복사와 복제에 대해서 질문이 있습니다.

아닙니다. 처음에는 강의를 들어도 충분히 헷갈릴수 있기 때문에 너무 신경안쓰셔도 됩니다.

이런 걸 확실히 해드리기 위해서 이런 공간이 있는 것이니 언제든지 조금이라도 궁금하신 점이 있다면 부담없이 질문주세요~

그리고 복사와 복제에 대해서 답변 드리려고 했던 내용을 말씀드리자면,

우선 복사와 복제의 차이에 대해서 기본적으로 이해를 잘 하고 계신 것 같아요.

어떠한 프로그램이 있고 이 프로그램에는 프로그램 구동을 위한 .dll파일들이 있는 경우로 예시를 들어주셨는데

뭐랄까요, 맞긴한데 약간은 방향이 다른 느낌이라고 설명을 드려야할까요 ?

복사와 복제를 구분하는 것은 예를 들어주신 것처럼 한 프로그램에 묶여있는(같은 폴더에 있는) 파일들이 한번에 그대로 옮겨진다는 의미보다는 파일단위로 생각하시는게 조금 더 편하실것 같습니다.

(프로그램이 설치된 폴더를 그대로 복사하면 동일하게 한번에 옮겨지니 복사와 복제의 차이로 설명하긴 어렵거든요)

복사와 복제 모두 파일의 사본이 만들어지는건 동일하지만,

• 복사

-단순히 파일의 내용과 기본정보만을 옮기는 것(파일명, 내용, 용량 등의 기본적인것들)

• 복제

- 파일의 내용과 기본정보 + 추가적인 정보(파일이 저장된 섹터의 번호 등)

이렇게 생각을 해주셔야할것 같아요.

복사는 단순히 그 파일의 사본을 만드는것이고, 복제는 그 파일이 담겨져있는 모든 환경을 그대로 가져와서 사본을 만드는것으로 원본과 완전히 동일한 사본을 만들기 위해서는 복제를 해야한다는 점!

물론 복제라고 해서 위에 말씀드린 파일이 저장된 섹터번호 등의 모든 정보를 항상 담는 것은 아닙니다.

특히 복제를 파일 형태로 만드는 이미징의 경우,

물리이미징, 논리이미징 형태로 크게 나눠볼수가 있습니다.

물리이미징은 해당 기기(hdd, usb등)에 담겨져 있는 데이터의 전체를 그대로 복제하는 경우이고

논리이미징은 선택한 특정 파일만을 복제하는 방법인데

실무에서,

과거에는 특정 사건과 관련된 저장장치를 그대로 복제한 후 다 가져와서 분석을 하는 물리이미징을 많이 했었지만, 수집한 전체 데이터에 사건과는 관련없는 내용들까지 모두 담겨져있는 상태로 복제를 하기때문에 필요이상의 개인정보를 수집하게되는 문제가 있습니다.

그래서 최근에는 불가피한 경우를 제외하고 사건과 관련있는 내용만을 수집하는 선별수집 형태로 수집을 하기때문에 논리적 이미징 형태로 수집을 많이 하는 편입니다.

예를 들어서

용의자의 데스크탑이 있고, 윈도우 11이 설치되어있었으며, HDD 1TB 1개가 연결되어있고, 파티션도 하나만 있다고 가정을 해볼게요.

이 컴퓨터의 하드 디스크가 증거수집 대상이라고 한다면, 그 HDD에는 윈도우즈와 관련된 파일들, 다운로드 받은 파일들, 설치된 프로그램 폴더 등등 매우 많은 파일들이 있겠죠?

그 중에서 C:\Program files\ABCD\ 라는 프로그램이 설치된 폴더가 있고, 그 안에 저장되어 있는 파일들이 아래와 같이 4개가 있다고 가정하겠습니다.

