As 팀용 하드디스크 공장초기화하는 라이브디스크를 제작했는데요
먼저 ccleaner 같은 프로그램으로 빈공간의 가비지를 0같은 값으로 덮어 쒸웁니다.
그 다음 cat /dev/sda (pipe 문자, 구글 한글입력기는 이게 입력이 안되네요) tar -cvfj img.tar.bz2해서 디스크 이미지를 생성했던 기악이 나는군요.
일전에 포렌직에 대해서 관심이 있어서 좀 봤는데, 하드디스크를 복사를 뜨거나 할 경우에 비싼 솔루션을 사용하는 이유는 그렇게 하지 않았을 경우에 상대편 변호사에게서 "당신이 사용한 복사방법이 원본을 회손하지 않았다는 근거가 무엇이냐?"라는 질문에 대해서 일일이 답을 해야하기 때문이라더군요.
dd나 하드디스크 복사인 cat이 현재의 하드디스크 내용을 freezing 한 후에 복사를 한다는 근거는 그 툴을 사용한 사용자가 검증을 해줘야할 것 같습니다. encase는 누가 검증하냐? 그건 통상 "검증된 툴"이라고 알려져 있고 법정에서도 pass하는 툴인거지요.
dd나 cat으로 복사를 뜬 다음에 증거능력을 인정받을려면 dd나 cat이 무결성을 입증한다는 것부터 확인하고 재판을 진행해야겠지요.
참고로 encase 대략 500~600 만원합니다. 변호사가 그 비용도 투자하지 않고서 디지털포렌직팀과 재판을 하겠다면, 정말로 무지한거죠. 검찰은 수십억원을 들여서 디지털포렌직용 장비를 구축해두고 있는데... 그리고 encase는 지금 당장 인터넷에서 카드만 긁어도 라이선스 발급가능한 소프트웨어입니다.
제가 검사라면, 그 디스크에서 유리한 증거가 나오면 그대로 쓸것이고, 불리한 증거가 나오면 "무결성이 검증되지 않은 도구"를 사용하여 증거능력이 훼손되었다고 주장하면서 증거에서 배제되도록 할 거 같습니다. 한마디로 "건수" 잡은거지요...
--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러
네, 맞습니다.
dd나 cat을 안쓰고 encase 같이 비싼 툴을 사용하는 이유는
그들이 세금쓰는 걸 우습게 보기 때문도 아니고,
dd나 cat 을 못쓰는 바보들이기 때문도 아닙니다.
국내의 경우는 모르겠는데 미국의 경우 법정에 제출 될 수 있는 디지털 증거자료는 디지털 포렌식에 대하여 인증 받은 제품을 통해 나온 결과물만 해당 되는 것으로 알고 있습니다.
디지털 포렌식 팀에서 편향된 결과를 만들었다고 말하기 전에 자료 제출전 원본 이미지를 보관하지 않은 변호인의 책임도 크다고 보여집니다.
그리고 디지털 포렌식 팀은 검찰 소속 팀으로 알고 있는데, 당연히 검찰에 유리한 결과를 보고 했겠지요.
국립과학수사연수소 처럼 독립된 기관도 아니고 일개 팀에게 객관성을 기대하는 것 자체가 무리 아닐까요?
윗글 과 오마이뉴스에 기고한 글 모두 보았는데, 사실 저는 잘 이해가 되지 않는군요.
검찰의 편향된 수사에 대해서는 공감 합니다만, 디지털 포렌식과 관련되서 하고자 하는 말이 무었인지 몇번을 읽어봐도 이해가 되지 않는군요.
디지털 포렌식 팀이 바보라는 건지, 아니면 검찰에게 놀아나는 기술 관료 들이라는 건지..
그 팀은 검찰 소속으로 검찰 측 증거의 근거를 마련하는 팀아닌가요?
그리고 그들이 증거 자료를 "조작" 한건 아니잖아요? 이런 저런 가능성 중에 검찰이 유리한 가능성을 강조해 보고서를 작성한 것으로 보이는군요.
솔직히 무용담 수준을 못벋어 나는 것 같네요.
디지털 증거에 대해 객관적으로 입증 해 줄 독립적 기관과 방법론이 필요하다는 결론이었다면 좋았겠습니다.
최열씨가 유죄인지 무죄인지는 저는 모릅니다.
하지만, 말씀하신대로
"리눅스에서 마운트 없이 하드디스크 이미지를 복사할 경우 어떤 경우에도 원본은 훼손되지 않는다."
를 증명하는 것이 바로 최열씨 측에서 해야 하는 일중의 하나입니다. "그건 당연한 거 아니냐" 라고 생각해서는 재판에서는 이기기 어렵습니다.
그런 것 때문에 저 비싼 프로그램들을 써서 복사를 하는 겁니다. 저런 건 '인정 받은', 그러니깐 '공인된' 툴이거든요. 하지만, 불행히도, 현 시점까지는 리눅스의 cat 이든 dd 든, 공식적으로 인정받은 적이 없습니다.
