디지털 포렌식 분야는 상대적으로 새롭기 때문에 최근 이 주제를 다룬 많은 책들이 출판되고 있다. 문제는 대부분의 책들이 굉장히 기술적이지만, 수사 기법에 측면에서는 부족하다는 것이다. 전형적인 컴퓨터 포렌식 수사관이 되기 위해서는, 기술과 조사 기법을 모두 갖춰야 한다. 이 책은 저자가 수행한 광범위한 실전 활동뿐만 아니라 방대한 사례 연구 및 컴퓨터 포렌식 기술의 실질적인 적용이 담긴 실전 가이드다. 특히, 사례 연구는 특정한 디지털 증거가 다양한 수사에 어떻게 사용되었는지 보여주기에 굉장히 효과적인 방법이다.

[목 차]

1장. 컴퓨터 포렌식의 범위
__개요
____컴퓨터 포렌식과 관련한 근거 없는 통념(또는 이와 관련해 널리 알려진 오해)
__복구된 컴퓨터 포렌식 증거의 유형
____이메일
____이미지
____영상
____방문한 웹사이트와 인터넷 검색 기록
____휴대폰 포렌식
__컴퓨터 포렌식 수사관이 갖춰야 할 능력
____컴퓨터 과학 지식
____법적 전문 지식
____의사소통 기술
____언어 능력
____지속적인 학습
____기밀성에 대한 존중
__컴퓨터 포렌식의 중요성
____직업 기회
__컴퓨터 포렌식의 역사
____1980년대: PC의 출현
____1990년대: 인터넷의 영향
__훈련과 교육
____사법 요원 훈련
__요약
__주요 용어
__강의 토론
__객관식 문제
__빈칸 채우기
__프로젝트
____범죄 조사
____컴퓨터 포렌식 수사관에 대한 고용 예측 연구
____연방 기관 조사

2장. 윈도우 운영체제와 파일시스템
__개요
__물리적 그리고 논리적 저장
____파일 저장
__파일 변환과 진수
____2진수의 10진수 변환
____16진수
____16진수의 10진수 변환
____16진수의 아스키 변환
____유니코드
__운영체제
____부팅 절차
____윈도우 파일시스템
__윈도우 레지스트리
____레지스트리 데이터 형태
____FTK 레지스트리 뷰어
__마이크로소프트 윈도우의 특징
____윈도우 비스타
____윈도우7
____윈도우 8.1
__요약
__주요 용어
__강의 토론
__객관식 문제
__빈칸 채우기
__프로젝트
____부팅 프로세스 설명하기
__이벤트 뷰어 사용하기
____파일 저장 설명하기
____USB 증거 제출하기

3장. 컴퓨터 하드웨어 처리
__개요
__하드디스크 드라이브
____SCSI
____통합 드라이브 전자
____SATA
__PATA 및 SATA 하드디스크의 복제
____장치 클론(복제)
__탈착 가능한 휴대용 메모리
____파이어와이어
____USB 플래시 드라이브
____외장 하드디스크 드라이브
____멀티미디어 카드
__요약
__주요 용어
__강의 토론
__객관식 문제
__빈칸 채우기
__프로젝트
____듀얼 부팅 시스템 구동하기
____컴퓨터 하드웨어의 변화를 식별하기
____RAID 사용 여부 식별하기
____휘발성 메모리 조사하기
____USB 플래시 메모리에 대해 설명하라
__참고 문헌

4장. 컴퓨터 포렌식 연구소에서의 증거 획득
__개요
__연구소 필요 요소
____미국 범죄 연구소 소장 연합회(ASCLD)
____미국 범죄 연구소 소장 연합회/연구소 인증협회(ASCLD/LAB)
____포렌식 연구소 관리 실행을 위한 ASCLD/LAB 안내서
____디지털 증거에 대한 과학적 연구 그룹
__사립 컴퓨터 포렌식 연구소
____증거 획득 연구소
____이메일 준비 연구소
____재고 관리
____웹 호스팅
__컴퓨터 포렌식 연구소 요구 사항
____연구소 레이아웃
____연구소 관리
____연구소 접근
__기기에서 증거의 추출
____dd 유틸리티의 사용
____전역 정규표현 출력의 사용
__스키머
__요약
__주요 용어
__강의 토론
__객관식 문제
__빈칸 채우기
__프로젝트
____궁극적인 연구소 설계
____포렌식 연구소를 위한 계획 수립

