‘디지털포렌식’이라는 말은 불과 몇 년 전까지만 해도 그 정의를 아는 사람은 많지 않았지만 지금은 미래에 가장 유망한 직군에 포함되기도 하고 취업 지망생이 따고 싶은 자격증이며 보안 솔루션에 디지털포렌식 기술을 경쟁적으로 지원하고 있다.

‘디지털포렌식’이라는 말은 이제 많이 친숙하다. 불과 몇 년 전까지만 해도 그 정의를 아는 사람은 많지 않았다. 그러나 지금은 미래에 가장 유망한 직군에 포함되기도 하고 취업 지망생이 따고 싶은 자격증에 ‘디지털포렌식’이 포함돼 있으며 보안 솔루션이라면 너도 나도 포렌식 기술을 경쟁적으로 지원하는 인기 있는 분야가 되었다.

김종현 더존정보보호서비스 포렌식센터 선임연구원은 포렌식은 “솔루션 측면에서 네트워크 패킷을 캡처해서 재현하는 기능도 포렌식이라고 하고 디스크를 로우레벨로 분석하는 것도 포렌식이라고 하며 각종 로그 분석도 포렌식이라고 한다”며 “파일의 복구나 패스워드가 설정된 파일의 크랙도 포렌식의 한 분야이고 요즘에는 휴대폰 복구나 데이터 추출도 포렌식 분야에서 다루어지고 있다”고 설명했다.

또한 그는 응용분야 측면에서 수사기관에서 행하는 디지털포렌식 이외에 미국 연방민사소송법(FRCP) 상의 eDiscovery로 디지털포렌식의 범주에 포함돼 있고 IT Compliance나 내부 감사도 디지털포렌식 관점에서 다루어지고 침해사고 대응의 끝단에도 포렌식이 존재한다고 덧붙였다.

이와 같이 많은 솔루션이 존재하는 이유는 포렌식에 필요한 기술이 방대하기 때문이고 다양한 응용분야가 존재하는 것은 포렌식이 본래 수사기관에서 디지털 매체로부터 증거물을 수집하고 분석하기 위한 기술이었으나 이제는 거기서 파생했거나 그 기술을 사용하면 보다 효율적으로 업무 수행이 가능한 분야들에 적용되었기 때문이라고 한다.

무궁무진한 디지털포렌식 응용분야

포렌식의 응용분야는 다양하다. 우선 수사기관의 수사 대상이 될 수 있는 기업의 입장에서는 이에 대한 대비가 필요하다. 네트워크 침해사고가 발생하거나 정보유출 등의 사고가 발생했을 때 수사를 용이하게 하기 위해서 준비해야 한다. 앞서 언급한 로그분석, 패킷분석 등의 솔루션은 이러한 용도로 필요하다.

김종현 연구원은 “사규의 집행을 위해서도 포렌식 기술이 필요하다. 종래 문서 감사 등의 방법으로 사규를 집행했다면 모든 것이 컴퓨터에 저장돼 있는 현재의 환경에서는 디지털포렌식 기술을 이용해야 한다”고 설명했다. 근래 이슈가 되고 있는 개인정보보보호와 관련된 법률(정통망법, 공공기관의개인정보보에관한법률)에 기업이 잘 순응(Compliance)한지 확인하기 위해서도 이 포렌식 기술이 이용될 수 있다는 것.

기술을 많이 보유하고 있는 회사라면 정보유출 감사를 위해 디지털 포렌식 기술을 사용할 수 있다. 연일 뉴스에 오르내리듯 최근 정보유출 사고가 최근 많이 일어나고 있는데 디지털 포렌식 감사가 정책에 명문화 돼 있다면 이러한 사고의 조사 뿐 아니라 방지 측면에서도 큰 역할을 할 수 있을 것이다.

이와 같이 포렌식의 응용분야는 무궁무진하다. 기업만을 예로 들었으나 조직의 성격에 따라 다양한 요구가 존재할 것이고 응용분야가 생길 수 있다. 한 가지 공통점이 있다면 위에 열거한 다양한 예를 포함해서 모든 포렌식의 응용분야는 정책과 발을 맞추어야 한다. 근거 없는 포렌식 기술의 응용은 불법을 야기할 소지가 높고 그 결과물의 입지에도 타격을 줄 수 있다.

기업의 정보범죄 대응과 경쟁력 강화

최근 법원에서 대규모의 개인정보가 유출된 인터넷 쇼핑몰 해킹 사건에 대해 해당 쇼핑몰에게 책임을 물을 수 없다는 판결이 내려졌다. 이 판결을 접한 반응은 입장에 따라 다양했지만 집단 소송을 통해 어마어마한 액수의 배상 책임을 질수 있었던 쇼핑몰의 입장에서는 안도의 한숨을 내쉬었을 것이다.