즉, 상대편 (이번 경우라면 검찰측이겠죠 ?)에서 이러한 점을 트집 잡아서 공격할 경우에 대해서 미리 대비를 해둬야 한다는 점을 얘기하고 있는 거죠.
컴퓨터를 잘 모르는, 아니 디지틀이라는 것을 잘 모르는 보통사람들을 상대로 설득을 해야 하는 게 최열씨 측에서 해야 할 일입니다.
증거는 제출한 측에서 입증해야 할 책임이 있는 것이고, 지금 이 쓰레드에서 언급되고 있는 것은 그런 내용입니다.
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
그렇게 민감한 사안을 인터넷 여기저기다가 올리신 분께서는 제발 생각 좀 하고 글 올리세요.
제가 구글에서 찾아낸 님이 올린 글만 3개가 넘는 군요.
주장들이 위험하게 진행 되고 있는건 님의 주장이 명확하지 않아서 입니다.
저 역시도 보안을 공부한 엔지니어 입장에서 이해가 되지 않는 부분을 이야기 했을 뿐입니다.
생각없이 쓴 댓글이 항소심에서 검찰의 입에서 나온다면 당연히 철저한 대응 논리가 있어야 하겠지요.
제가 봤을때는 디지털 포렌식 팀이 크게 욕먹을 만한 사항이 없어 보입니다.(저는 관계자 아닙니다.)
여기에 "테크노크라트"니 뭐니 나올일이 아니라는 겁니다.
개인적으로 저는 어렵고 복잡한 말들로 사람을 혼동하게 만들고 있는게 누구인지 햇갈립니다.
대부분 상용인데, Linux 기반으로 되어 있는 Free 툴들도 있고, 이 Free 툴들은 미국에서 CSI도 이용한다고 합니다. DD가 원본훼손이 안된다는 것을 입증하는 데 들이는 시간보다는 공인된 툴로 할일은 하고, 재판에 이기기 위해 다른데 힘을 더 들이는 것이 좋겠다는 것이 제 생각입니다. 이런거 쓰면, 검찰이 뭐라고 해도 "우리는 이러이러한 걸로 Forensic Tool로 썼고 얘들은 미국의 xxx도 쓰는거다"라면 별 시비 안거니까 편하겠지요...
그리고, 법정에서 문외한들한테는 컴퓨터 공학적으로 dd나 cat이 변조가 안된다고 설명하는 것 보다는... http://www.forensic-computing.ltd.uk/tools.htm
이런 사이트를 한번 띄워주시고 "선진 외국에서도 이러이러한 툴로 디지털 증거를 수집하고 있고, 여기에 dd도 있으니까 문제없다"라고 하면 별 무리가 없겠지요.
일단 검찰측의 디지털수사팀은 나름 포렌직의 절차대로 증거를 수집했을 것이고(디지털 증거 봉인, 원본 이미지 복사, 복사된 이미지 무결성 검증 및 이미지를 통한 증거추출 등...) 따라서 이 절차는 그냥 그랬을 것이다... 라고 인정하고, 마찬가지 절차로 동일한 방식으로 하드디스크를 복사하고(오픈 소스툴을 사용해서) 그에 따라 우리가 보는 증거는 여차여차하니 무죄다... 라고 주장하는 것이 좋지 않을까 싶군요.
하드디스크는 변조가능한 장치이기는 하지만 포렌식으로 조사하는 사람들을 옆에서 보니, 그 변조가능성이 없도록 하면서 증거를 추출했다는 것에 엄청난 정력을 쏟아붇고 있고, 그에 따라서 절차대로 증거를 뽑아낸것은 대체적으로 별의심없이 증거능력을 갖는 것으로 보는 듯 하더군요.
이름만 대면 아는 모 업체가 프로젝트 중에 고객사의 데이터를 왕창 퍼갔다는 혐의로 개발자들이 고소당하기 직전까지 갔는데, 고객사의 정보보호팀에서도 위의 절차대로 고객사에 가서 encase로 개발자의 하드를 복사하고 그 내용을 자기 회사로 가져와서 공인된 툴로 검색해서 증거를 추출해서 다시 그 개발사에 제시하니, 개발사에서 "니들이 변조하지 않았다는 증거가 있냐?"라고 우기더군요.
정보보호팀의 대답은 심플했습니다. "우리가 한 절차는 다 기록했고, 법정에서 조작했다고 니들이 아무리 주장해봐야, 우리는 절차대로 공인된 툴로 했으니 대응논리를 만들어보라"라는 것이었습니다.
어쨌던 저도 누구의 잘잘못에 대해서는 평가할 입장도 아닙니다만 소위말하는 돈많은 측에서 각종 절차와 돈으로 무장해서 논리를 만들때 약자들도 나름 그에 대해서 대응할 논리를 잘 만들어야 된다는 것입니다.
