[인터뷰] 백제현 한국사이버포렌식전문가협회 기획실장

“국내 사이버포렌식 발전 위해 ‘제3의 독립기관’ 필요”

최근 사이버포렌식에 대한 관심이 높아지면서 그에 대한 관심이 이어지고 있는 가운데 지난 12월 초경, 이정남 한국사이버포렌식전문가협회(회장 이재우, 이하 ‘CFPA’) 사무국장을 만나 사이버포렌식의 중요성 등에 대해 들어본 적이 있다. 그런 측면에서 이번엔 백제현 CFPA 기획실장을 만나 대중적으로 잘못 알려져 있는 포렌식에 대한 이해를 돕는 한편 포렌식과 정보보호의 차이점 등에 대해 들어봤다. 특히 백제현 실장은 사이버포렌식 분야뿐만이 아니라 국내에서는 11명밖에 없는 ‘CISSP Official Instructor’ 중 한 명으로 정보보안 전문가이기도 하다. 또한 현재 한국생산성본부 사이버포렌식조사전문가 과정 강사 및 정보보호관리체계 과정 강사로 활동하고 있기도 하다.

-정보보호와 사이버포렌식의 차이점은 무엇인가?

정보범죄 대응 사이클에 일반적으로 적용되는 통제순서는 예방(Preventive), 탐지(Detective), 교정(Corrective), 보완(Compensating)이다. 정보범죄 대응 사이클의 관점으로 보았을 때 정보보호는 예방 및 보완통제이고, 사이버포렌식은 탐지 및 교정통제에 해당한다고 하겠다.

정보보호는 컴퓨터·네트워크 공간에서 발생하는 사고 또는 고의에 의한 인가되지 않은 노출·전송·변경 또는 파괴로부터 정보를 보호하는 역할을 하는 반면, 사이버포렌식은 정보범죄에 있어서 법정에 제출할 디지털 증거를 확보하기 위해 범죄 수사과정에서 사용되는 기술적 수단 및 절차를 제공하는 역할을 한다고 이해하면 될 것 같다.

-사이버포렌식이 적용되는 분야를 소개해 준다면?

사이버포렌식은 기술·범죄수사·소송 분야 등 다양한 영역에 적용되는 탐지 및 교정통제로, 과거에는 기술적 복구분야에서 사이버포렌식 기법이 사용됐다. 지난 1998년 4월 26일 CIH 바이러스에 감염된 HDD를 복구했던 방법이 사이버포렌식 기법 중 하나의 예라고 할 수 있겠다.

그 후 2000년도 초반부터는 해킹이 범죄와 연결되고 또한 컴퓨터나 네트워크가 범죄를 위한 도구로 사용되는 사건들이 증가되면서 사이버포렌식은 현재까지 정보범죄 수사에 다각도로 적용되고 있다. 또한 2008년 1월 시행된 개정 형사소송법이 공판중심주의에 의한 증거재판주의를 천명하면서 디지털 증거에 대한 증거능력 규정이 신설됐다.

정보범죄와 관련해 볼 때 현재는 사이버포렌식이 형사사건에서만 주로 적용되고 있지만, 향후에는 손해배상을 위한 민사사건 및 의료분쟁, 민간기업 내무감사, 정보보호의 연장선으로써의 포렌식 컨설팅 등으로 적용분야가 폭발적으로 확대될 것으로 예상하고 있다.

-사이버포렌식은 온라인 분석이라고 생각하면 되는가?

사이버포렌식을 온라인과 오프라인 중 하나에 분류하기는 어렵다. 왜냐하면 사이버포렌식은 온·오프라인 분석 모두를 포함하고 있기 때문이다. 예를 들면 법정에 제출할 증거를 담고 있는 저장 매체를 현장에서 확보하는 단계에서는 오프라인 위주로 분석을 한 후, 저장 매체에서 심도 깊은 증거 분석을 위해서 온라인 위주의 분석을 한다. 우리나라 헌법에 정하고 있는 적법절차의 원칙에 의하면, 현장에서 증거를 수집하는 단계에서부터 수사과정에서 증거를 분석하는 단계 및 법정에 증거를 제출하는 일련의 과정이 적법하게 유기적으로 이루어져야 한다.

