디지털포렌식 서비스를 제공받는 법무법인이나 일반 기업에서는 늘 사건이 발생한 이후의 대처를 위해서 디지털포렌식 서비스를 이용한다. 하지만 수 개월에서 수년 후에 이미 재활용되어 사용되고 있는 디지털 매체에서 얻을 수 있는 명백한 증거는 거의 없다. 이번 연재에서는 해외 법무법인이나 PI(Private Investigator) 업체들이 국내에 진출하려는 상황에서 국내 법무법인과 기업에서 디지털포렌식을 어떠한 관점에서 준비해야 되는지에 대해서 알아본다.

아직 법적 체계가 미비하고 관련 분야 전문가가 많이 부족한 디지털포렌식 분야는 수사기관이나 사법수사기관 등의 ‘Inner Circle(권력을 쥐고 있는 집단)’ 영역이라고 할 수 있다. 민간 분야에서는 믿고 서비스를 의뢰할 만한 업체가 없다고 판단하고 수사기관에 감정 촉탁을 의뢰하는 등의 전 세계적으로 유래가 없는 행위가 발생하고 있다. 이러한 상황이 만들어진 것은 다양한 이유가 존재한다.

해외는 ‘민사 소송’ 중심이고 국내는 ‘형사 소송’ 중심이다.

미국의 경우 ‘민사 소송’ 중심이다. 즉 배심원 제도가 고착화되어 있고 배심원의 의견 등이 충분히 잘 반영된다. 이러한 경우에는 ‘e-Discovery’와 같은 법적 장치가 쉽게 적용되고 활성화될 수 있다. 하지만 국내는 ‘형사 소송’ 중심이다. 즉 수사기관이 주가 되어서 디지털 증거에 대한 수사를 수행하고 이에 대응하는 진영(변호사 등)에서는 수사기관에서 제공되는 자료를 바탕으로 간접적으로 대응한다.

법적 체계나 사회적 디지털포렌식의 필요성과 같은 분위기가 조성되지 않은 상황에서 관련 분야 솔루션이 먼저 도입되었다.

국내에는 디지털증거 관련 법률이나 ‘e-discovery’ 관련 제도의 틀이 견고하지 못하며 외국의 경우와는 전혀 다른 특성을 가지고 있는 이유로 많은 혼선이 발생하고 있다. 솔루션은 이미 도입하였으나 그 활용성 및 원활한 운용에 있어서는 아직 갈 길이 멀다고 할 수 있다.

디지털포렌식 전반에 대한 관점이 아닌 기술 중심 관점으로만 접근했다.

수사기관의 입장에서 디지털포렌식에 접근하는 경우 이미 법률적인 틀 안에서 활용되므로 기술적인 부분에 많은 관심 및 투자를 하게 되고 이러한 기술적 치중은 민간분야에 기술적인 면만을 요구하게 되는 악순환이 나타나게 된다.

디지털포렌식은 사건 발생 이후에 대응되는 기술이라는 편견이 사회적 통념이다.

대부분의 기업 보안 담당자 및 개인들은 보안적 이슈(산업기술유출, 영업비밀 유출 등)가 발생하기 이전에는 행동을 취하지 않는 경향이 있다. 물론 작금의 경제적 상황으로 투자 심리 위축 및 다양한 원인이 있을 수 있으나 사건 발생 이전에 취할 수 있는 디지털포렌식 대응에 대한 부분을 심각하게 고려해 보아야 할 것이다.

예를 들어 악의적인 퇴직자 또는 이직자가 있을 경우, 수 개월 내지 수 년 후에 디지털 증거를 확보 및 분석하는 것은 거의 의미가 없다는 것을 이해해야 한다. 이미 하드디스크는 재활용되었고 이전의 데이터들은 시간이 지날수록 사라져 가고 있다. ‘Smoking Gun’은 시간이 지나면 그 냄새가 희미해져 가는 것이다.

디지털포렌식의 필요성에 대한 목소리가 수사기관 및 사법수사기관에서 발생한다.