--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러
어렵다구요 ? 돈이 없다구요 ? 그럼 어쩔 수 없는 겁니다. 그게 현실이죠. 그렇다면 더 열심히 해야죠.
민감하다고, 위험하다고 얘기하면서 온갖 얘기를 다 꺼내는 건 누구일까요 ? 지금 하고 있는 행위가 내가 가진 패 모두 꺼내놓고 보여주면서 도박에서 이기기를 바라고 있다는 생각은 안해 보십니까 ?
최열씨의 유죄 여부와는 상관없이 지금처럼 대응하면 재판에서는 패소할 확률이 매우 높습니다. 제가 보기엔 매우 안이하게 생각들을 하고 있고(자신들로서는 매우 열심히 대처를 하고 있다고 생각할 수도 있겠지만, 이런 글이 올라온다는 것 자체가 매우 안이하게 대처하고 있다는 증거입니다.), 정작 재판에서 이기기 위해서 필요한 게 무엇인지를 제대로 알지 못하는 변호사에게 일을 맡겼다는 생각을 버릴 수가 없군요.
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
확실히 중립을 지킨다는 것은 어려운 일인 것 같습니다. 결과가 잘 나오기를 바랍니다.
법정까지 갔다는 것은 갈때까지 갔다는 것인데 순진하다는 것은 결코 좋은 것 같지는 않습니다.
진보 쪽에서 '증거있냐?!' 라고 하면 죄를 시인한다는 것과 같다라는 변호사 분의 말이 씁쓸하기까지 합니다.
그리고 덕분에 Linux 명령어도 재미있게 배웠습니다.
그런데 위의 cleansugar님이 제가 올렸던 글을 참고로 올리셔서 당황했네요.. ^_^
삭제
삭제
cat이
디스크 이미지를 덤프하는데 효과적이긴 해도
dd를 썼다면 같은 효과에 진행사항까지 볼 수 있었을텐데 아쉽네요. ㅎ
뭐 개인적으로는 cat을 선호합니다. ^^
There is no spoon. Neo from the Matrix 1999.
조아, 이런 분위기 조아...^^;;
역시 이런 곳에 오니까 이런 댓글부터 달리는군요.
원문 글을 보시면 아시겠지만 일반인 상대로 전문 용어 하나 없이 설명하느라고 고생했었습니다.
제 말을 알아듣지도 못하던 곳과는 달리 이런 분위기 좋습니다.
하지만 그렇다고 태클에 대해서 가만히 있을 수는 없지요? ^^;;
dd는 느립니다. 속도 때문에 100GB 넘는 하드디스크 이미지 덤프용으로는 사용할 수 없습니다.
dd 명령에 bs=1024k, 2048k 식으로 블럭
dd 명령에 bs=1024k, 2048k 식으로 블럭 크기를 높이면 기본값보다는 빨라집니다. 저는 4096k/8192k(4MB/8MB) 정도를 선호합니다. dd의 기본 블럭 크기는 512바이트인데, 이는 요즘 하드디스크에서는 느릴 수밖에 없습니다.
peremen님이 말씀하신것처럼, 버퍼 사이즈
peremen님이 말씀하신것처럼, 버퍼 사이즈 늘려주면 속도문제는 해결됩니다.
저의 경우 얼마전 450GB짜리 하드 디스크 전체를 dd로 복사했는데,
전송시간이 대략2시간 걸렸습니다.
삭제
삭제
한편 디지털 감식반이 cat을 모른다는 것은 충격적이네요.
그 이야기인 즉 범죄를 저지를려면 리눅스 데스크탑을 사용하면 된다는 이야기이군요. 헐
There is no spoon. Neo from the Matrix 1999.
삭제
삭제
전에 리눅스로
As 팀용 하드디스크 공장초기화하는 라이브디스크를 제작했는데요
먼저 ccleaner 같은 프로그램으로 빈공간의 가비지를 0같은 값으로 덮어 쒸웁니다.
그 다음 cat /dev/sda (pipe 문자, 구글 한글입력기는 이게 입력이 안되네요) tar -cvfj img.tar.bz2해서 디스크 이미지를 생성했던 기악이 나는군요.
There is no spoon. Neo from the Matrix 1999.
마운트해서 해도 됩니다.
mount /dev/sda /mount.point
cat /dev/zero >/mount.point/zero-fill.file
rm /mount.point/zero-fill.file
umount /dev/sda
cat /dev/sda | tar -cvfj img.tar.bz2
해당 하드에
윈도우가 설치되어 있거든요.
아무래도 리눅스용 ntfs 드라이버는 100% 신뢰하긴 어려우니까요.
리눅스라면 parted같은 훌륭한 유틸이 있으니
저런 삽질을 할 필요가 없지요.^^
There is no spoon. Neo from the Matrix 1999.