5장. 온라인 조사
__개요
__첩보 활동
____신분증 발급
____이메일 계정 생성
____신분 숨기기
__웹사이트 증거
____웹사이트 아카이브(보관소)
____웹사이트 통계
__혐의자에 대한 배경 정보 검색
____개인정보: 우편물 수신 주소, 이메일 주소, 전화번호, 자산
____개인의 관심사나 사용자 그룹(동호회) 회원 정보
____읽어버린 자산 검색
__온라인 범죄
____신원 도용
____신용카드 판매
____전자 의무 기록
____사이버 폭력
____소셜 네트워킹
__온라인 대화 내용 수집
____스크린 캡처 활용
____영상 활용
____쿠키 데이터 보기
____윈도우 레지스트리 이용하기
__요약
__주요 용어
__강의 토론
__객관식 문제
__빈칸 채우기
__프로젝트
____범죄 조사 활동 수행
____온라인 정찰 수행
____온라인 고객 프라이버시 정보 관련 에세이 작성

6장. 수사의 문서화
__개요
__서비스 제공자로부터의 증거 획득
__범죄 현장의 문서화
__증거 획득
____범죄 현장 검증
__증거의 문서화
____관리 연속성 양식의 작성
____컴퓨터 작업 시트의 작성
____하드디스크 드라이브 작업 시트의 작성
____서버 작업 시트의 작성
__수사 문서화 도구의 사용
____케이스노트
____프래그뷰
____유용한 모바일 응용프로그램
____네트워크 애널라이저(Network Analyzer)
____시스템 스태이터스(System Status)
____더콥앱(The Cop App)
____락앤코드(Lock and Code)
____디지털 포렌식 레퍼런스(Digital Forensics Reference)
____연방민사소송규칙(FRCP)
____연방증거규칙(FREvidence)
__보고서 작성
____표준시간대 및 일광절약시간(DST)
____종합적인 보고서의 작성
__법정에서의 전문가 증인 활용
____전문가 증인
____전문가 증인의 목표
____재판을 위한 전문가 증인의 준비
__요약
__주요 용어
__강의 토론
__객관식 문제
__빈칸 채우기
__프로젝트
____현장 수사의 수행
____보고서의 작성
____시간 동기화

7장. 디지털 증거의 허용성
__개요
__미국 법 체계의 역사와 구조
____미국 법 체계 기원
____미국 법정 체계 개요
____법정 내 증명력
__헌법
____수정 헌법 제 1조
____수정 헌법 제 1조와 인터넷
____수정 헌법 제4조
____수정 헌법 제5조
____수정 헌법 제6조
____의회 법안
____증거 능력의 규칙
____형사 변호인
__컴퓨터 포렌식이 잘못 사용될 때
____교실 내에서 포르노물
__유럽 연합 사법 체계 구조
____유럽 법의 기원
____유럽 연합 법 구조
__아시아 사법 체계 구조
____중국
____인도
__요약
__주요 용어
__강의 토론
__객관식 문제
__빈칸 채우기
__프로젝트
____이메일 증거에 대한 소송 사건 검토
____디지털 증거 사용에 대한 보고서 작성
____제정법 변화의 영향에 대한 세부 사항 보고서 작성
____미국 수사와 유럽 연합 수사의 비교 차트 생성

8장. 네트워크 포렌식
__개요
__작업 도구
__네트워킹 장치
____프락시 서버
____웹 서버
____DHCP 서버
____SMTP 서버
____DNS 서버
____라우터
____IDS
____방화벽
____포트
__OSI 모델 이해
____물리 계층
____데이터 링크 계층
____네트워크 계층
____전송 계층
____세션 계층
____표현 계층
____응용 계층
__지능형 지속 위협
____사이버 킬 체인
____침해 지표
__네트워크 공격 수사
__요약
__주요 용어
__강의 토론
__객관식 문제
__빈칸 채우기
__프로젝트
____인터넷 범죄 연구
____컴퓨터에서 발견되는 증거 유형에 대한 보고서 작성
____장치 유형에 대한 수사 가이드를 작성하라.

