사이버 수사학 중간 대비

1. 해킹범죄 수사관련 배포물

​
   -  해킹범죄 종류

-> 단순 침입, 사용자 도용, 파일 등 삭제/변경, 자료 유출
   -  사이버범죄수사관의 입장에서 해킹범죄 종류별 핵심수사사항

단순 침입 :

본 사례는 권한 없이 정보통신망을 통해 침입한다는 의사를 가지고 침입을 함으로써 성립된다. 따라서 단순히 피의자가 권한없이 침입한다는 인식을 하고 있었다는 사실만 입증하면 되므로 수사는 관련계정에 대한 서비스 업체를 통해 범행추정 시간대의 로그기록을 협조 받은 후 각 IP에 대한 실제 사용자를 추적하여 범인을 특정하도록 한다.

사용자 도용 :

대부분 앞에서 다루었던 '단순침입'과 동일한 사안이므로 이와 유사하게 수사를 진행한다.

파일 등 삭제/변경 :

본 사례도 전반적으로는 단순 침입과 훼손 행위의 결합적인 형태인 만큼 단순 침입에 대한 수사사항을 염두하되 훼손 행위로 인한 피해내역을 추가로 수사하여야 한다. 특히 본 사례에 있어 검사는 공소유지를 위해 훼손된 정보를 정확히 명시해줄 것을 요구하는 경우가 많으므로 수사를 할 때 이를 가능한 자세히 특정하는 것이 중요하다.

자료 유출 :

본 사례도 앞에서 다루어진 범죄들과 대부분 동일하게 수사를 진행하되 유출된 자료의 범위와 그 유출 정도를 구체화하도록 하여야 할 것이다.
   -  해킹범죄 수사 단계

1. 기초 조사 : 최조 발견자 및 시스템 관리자 등을 상대로 피해 시스템의 장비/프로그램에 관한 기초 조사

2. 현장 조치 : 수사관이 현장에서 외/내부를 점검하여 수사 단서를 파악하는 과정. 전원 차단 여부에 따라 주 메모리 공간에 남은 정보를 수집하거나 하드 디스크를 복제한다.

3. 정밀 분석 : 분석용 시스템을 이용하여 복제한 하드디스크를 분석하여 증거를 찾아낸다.

4. 보고서 작성 : 분석 과정에서 얻은 정보와 증거를 토대로 보고서를 작성한다.

5. 용의자 추적 : 분석을 통해 얻은 IP주소 혹은 E-Mail 주소를 통해 용의자 신원 파악 및 추적
   -  해킹범죄와 관련된 처벌과 관련된 법

정보통신망이용촉진및정보보호등에관한법률 & 정보통신망법​
  
2. 사이버범죄수사관이 작성해야 할 수사결과보고서

   - 수사보고서 작성시 6하원칙, 8하원칙

-> 6하 원칙 : 누가/언제/어디서/왜/어떻게 해서/어떻게 되었나

     8하 원칙 : 누가/언제/어디서/누구와/왜/누구에게/어떻게 해서/어떻게 되었나
   - 수사의 사실적인 내용, 법률적내용

> 수사의 사실적 내용 :

법률적 평가 이전에 구체적인 행위를 명확하게 하는 활동이다.

1. 수사요소의 충족 (4하 원칙, 6하 원칙, 8하 원칙)

2. 행위의 필연성 : 범행이 일어나지 않으면 안 되었던 조건을 묘사해야 한다.

3. 사건의 형태성 : 수사 자료를 질서 있게 전체적으로 집약하여 사건의 전모를 나타내는 것을 의미한다.

> 수사의 법률적 내용 :

행위가 형벌법령에 규정된 범죄의 구성요건 등을 충족하는지 규명하는 것이다.