디지털 감식반이 cat 모를 정도면
LVM에 nilfs를 올리면 뭐가 뭔지 찾지도 못하겠군요.
삭제
삭제
전 리눅스 상에서 cd 이미지 하나 만들어 보고 충격
전 리눅스 상에서 cd 이미지 하나 만들어 보고 충격 먹었습니다.
저도 충격 먹었습니다.
무슨 말씀을 쓰신 것인지 이해가 안돼서......^^;;
씨디 이미지 뜨는 것도 쉽거든요. cat
씨디 이미지 뜨는 것도 쉽거든요.
cat /dev/cdrom > cdimage.iso
끝.
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
삭제
삭제
뭐 원리상 일부 락은 복사 못하지만 말이죠
뭐 원리상 일부 락은 복사 못하지만 말이죠 'ω')a;
공권력을 위해 일하거나, 정부 산하의 수사기관에
공권력을 위해 일하거나, 정부 산하의 수사기관에 일하는 기술팀들은
마치, 최첨단으로 무장된 비밀스럽지만 독보적인 기술자들이라는...생각을 가지고 있었는데
그냥 드라마, 영화에서 생겨난 환상이었을뿐이고, 4년제 졸업해서 공무원 시험 잘 붙은, 애기들이라는 생각이 드네요.
그 사람들이 무슨 제대로된 개발을 해봤으며, """현업에서 일하는 사람들에 비해""" 얼마나 고급기술을 경험했겠습니까.
군을 위해 일하는 과학자, 기술자들도 마찬가지 아닐까 싶은 느낌도 들고...( 가령 국방과학 연구소 같은.. )
차라리 대기업 연구소에서 일하면서 투자 팍팍 받고, 전세계 학회도 나가고 표준안에도 개입하는 그런 과학자,기술자들이
훨신 나은 지식/기술을 가지고 있을런지도..
CSI과학수사대 같은 드라마나 정부의 비밀연구소가 등장하는 영화들이 문제네요.ㅋ
공무원이 공무원이지..뭐, 기술자이겠습니까.
그들도 월급 받는 엔지니어일 뿐입니다.
법적인 부분이라 남들에게 시비 걸리지 않을 방법만을 선택해서 사용할 뿐입니다.
그래서 업무들이 복잡하고 규정에 따른 진부한 작업들이지요.
이런 분야를 노린 소프트웨어와 하드웨어는 또 엄청 비쌉니다.
일반 사타 케이블로 원본 하드를 연결하려고 했더니 포렌식팀이 자기들이 쓰는
정전기 방지 기능이 있는 고급 케이블을 쓰지 않으면 원본 하드디스크가 에러가
생길 수 있다고 걱정하더군요.
저는 코웃음쳤지만 그런 말들이 먹히는 곳이 이런 분야입니다.
아무 것도 아닌 encase만 해도 엄청, 졸라 비쌀 겁니다. 아마
저 전원 들어왔을 때 하드 케이블 툭 건드렸다가
저 전원 들어왔을 때 하드 케이블 툭 건드렸다가 정전기나서 하드 날린 적 있습니다.
그 점만은 정전기 방지를 쓰는게 더 낫습니다.
법적으로도 무결성에 신경썼다는 근거 중 하나가 될 수 있겠죠.
쓰기 방지 기능이 구현된 저장장치가 하루빨리 시판되어야 합니다.
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
삭제
삭제
생생한 글 잘 읽었습니다. 기술이 어려워져
생생한 글 잘 읽었습니다.
기술이 어려워져 미신화될수록 전문가 집단의 역할이 중요하다는 점은 맞지만,
디지털 감식반을 테크노크라트라고 하기에는 어렵다고 봅니다.
위 사건에서 디지털 감식의 결과에 판결이 크게 달라지는 것은 사실이고, 감식반이 "의도적으로" 편향된 보고를 했다는 의심이 드는 상황에서,
영향을 끼치려고 했다는 점에서 테크노크라트라고 명명하는 것이 일리는 있습니다.
하지만 엄밀히 말하면 디지털 감식반 자체의 이익이 아닌 것으로 보이는 등, 감식반 자체가 영향력을 끼치려고 했다기 보다는
본문에서 언급했듯이 검찰의 일원으로서 검찰의 의도에 부합한 것에 가깝기 때문에,
이는 테크노크라트의 본질적인 속성이라기보다는, 한국 사회에서의 전문가 집단이 공동으로 갖고 있는 문제인, 전문가 양심의 문제로 보는 것이 더 적절할 것 같습니다.
(연구 용역을 떠올려보면...)
삭제
삭제
음냐.. http://akpil.egloos.com
음냐..
http://akpil.egloos.com/2753735
여기에 썼던 거랑 유사한 내용이군요 ㅋㅋㅋㅋ
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
삭제
삭제
좋은 글 잘 봤습니다.항소가 잘 결론나면
좋은 글 잘 봤습니다.