-C:\Program files\ABCD\ABCD.exe

-C:\Program files\ABCD\DATA\dat1.dat

-C:\Program files\ABCD\DATA\dat2.dat

-C:\Program files\ABCD\Log\log.log

그리고 위 파일중 C:\Program files\ABCD\DATA\dat1.dat, dat2.dat 라는 파일만이 사건과 관련된 증거라고 한다면,

1) 물리이미징

원본 1TB HDD 를 증거수집용 새 1TB HDD와 연결해서 그대로 복제하는 방법

원본 1TB HDD 를 이미징하여 파일로(dd,e01 등) 복제하는 방법

이렇게 복제한 HDD나 이미징 파일은 원본과 동일한 완전한 사본이 됩니다.

그러므로 위의 C:\Program files\ABCD\DATA\dat1.dat 파일을 포함한 모든 파일의 저장위치가 원본 HDD와 동일하며,(여기까지는 복사를 했을때와 동일하죠?) 각 파일이 저장되어있던 섹터번호도 동일하게 됩니다(이건 복제일경우게만 가능하겠죠)

2) 논리이미징

원본 1TB HDD를 탐색하면서 사건과 관련된 파일인 C:\Program files\ABCD\DATA\dat1.dat과 dat2.dat 만을 수집하려는 경우

위의 2개 파일을 하나의 이미징 파일로 수집하는 방법이 있고, 또는 디지털 포렌식 프로그램을 이용하여 추출하는 방법도 있습니다.

이 경우 물리이미징처럼 각 파일의 저장되어있던 폴더 위치나 저장되어있던 섹터의 정보 등은 포함이 안됩니다.

다만 복사와는 다르게 완전한 원본의 사본을 만드는 거라고 생각을 해주세요.

물론 위의 파일들을 그냥 복사 한다고 해서 해시값이 틀어지는 등 변조될 가능성은 낮긴 합니다만, 그렇다고 해서 단순히 복사를 해서 수집을 한다면 복사중에 변조될 위험성 때문에 증거력을 인정받을 수 없는 상황을 애초에 방지 하기 위해서 복사를 하지 않는다라고 생각을 해주시면 될것 같습니다.

(물론 단순 복사 파일은 증거력이 없다라는 얘기는 아닙니다!)

설명이 조금 어려우셨을거라 생각되는데, 논리 이미징의 경우 지금은 설명 안 드릴까하다가 그래도 한번 전체적으로 설명을 드리는게 나을것 같아서 말씀드렸습니다.

복사와 복제의 차이를 공부하는 파트에서는 우선은 물리적 이미징만 생각을 해주세요.

그래야 처음에 헷갈리지 않습니다.

중요한점을 정리하면,

* 복사는 단순히 파일만 가져오는것 / 복제는 파일과 파일이 저장되어있던 모든 환경의 정보를 그대로 가져오는것

* 복제를 해야 완전한 사본을 만들수 있다!

지금은 이렇게만 기억을 해주세요!

시험과 관련해서는 위 내용을 정확히 구분하고 설명할수 있는 능력이 필요하진 않습니다. 지금은 복사와 복제는 다르다는 기본 개념만 이해하시면 될 것 같아요 !

안녕하세요 jeb the sheep님!

답변드리기에 앞서서, 질문주신 내용 중 '복사는 위치와 크기가 상관 없다' 라는 내용을 아마 강의에서 보시고

그 부분 때문에 헷갈려서 질문주신게 아닐까 싶습니다.

혹시 이 내용이 어떤 강의의 어떤 부분에서 보셨는지 말씀 한 번 부탁드려도 될까요?

저 내용만 봤을때 '크기=용량'처럼 이해가 되는데 제가 정확히 어떤 내용을 설명드리면서 저런 표현을 썼는지

맥락을 확인해봐야 정확한 답변을 드릴수 있을것 같습니다.

(용어 설명 1편의 '이미징' 파트인거 같아서 확인해봤는데 그런 내용이 없어서 다른곳이었는지 싶어서요)

번거로우시겠지만 답변 한 번 부탁드리겠습니다 !