Introduction toIntroduction toDigital ForensicsDigital Forensics

2008. 6. 25.

은성경 (skun@etri.re.kr)

한국전자통신연구원

2 KRnet2008

목차

디지털 포렌식 기술디지털 포렌식 기술

디지털 포렌식 개요디지털 포렌식 개요

기술 동향기술 동향

3 KRnet2008

디지털 포렌식 개요

디지털 포렌식 정의디지털 포렌식 정의

디지털 포렌식 분야디지털 포렌식 분야

디지털 포렌식 절차디지털 포렌식 절차

포렌식?포렌식?

4 KRnet2008

포렌식?

5 KRnet2008

포렌식?

Forensic science(often shortened to forensics) is the application of a broad spectrum of sciences to answer questions of interest to the legal system. (wikipedia)

AreaForensic PathologyForensic DentistryForensic PsychologyFingerprint AnalysisDNA AnalysisBallisticsForensic Toxicology, ...

6 KRnet2008

디지털 포렌식 정의

The use of scientifically derived and proven methods toward the preservation, collection, validation, identification, analysis, interpretation, documentation and presentation of digital evidencederived from digital sources for the purpose of facilitating or furthering the reconstruction of events found to be criminal, or helping to anticipate unauthorized actions shown to be disruptive to planned operations. (2001 DFRWS)

컴퓨터와 같은 정보기기 장치에 내장된 디지털자료를 근거로 삼아 그 장치를 매개체로 발생한 어떤 행위의 사실 관계를 규명하고 증명하는 기술

7 KRnet2008

디지털 포렌식 분야

컴퓨터 포렌식

컴퓨터를 매체로 한 증거 수집 및 분석을 위한 포렌식

컴퓨터 포렌식

컴퓨터를 매체로 한 증거 수집 및 분석을 위한 포렌식

모바일 포렌식

핸드폰핸드폰, PDA, PMP , PDA, PMP 등의등의 이동형이동형 정보기기에정보기기에 대한대한 포렌식포렌식

네트워크 포렌식

네트워크의 사용자 추적 및 로그 분석을 위한 포렌식

네트워크네트워크 포렌식포렌식

네트워크의 사용자 추적 및 로그 분석을 위한 포렌식

소프트웨어 포렌식

컴퓨터를 매체로 한 증거 수집 및 분석을 위한 포렌식

소프트웨어 포렌식

컴퓨터를 매체로 한 증거 수집 및 분석을 위한 포렌식

항포렌식 대응

디지털디지털 포렌식을포렌식을 어렵게어렵게 하는하는 기술에기술에 대한대한 대응대응

8 KRnet2008

디지털 포렌식 분야

활성데이터 포렌식

휘발성 데이터에 대한 증거 수집 및 분석을 위한 포렌식

활성데이터 포렌식

휘발성 데이터에 대한 증거 수집 및 분석을 위한 포렌식

e-Discovery

미국미국 민사소송법상의민사소송법상의 기업내부기업내부 전자증거전자증거 확보확보 및및 제출제출

9 KRnet2008

디지털 포렌식 절차

시작

저장매체확인

복제?

복제

이미징?

이미징

분석

보고서작성

끝

아니오

아니오

예

예

쓰기금지장치 연결

쓰기금지장치 연결

출처 : TTAS.KO-12.0058

“컴퓨터 포렌식 가이드라인”