항소가 잘 결론나면 좋겠네요.
포렌식이나 국립과학수사연구소 감식 등의 감식이 편파적인 경우가 많습니다.
의문사 사건같은 의혹이 끊이질 않는 것도 그런 이유입니다.
이를 해결하기 위해서는 민간업체가 복수 검증할 수 있는 제도가 마련되어야 한다고 합니다.
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
제가 알기로 외국에서는
외국에서는 복수 검증하는 형태로 재판이 진행되는 것으로 알고 있습니다.
툴도 2가지 이상을 사용하는 것을 검증하고 있구요.
저도 해당 분야 손 땐지 3년 정도 넘어가지만, 아직까지 국내는 전자 증거에 대해서
제대로 증거 가치를 많이 주지 않는 분야였습니다.(3년 전 기준입니다.)
cat 이나 dd 를 이용하는 것으로도 이미지를 많이 복사합니다만,
여러가지 이유로, Write Protector 를 따로 사용하거나, 디스크 이미지 복제 하드웨어를
많이 사용하는 편입니다. 가장 큰 이유는, 사람들의 인식 때문입니다. Disk Mount 등의 경우에
Linux 의 경우는 따로 Write 가 없지만, 경우에 따라 Disk Write 가 뭔가 생긴다면, 증거가 훼손되기 때문입니다.
=========================
CharSyam ^^ --- 고운 하루
=========================
삭제
삭제
역시 김인성님 답습니다.
블로그에서 잠수타시고 뭐 하고 계시나 했더니 이런 훌륭한 일을 하고 계셨군요.
일전에 포렌직에 대해서 관심이 있어서 좀 봤는데,
일전에 포렌직에 대해서 관심이 있어서 좀 봤는데, 하드디스크를 복사를 뜨거나 할 경우에 비싼 솔루션을 사용하는 이유는 그렇게 하지 않았을 경우에 상대편 변호사에게서 "당신이 사용한 복사방법이 원본을 회손하지 않았다는 근거가 무엇이냐?"라는 질문에 대해서 일일이 답을 해야하기 때문이라더군요.
dd나 하드디스크 복사인 cat이 현재의 하드디스크 내용을 freezing 한 후에 복사를 한다는 근거는 그 툴을 사용한 사용자가 검증을 해줘야할 것 같습니다. encase는 누가 검증하냐? 그건 통상 "검증된 툴"이라고 알려져 있고 법정에서도 pass하는 툴인거지요.
dd나 cat으로 복사를 뜬 다음에 증거능력을 인정받을려면 dd나 cat이 무결성을 입증한다는 것부터 확인하고 재판을 진행해야겠지요.
참고로 encase 대략 500~600 만원합니다. 변호사가 그 비용도 투자하지 않고서 디지털포렌직팀과 재판을 하겠다면, 정말로 무지한거죠. 검찰은 수십억원을 들여서 디지털포렌직용 장비를 구축해두고 있는데... 그리고 encase는 지금 당장 인터넷에서 카드만 긁어도 라이선스 발급가능한 소프트웨어입니다.
제가 검사라면, 그 디스크에서 유리한 증거가 나오면 그대로 쓸것이고, 불리한 증거가 나오면 "무결성이 검증되지 않은 도구"를 사용하여 증거능력이 훼손되었다고 주장하면서 증거에서 배제되도록 할 거 같습니다. 한마디로 "건수" 잡은거지요...
--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러
네, 맞습니다. dd나 cat을 안쓰고 encase
네, 맞습니다.
dd나 cat을 안쓰고 encase 같이 비싼 툴을 사용하는 이유는
그들이 세금쓰는 걸 우습게 보기 때문도 아니고,
dd나 cat 을 못쓰는 바보들이기 때문도 아닙니다.
국내의 경우는 모르겠는데 미국의 경우 법정에 제출 될 수 있는 디지털 증거자료는 디지털 포렌식에 대하여 인증 받은 제품을 통해 나온 결과물만 해당 되는 것으로 알고 있습니다.
디지털 포렌식 팀에서 편향된 결과를 만들었다고 말하기 전에 자료 제출전 원본 이미지를 보관하지 않은 변호인의 책임도 크다고 보여집니다.
그리고 디지털 포렌식 팀은 검찰 소속 팀으로 알고 있는데, 당연히 검찰에 유리한 결과를 보고 했겠지요.
국립과학수사연수소 처럼 독립된 기관도 아니고 일개 팀에게 객관성을 기대하는 것 자체가 무리 아닐까요?
윗글 과 오마이뉴스에 기고한 글 모두 보았는데, 사실 저는 잘 이해가 되지 않는군요.
