국내 많은 기관들이 디지털증거 분석과 관련된 장비와 프로그램을 운용하고 있다. 하지만 사용 기관별로 전문화된 시스템은 구축되지 못하고 있다. 그리고 대부분이 비슷한 프로그램과 장비들을 사용하고 있어 획일화되어 있다. 이러한 문제점을 해결하기 위해서는 각 기관에 적절한 디지털증거 분석 관리 시스템이 필요하다. 

현재 국내에는 수많은 기관들이 디지털증거 분석 소프트웨어나 하드웨어를 구비하고 운용하고 있다. 여러 수사기관이나 사법기관 또는 조사기관들마다 수사 또는 조사의 대상이나 방향이 서로 상이할 뿐만 아니라 수사 또는 조사 기법 역시 다르다. 하지만 각 수사 및 조사 기관에 특화되고 전문화된 시스템을 구축하지는 못하고 있는 실정이다. 모든 기관들이 비슷한 소프트웨어나 하드웨어를 사용하고 있으며 획일화된 교육을 받고 있는 것이 현실이다.

이렇듯 디지털 포렌식의 획일화 현상은 디지털 포렌식 기술의 선진화에 걸림돌이 될 뿐만 아니라 아울러 여러가지 문제가 나타날 수도 있다. 아마도 몇 년 후에는 각 기관에 맞는 적합한 시스템을 구축하기 위해 처음부터 다시 예산을 들여서 새로 구축해야 하는 상황이 연출될 가능성이 크다. 그렇다면 기존 시스템에 약간의 추가 예산으로 그 활용성을 쉽게 확대할 수 있는 방법은 없을까? 그렇게 할 수 있다면 어떠한 방법이 있고 무엇을 준비하고 고민해야 할까? 이러한 고민의 해답 중에 하나가 바로 ‘디지털증거 분석 및 관리 시스템’에 있다.

디지털 증거 분석 및 관리 시스템의 필요성

우리는 Cloud Computing(SaaS, PaaS, IaaS 등), Smart Phones과 같은 수많은 새로운 패러다임과 디지털 기기가 출현하는 무척 빠르고 복잡한 세상에 살고 있다. 자고 일어나면 늘어나는 전자 데이터의 양은 기하급수적으로 늘고 있으며 디지털증거분석 업무를 담당하는 수사관이나 조사관은 점점 늘어만 가는 분석 대상으로 인해 과중한 업무와 미처리 대상으로 인하여 늘 힘들어 하고 있다. 무엇이 잘못된 것일까? 최고의 소프트웨어와 하드웨어를 구비하고 열심히 일하고 있는데 왜 시간이 갈수록 힘들어지기만 하는 걸까?

이제는 효율적인 관리 시스템이 필요한 시대이다. 최고의 솔루션이 아닌 각각의 솔루션들의 장점들을 잘 활용할 수 있는 각 기관에 최적화된 시스템이 필요하다. 분석 및 공통 검토를 수행할 수 있는 시스템이어야 하며 초동 분석에서 정밀 분석 작업까지의 모든 처리가 일관되고 연계되어 처리되는 시스템이어야 한다. 그렇다면 이러한 디지털증거 분석 및 관리 시스템이 되기 위해서 어떠한 요건들이 충족되어야 하는지 알아보자.

디지털증거 분석 및 관리 시스템의 요건

● 대용량 데이터의 빠른 처리

대용량 데이터에 대한 빠른 분석 및 검색을 위해서는 다양한 기술이 적용되어야 한다. 이러한 작업을 수행하기 위한 중요한 요소는 뛰어난 성능의 분석 컴퓨터와 인덱싱 기술이다. 고속의 검색을 위해서는 인덱싱이 필수적이지만 인덱싱 작업을 하는 데에는 상당히 많은 시간을 필요로 한다. 이러한 인덱싱 작업 시간을 줄이기 위해서는 고성능의 컴퓨터가 필요하겠지만 값 비싼 슈퍼 컴퓨터들을 각 기관에 수사 용도로 여러 대 들여놓는 일은 쉬운 일이 아니다. 그렇다면 이러한 일을 수월하게 하기 위한 다른 방법은 없는 것일까? 그 해결방법 중에 하나가 분산처리 기술이다. 값 비싼 슈퍼컴퓨터를 사용할 필요 없이 기존에 사용하고 있던 컴퓨터들을 이용하는 분산처리 기술을 이용하는 것이 비용 대비 효용성이 좋을 뿐만 아니라 도입하기에도 수월한 기술이다.