김종현 더존정보보호서비스 포렌식센터 선임연구원은 이에 대해 “물론 대법원의 확정판결이 나와야 알 수 있겠지만 이번 법원 판결의 배경에는 디지털포렌식이 큰 역할을 했다고 볼 수 있다”며 “해킹으로 인한 침해사고가 발생했지만 기업이 해킹을 막기 위해 충분한 노력을 기울였음을 증명하려 노력했고 법원은 기업의 이러한 노력을 인정하여 면책을 결정한 결과가 아닌 과정을 중시한 판결이 나온 것으로 볼 수 있다”고 밝혔다.

김 연구원은 사용자 및 업체 모두가 해킹의 피해자였던 이 사건의 판결을 통해 앞으로는 기업의 침해사고가 발생해도 과거처럼 애써 감추거나 숨기기보다는 기업이 평소에 보안을 위해 충분한 노력을 기울이고 사건 발생 인지 직후 즉각적인 후속 조치를 취하는 것이 더 긍정적인 결과를 도출할 수 있다는 것과 함께 그동안 불필요한 비용 소모를 강조하는 눈총을 받았던 국내의 보안전문가들이 더욱 인정받을 수 있는 기반을 마련한 것이라고 말했다.

해킹사건뿐 아니라, 기업의 영업비밀 또는 핵심 기술이 유출되었을 때나 임직원의 유용, 횡령, 배임, 공모 등 부정행위에 가담한 혐의를 받았을 때 또한 기업 입장에서 국내외 각종 소송 및 분쟁 등에 휘말렸을 경우 역시 혐의에 대한 적극적인 반증이 필요한 경우에 해당 한다고 볼 수 있으며 이에 필요한 핵심 요소가 바로 디지털포렌식 기술이라는 것.

형사사건의 피의자 검거를 위해 주로 사용되어 온 기존과 달리 개인이나 기업에서 억울한 혐의를 받고 있을 경우 그것을 반대 입증하기 위해서도 디지털포렌식이 적용되고 있으며 인터넷 뱅킹을 넘어 스마트폰 뱅킹이 활성화 되는 등 디지털 매체의 활용도가 급속도로 높아지고 있는 현실을 감안해 보면 앞으로도 사건의 원인을 규명하고 책임을 한정하는데 디지털포렌식이 이용되는 비중은 더욱 커질 것으로 김 연구원은 전망했다.

공공기관에서 적극 활용

이와 같이 디지털포렌식의 이용이 확대되는 가운데 지난 4월 초 개소한 서울특별시 디지털포렌식센터가 지난 5월부터 해커 추적에 나서는 등 본격적인 업무에 들어각도 했다. 서울시 디지털포렌식센터는 모 공공 기관의 PC가 해킹된 사례를 발견하고 인케이스(Encase)ㆍ파이널 데이터 툴(Final data tool) 등을 활용해 HDD 이미지를 복사하고 분석해 유출 데이터와 해킹 경로를 확인하는 등 본격적으로 업무에 활용된 것.

아울러 공정거래위원회도 카르텔(담합) 조사를 강화하기 위해 디지털포렌식(Forensicsㆍ과학수사)조사팀을 창설하고 6월부터 본격적인 운영에 들어갔다. 공정위는 컴퓨터 하드디스크에서 지워진 파일을 복구해서 증거를 찾아내는 등 검찰이나 경찰이 사용하고 있는 과학수사 기법을 점점 지능화되고 있는 카르텔 조사 등에 디지털포렌식을 본격 도입한 것이다.

공정위는 1단계로 3명의 전산요원을 확보하고 우선 시험운영한 뒤에 성과가 좋을 경우 조사팀의 정원을 늘려 조사업무 전반에 걸쳐 활용할 계획이다. 검찰은 이미 지난 2008년 대검찰청에 디지털포렌식센터를 구축, 선진 과학수사를 하고 있다.

공정위가 이번에 디지털포렌식조사팀을 신설한 배경은 기업들이 점점 카르텔 조사의 심각성을 깨닫고 공정위의 조사가 나오면 담합 증거를 지능적으로 없애버리기 위해 컴퓨터를 새로 포맷하거나 인트라넷을 차단해 불리한 자료들을 숨기기 때문이다. 이에 따라서 인터넷 및 컴퓨터와 관련된 범죄, 기업의 내부 비리행위나 담합 등 범죄행위 등에 대한 수사에서 포렌식의 활용도는 점점 높아지고 있고 그 중요성이 확대되고 있다.

<글 : 김태형 기자(is21@boannews.com), 호애진 기자(is@boannews.com)>

[월간 정보보호21c 통권 제119호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>