검찰의 편향된 수사에 대해서는 공감 합니다만, 디지털 포렌식과 관련되서 하고자 하는 말이 무었인지 몇번을 읽어봐도 이해가 되지 않는군요.
디지털 포렌식 팀이 바보라는 건지, 아니면 검찰에게 놀아나는 기술 관료 들이라는 건지..
그 팀은 검찰 소속으로 검찰 측 증거의 근거를 마련하는 팀아닌가요?
그리고 그들이 증거 자료를 "조작" 한건 아니잖아요? 이런 저런 가능성 중에 검찰이 유리한 가능성을 강조해 보고서를 작성한 것으로 보이는군요.
솔직히 무용담 수준을 못벋어 나는 것 같네요.
디지털 증거에 대해 객관적으로 입증 해 줄 독립적 기관과 방법론이 필요하다는 결론이었다면 좋았겠습니다.
제발, 생각 좀 하고......
제발 반박을 위한 반박글을 달지 않기를 바랍니다.
IT에 대해서 모르는 일반인을 상대로 쓴 글을 이 사이트에서 이해가 되지 않는 글이라는 말을 들을 줄은 생각도 하지 못했습니다.
그 글은 디지털 수사팀이 한 행위에 대해서 정확히 서술하려고 노력한 글입니다.
조작했다 안했다란 발언은 위험합니다.
특히 댓글에서 저의 대답을 유도하시지 말기 바랍니다. 잘못하면 우리 모두 큰일 납니다.
지금 자꾸 주장들이 위험하게 진행되고 있습니다.
생각없이 쓴 댓글이 항소심에서 검찰의 입에서 나올 수 있습니다.
일일이 대응하지 않으려고 했는데 혹시라도 위험하게 악용될 수도 있을 것 같아서 답글을 답니다.
다시 한 번 명확히 밝힙니다.
리눅스에서 마운트 없이 하드디스크 이미지를 복사할 경우 어떤 경우에도 원본은 훼손되지 않습니다.
"무용담" 어쩌고 하면서 상대편을 쓸데없이 자극하는 글쓰기도 금지!
제발..... 여기서 스톱!
그게 걱정되는 겁니다.
최열씨가 유죄인지 무죄인지는 저는 모릅니다.
하지만, 말씀하신대로
"리눅스에서 마운트 없이 하드디스크 이미지를 복사할 경우 어떤 경우에도 원본은 훼손되지 않는다."
를 증명하는 것이 바로 최열씨 측에서 해야 하는 일중의 하나입니다. "그건 당연한 거 아니냐" 라고 생각해서는 재판에서는 이기기 어렵습니다.
그런 것 때문에 저 비싼 프로그램들을 써서 복사를 하는 겁니다. 저런 건 '인정 받은', 그러니깐 '공인된' 툴이거든요. 하지만, 불행히도, 현 시점까지는 리눅스의 cat 이든 dd 든, 공식적으로 인정받은 적이 없습니다.
즉, 상대편 (이번 경우라면 검찰측이겠죠 ?)에서 이러한 점을 트집 잡아서 공격할 경우에 대해서 미리 대비를 해둬야 한다는 점을 얘기하고 있는 거죠.
컴퓨터를 잘 모르는, 아니 디지틀이라는 것을 잘 모르는 보통사람들을 상대로 설득을 해야 하는 게 최열씨 측에서 해야 할 일입니다.
증거는 제출한 측에서 입증해야 할 책임이 있는 것이고, 지금 이 쓰레드에서 언급되고 있는 것은 그런 내용입니다.
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
그렇게 민감한 사안을 인터넷 여기저기다가 올리신
그렇게 민감한 사안을 인터넷 여기저기다가 올리신 분께서는 제발 생각 좀 하고 글 올리세요.
제가 구글에서 찾아낸 님이 올린 글만 3개가 넘는 군요.
주장들이 위험하게 진행 되고 있는건 님의 주장이 명확하지 않아서 입니다.
저 역시도 보안을 공부한 엔지니어 입장에서 이해가 되지 않는 부분을 이야기 했을 뿐입니다.
생각없이 쓴 댓글이 항소심에서 검찰의 입에서 나온다면 당연히 철저한 대응 논리가 있어야 하겠지요.
제가 봤을때는 디지털 포렌식 팀이 크게 욕먹을 만한 사항이 없어 보입니다.(저는 관계자 아닙니다.)
여기에 "테크노크라트"니 뭐니 나올일이 아니라는 겁니다.
개인적으로 저는 어렵고 복잡한 말들로 사람을 혼동하게 만들고 있는게 누구인지 햇갈립니다.
널리 사용된다고 알려진 "공인된" 포렌식툴은 다음과
널리 사용된다고 알려진 "공인된" 포렌식툴은 다음과 같은 것들이 있습니다.
