디지털포렌식과 해시(hash)

디지털 포렌식에서 매우 중요한 역할을 하고 있는 해시(hash)는 무엇이고, 이에 따른 디지털 포렌식에서 하는 역할이 뭘까?

 

해시(hash)란?

 - 해시 함수에 데이터를 넣었을 때 나오는 결과 값을 해시값, 해시, 해시 코드 등으로 불리게 된다.

    해시 함수는 임의의 길이의 데이터를 고정된 길의 데이터로 매핑하는 함수이다.

    쉽게 말해서 어떤 데이터를 넣어도 해시 함수의 종류에 따라 정해진 길이의 결과 값으로 반환되는 함수이다.

해시(hash)의 종류

  - MD5, SHA1, SHA256, SHA512등 많은 종류가 있다.

   * MD5: MD5 해시는 항상 128bit의 결과 값을 반환한다. 하지만 실제 출력되는 값을 확인하면 32char으로 출력된다.

                128bit = 16byte인데 32char가 나오는 이유는 MD5의 결과 값이 16진수라서 4bit에 1char씩 표현하여 32자가 나오는 것

                 해시 함수는 어떤 입력 값이 들어와도 고정된 길이의 결과물을 반환하는 것이다.

 

디지털 포렌식과 해시

 - 디지털 포렌식에서 가장 중요하게 여기는 것 중 하나는 무결성이다. 무결성은 쉽게 이야기하면 데이터가 변조되지 않았음을 의미한다.

디지털 포렌식 과정에서 증거를 수집하는데 이 증거가 나중에 변조가 되었다면 증거로서 납득하기 어려운 것이 사실일 것이다.

 

아날로그 증거물은 사진을 찍어놓는 방식 등을 통해 변조된 사실을 손쉽게 파악이 가능하다. 하지만 저장매체 속의 데이터 즉, 디지털 증거는 는 눈에 보이지 않기 때문에 변조되었는지 알기가 어렵다. 그래서 이 증거 데이터가 증거 수집 단계에서 법정 제출까지의 과정 중 변조가 되지 않았음을 증명하기 위해 사용되는 것이 바로 해시 값이다.

 

증거 수집 단계에서 맨 처음 해시 값을 구하고, 추후 법정에서 증거의 해시 값과 수집 단계에서 기록한 해시 값이 일치하다는 것을 보일 수 있다면 그 증거의 무결성을 입증할 수 있는 방법이 되는 것이다.

 

위와 같은 이유 때문에 해시를 사용해서 증거의 무결성을 보장할 수 있다.