● 데이터베이스를 이용한 일관성, 보안성 충족

관리 부분은 항상 필요한 분야이다. 특히 디지털증거 분석 및 관리 시스템에서는 무척 중요한 의미를 가지고 있는 부분이다. 각 수사 및 조사 기관은 기 분석된 데이터들에 대한 자체 보안 정책을 수립하고 해당 보안 정책에 따른 데이터베이스를 구축하여서 보안적인 측면을 강화해야 할 뿐만 아니라 사건의 재조사 또는 검토 시 쉽게 찾아 볼 수 있도록 일관되게 사건 분석 결과를 보관 관리해야 한다.

● 공통 검토 기능

대부분의 사람들이 현재 우리나라의 디지털 포렌식에서 가장 큰 문제로 디지털증거분석 전문가 양성이 필요하다는 의견의 목소리를 높이고 있다. 하지만 그 보다 더 중요한 것은 전문가와 비전문가 사이의 사건을 바라보는 시각의 차이를 해소하는 것이 더 시급한 문제로 보인다. 이러한 문제가 해결되어야만 포렌식의 비전문가 들이 디지털 포렌식을 이해하고 더 많이 찾을 것이고 디지털증거분석 전문가의 필요성이나 그 수요 또한 증가할 것이다. 디지털 포렌식의 전문가는 순수하게 기술적인 관점에서 사건을 바라보게 된다. 하지만 디지털 포렌식의 비전문가는 법률이나 자신이 속한 기관의 정책에 기반하여 사건을 바라보게 된다. 이러한 관점의 차이가 일관되고 빠른 사건의 처리를 저해하는 중요한 문제점 중의 하나이다.

● 구축된 시스템 기반의 전문 교육 콘텐츠

현재 대부분의 디지털증거분석 업무를 수행하는 수사기관이나 조사기관들은 공통된 솔루션 교육만을 받아왔다. 즉 각 기관에 특화되고 최적화된 시스템 전반의 운용에 대한 전문 교육은 없는 실정이다. 이러한 문제는 개별 솔루션들을 유기적으로 통합하여 최적화하여 사용할 수 있는 기반이 없기 때문이다. 이제는 단순 개별 솔루션에 대한 사용자 교육이 아닌 대한민국 실정에 맞는 체계화되고 전문화된 교육 및 교육 콘텐츠가 필요한 시기라고 할 수 있다.

그렇다면 디지털 증거 분석 및 관리 시스템은 어떤 모습을 지녀야 할까? 지금까지 이야기한 내용들을 다음과 같이 정리해 보았다.

디지털증거 분석 및 관리 시스템

현장에서 수집된 증거 하드디스크나 증거 플래쉬 메모리 카드 등을 증거 수집 시스템에 증거 하드디스크를 넣으면 자동으로 증거 이미지의 사본이 복사가 되고 검색에 필요한 인덱싱 및 기초 데이터 분석이 자동으로 이루어지게 한다. 이렇게 획득된 증거 이미지와 기초 분석된 데이터가 바로 서버의 데이터 베이스에 전송이 되면 해당 사건에 대해 디지털 증거 분석 전문가의 분석이 이루어진다. 데이터 베이스 분석 전문가나 웹 분석 전문가 등의 정밀한 조사가 마무리 되면 디지털 포렌식의 비전문가이나 사건의 내용을 잘 아는 사건 담당자가 순차적으로 연람 및 검색을 하며 해당 사건을 검토하도록 한다.  최종 분석이 완료되면 해당 조사 결과 내용들이 데이터 베이스에 자동으로 저장되고 웹 상으로 언제 어디서나 사건 보고서를 읽을 수 있도록 보고서가 서버에 저장된다. 또한 해당 사건과 연관된 사건이 있는지 사건 데이터 베이스를 검색하여 비교해 볼 수 있어야 한다.

그림 1과 같은 시스템은 슈퍼컴퓨터가 없이도 예하 기관에서 빠른 초기 검색 및 분석이 가능하며 굳이 상급 기관의 디지털 포렌식 전문가에게 여러 개의 하드디스크를 들고 찾아가 검토를 요청하지 않아도 웹 기반의 공통 검토를 통해 수고로움을 덜 수 있을 뿐 아니라 시간적으로도 효율적인 분석이 가능하다. 또한 데이터베이스 기반의 분석 자료는 각 기관에 맞는 관리가 가능하며 새로운 사건이 발생시 연관된 사건을 찾거나 재검토가 필요할 시에도 유용하게 사용할 수 있을 것이다.

<글 : 박원준 더존정보보호서비스 포렌식센터 주임 연구원(pwonjun77@duzon.com)>

[월간 정보보호21c 통권 제120호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>