대부분 상용인데, Linux 기반으로 되어 있는 Free 툴들도 있고, 이 Free 툴들은 미국에서 CSI도 이용한다고 합니다. DD가 원본훼손이 안된다는 것을 입증하는 데 들이는 시간보다는 공인된 툴로 할일은 하고, 재판에 이기기 위해 다른데 힘을 더 들이는 것이 좋겠다는 것이 제 생각입니다. 이런거 쓰면, 검찰이 뭐라고 해도 "우리는 이러이러한 걸로 Forensic Tool로 썼고 얘들은 미국의 xxx도 쓰는거다"라면 별 시비 안거니까 편하겠지요...
으... 왜 첨부가 안올라갈까요????
The Corner's Toolkit : http://www.porcupine.org/forensics/tct.html
Tom's RootBoot : http://www.toms.net/rb/
--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러
그리고, 법정에서 문외한들한테는 컴퓨터 공학적으로
그리고, 법정에서 문외한들한테는 컴퓨터 공학적으로 dd나 cat이 변조가 안된다고 설명하는 것 보다는...
http://www.forensic-computing.ltd.uk/tools.htm
이런 사이트를 한번 띄워주시고 "선진 외국에서도 이러이러한 툴로 디지털 증거를 수집하고 있고, 여기에 dd도 있으니까 문제없다"라고 하면 별 무리가 없겠지요.
일단 검찰측의 디지털수사팀은 나름 포렌직의 절차대로 증거를 수집했을 것이고(디지털 증거 봉인, 원본 이미지 복사, 복사된 이미지 무결성 검증 및 이미지를 통한 증거추출 등...) 따라서 이 절차는 그냥 그랬을 것이다... 라고 인정하고, 마찬가지 절차로 동일한 방식으로 하드디스크를 복사하고(오픈 소스툴을 사용해서) 그에 따라 우리가 보는 증거는 여차여차하니 무죄다... 라고 주장하는 것이 좋지 않을까 싶군요.
하드디스크는 변조가능한 장치이기는 하지만 포렌식으로 조사하는 사람들을 옆에서 보니, 그 변조가능성이 없도록 하면서 증거를 추출했다는 것에 엄청난 정력을 쏟아붇고 있고, 그에 따라서 절차대로 증거를 뽑아낸것은 대체적으로 별의심없이 증거능력을 갖는 것으로 보는 듯 하더군요.
이름만 대면 아는 모 업체가 프로젝트 중에 고객사의 데이터를 왕창 퍼갔다는 혐의로 개발자들이 고소당하기 직전까지 갔는데, 고객사의 정보보호팀에서도 위의 절차대로 고객사에 가서 encase로 개발자의 하드를 복사하고 그 내용을 자기 회사로 가져와서 공인된 툴로 검색해서 증거를 추출해서 다시 그 개발사에 제시하니, 개발사에서 "니들이 변조하지 않았다는 증거가 있냐?"라고 우기더군요.
정보보호팀의 대답은 심플했습니다. "우리가 한 절차는 다 기록했고, 법정에서 조작했다고 니들이 아무리 주장해봐야, 우리는 절차대로 공인된 툴로 했으니 대응논리를 만들어보라"라는 것이었습니다.
어쨌던 저도 누구의 잘잘못에 대해서는 평가할 입장도 아닙니다만 소위말하는 돈많은 측에서 각종 절차와 돈으로 무장해서 논리를 만들때 약자들도 나름 그에 대해서 대응할 논리를 잘 만들어야 된다는 것입니다.
--------------------------------
윈도위의 리눅스 윈도위의 윈도우 리눅스위의 익스플로러
예 이런 논의는 좋습니다.
그래도 이렇게 논의의 방향이 생산적으로 가는 것은 좋습니다.
포렌식팀이 검찰측에 유리하게 보고서를 제촐하는 것이 당연한 것이다.
포렌식팀에 대응 못한 것은 변호인 책임이다.
500만원 밖에 안하니 카드 긁어라.
이런 논의는 지양합시다.
참고로 검찰측이 아니라 재판부가 포렌식팀에 의뢰를 한 것이므로 공정하게 할 의무가 있었습니다.
하나하나가 억울한 변호인측은 하드디스크 원본을 법원에 제출하면 억울함을 벗겨 줄 것으로 믿을 정도로 순진했습니다.
때문에 포렌식팀은 더욱더 공정할 필요가 있었습니다.
일차 자료를 다루는 포렌식팀이 중립을 지키지 못한 것은 분명한 잘못입니다.
돈 없고 힘 없는 사회 단체가 포렌식팀에 제대로 대응하지 못했다고 탓하는 것은 가혹한 일입니다.
저도 포렌식에 대해서 알아가면서 대응했을 뿐입니다. 다만 최열측에 잘못이 없다면 모든 것은 설명될 수 있다는 생각으로
임했을 뿐입니다.
