IT Solutions/Security

디지털 포렌식, 기업 비즈니스에 활용하자

2019.10.21 09:30

“세월호 참사, 최순실 국정농단 사태, 정준영 불법 촬영, 그리고 숙명여고 시험지 유출 사건 등” 최근 법원에서 디지털 증거를 법정 증거로 채택하면서, 투명하고 공정한 수사 및 판결에 디지털 포렌식 기술이 필수불가결(必修不可缺)한 요소가 되었습니다.


또한 과학수사와 공공분야에서 널리 이용되던 디지털 포렌식 기술이 민간 기업의 회계감사, 내부감사, 컴플라이언스 등 각종 비즈니스 영역으로 도입 및 활용이 되고 있습니다. 동시에 클라우드(Cloud), 사물인터넷(IoT), 빅데이터 등으로 대표되는 제3 플랫폼의 등장으로 디지털 포렌식 패러다임에도 많은 변화를 요구하고 있습니다.


미국의 시장조사 컨설팅 전문기관인 트랜스페런시 마켓 리서치(Transparency Market Research)에 따르면, 전 세계 디지털 포렌식 시장은 2016년 28억 7천만 달러 규모로 평가됐으며 매년 9.7%씩 성장해 2025년에는 약 66억 5천만 달러의 시장을 형성할 것으로 전망을 했습니다.


l 전 세계 디지털 포렌식 시장 규모 (출처: Transparency Market Research)


디지털 포렌식이란 무엇이며, 기업 비즈니스에 어떻게 활용을 할 수 있는지, 적용 시 고려할 사항은 어떤 것들이 있는지에 대해 알아보도록 하겠습니다.


 디지털 포렌식(Digital Forensics) 이란?


“접촉하는 두 개체는 서로의 흔적을 주고받는다, 로카르드의 교환법칙(Locard’s exchange principle)” 과학수사의 선구자라고 알려진 프랑스 범죄학자 에드몽 로카르드(Edmond Locard, 1877-1966) 가 정의한 법칙으로, 법의학에서 로카르드의 교환법칙은 범죄자가 범죄 현장을 드나들 때 범죄자는 무엇인가 흔적을 남기고 무언가를 가지고 떠난다는 것입니다.


l Portrait Parle class, France, 1910 (출처: The Library of Congress)


디지털 포렌식이란 컴퓨터나 휴대전화 등 각종 저장매체 또는 인터넷상 존재하는 디지털 정보에 대해 보존, 수집, 분석, 재현 등을 과학적인 방법과 기술을 이용해 도출하고 증명 가능한 방법으로 분석해 수사기관에서 증거로 활용하는 기법입니다.


디지털 포렌식은 앞서 언급한 로카르드의 교환법칙을 근간으로해 레지스트리, 키, 로그 파일 등과 같은 아티팩트[각주:1] 발견에 이용됩니다.


디지털 포렌식 기본 원칙


범죄 현장에서 수집한 자료들이 법정에서 증거로서의 효력을 가지기 위해서는 다음과 같은 원칙이 지켜져야 합니다.


l 디지털 포렌식 기본 원칙 (출처: 디지털 증거 수집 보존 가이드라인, TTA)


이 원칙 중 하나의 원칙이라도 문제가 생기면 신뢰와 증거의 무결성이 훼손이 되어 법정에서 증거로 인정이 되지 않습니다. 즉, 디지털 포렌식은 신뢰성을 위한 기본 원칙에 근거해 데이터 증거를 수집하고 검증하는 기술이라고 볼 수 있습니다.


 디지털 포렌식 절차


디지털 증거는 1) 디지털 저장 매체와 무관한 동일한 데이터가 여러 저장 매체에 저장될 수 있는 매체 독립성 2) 디지털 데이터를 눈으로 직접 볼 수 없다는 비가시성으로 인해 법정 증거자료로써 제출 필요시 눈에 보이는 가시적인 형태로 변환이 되어야 하며, 변환된 증거가 원본과 동일함을 입증할 수 있는 절차가 필요합니다.


l 디지털 포렌식 조사 모델 (출처: 디지털 증거 수집 보존 가이드라인,TTA)


디지털 포렌식 절차는 크게 조사 준비, 현장 대응, 증거 확보 및 수집, 이송 및 학인, 증거조사 및 분석, 보고 및 증언 6단계로 나눌 수 있으며, 이 6단계의 기본 절차를 바탕으로 해당 기관에 맞게 재구성한 절차를 사용하고 있습니다.


 기업에서 활용 가능한 디지털 포렌식 응용 분야


디지털 포렌식은 최근 기업에서 해킹 및 악성코드 유입 공격에 대한 침해 사고 조사, 내부감사 및 회계 감사 등에 사용이 되는 등 활용 범위가 확대되는 추세입니다.


l 디지털 포렌식 응용 분야


이중, 전자증거개시제도(E-Discovery)는 최근 세계시장에 진출한 국내 글로벌 기업과 해외 기업과의 법정 분쟁에 전략적으로 사용이 되고 있어 국내 민사 소성 절차에 없는 증거 개시 절차에 대한 정확한 이해와 인식이 요구됩니다.


● 전자증거개시제도(E-Discovery) 란?

