| 분야 | 목적 | 접근 방법 | 절차 및 기준 | 중요성 |
|---|---|---|---|---|
| DFIR | 범죄 수사와 관련된 디지털 데이터를 수집하고 분석하는 것 | 법적 권한과 검증 가능한 절차를 따름 | 수사기관에서 정한 절차와 기준 | 디지털 데이터가 법적 증거로 사용될 수 있음 |
| 법적 디지털 포렌식 | 법정에서 사용될 증거로 사용될 수 있는 디지털 데이터를 수집하고 분석하는 것 | 법정에서 요구되는 절차와 기준을 따름 | 법정에서 정한 절차와 기준 | 데이터의 무결성과 검증 가능성이 매우 중요함 |
DFIR과 법적 디지털 포렌식은 목적과 접근 방법에서 차이가 있습니다. 하지만 이 둘 모두 디지털 데이터를 수집하고 분석하는 과정에서 중요한 역할을 합니다.
DFIR은 디지털 포렌식과 관련하여 사건을 조사하며, 그 결과로 발생한 데이터를 분석합니다. 이러한 분석은 범죄 수사와 관련된 디지털 데이터를 수집하고 분석하는 것을 목적으로 합니다.
반면 법적 디지털 포렌식은 법정에서 사용될 증거로 사용될 수 있는 데이터를 수집하고 분석하는 것이 목적입니다. 이를 위해서는 법정에서 요구되는 절차와 기준을 따르며, 데이터의 무결성과 검증 가능성이 매우 중요합니다. 이를 위해서는 철저한 기록과 검증 과정이 필요합니다.
따라서, DFIR에서는 법적 권한과 검증 가능한 절차를 따르며, 법적 디지털 포렌식에서는 법정에서 요구되는 절차와 기준을 따릅니다. 또한, 두 분야 모두 검증 가능한 절차와 기준을 준수해야 합니다.
이러한 디지털 포렌식 분야에서는 데이터의 무결성과 검증 가능성이 매우 중요합니다. 이를 위해서는 철저한 기록과 검증 과정이 필요합니다. 이러한 과정에서 범죄 수사나 법정에서 사용될 증거로 사용될 수 있는 데이터를 수집하여 분석하는 것은 매우 중요합니다.
아래는 DFIR과 수사기관의 포렌식에서의 차이점을 요약한 표입니다.
| 분석 대상 | PC, 서버, 네트워크 |
|---|---|
| 목적 | 침해 차단 |
| 분석시점 | 침해 인지 시 (실시간 대응) |
| 목표 | 실시간 대응, 공격자 악성 행위 차단, 정상상태 복구 |
| 필요기술 | 보안 장비 운용, 네트워크 패킷 모니터링, 악성코드 분석 및 대응, 고객과의 협조 |
| 주요 어려움 | 고객사의 시스템과 네트워크 파악, 실시간 대응(빠른 분석 요구), 공격자가 새로운 악성코드를 계속 대응, Anti-Forensic 기술 적용 |
| 고객 | 대응 능력이 부족한 기업 |
| 분석 대상 | PC, 서버 |
|---|---|
| 목적 | 피해규모 파악 및 재발 방지 |
| 분석시점 | 침해 사고 발생 후 |
| 목표 | 침해 사건의 재구성 |
| 필요기술 | - 라이브 데이터 분석 |
| 분석 대상 | 모든 디지털 기기 |
|---|---|
| 목적 | 사용자 행위 증명 |
| 분석시점 | 사건 발생 후 |
| 목표 | 증거와 행위의 인과관계 증명 |
| 행위 발생 시각 | |
| 반대 의견 대응 | |
| 필요기술 | - 디스크 분석 |