변호인측을 도와 주지도 않고 어려운 절차로 장벽만 쌓던 포렌식팀들은 결국 컴맹 수준인 변호인의 증인심문에서 아무 대응도 못하고 횡설수설만 했습니다.
증거를 다룸에 있어 조금의 하자도 없는 완벽한 절차보다는 스스로 죄가 없다는 확신이 오히려 더 큰 무기가 되었습니다.
cat 이야기는 일반인을 상대로 한 글에서는 쓸 수 없었던 내용이라 여기에 써 본 것입니다. 탄핵 증거를 찾기 위한 보조적인 도구였기 때문에 지금 논의처럼 엄밀한 절차가 필요한 것은 아니었습니다.
답답하군요.
말씀하신 것을 증명하는 게 바로 최열씨측에서 해야 하는 일입니다.
어렵다구요 ? 돈이 없다구요 ? 그럼 어쩔 수 없는 겁니다. 그게 현실이죠. 그렇다면 더 열심히 해야죠.
민감하다고, 위험하다고 얘기하면서 온갖 얘기를 다 꺼내는 건 누구일까요 ? 지금 하고 있는 행위가 내가 가진 패 모두 꺼내놓고 보여주면서 도박에서 이기기를 바라고 있다는 생각은 안해 보십니까 ?
최열씨의 유죄 여부와는 상관없이 지금처럼 대응하면 재판에서는 패소할 확률이 매우 높습니다. 제가 보기엔 매우 안이하게 생각들을 하고 있고(자신들로서는 매우 열심히 대처를 하고 있다고 생각할 수도 있겠지만, 이런 글이 올라온다는 것 자체가 매우 안이하게 대처하고 있다는 증거입니다.), 정작 재판에서 이기기 위해서 필요한 게 무엇인지를 제대로 알지 못하는 변호사에게 일을 맡겼다는 생각을 버릴 수가 없군요.
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
참고로, 하드웨어로 완벽을 기하는 방법도
참고로, 하드웨어로 완벽을 기하는 방법도 있습니다.
제가 알기로 예전에 IDE 하드의 경우에는 특수 제작된 인터페이스를 꽂으면 하드가 쓰기 방지 상태로 읽기만 되더라고요.
사타방식도 그런 제품이 포렌식용으로 있습니다.
Tableau 제품
http://www.digitalintelligence.com/products/ultrablock_esata_ide-sata_ro/
전문용이 아닌 하드디스크 인클로저 중에서도 읽기 전용 기능이 있는 것이 있습니다만 무결성이 어느정도 보장되는지는 모르겠습니다.
참고: root가 건드릴 수 없는 file을 만드는 것은 어떤 의미일까요?
http://oops.kldp.org/node/86708
그리고 검찰 관계자가 누군지 모르지만 dd를 모른다는 건 전문성이 부족한 것입니다.
검찰에서도 리눅스 포렌식용으로 당연히 씁니다.
리눅스용 포렌식 툴도 종류가 무척 많습니다.
http://www.forensicswiki.org/wiki/Dd
http://www.crazytrain.com/dd.html
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
재미있게 잘 봤습니다.
확실히 중립을 지킨다는 것은 어려운 일인 것 같습니다. 결과가 잘 나오기를 바랍니다.
법정까지 갔다는 것은 갈때까지 갔다는 것인데 순진하다는 것은 결코 좋은 것 같지는 않습니다.
진보 쪽에서 '증거있냐?!' 라고 하면 죄를 시인한다는 것과 같다라는 변호사 분의 말이 씁쓸하기까지 합니다.
그리고 덕분에 Linux 명령어도 재미있게 배웠습니다.
그런데 위의 cleansugar님이 제가 올렸던 글을 참고로 올리셔서 당황했네요.. ^_^
삭제
삭제
혹시 제 글에 기분나빴다면 죄송합니다.
씁쓸하다고 쓴 것은 어디까지나 그렇게 인식되는 것이 안타깝다는 것입니다.
그리고 순진한 것이 좋지 않다고 한 것은 법정까지 갔을 때 현실적으로 결과가 좋게 나오기 어렵기 때문입니다. 결코 사람의 진심을 제 마음대로 판단하자고 한 것은 아닙니다.
다시 말씀드리지만 열심히 노력하신만큼 마지막 결과도 좋길 바랍니다.
최근.
이렇게 원문이 훼손되는게 안타깝군요.
이 글은 법정 이슈라고 끝날때까지 노출시키지 않아야하는건 이해는 갑니다.
허나 일언 반구없이 이렇게 마구 지워버리는게 좀 어이 없네요.
재판이 아직 끝나지 않아서, 앗차 싶어서 하신건 이해가 갑니다. 하지만, 사후 양해 형태의 글은 있었으면 합니다.
참나...
환경운동연합의 수준을 알만하군요. 앞으로 anti 환경운동연합이 되도록 하겠습니다.
가장 기본적인 예의부터 배워오시길 바랍니다.
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.