IT Life

사이버범죄의 고도화, 디지털 포렌식으로 해결한다!

2014.12.12 10:14

 


우리 주변을 살펴보면, 세상을 바꿀 제4의 혁명이라고 불렸던 ‘유비쿼터스(Ubiquitous)’ 시대가 어느 정도는 현실화되었음을 확인할 수 있습니다. 이른바 6A로 불렸던 Anytime, Anywhere, Anybody, Anynetwork, Anydevice, Anyservice 라는 핵심 키워드와 매칭되는 다양한 디지털 기기들과 함께 생활하고 있으니까요. 대표적으로 스마트폰, 태블릿 PC를 들 수 있으며, 최근에는 웨어러블 디바이스가 합세하는 분위기입니다.


유비쿼터스는 ‘언제 어디서나 곳곳에 존재한다’는 뜻으로 사용자가 컴퓨터나 네트워크를 의식하지 않고, 장소나 시간에 관계 없이 네트워크에 접속할 수 있는 환경을 말하는데요. 유비쿼터스 환경과 함께 우리는 보다 편리한 생활을 누리고 있지만, 고도화되는 유비쿼터스 환경은 사이버 범죄라는 위험을 내포하고 있기도 합니다. 이와 함께 디지털 포렌식(Digital Forensic)이란 개념이 부상하고 있는데요. 이는 바로 사이버 범죄자 추적 및 조사에 핵심적인 요소가 됩니다. 오늘은 그 개념과 사례를 통해 디지털 포렌식이 무엇인지 살펴보겠습니다.

 

최근 빠른 속도로 스마트 기기가 대중화되면서 사이버 범죄 역시 상당히 광범위한 범위로 일어나고 있습니다. 개인적인 차원에서는 소액결제와 같은 금융 사기, 정보 유출 등이 일어날 수 있죠. 하지만 이러한 문제가 기업이나 정부 차원에서 발생할 경우 그 위험성은 더 높습니다. 기밀문서 유출로 심각한 브랜드 손상이 발생할 수도 있고, 국제 사회에서의 경쟁력을 약화시켜 돌이킬 수 없는 지경에 이를 수도 있습니다. 이처럼 사회의 정보화와 함께 범죄도 물리적 공간을 넘어 전자공간으로 스며들고 있습니다. 이를 대처하기 위해서는 과학수사와 수사과학 분야에서 새로운 형태의 컴퓨터 법의학이 필요하게 되었습니다.


우리나라에서도 상당한 인기를 끌고 있는 미국 드라마 ‘CSI’ 수사관의 옷에 ‘포렌식(Forensic)’이라고 표기된 것만 봐도 현재 범죄 수사에서 디지털 포렌식(Digital Forensic)이 얼마나 중요한 역할을 하는지 예상할 수 있습니다. 범죄가 디지털화되면서 범죄자들은 컴퓨터, 이메일, IT 기기, 스마트폰 등을 범죄에 사용하고 있습니다. 그래서 디바이스의 운영체제나 애플리케이션, 메모리 등에 다양한 전자적 증거가 남게 되죠. 이에 따라, 데이터 복구를 기반으로 삭제되거나 조각난 파일을 복구하여 사이버 범죄자 추적 및 조사에 핵심적인 정보를 제공하게 됩니다. 


디지털 포렌식은 전자적인 특성을 가진 증거물을 사법기관에 제출하기 위해 데이터를 수집, 분석하여 보고서를 작성하는 일련의 작업 과정을 포함하고 있으며, 범죄 관련 조사와 수사를 지원하여 디지털 자료가 법적 효력을 갖도록 하는 과학적∙논리적 절차와 방법을 연구합니다. 그래서 디지털 포렌식은 사이버 포렌식이라고 불리기도 합니다. 

 

인간의 모든 행위가 디지털로 정보화되면서 우리나라 검찰에서는 국가디지털포렌식센터((National Digital Forensic Center, NDFC)를 개설하여 과학적인고 체계적인 수사를 도모하고 있습니다. 법화학 감정, 문서감정, 심리분석, 영상분석, 음성분석, 화재수사, 수사장비 개발•관리, 영상녹화제도 기획•관리 등 현재 디지털 포렌식은 수사에 전방의적으로 활용되고 있는데요. 실제 예를 통해 디지털 포렌식이 수사에 어떻게 활용되는지 살펴볼까요?  