10 KRnet2008

디지털 포렌식 기술

저장매체 증거 수집저장매체 증거 수집

디지털 증거 분석디지털 증거 분석

디지털 증거 검색디지털 증거 검색

활성데이터 증거 수집활성데이터 증거 수집

항포렌식 대응항포렌식 대응

모바일 포렌식모바일 포렌식

11 KRnet2008

저장매체 증거 수집

수사를 위해 범죄 용의자의 저장 매체에 대한 일종의 복사본을 작성

조사과정에서의 변질을 방지하고 이를 확인할 수 있는 방안(무결성)이 반드시 제공되어야 함

대표적인 증거 수집 방식

Disk-to-Disk- 디스크를 다른 디스크에 그대로 복사하는 방식

- 전용 장비를 사용할 경우, 매우 간단하게 복사가 이루어질 수 있음

- 원본 디스크와 사본 디스크의 사이즈가 다를 경우 각각의 해쉬값이 달라

지므로 무결성을 증거하기가 어려움

Disk-to-File- 디스크에 대한 이미지파일을 작성하는 방식

- 이미징을 지원하는 다양한 상용/공개 프로그램들이 존재함

- 무결성을 쉽게 확인할 수 있으며 하나의 디스크를 멀티 파일로 분할하는

것도 가능함

12 KRnet2008

대표적 이미지 작성 도구

EnCase - Guidance Software- 컴퓨터 포렌식 분야에 있어 De Factor로 간주되고 있는 통합 도구

- 전체 디스크의 이미지를 여러 개의 파일로 분할 할 수 있으며, 각각의 파

일은 복수의 블록으로 이루어짐

Case Info

CRC Block = 64 Sectors of Data =32KB

Hash

Case InfoCase Info : the date and time of acquisition + examiner’s name + note on acquisition + an optional password.CRCCRC : for each block of 64 sectors.HashHash : MD5 for the entire bit-stream.

DD - Unix/Linux/Window 용 공개 S/W- 단순한 Raw 이미지 파일을 생성하는 가장 기본적인 도구로 거의 모든 포

렌식 S/W에서 이를 지원하고 있음

13 KRnet2008

활성데이터 증거 수집

휘발성 정보

시스템 시간 정보 (System Date, Time)현재 네트워크 연결정보, 열려 있는 포트 및 이를 통해 실행 중인 프로그램

현재 로그온 되어 있는 사용자

인터넷 라우팅 테이블

수행 중인 프로세스 및 서비스, 열려 있거나 작업 중인 파일 리스트

메모리 덤프 : 각 프로세스 별 메모리 또는 전체 시스템 메모리

비 휘발성 정보

시스템 설치 환경

파일 시스템 타임 스템프

레지스트리 정보

시스템 이벤트 로그

과거 로그인한 사용자들의 정보

시스템에 등록되어 있는 모든 사용자들의 계정과 권한

14 KRnet2008

디스크 브라우징

데이터 보기

파일 복구

웹 브라우징 히스토리 분석

이메일 분석

레지스트리 분석

로그 분석

디지털 증거 분석

15 KRnet2008

디스크 브라우징 및 데이터 보기

디스크 브라우징

획득된 저장 매체 및 디스크 이미지 내부 정보를 가독성 있는 형태로 출력

포렌식에 필요한 디스크 브라우징 기능

이진 데이터에 대한 폴더 및 파일 단위 출력

다양한 메타 데이터 출력 및 항목별 정렬

파일의 이름, 크기, 속성, MAC Time, 해쉬값, 파일 시그니쳐 등

각 파일에 대하여 하드디스크 상의 논리적/물리적 위치 파악

쉽고 편리하게 다룰 수 있도록 GUI 환경 구성

최근 하드디스크 용량 증가로 조사 시 모든 파일을 열어서 확인 불가능

데이터 자동 보기 기능 필요

브라우징 과정에서 파일을 인식

Text, Hexa, Picture 등 다양한 형식으로 자동 보기 기능 제공

16 KRnet2008

파일 복구

원리

파일이 삭제 되더라도 디스크에는 많은 정보가 보존된 상태로 남아 있음

데이터 삭제 (예. FAT)데이터가 삭제되면, FAT 영역은 해당 클러스터가 “00”값으로 바뀜

Directory Entry 영역

다른 정보는 그대로 있고, 이름의 첫 글자가 “E5h”로 바뀌게 됨

윈도우에서는 해당 파일은 삭제된 것으로 간주

Data Sector 영역

실제 데이터가 그대로 남아 있으므로 데이터 복구가 가능함

드라이브 포맷 FAT영역과Root Directory Entry 재설정

정보 영역 데이터 영역

MBR Boot Sector FAT1 FAT2 Directory Entry Data Sector

Data Sector 영역은 그대로 있음

17 KRnet2008

웹 브라우징 히스토리 분석

인터넷 익스플로러에서의 중요한 3가지 포렌식 항목

웹 브라우징 히스토리 - 용의자가 방문했던 웹 사이트들의 URL

쿠키 - 웹 브라우징 시에 저장된 정보

임시 인터넷 파일(Temporary Internet Files)