9장. 모바일 포렌식
__개요
__무선통신망
____기지국
____모바일 단말
____무선통신망의 종류
____SIM 카드 포렌식
____증거의 종류
__단말기의 사양
____메모리와 프로세싱
____배터리
____기타 하드웨어
__모바일 운영체제
____안드로이드 운영체제
____윈도우 폰
__단말기 증거 처리 표준 운영 절차
____국립 표준 기술원
____사전 준비와 봉쇄
____무선 기능
____조사 기록 작성
__단말기 포렌식
____휴대폰 포렌식 소프트웨어
____휴대폰 포렌식 하드웨어
____논리적 조사 vs. 물리적 조사
__수작업을 통한 휴대폰 조사
____플래셔 박스
__글로벌 위성 서비스 공급자
____위성 통신 서비스
__법적 고려 사항
____통신사 기록
__기타 모바일 기기
____태블릿
____GPS 장치
__요약
__주요 용어
__강의 토론
__객관식 문제
__빈칸 채우기
__프로젝트
____휴대폰 포렌식 관련 에세이 작성
____휴대폰 조사를 위한 표준 운영 절차 작성
____모바일 운영체제 조작을 위한 포렌식 조사관 가이드를 기술

10장. 사진 포렌식
__개요
__디지털 사진에 대한 이해
____파일시스템
____디지털 사진 응용프로그램 및 서비스
__사진 파일의 검증
____교환 이미지 파일 형식
__증거 인정
____증거에 대한 연방 법률
____아날로그 vs. 디지털 사진
__사례 연구
____국제 범인 수색
____NYPD 안면 인식 부서
__요약
__주요 용어
__강의 토론
__객관식 문제
__빈칸 채우기
__프로젝트
____포렌식 분야에서의 디지털 사진 활용 연구
____EXIFextractor를 통한 EXIF 데이터 추출
____Adroit Photo 포렌식 도구 사용

11장. 맥 포렌식
__개요
__짧은 역사
____매킨토시
____OS X 서버가 설치된 맥 미니
____아이팟
____아이폰
____아이패드
____애플 와이파이 기기
__매킨토시 파일시스템
__맥 포렌식 수사
____IOReg Info
____PMAP Info
____에포크 시간
____삭제된 파일 복구
____저널링
____DMG 파일시스템
____PList 파일
____SQLite 데이터베이스
__매킨토시 운영체제
____맥 OS X
____타깃 디스크 모드
__애플 모바일 기기
____iOS
____iOS 7
____iOS 8
____보안과 암호화
____아이팟
____아이폰
____기업에서의 아이폰 및 iOS 기기 관리
__사례 연구
____내 아이폰 찾기
____현상 수배 핵티비스트
____마이클 잭슨
____도난당한 아이폰
____마약 소탕
__요약
__주요 용어
__강의 토론
__다중선택 질문
__빈칸 채우기
__프로젝트
____아이폰 앱 튜토리얼 작성
____iOS 포렌식 도구의 사용
____블랙라이트 포렌식 소프트웨어의 사용

12장. 사례 연구
__개요
__자카리아스 무사위
____배경
____디지털 증거
____예비 변호인 이의
____검찰 진술서
____증거
____이메일 증거
__BTK 킬러
____킬러 프로필
____증거
__사이버 왕따
____연방 왕따 방지 제정법
____주 왕따 방지 제정법
____사이버 왕따의 위험 신호
____사이버 왕따는 무엇인가
____피비 프린스
____리안 홀리건
____메건 마이어
____타일러 클레멘티
__스포츠
__요약
__주요 용어
__강의 토론
__객관식 문제
__빈칸 채우기
__프로젝트
____사이버 폭력 사건 분석
____시나리오
____시나리오 고려 사항 및 논의
____검찰의 법적 조치
__매체에서 피고인 진술
____학교 대변인 진술
____피고 측 변호사(브레드 스몰스)
____사건과 증거 고려 사항
____평가

