16일차 : 디지털 포렌식 및 ISMS-P 인증 제도

16일차 학습 범위인 **디지털 포렌식 및 ISMS-P 인증 제도(PART 05 SEC 18~19)**는 시험의 마지막을 장식하는 파트이자, 실무적 절차를 묻는 문제가 집중되는 구간입니다.

특히 포렌식의 5대 원칙과 ISMS-P의 인증 항목 수는 단답형으로 자주 출제되니 꼼꼼히 체크해야 합니다.

---

1. 디지털 포렌식 (Digital Forensics)

디지털 증거를 수집, 보존, 분석하여 법적 증거력을 갖게 하는 과정입니다.

• 디지털 포렌식 5대 원칙 (필수 암기!):
  1. 정당성의 원칙: 모든 증거는 적법한 절차를 거쳐 획득되어야 함.
  2. 재현의 원칙: 같은 조건에서 분석하면 같은 결과가 나와야 함.
  3. 신속성의 원칙: 휘발성 증거가 사라지기 전 신속하게 수집해야 함.
  4. 연계 보관성(Chain of Custody)의 원칙: 증거 수집부터 법정 제출까지 담당자 및 경로가 명확해야 함.
  5. 무결성의 원칙: 수집된 증거는 변조되지 않았음을 증명해야 함 (해시값 활용).
• 증거 수집 순서 (휘발성 기준): 데이터가 사라지기 쉬운 순서대로 수집합니다.
• 레지스터/캐시 → 라우팅 테이블/ARP 캐시 → 프로세스 테이블/메모리(RAM) → 임시 파일 시스템 → 디스크(HDD/SSD) → 원격 로그 → 아카이브 미디어(백업 테이프 등)

---

2. ISMS-P 인증 제도 (보안관리 체계)

우리나라의 대표적인 정보보호 및 개인정보보호 관리체계 인증입니다. 숫자를 정확히 외우는 것이 포인트입니다.

• 인증 범위: 정보보호(ISMS) + 개인정보보호(P)
• 인증 항목 구성 (총 102개):
  1. 관리체계 수립 및 운영 (16개): 정책 수립, 위험 관리 등.
  2. 보호대책 요구사항 (64개): 인증, 암호화, 물리 보안 등.
  3. 개인정보 처리 단계별 요구사항 (22개): 수집, 이용, 파기 등 (ISMS만 받을 경우 이 항목 제외).
• 인증 유효기간: 3년 (매년 사후 심사를 받아야 유지됨).

---

3. 개인정보보호법 핵심 개념

최근 개인정보보호법 개정안과 관련된 용어가 실기 단답형으로 자주 나옵니다.

• 가명정보: 추가 정보 없이는 특정 개인을 알아볼 수 없게 처리한 정보 (통계 작성, 과학적 연구 등에 동의 없이 사용 가능).
• 익명정보: 어떤 방법을 써도 더 이상 개인을 알아볼 수 없는 정보 (법적 적용 제외).
• 개인정보 영향평가: 시스템 구축 시 개인정보 침해 위험이 있는지 미리 평가하는 제도.

---

🔍 실기형 핵심 체크리스트

1. 연계 보관성(Chain of Custody): 증거물이 수사 기관에 전달되는 전 과정에서 담당자를 기록하여 '증거가 중간에 바뀌지 않았음'을 증명하는 원칙입니다.
2. ISMS-P 인증 의무 대상자: 매출액 1,500억 이상 상급종합병원, 정보통신서비스 매출액 100억 이상 기업 등 구체적인 기준을 눈여겨보세요.
3. 디스크 이미징(Imaging): 원본 데이터를 건드리지 않기 위해 똑같은 복사본을 만드는 작업을 말하며, 이때 반드시 **Write Blocker(쓰기 방지 장치)**를 사용해야 합니다.

---

✍️ 오늘의 1분 인출 연습:

1. 포렌식 원칙 중 "동일한 장비와 방법으로 분석했을 때 동일한 결과가 나와야 한다"는 원칙은?
2. ISMS-P 인증 항목 중 '관리체계 수립 및 운영'은 총 몇 개의 항목으로 구성되는가?
3. 증거 수집 시 가장 먼저 수집해야 하는 데이터는 메모리인가, 하드디스크인가?

오늘은 PART 05 SECTION 18~19를 정독하세요. 이제 이론 공부는 거의 끝이 보입니다!