index.dat

위의 3가지 디렉토리는 index.dat 파일을 포함

URL과 쿠키 파일들, 그리고 로컬하게 저장된 캐쉬 파일들을 대한 카

탈로그

웹 브라우징 히스토리 분석을 위한 주된 파일임

웹 브라우징 히스토리 분석 도구

Encase, FTK, IE History, Galleta, Pasco

18 KRnet2008

이메일 분석

이메일 저장소(repository)사용자가 주고 받은 e-메일들을 저장하는 공간

Outlook Express (DBX) 이메일

자체 2진 이메일 포맷 사용

Folders DBX file

특정 사용자의 다른 DBX 파일들에 대한 catalog 파일

파일 헤더, 폴더 노드, 인덱스 엔트리, 데이터 블록, 데이터 엔트리로 구성

E-mail DBX file

실제 이메일 메시지와 첨부 파일이 저장됨

각 파일은 Outlook Express 보기 창에서 각각의 폴더가 됨

Inbox, Sent items, Drafts, Deleted Items, etc

이메일 분석 도구

FTK, Paraban’s Network E-mail Examiner, Eindeutig, munpack

Folders DBX

File

Inbox

E-Mail DBX

Sent Items

E-Mail DBX

Drafts

E-Mail DBX

Deleted Items

E-Mail DBX

19 KRnet2008

레지스트리 분석

MS 윈도우 레지스트리

포함 정보

인스톨된 프로그램

가장 최근에 사용된 문서

가장 최근에 방문한 웹 사이트

MS 윈도우 레지스트리 파일들

default, software, system위치는 C:\windows\system32\configMS 고유 2진 포맷으로 된 레지스트리 정보를 담고 있음

사용자 레지스트리 파일들

위치는 C:\Documents and Settings\<<userprofile>>\ntuser.dat최근열람 문서 등과 같은 사용자 관련 정보를 담고 있음

레지스트리 분석 도구

FTK, Encase, Windows Registry Editor (regedit), regmon

20 KRnet2008

로그 분석

이벤트 로그

표준 로그 저장소(repository)

사용자가 컴퓨터 상에서 무엇을 작업했고

또한 컴퓨터가 자체적으로 무엇을 했었는지에 대한 정보 제공

애플리케이션 로그, 시스템 로그, 보안 로그

이벤트 로그 보기를 위한 표준 메커니즘

Microsoft Event Viewer

커맨드 프롬프트에 “eventvwr” 입력

디폴트로 로컬 이벤트 로그들을 볼 수 있음

조사자에게 유용한 필터링과 익스포팅 기능 제공

21 KRnet2008

디지털 증거 검색 - 1

디지털 증거 검색

컴퓨터 포렌식은 원하는 데이터를 찾기 위한 검색의 반복

최근 개인용 컴퓨터의 하드 디스크는 500GByte대가 넘어가고 있

으므로, 디지털 범죄 증가로 각종 전자매체 내에 보관된 디지털 증

거도 급속도로 증가하고 있음

60,068

68,445

77,099

88,731

20022002년년 20032003년년 20042004년년 20052005년년

출처 : 경찰청 사이버테러 대응센터, 2006

디지털 증거 수집 용량

디지털 증거 수집 사건

‘03 ‘04 ‘05‘02‘01

90000

70000

50000

30000

10000

0

출처 : FBI CART Team, 2006

컴퓨터, 인터넷 관련 범죄뿐만 아니라모바일 기기 관련 범죄 또한 급속히 증가

20022002 20052005

60,06860,068 88,73188,731

년도년도

발생건수발생건수

22 KRnet2008

디지털 증거 검색 - 2

Hash 검색

방대한 양의 디지털 정보 중 원하는 정보를 빠른 시간 내에 검색하

기 위해서는 잘 알려진 파일은 검색 대상에서 제외하고, 주목해서

검색할 대상을 선정하여, 검색 범위를 축소하는 것이 중요함

조사자는 Hash 검색을 통해 검색 범위를 축소를 축소하거나 검색

대상의 우선 순위를 부여할 수 있음

파일의 Hash 값은 파일의 내용에 의해 결정되므로 파일

metadata(파일명 등)이 변경되더라도 검색 가능

Positive Hash 검색 Negative Hash 검색

- 조사자가 찾고자 하는 파일들의

Hash Set (주요 검색 대상)