디지털 포렌식 분야는 상대적으로 새롭기 때문에 최근 이 주제를 다룬 많은 책들이 출판되고 있다. 문제는 대부분의 책들이 굉장히 기술적이지만, 수사 기법에 측면에서는 부족하다는 것이다. 전형적인 컴퓨터 포렌식 수사관이 되기 위해서는, 기술과 조사 기법을 모두 갖춰야 한다. 이 책은 저자가 수행한 광범위한 실전 활동뿐만 아니라 방대한 사례 연구 및 컴퓨터 포렌식 기술의 실질적인 적용이 담긴 실전 가이드다. 특히, 사례 연구는 특정한 디지털 증거가 다양한 수사에 어떻게 사용되었는지 보여주기에 굉장히 효과적인 방법이다.

★ 이 책에서 다루는 내용 ★

■ 컴퓨터 포렌식 수사관의 역할과 디지털 증거의 종류 이해
■ 윈도우 및 맥 컴퓨터의 각 기능이 증거 수집에 미치는 영향 이해, 내용물 수사를 위한 무료 도구 사용
■ 다양한 저장 기기로부터 자료 추출
■ 인증받은 포렌식 연구소 설립, 증거의 관리와 처리에 관한 좋은 실천 사례 구현
■ 온라인을 통한 자료 수집 및 수사 진행
■ 인터넷 통신, 영상, 이미지 그리고 다른 컨텐츠 획득
■ 피고 측의 이의 제기를 넘어서 기소를 성공시킬 수 있는 종합 보고서 작성
■ 증거가 유효하도록 만드는 엄격한 수색 및 감독 규정
■ 위험한 지능형 지속 위협(APT)을 포함한 네트워크 침입 수사
■ 스마트폰을 취득하지 않은 상태에서 방대한 양의 증거 검색
■ 디지털 기기를 통해 수행된 금융 사기 수사
■ 메타데이터 및 소셜 미디어 사진을 포함한 디지털 사진 증거 사용

★ 이 책의 대상 독자 ★

포렌식 분야에 대한 선수 지식을 갖췄다고 가정하고 있으며, 고등학교 및 대학생들과 전문 포렌식 수사관을 위해 작성됐다. 또한 변호사, 포렌식 회계사, 보안 전문가 등 디지털 증거를 취합하여 처리하고 법원에 제출하는 과정을 이해해야 하는 전문가들에게 있어서도 이 책을 읽는 것이 도움이 될 수 있다. 이 책은 절차와 법적으로 받아들여지는 것의 중요성에 대해 특히 강조하는데, 이는 궁극적으로 찾아야 할 증거에 대해서도 마찬가지다.

