최근 수사기관에서는 휴대폰에서 많은 증거를 획득하고 있으며 ‘스마트폰’의 보급이 단 시간 내에 확대되면서 상당히 많은 중요 디지털 정보들이 기존의 컴퓨터에서 개인용 휴대폰으로 이동하고 있다. 이는 향후에 대부분의 명백한 디지털 증거데이터가 획득될 수 있는 저장매체가 더 이상 전통적인 컴퓨터 하드디스크가 아닌 ‘휴대폰’, ‘스마트폰’, ‘스마트 컴퓨터(iPad 등)’ 등으로 옮겨간다는 것을 의미한다.

불과 몇 년 전까지만 해도 국내 디지털포렌식 수사, 조사 대상은 컴퓨터 하드디스크가 대부분 주를 이루었다. 하지만 1년 전부터 ‘디지털 복합기 내부 저장장치’, ‘휴대폰’ 등이 디지털 증거의 상당 부분을 차지하는 역전 현상이 발생되고 있다. 인터넷이 발전한 현대 사회에서 대부분의 IT 인프라가 SaaS를 포함하는 클라우딩 컴퓨팅으로 변화되면서 기업 내 업무용 PC들은 업무 처리를 위한 단순 도구로 전략하고 있으며 또한 기업들은 영구삭제 솔루션과 같은 안티 포렌식 제품 도입으로 전통적인 컴퓨터 포렌식을 통한 디지털 증거 획득에 어려움을 더 하고 있다.

대부분의 사람들이 휴대폰을 사용하면서부터 다양한 편의 기능들이 제공되고 있다. 이러한 기능들의 대부분은 컴퓨터에서만 처리되고 관리되던 정보들을 상당 부분 휴대폰으로 옮겨 오게 했다. 이러한 시대적 흐름에 맞추어 ‘스마트폰’이라는 새로운 화두가 발생하게 되었으며 상당히 많은 개인 사용자들이 생겨나고 몇몇 회사에서 이 ‘스마트폰’을 업무에도 활용하게 되었다.

수사기관에서는 휴대폰에서 많은 증거를 획득하고 있으며 ‘스마트폰’이 단 시간 내에 저변화되면서 상당히 많은 중요 디지털 정보들이 기존의 컴퓨터에서 개인용 휴대폰으로 이동하고 있다.

이러한 사실은 향후에 대부분의 명백한 디지털 증거데이터가 획득될 수 있는 저장매체가 더 이상 전통적인 컴퓨터 하드디스크가 아닌 ‘휴대폰’, ‘스마트폰’, ‘스마트 컴퓨터(iPad 등)’ 등으로 옮겨진다는 것을 시사하는 것이다. ‘모바일 포렌식’은 단순히 ‘휴대폰, 스마트폰’과 같은 개인 휴대용 통신기기뿐만 아니라 애플의 ‘iPad’와 같은 휴대용 신개념 컴퓨터까지를 지칭하는 ‘임베디드 기기에 대한 디지털 포렌식’을 의미한다고 볼 수 있다.

수사기관의 모바일 증거 급속 증가

최근 수사기관에서 가장 중요한 디지털 증거 획득의 수단은 단연 ‘모바일 포렌식’이라고 할 수 있다. 기존의 컴퓨터 하드디스크에서 획득되던 증거 데이터들은 더 이상 PC에 존재하지 않는다.

예를 들어 내가 누군가에게 신체적 상해를 가할 목적으로 몇몇 사람과 모의를 했다고 가정하자. 물론 모의 후 실제 그러한 불법 행위를 수행했다고 가정한다. 이러한 불법 행위를 하기 위해서 함께 할 사람들과 휴대폰으로 통화를 하게 된다. 피해자의 생활 패턴이나 이동 패턴을 관찰하며 주기적으로 서로 전화를 주고 받게 될 것이다. 또한 이러한 불법 행위의 대가로 금전적 이득이 약속되어있다면 피해자를 해한 후 금전적인 보상을 받기 위한 대포 통장이 이미 마련되어 있을 것이다.