- Image, movies, cracking tools 같은

Binary Content

- 검색 대상에서 제외하고자 하는 잘 알

려진 파일들의 Hash Set

- 운영 체제와 프로그램 파일 등

- NSRL, HashKeeper

23 KRnet2008

디지털 증거 검색 - 3

Index-based 검색모든 파일에 대하여 사전에 인덱스를 생성

새로운 단어를 이용하여 반복해서 검색할 때 유용

인덱스 생성 방법

디스크 상의 모든 파일 오픈 --> 파일 상의 모든 단어 검색 --> 인덱스

생성

장점파일 기반이므로 검색이므로 MS-Office, PDF 등의 다양한 파일 포맷

에 대해서 검색이 가능

인덱싱 후에는 실시간 검색이 가능

단점초기 인덱싱에 시간이 상당히 많이 걸림 (hours or days)

24 KRnet2008

디지털 증거 검색 - 4

Bitwise 검색

디스크의 처음부터 끝까지 Raw Data에 대해서 검색

지워진 파일이나 남겨진 조각 파일들도 검색

장점

Unallocated Space나 Slack Space 검색 가능

파일 헤더(Signature 등)와 같이 텍스트가 아닌 binary value도 검색

가능

키워드 뿐만 아니라 복잡한 정규표현식(Regular Expression)을 이용

한 검색 가능

단점

검색 시간이 오래 걸림

유사/유의어의 검색이 안됨

25 KRnet2008

디지털 증거 검색 - 5

Slack Space 검색

파일에 할당된 섹터의 마지막에서 파일 내용의 끝 부분까지의 영

역

Slack Space는 File Table에서 인식을 못하므로 삭제된 데이터의

일부 또는 공격자가 의도적으로 감춘 데이터가 존재할 수 있음

디스크에서 Slack Space 크기와 위치를 검사하고 디스크의 물리

적 주소를 파악하여 해당 섹터의 정보를 검색

Sector Sector Sector Sector

AFile

Slack

512 Bytes

A 파일의 크기 –1.2 MB

26 KRnet2008

디지털 증거 검색 - 6

Signature 검색

파일의 내용을 숨기는 방법 중 하나가 파일의 확장자를 변경하는

것임

Ex) 확장자가 “dll” 이지만 실제로는 JPEG 파일인 경우 사진파일로

인식되지 않음

하지만 확장자가 변경되었더라도 파일 헤더에 있는 Signature는

변하지 않음

확장자가 고의로 변경된 파일을 식별하기 위해서는 각 파일의

Signature와 확장자를 비교 검색하여야 함

27 KRnet2008

항포렌식(Anti-Forensic) 이란?

항포렌식 기법

항포렌식 대응 방안

항 포렌식 대응

28 KRnet2008

항포렌식 이란?

항포렌식자신에게 불리한 증거자료를 사전에 차단하려는 활동이나 기술

개인이나 단체의 기밀자료 보호

추적 및 증거물 획득을 원천적으로 자동화된 방법으로 막아주는

전문제품 등장

데이터 복구 회피 기법

증거물 생성의 사전 봉쇄(증거 자동 삭제)데이터 은닉(Steganography)

29 KRnet2008

항포렌식 기법 - 1

데이터 복구 회피

삭제된 파일의 데이터 중 물리적으로 디스크에 남아있는 부분을

덮어쓰고 삭제하는 과정을 반복

미국방성 DoD의 기밀자료 삭제를 위한 표준(DoD5220, 22-M): 하드디스크 완전 삭제

임의의 문자로 데이터를 덮어쓴다.

첫번째 문자의 보수로 덮어쓴다.

다시 임의의 문자로 데이터를 덮어쓴다.

이 과정을 7번 반복한다.