-사이버포렌식에 대해 일반적으로 잘못 알려져 있는 부분이 있다면?

첫 번째로, 디지털화된 범죄증거 수집을 위해 사이버포렌식이 시작된 미국과는 달리 우리나라는 사이버포렌식을 아직도 기술분야에 국한된 특수한 기법으로만 알고 있는 경우가 많다.  사이버포렌식 자체는 기술적 수단으로써의 기법이 아니라 조직의 정책과 예산이 뒷받침되는 통제이다. 더욱이 사이버포렌식의 목적이 법정에 제출할 증거확보 및 증거분석임을 상기할 때, 우리나라 헌법과 법률이 규정하고 있는 적법절차와 디지털 증거 관련 규정을 함께 숙지하고 준수해야 한다.

두 번째로, 사이버포렌식을 형사사건에 국한된 수사방법이라고 생각하는 경우가 많다. 물론 지금은 대부분이 형사사건에서 활용되고 있지만, 디지털화 되어 있는 증거를 법정에 제출하여 증거능력을 인정받기 위한 과정이라면 민·형사 사건 및 기업분쟁과 내부감사, 의료분쟁 등 다양한 상황에서 적용될 수 있다.

-사이버포렌식에 있어 법의 역할은?

법률은 국가와 사회의 질서를 유지하고 분쟁을 해결하기 위해 세운 기준이다. 사이버포렌식의 관점에서 보더라도 디지털 증거 관련 법률이 존재하고 있어야 사이버포렌식 분석과정이 적법한 과정이 되는 것이다.

그런 측면에서 2008년에 개정된 형사소송법 중 증거법 규정이 증거 관련 과정을 폐쇄적인 과정이 아니라 새로운 과학기술을 적극적으로 수용하고 모든 증거를 법정에 현출(顯出)해 실체적 진실을 규명하도록 한 것은 상당히 고무적인 것이라 할 수 있다.

다만 아쉬운 점은 현재 국내법이 사이버범죄 또는 디지털 증거의 특성을 합리적으로 고려한 규정을 가지고 있지 못하다는 것이다. 가시성(Visibility)과 가독성(Readability)이 없는 디지털 증거를 법정에 어떤 방법으로 현출하고, 수집된 증거원본과 분석된 증거사본이 동일하다는 것을 검증할 수 있는 방법 등이 법률적 관점에서 제시돼야 할 기준이 될 것이다.

-국내 사이버포렌식 발전 위해 어떠한 점이 개선되야 한다고 생각하나?

사이버포렌식으로 수집·분석된 디지털 증거는 법정에서 증거능력을 인정받아야 사법적 분쟁해결을 위한 생명력을 가질 수 있다. 현재 형사사건에서 사이버포렌식을 활용하고 있는 기관에서는 자체적인 지침을 수립·적용해 증거분석과정에서의 적법절차를 준수하고 있다. 각 기관의 지침은 유사한 규정으로 구성돼 있지만, 통일된 규정이 없다는 것을 문제로 지적할 수 있다.

이 문제를 해결하기 위해 합리적인 디지털 증거관리 지침을 수립하고, 디지털 증거를 수집·분석하는 절차와 방법의 적절성, 법정에서 현출(顯出)된 디지털 증거의 무결성을 검증해 줄 수 있는 제3의 독립 기관이 필요하다고 생각한다. 이렇게 하면 재판부는 디지털화된 증거로 실체적 진실을 규명할 때 합리적 판단 근거를 얻을 수 있고, 사이버포렌식을 활용하는 기관은 통일된 지침에 근거해 디지털 증거를 수집·분석하면서 헌법이 정한 적법절차를 엄격하게 준수할 수 있다고 생각한다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>