최근에는 학계, 민간 분야에서 디지털포렌식에 대한 필요성을 역설하고 있다. 하지만 실무적인 관점이 아닌 학문적인 관점이다. 국내에 도입된 디지털포렌식 소프트웨어 및 하드웨어 장비의 90% 이상이 수사기관에 있으며 그 나머지도 교육기관(대학 등)에서 대부분 도입한 것들이다.

아직까지 민간 분야에서는 디지털포렌식에 관심이 없다. 소수의 인원들이 목소리를 내고 관심을 보이지만 그 뿐이다. 이러한 이유는 디지털포렌식의 최초 태생이 다른 것에 있다. 해외의 경우 민간 분야부터 디지털포렌식의 중요성이 부각되고 그러한 것들이 학계, 민간 업체, 국가 및 기관으로 옮겨가는 선순환의 길을 걸었다. 하지만 국내의 경우는 정 반대의 악순환의 길을 걸었다.

디지털포렌식과 데이터복구는 같은 개념이다.

민간에서는 아직 충분한 도입 의지나 검토가 이루어지지 않은 상태이므로 관련 분야가 활성화될 수 없는 것이다. 결국 데이터 복구가 디지털 포렌식의 전부인 것으로 인식하는 우를 범하는 상황이 벌어질 수 밖에 없는 것이다.

일반 기업이나 기관들에는 수많은 훌륭한 정보보안 솔루션들이 도입되어 있다. 그럼에도 불구하고 ‘산업기술’이나 ‘영업비밀’과 같은 중요한 정보들이 유출되는 사고는 늘 발생되어왔고 앞으로도 그러할 것이다. 결국 내부자와 외부자가 결탁한 경우에는 훌륭한 솔루션도 무용지물이 될 수 있는 것이다. 정보보안 솔루션들이 만능이 아니듯이 디지털포렌식 기술 또한 만능은 아니다.

모든 것을 복구하고 모든 증거를 찾을 수 있는 것도 아니다. 디지털포렌식을 복잡하고 어려운 기술로만 접근하는 것도 잘못된 것이다. 디지털포렌식은 전통적으로 관련 문서를 모두 출력해서 증거를 찾던 과거와 다르게 엄청나게 많은 데이터 중에서 옥석을 가려서 진정 ‘Smoking Gun’이 될 수 있는 것들만 추려서 법적 대응을 하기 위한 수단일 뿐이다.

관련 분야 전문가도 실수하기 마련이고 각각의 전문 분야도 다 다르듯이 정말 중요한 것은 해당 사건의 특성에 부합하는 진정한 전문가를 가릴 줄 아는 지혜를 기르고 디지털포렌식이 어디에 어떻게 사용되는가를 명확하게 이해하는 것이다.

이제는 민간분야의 디지털포렌식 기술 교육도 활성화되어야 하고 수사 및 조사 실무 교육도 활성화되어야 한다. 하지만 그 보다 더 중요한 것은 관련분야 법적 체계가 정비되고 확립되어야 하는 것이다.

디지털포렌식에 접근함에 있어서 미래의 전문가 지망생들은 단순 기술 습득이 아니라 법률적 지식 및 조사 실무 지식도 함께 배양해야 하며 이러한 전체적인 내용을 교육하고 전문가를 양성할 수 있는 전문 교육센터가 설립되어야 할 것이다. 단순히 관련분야 시장을 선도하려는 교육기관이 아닌, 진정한 전문가를 배출할 수 있는 ‘Expert Group’이 움직여야 하는 상황이 도래한 것이다.

늦었지만 지금이라도 이러한 기본부터 접근하는 태도를 취하고 디지털포렌식에 접근한다면 민간 분야에서 활성화되고 앞으로 도래할 법률시장의 춘추전국시대(해외 로펌의 국내 진출 등)에 합리적으로 대응할 수 있을 것이며 사회적으로 디지털포렌식에 대한 올바른 인식이 안착될 것이다.

<글 : 신승목 더존정보보호서비스 포렌식센터 주임 연구원(sms5@duzon.com)>

[월간 정보보호21c 통권 제117호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>