. 메모리 덤프를 하기 위해서는 조사 대상 PC에서 프로그램을 실행해야 합니다. 그 과정에서 무결성이 훼손되는데요. 말씀하신대로 어쩔 수 없는 부분입니다. 메모리 덤프를 하드웨어 방식으로 하는 기법도 있어 보이는데, 실제로 잘 사용되지는 않는 것으로 보입니다 ( 출처 ) 경찰에서는 CIP(현장용 증거분석 프로그램) 을 이용해서 휘발성 메모리에 대한 조사를 하는 것으로 알고 있습니다. 정확하게 메모리 덤프를 하는 것은 아니고, 메모리로부터 프로세스 정보, 네트워크 정보들을 검색하여 보여주는 프로그램입니다. 해당 사이트 내에 게시글을 참고하시면, 교육자료 등이 있으니 관심 있으시면 함께 보셔도 좋을 것 같습니다. 추가적으로 전반적인 증거 수집 및 분석 절차에 대해 관심이 있으시면 "디지털 증거 처리 가이드라인" 자료를 추천드립니다. 휘발성 정보, 비휘발성 정보에 대한 증거 수집 순서와 단계, 구체적인 절차 등을 명시하고 있는 좋은 자료입니다. 학습에 도움되셨기를 바랍니다. 감사합니다.