필로폰 투약 혐의로 구속된 A씨는 후배 B씨가 자신이 필로폰 투약을 위해 맥주에 타 놓은 것을 A씨가 모르고 마셨다고 진술해 A씨는 풀려났습니다. 하지만 수사가 계속되자 검찰은 B씨의 자백 동기가 불명확하고 석연치 않은 점들이 있다는 걸 발견했습니다. 검찰은 사건 연루자 3 명의 휴대전화를 압수해 분석했더니 놀라운 결과가 나타났습니다. A씨에게 6,000만원의 채무가 있던 B씨는 채무를 면하는 조건으로 허위자백을 한 것입니다. 이와 같은 행위는 범인 도피죄에 해당하는 것으로 검찰은 모바일 포렌식 기술로 복구한 휴대전화 메시지를 증거물로 제출했고, 결국 A씨는 다시 구속 기소되고 A씨를 도운 주변 인물들도 불구속 기소됐습니다.


위 사례에서도 알 수 있듯 해당 사건을 푸는 가장 핵심적인 단서는 휴대전화 속 메시지를 복구하여 증거물로 제출했다는 것입니다. 디지털 포렌식이 디지털과는 전혀 관계없어 보이는 마약 사건의 해결을 담당한 것입니다. 이는 앞서 말씀드린 유비쿼터스 시대의 도래와 함께 일상이 된 모바일과 그 속의 정보를 사건 해결 단서로 활용한 예시입니다. 


이외에도 CCTV 정보를 통해 미제 사건으로 끝날 수 있었던 성폭행 사건을 해결한 사례도 있습니다. 해당 사건은 2008년 3월 일산에서 초등학생 납치 미수 사건으로, 아파트단지에 설치된 CCTV 화면과 교통카드 내역 조회를 통해서 범인의 행동 경로를 입증하여 범인을 검거할 수 있었습니다. 범인은 당시 아파트단지를 오랜 시간 배회하였고, A 양이 아닌 다른 여자아이도 따라가는 모습을 보였는데요. 이를 통해 범죄의 우발적이지 않았음을 입증할 수 있었습니다. 또한, 국립과학수사연구소는 이날 CCTV 감식 결과 범행 당시 이 씨가 사용한 흉기도 밝혀낼 수 있었습니다. 


이처럼 디지털 포렌식은 범인의 유죄를 입증하고, 억울한 피해자를 막는다는 순기능을 하고 있습니다. 올해 6월 있었던 디지털포렌식산업포럼에서는 산업기술 유출에 대한 심각성이 논해지기도 했는데요. 미출시된 자동차 디자인이나 세라믹 코팅제의 생산기술의 사례들이 등장했죠. 기업 내부자에 의해 영업 비밀을 유출되는 이러한 사건 역시 유출을 입증하는 증거 획득이 사건의 해결을 푸는 열쇠인 만큼 디지털 포렌식이 활용되는 분야입니다. 지난 12월 2일에 한국인터넷진흥원 후원으로 개최된 디지털포렌식산업포럼에서는 조지 메이슨 대학의 사이버 시큐리티 전문가 Dr. Angelos Stavrou(안젤로스 스타브로우) 교수의 주제 발표가 진행되었는데요. 안젤로스 교수는 최근 공격자 입장에서 모바일이 PC와 달리 보안이 미흡하기 때문에 타깃이 되고 있으며, 모바일 포렌식은 기존 PC의 포렌식과는 다른 각도의 분석이 필요함을 강조하였습니다.

 

디지털 포렌식은 현재 검찰청에서 가장 주력하고 있는 분야일 만큼 그 중요성이 높은 수사방식입니다. 하지만 디지털의 빠른 발전 속도와 변화 때문에 위기 상황을 겪고 있기도 합니다. 우선 데이터 추출 비용이 점점 증가하고 있기 때문입니다. 우리가 사용하는 디지털 디바이스들의 종류가 점점 다양해지면서, 운영체제와 파일의 형태 역시 다양해지고 있습니다. 특히 웹 기술이 발전하면서 기존의 메일이나 문자 메시지뿐 아니라, 클라우드 컴퓨팅 등이 활용됨에 따라 증거 데이터를 수집하는 것은 점차 높은 기술이 필요하고, 많은 시간이 소요되죠.