★ 지은이의 말 ★

디지털 포렌식 분야는 상대적으로 새롭고, 최근 이 주제를 다룬 더 많은 책들이 출판되고 있다. 문제는 대부분의 책들이 굉장히 기술적이지만, 수사 기법에 측면에서는 부족하다는 것이다. 전형적인 컴퓨터 포렌식 수사관이 되기 위해서는 기술과 조사 기법을 모두 갖춰야 한다. 예를 들면, 컴퓨터에서 단순히 증거를 찾는 것은 충분치 못하며, 키보드 뒤의 용의자를 지목할 수 있어야 한다. 더 나아가, 좋은 수사관은 컴퓨터라는 범위를 넘어서까지 생각할 수 있어야 한다. 9장, *모바일 포렌식*이 좋은 사례인데, 수사관은 실제 기기를 획득하지 않고도 스마트폰 사용자의 활동과 관련된 엄청난 증거를 검색할 수 있다. 이 책에서는 컴퓨터 포렌식 분야에서 도움이 되는 다양한 기법에 대해 다루며, 여기에는 하드웨어, 프로그래밍, 법률에 대한 이해뿐만 아니라 제2외국어 능력과 수려한 글쓰기 기술의 보유도 포함된다.
이 책의 독자는 컴퓨터 포렌식에 대한 복합적인 이해가 다양한 업무 이력으로 이어질 수 있다는 것을 깨달아야 한다. 디지털 포렌식 수사관과 전문가는 회계 법인, 소프트웨어 회사, 은행, 법 집행 기관, 정보 기관, 컨설팅 회사에서 근무한다. 일부는 모바일 포렌식에, 몇몇은 네트워크 포렌식에, 그리고 나머지는 PC에 대해 전문가다. 맥 포렌식이나 악성코드 역공학에 특화된 다른 전문가들도 있다. 컴퓨터 포렌식 경험을 가진 졸업생에게 좋은 소식은, 다양한 선택의 폭이 있다는 것이다. 예측 가능한 미래에, 더 다양한 위치의 직업 시장이 펼쳐질 것이다.
이 책은 실전 활동뿐만 아니라 방대한 사례 연구 및 컴퓨터 포렌식 기술의 실질적인 적용을 담은 실전 가이드다. 사례 연구는 특정한 디지털 증거가 다양한 수사에 어떻게 성공적으로 사용됐는지 보여주는 매우 효과적인 방법이다.

★ 옮긴이의 말 ★

*포렌식*이란 다소 생소한 외래어에 대해 세상을 떠들썩하게 만든 이번 *비선 실세의 태블릿 PC* 사건만큼이나 그 의미를 단번에 이해시킬 수 있는 방법이 또 있을까? 한 중년 여성이 쓰다가 버린 것으로 추정되는 태블릿 PC 안의 파일들과 그 파일들에 기록돼 있는 온갖 흔적들로 인해 나라가 발칵 뒤집혔다. 그 결과로, 이 글을 쓰고 있는 바로 이 순간에도 광화문에는 수많은 사람들이 촛불을 들고 모일 것으로 예상된다.
이 책을 번역하며 지켜봤던, 입에 담기조차 낯뜨거운 각종 범죄 사건들과 그 증거를 찾기 위한 수사 기법 사례들이, 머나먼 이국 땅만이 아닌 바로 이곳 대한민국에서도 일어나고 있다는 사실이 이제 갓 200일을 넘긴 사랑하는 딸을 키우는 아빠의 입장에서 개탄스럽고 걱정된다.
한편으로는 가슴 떨리는 부분도 있다. 예전에는 증거가 아예 없거나, 혹은 찾아낼 수 없어서 미궁에 빠지고 말았던 사건들이 조만간 어둠에서 나오는 세상이 될 것이며, 그런 사건들은 곧 역사책과 이런 포렌식 전문 서적들에 소상히 기록될 것이다. 분명 디지털 포렌식 전문가들은 새로운 세상의 혁명가들로서 활약하게 되리라 믿는다.
나는 컴퓨터공학도로서 대기업에 입사한 이후 기업 보안 업무를 수행하며 포렌식에 흥미를 갖고 깊이 빠져들게 됐다. 하지만 샐러던트를 표방하던 내게 항상 큰 장벽은 포렌식을 경험해볼 수 있는 환경 자체가 극히 제한적이며, 관련된 문서/사고 이미지 또한 수배가 어렵다는 것이었다. 이러한 어려움은 이 책을 구입하는 수많은 독자들에게도 마찬가지로 닥친 상황일 것이라 감히 짐작해본다.
물론 최근 *포렌식*이 각광을 받으며 여러 전문 서적들과 관련 블로그들이 쏟아지고 있지만, 이 책에서 소개하는 만큼의 풍부한 사례와 무료 도구를 제공하는 곳은 많지 않다. 이 책은 기술에서부터 관리, 그리고 법률에 이르기까지 모든 영역을 *MECE하게* 다룬다. 이론과 실습을 오가며 책을 읽는 사이, 독자들은 분명 포렌식에 대한 본인의 시야와 이해도가 급속히 증가하는 것을 느낄 수 있으리라 믿는다.
- 2016년 12월 대표 역자 한현희