나는 여러 공모자들과 피해자를 해한 후 돈을 받고 유유히 도망갈 수 있다고 생각했다. 그리고 사건 발생 후 피신의 목적으로 공항에서 출국하려고 하다가 체포되었다.

체포된 나는 컴퓨터를 사용한 적도 없으며 관련 공모자들은 체포되지 않은 상태이다. 끝까지 범행을 부인했지만 내 휴대폰에서 사건 발생 전, 후로 통화한 흔적(휴대폰 초기화로 이미 삭제 후)이 발견되었으며 휴대폰의 메모장에서 ‘대포 통장’ 번호(휴대폰 초기화로 이미 삭제 후)가 발견되었다.

난 휴대폰에서 삭제된 데이터가 복구될 수 있으며 단순히 휴대폰만 확인해도 ‘수사 목록’에 대한 상세한 정보가 획득될 수 있다는 사실을 꿈도 꾸지 못하고 있었다. 내 계획 및 범행은 결국 밝혀졌으며 공모자들 또한 지명 수배가 되었다.

위와 같은 사건 사례는 여러 가지 실제 사건을 취합해서 각색한 것이지만 실제 사건에서 휴대폰을 통해서 획득한 증거들을 나열한 것이다. 이처럼 이제는 휴대폰 포렌식이 새로운 수사 및 조사의 대상 기기가 되는 시대가 온 것이다.

민간분야에서 모바일 포렌식이 활성화되지 않는 이유?

이렇게 수사기관에서 휴대폰을 통해 특정 사건에 대한 명백한 증거들이 획득되고 있음에도 불구하고 왜 민간분야에서는 이러한 증거들을 획득하기 위한 서비스 및 수요가 적은 것일까? 대략 다음과 같은 이유들이 민간 분야의 해당 분야 활성화를 저해하는 요소들이다.

첫 번째와 두 번째는 법적인 문제이므로 관련 제도가 변경되지 않는 한, 민간 분야에서 할 수 있는 것이 없다. 하지만 세 번째 저해 요소는 이미 변화하고 있다. 각 기업들은 스마트폰을 업무에 활용하고 있으며 개인들 또한 스마트폰을 컴퓨터 대체 용품으로 사용(특정 부분으로 제한 : 메신저, 일정관리, 일부 업무 처리)하고 있다. 또한 한미 자유무역 협정이 채결되었고 향후 국내 법률 시장이 해외 업체들에 전면 개방되면서 이러한 휴대폰에 대한 디지털포렌식 서비스 분야도 활성화될 것이다.

모바일 포렌식과 컴퓨터 포렌식의 접목

스마트폰이 활성화되면서 전통적인 컴퓨터 포렌식과 디지털 포렌식의 경계가 무너지고 있다. 모든 IT 인프라는 메인 프레임을 거쳐서 분산 환경을 지나 SBC(Server Based Computing) 이후, 클라우드 컴퓨팅으로 변화하고 있다. 이러한 변화는 모든 디지털 데이터는 중앙 집중 형식이며 이러한 데이터를 활용하는 클라이언트들은 ‘스마트폰’, ‘스마트 휴대용 기기’, ‘전통적인 컴퓨터’ 등의 임베디드 장비들이 사용되는 것을 의미한다. 이러한 변화는 기존의 디지털 포렌식의 분야별 분류를 획기적으로 변하게 하는 것이다. 즉 ‘컴퓨터 포렌식’, ‘임베디드 포렌식’과 같이 이분화된 개념이 아니라 경계가 없는 진정한 ‘디지털 포렌식’이라는 정의가 자리잡게 될 것이다.

이제는 단순 컴퓨터 포렌식이 아닌 ‘디지털 포렌식’으로 가기 위한 준비와 관련 솔루션, 서비스, 교육 등이 체계화되어야 한다. 즉 지금까지의 단순한 컴퓨터 포렌식 전문가가 아닌 전체적인 관점에서 볼 수 있는 ‘디지털 포렌식’ 전문가가 필요한 시대에 살고 있는 것이다.

<글 : 우로제 경찰청 수사관(wooroje@police.go.kr)>

[월간 정보보호21c 통권 제118호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>