디가우저(Degausser): 전자기소자를 이용해서

데이터를 파괴시키는 장비

30 KRnet2008

항포렌식 기법 - 2

증거물 생성의 사전 봉쇄OS에서 자동으로 생성되는 정보 중 증거가 될 만한 모든 정보들

을 생성 즉시 자동으로 삭제

Web 페이지, 그림, 동영상, 음성파일, 이메일, 레지스터리, 쿠키, 히스토리

데이터 암호화디스크에 기록할 때 데이터를 암호화, 읽을 때 복호화

31 KRnet2008

항포렌식 기법 - 3

데이터 은닉 (Steganography)디지털 매체(이미지파일, MP3)에 정보를 암호화하여 숨기는 기술

데이터가 중복되는 곳에 데이터를 숨길 수 있음. 텍스트 파일은 데

이터가 중복되는 곳이 많지 않아 어려움

암호화 소프트웨어로 암호화한 후 데이터를 숨김

숨기고자 하는 정보의 비율이 15%가 넘으면 조작된 이미지 파일

은 육안으로 확인 가능

Tool: Cloak v7.0, iNViSiBLEsecrets 4단점

원본의 5~10%내에서 최대한의 정보 은닉이 가능

해결방법디지털 매체의 통계적 분석 방법으로 은닉된 정보를 탐지

패스워드 무차별 대입 방법으로 정보 확인

32 KRnet2008

항포렌식 대응 방안 - 1

패스워드 해독Dictionary Based AttackRainbow TableBrutal Force Search

패스워드 해독 제품AccessData PRTK(Password Recovery Toolkit), DNA(Distributed Network Attack)

Tableau TACC FPGA H/W 사용 가능

Elcomsoft Distributed Password RecoveryNVIDIA GPU 사용 가능

33 KRnet2008

항포렌식 대응 방안 - 2

Steganography 대응 기술

알려진 steganography 프로그램(알고리즘)에 대하여 사용 해당

이미지(혹은 오디오) 파일에 숨겨진 정보가 있는지 확인하는 수준

내용을 알지는 못함

Steganography 대응 제품

WetStoneStego Analyst

Backbone SecurityStegAlyzerSS – Signature Scanner

34 KRnet2008

모바일 포렌식 기술 분류

소프트웨어 접근 방법

JTAG 접근 방법

칩 분리에 의한 물리적 접근 방법

모바일 포렌식

35 KRnet2008

모바일 포렌식 기술 분류

Memory forensicsCDMA/GSM/WCDMA플래쉬 메모리 내의 데이터 획득, 유효데이터 분석

연락처, 통화목록, 통화시간, 착발신 메시지, 사진, 동영상, 음성녹음, 일정, 메모, 인터넷 브라우저 정보, 다운로드 파일, 위치정보

소프트웨어 접근방법

Jtag을 이용한 접근방법

칩 분리에 의한 물리적 접근방법

USIM forensicsGSM/WCDMAPhone book, SMS, IMSI

한국에서는 선택사항 (사용자 데이터는 메모리에 보관될 수도 있음)

구성

USIM 카드 + 카드리더 + USIM 포렌식 프로그램

36 KRnet2008

소프트웨어 접근방법의 포렌식

상용 소프트웨어 포렌식 툴킷 사용

장점폰과 툴킷 연결후 파일시스템 데이터 추출

단점폰에 특화된 데이터 케이블과 전용 디바이스

드라이버 필요

메모리 내의 모든 데이터 획득 불가능

제품Device Seizure, MobilEdit, Oxygen PM, BitPim(free) 등

Flashing 툴폰 debugging, diagnose, testing forensicsUniversal Box, UFS3, Twister, Tornado

37 KRnet2008

JTAG 접근방법의 포렌식

JTAG 인터페이스 이용하여 CPU 칩을 제어하여 휴대폰 메모리 획득

분석Bin data EFS 복구

Bin data 유효 데이터 추출

EFS 유효 데이터 추출

장점full image 획득

단점기종별 jtag 신호 찾기, jtag 케이블 제

작

Forensics S/W JTAG Debugger

Cellular Phone

38 KRnet2008

칩 분리에 의한 물리적 접근방법

PCB로부터 메모리 칩을 분리해서 메모리의 full image 추출

메모리의 빈 데이터 영역, 삭제 데이터, live 데이터

모든 이용 가능한 데이터의 물리적인 획득

장점Complete full image 획득

Forensically sound

단점de-soldering

적용JTAG 이나 소프트웨어적인 접근 방법을 이용할 수 없을 때 적용

39 KRnet2008

기술 동향

관련 기관관련 기관

최신 기술 동향최신 기술 동향

표준화 현황표준화 현황

학회학회

40 KRnet2008

미국: FBI RCFL 및 DoD Cyber Crime Center 운영

모든 범죄에 대해서 포렌식 서비스를 제공하여 FBI 수사 지원

사이버 범죄 연구, 디지털 증거 획득 및 분석, 수사관 교육

디지털 포렌식 전문 분석실 및 증거 인증 기업 운영CFI, Forensic FOCUS, ASCLD 등 디지털 증거 수집, 분석E-TimeStamp, Surety 등 디지털증거 무결성 입증