기존 종이문서 중심이었던 증거 개시 절차에서 발전된 개념으로, 전자적으로 저장된 정보(ESI: Electronically Stored Information)까지 증거 개시의 대상으로 확대해 법원의 개입 없이 소송당사자가 서로 공소 제기된 사건과 관련한 정보를 상호 요청에 의해 공개하는 제도


국내에서는 ‘07년도 형사소송법이 개정되면서 증거 개시가 형사소송에서 사용되고 있지만, 민사소송의 경우 소송 당사자들이 자신의 주장을 입증해야 하기 때문에 디지털 증거가 없다면 사실상 변론이 어렵다는 것이 현실입니다.


‘11년 가습기 살균제 사태, ‘18년 BMW 화재 사태 등이 발생하면서 사회적으로 증거의 구조적 편재를 극복할 필요성이 다시 한번 대두되었고, 우리나라 법체계 및 재판 현실에 맞는 제도 도입이 논의되고 있습니다.



이러한 기류에 발맞추어 일부 국내 기업들도 전자증거개시제도의 중요도를 인식하고 있는 추세이지만, 대다수 기업들은 여전히 관련 지식 및 경험이 부족한 것이 현실입니다. 이로 인해 과거 글로벌 특허소송 시 적시에 대응을 하지 못하게 되고 대규모 배상액을 물게 되는 경우가 존재했습니다.


기업에서 전자증거개시제도를 활용 또는 글로벌 특허소송 등에 대응하기 위해 고려할 사항으로는 다음과 같은 것들이 있습니다.


● 전자증거개시제도 활용 및 관련 대응 시 고려 사항

내부 문서 관리 정책 수립

- 전자정보에 대한 체계적이고 지속 가능한 정보 관리 시스템 구성 및 관리

상시 대응 체계 수립

- EDRM[각주:2]모델 도입, 해외 전자증거개시제도 대응 솔루션 도입 등

개인정보 관련 국내법 고려

- 소송 상대방에게 사건과 관련 있는 정보주체의 동의 없는 제3자의 개인정보 제공 및 파기 대상 개인정보 보관에 따른 국내법 저촉 여부 확인 및 법정 분쟁을 대비한 사전 매뉴얼 마련


 마치며


디지털 포렌식은 사이버 및 지능 범죄, 강력 범죄, 일반 범죄 등의 가장 중요한 증거 확보 수단으로, 최근 기업의 침해 사고 대응, 내부감사, 전자증거개시제도 등에도 다양하게 응용이 되고 있습니다. 기업 내 디지털 포렌식을 활용하기 위한 도입 시 디지털 증거가 법정 증거로서의 가치를 지닐 수 있도록 하기 위해 다음과 같은 사항들이 검토되어야 합니다.


● 첫째, 디지털 증거의 적법한 절차와 수단을 통한 획득

● 둘째, 이를 위한 신뢰성 있는 도구의 사용

● 셋째, 증거 수집 및 분석관의 적절한 자격 여부



또한, 디지털 포렌식을 활용하는 과정에서 발생될 개인의 프라이버 침해와 같은 법률적인 문제를 최소화할 수 있는 방안에 대해서도 고민을 해봐야 할 것입니다.


위의 사항을 충분히 검토 후 비즈니스에 적용하면 각종 범죄의 사전 예방 및 특허소송 등 글로벌 현대 소송에도 적절히 대응을 할 수 있을 것으로 기대됩니다.


글 l LG CNS 보안컨설팅1팀


* 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.



[참고문헌]

Ⅰ. 국내•외 문헌

[1] Digital Forensics Market - Global Industry Analysis, Size, Share, Growth, Trends and Forecast 2017 – 2025

[2] 디지털 증거의 수집·분석 및 관리 규정 [시행 2019. 5. 20.] [대검찰청예규 제991호, 2019.05.20.,전부개정]

[3] 데이터 및 사물인터넷(IoT) 환경에서의 디지털 포렌식 연구, 2018.08

[4] 디지털 증거 수집보존 가이드 라인, TTA, 2017.12

[5] 형사절차상 전자증거개시제도(E-Discovery) 의 증거개시 신청 방식에 관한 연구, 형사정책연구 29(4), 2018.12

[6] 한국형 증거개시제도 도입을 위한 정책토론회 자료집, 2019.06

Ⅱ. 기타

[1] FORENSIC-PROOF, <http://forensic-proof.com/>

[2] 고대신문, ”디지털포렌식, 데이터 분석해 진실을 검증한다”,  2018.03.26 

<http://www.kunews.ac.kr/news/articleView.html?idxno=24847>

[3] IT donA, “과학수사 넘어 기업 재감사까지.. 디지털포렌식의 영역 확장”, 2019.02.19

<https://it.donga.com/28736/>

[4] 전자증거개시참조모델, <https://www.edrm.net/>

 

  1. 아티팩트(Artifact): 사전적 의미는 ‘인공물’, ‘유물’로 해석이 되며, 디지털 포렌식에서는 각종 운영체제나 애플리케이션을 사용하면서 생성되는 흔적을 의미 [본문으로]
  2. EDRM(Electronic Discovery Reference Model): 전자증거개시의 각 절차에 대한 기능을 정의하고 명세한 전자증거개시 참조 모델 [본문으로]
Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS

댓글을 달아 주세요

위로