1. 구성요건 해당성 여부

2. 위법성 여부

3. 책임성 여부

4. 가벌성 여부
   - 수사결과보고서에 들어가는 항목들

피의자 인적 사항, 범죄 경력, 범죄 사실 (저지를 죄에 따라 나눠 쓰기), 범죄 적용 법조, 수사 결과 및 의견, 수사 지휘 및 결제 확인란
   - 우리나라 수사기관의 종류 2 가지(검사, 사법경찰관리), 영장발급

( 검사, 사법경찰관리 )​

구속영장 청구 - 검사가 피의자에 대하여 구속할 필요가 있다고 생각하여 법원에 발부 신청한 것

구속영장 발부 - 검사의 구속영장 청구를 받은 법원(법관)에서 심사후 피의자 구속을 허락한다.​
   - 우리나라 형법에서의 형의 종류 9가지와 각종 형의 기관과 해당 금액, 형의 적용을 받지 않는 자는?

사형/징역/금고/자격상실/자격정지/​벌금/구류/과료/몰수

 

자격 정지 > 1년 이상 15년 이하

과료 > 2천원 이상 5만원 미만

벌금 > 최저 5만원 이상 / 감경하는 경우 5만원 미만으로 가능

구류 > 1일 이상 30일 미만

만 14세 미만인 경우에는 형의 적용을 받지 않는다.

​
 
3. 이메일 또는 스팸메일 추적 수자 배포물 참고

​
   - 이메일의 주소를 변조하여 보낸 사람의 발송자 IP를 메일헤더에서 찾는 방법

메일 헤더 제일 밑에서 부터 위로 시작된 IP ~ 도착 IP 으로 읽으면 된다. 

   - 윈도우7 운영체제에서 telnet 서비스로 메일발송을 하려면 어떤 설정을 해 주어야
      하나? 

Windows방화벽 -> Windows 방화벽을 통해 앱 또는 기능 허용 -> Telnet 서비스

​
   - 메일서버(예를 들어 hMailServer) 설정한 후 서비스를 하려면 어떤 포트를 어디서
      열어주어야 하는가?

Windows방화벽 -> 고급설정 -> ​인바인드/아웃바인드 규칙에서 25, 110, 143번 허용​

   - IP주소를 찾아낸 후 사이버범죄 수사관이 IP추적을 어떻게 하는지?
     whois 서비스나 이메일 헤더를 이용해 IP주소 추적하는 방법

 

한국인터넷진흥원 Whois : http://whois.kisa.or.kr/kor

KISA - WHOIS Search -

whois.kisa.or.kr

 

아이피 위치 확인하기 : http://www.ipconfig.kr

IPCONFIG.CO.KR , IPCONFIG.KR

IPCONFIG.CO.KR , IPCONFIG.KR

www.ipconfig.kr  

IPCONFIG.CO.KR , IPCONFIG.KR

 

아이피 추적 & 도메인 검색 : http://www.iegate.net/whois/?mode=1

http://www.iegate.net/whois/?mode=1

Whois lookup and Domain name search : 국제도메인 아이피조회 61.247.210.242

www.iegate.net

Whois 스팸센터 : http://whois.co.kr

 

 

http://mylocation.co.kr

아이피 위치추적

mylocation.co.kr

​

이메일 추적 지원 사이트 :  http://www.ip-adress.com/trace_email

Trace Email & Tracking - Our Tool Will Trace To Locate A Email Owner

Trace Email & Tracking - Our Tool Will Trace To Locate A Email Owner

www.ip-adress.com  
4. 이메일에 첨부파일을 담아 보낸 경우, 첨부파일의 내용을 확인하기

What Is My IP Address? Find Your IP, Whois And More On IP-Adress.com

​
   - Puzzle로 수업시간에 했던 내용과 유사하게 공부할 것

 

구글 검색 : file Signiture

http://www.garykessler.net/library/file_sigs.html

File Signatures

File Signatures

www.garykessler.net

시작 위치 ~ 끝 위치 까지 긁어서 사진 추출 가능

ex ) ctrl + F : png

 

 

SMTP response code

 

250 : OK

334 : base64-encoded-NTLM-message

235 : AUthentication successful.

530 : Access denied

354 : Start mail input

 

Content-Transfer-Encoding : base64

Content-Disposition : attachment; == 첨부 파일

https://www.encryptomatic.com/viewer/

Free MSG EML Viewer | Free Online Email Viewer