관련 기관 - 1

41 KRnet2008

관련 기관 - 2

유럽: ENFSI, FSS, NFI 등을 운영

ENFSI(European Network of Forensic Science Institutes)

: 포렌식 관련 지식 및 수사 경험 공유를 위한 유럽의 포렌식 연구 협회

FSS(Forensic Science Society) : 1959년에 설립된 회원국이 60여

개 이상인 전세계에서 가장 크고 오래된 포렌식 협회

NFI(Nederlands Forensic Institute) : 포렌식 수사 및 연구 개발을

추진하며, 포렌식 교육과 전문인력을 양성하는 네덜란드 포렌식 협회

42 KRnet2008

NIST NSRL 프로젝트

획득된 증거 조사 분석시 효율적인 파일 검색을

위한 참조 데이터 셋(RDS) 구축

조사, 분석에 소요되는 시간을 단축시키기 위해

검색 범위를 축소해서 조사 우선순위 부여

Hashed Search 기술

컴퓨터 포렌식 및 모바일 포렌식 가이드라인“Guidelines on PDA Forensics",

Special Publication 800-72 “Guide to Integrating Forensic

Techniques into Incident Response", Special Publication 800-86 “Guidelines on Cell Phone Forensics",

Special Publication 800-101

NIST CFTT 프로젝트포렌식 도구 기능 검증을 국가적으로 주도디지털 포렌식 툴의 검증 및 평가 방안을 제시국가 법무연구소와 공동으로 평가 결과 보고서발간, 일반인 열람 가능

관련 기관 - 3

43 KRnet2008

e-Discovery

최신 기술 동향 - 1

44 KRnet2008

Mobile Forensic

최신 기술 동향 - 2

45 KRnet2008

Large Data

최신 기술 동향 - 3

SD

HEWLETTPACKARD

SD

HEWLETTPACKARD

SD

HEWLETTPACKARD

SD

HEWLETTPACKARD

SD

HEWLETTPACKARD

46 KRnet2008

HW Acceleration

최신 기술 동향 - 4

FPGA 기반 고속/병렬 해쉬 장비와 암호 크랙킹 소개

- 장비명: TACC1441 Hardware Accelerator

- TACC1441은 AccessData의 PRTK 혹은 DNA와 연동하여

응용프로그램들에 대한 암호복구를 가속화하며 주된 작업은

해쉬 함수의 고속/병렬 수행

47 KRnet2008

표준화 현황

미국 - NIST“Guidelines on PDA Forensics", Special Publication 800-72

“Guide to Integrating Forensic Techniques into Incident Response", Special Publication 800-86

“Guidelines on Cell Phone Forensics", Special Publication 800-101

국내 – TTATTAS.KO-12.0058, 컴퓨터 포렌식 가이드라인

TTAS.KO-12.0059, 이동 전화 포렌식 가이드라인

TTAS.KO-12.0057, 컴퓨터 포렌식을 위한 디지털 데이터 수집도

구 요구사항

48 KRnet2008

학회

Computer & Enterprise Investigations Conference

Guidence Software 사의 주도로 교육(Lab)과 전시회를 겸한 디지털 포렌식

관련 최대 학회. 2008년 참가인원 1,200명, 참여회사 37개 업체

CEIC

Techno Security

AccessData 사의 주관의 Window Forensics 교육과 포렌식 관련 전시회

실제 업체들의 제품 및 향후 로드맵 소개가 주를 이룸. 2007년 참가인원 500여명,

참여회사 30개 업체

Digital Forensic Research WoskShop

대부분 포렌식 툴 구현과 이의 논리 및 모델링에 관한 논문들을 발표하는 학술적인

학회. 2007년 참가인원 100여명

DFRWS

49 KRnet2008

학회

High Technology Crime Investigation Association

AccessData 사의 주도로 교육(Lab)과 전시회를 겸한 디지털 포렌식 관련 규모

가 큰 학회. 2007년 참가인원 700명, 참여회사 39개 업체

HTCIA

NIST, Univ. of Fairfax, Institute of Computer Forensics

Professionals 주최. 업체의 발표자 주류를 이루고, 기술현황과 제품홍보가 섞여

있음. 2007년 참가인원 200명

Techno Forensics

50 KRnet2008