또한, 이러한 가운데 모바일 디바이스 사용과 관련한 법적인 문제도 많이 발생하고 있습니다. 주로 모바일 앱에서 사용자 데이터를 과다 수집하는 문제, 특히 위치정보 등을 포함한 사용자 정보를 제3자에게 제공하는데, 이러한 부분에서 사용자의 동의 없이 과도한 정보를 수집하는 앱에 대해 법적 문제가 많이 발생하기도 합니다.


최근에는 디지털 포렌식 수사에 대한 인식이 서서히 확대되면서 이로 인해 증거가 발견되지 않기 위한 기술도 주목받고 있습니다. 바로 ‘안티포렌식’인데요. 물론 안티포렌식 기술을 사용할 수 있는 정도라면 디지털 기기에 대해 상당 수준의 지식과 기술력을 가진 지능범이어야 한다는 조건이 붙긴 합니다. 이들은 데이터를 여러 번 덮어쓰는 기법으로 데이터를 완전삭제(Wiping)하거나, 데이터 암호화(Encryption), 데이터 은닉(Steganography) 등의 기법을 활용하는데요. 이처럼 고도화되는 범죄 수법의 현황을 분석하고 대책을 마련하는 것이 또 하나의 과제라고 볼 수 있습니다. 또한, 소형화된 기기에 적용된 임베디드 시스템 속 저장공간에는 불리한 정보를 숨길 수 있는 틈새를 갖고 있습니다. 따라서 이러한 기술적 허점을 악용하지 못하도록 보다 고도화된 포렌식 분석 기술이 필요한 것입니다.


실무적인 어려움도 있습니다. 현재 사용화된 디지털 포렌식 도구들은 처리 속도가 느리고, 데이터 스토리지나 I/O 대역폭의 한계가 있습니다. 또한 테스트 부족으로 인해 소프트웨어 오류가 발생하거나, 자동화가 되어 있지 않아 많은 시간이 걸리기도 합니다. 급격하게 발전하는 디지털 발전의 속도를 따라잡기에는 전문 인력이 부족하고, 이를 위한 교육 프로그램도 미비한 실정입니다.

 

앞서 논한 디지털 포렌식의 현재 문제점을 개선해 나가기 위해서 어떤 준비를 해야 할까요? 학계에서는 데이터 추상화 작업이 진행되어야 한다고 이야기되고 있습니다. 기존의 방식으로는 다양한 소스의 데이터를 저장할 수 없기 때문에 새롭게 등장하는 데이터의 형식을 커버할 수 있는 대안적인 데이터 방식이 필요한 것입니다. 다음으로는 디지털 포렌식 기술 모듈화가 필요합니다. 현재는 개발언어와 플랫폼의 제한적이기 때문에 표준화된 데이터 처리가 어렵기 때문입니다. 플러그인 형태로 지원하는 방식 등을 통해 다양한 언어와 플랫폼을 지원할 수 있어야 합니다. 마지막은 충분한 테스트와 상세한 수행 로그, 디버깅 데이터 출력 등을 통해 기술의 정확성과 신뢰성을 높여야 한다는 것입니다. 


또한, 실무적인 어려움을 해결할 수 있는 기술 개발이 요구되고 있습니다. 그 중 최근 주목받는 기술이 휘발성 메모리 포렌식입니다. 디지털 패러다임의 변화로 사용자의 저장매체에서 획득할 수 있는 데이터에는 한계가 있기 때문에 그 중요성은 더욱 증가하고 있는데요. 휘발성 메모리(RAM)는 항상 변하는 특성을 바탕으로 다양한 플랫폼과 운영체제, 응용 프로그램을 지원하는 방안이 될 수 있습니다. 디지털 사용의 변화를 커버할 수 있는 임베디드 시스템 포렌식과 서비스 관점에서 편의성을 제공하는 포렌식 클라우드도 대안이 될 수 있을 것입니다. 이와 함께, 빠른 원인 분석과 효과적인 대응이 가능하게 할 수 있는 디지털 포렌식이 법의 동반자로 위상이 높아져야 하는 것도 시급한 일이 아닐까 생각됩니다.


글 l 이동규(www.trendsavvy.net 필명 '비에르쥬')

Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS
위로