최근 보도되는 주요 뉴스를 보면 하드디스크에서 결정적인 증거를 찾아냈다는 소리를 심심치 않게 접할 수 있다. 과거에는 몇 대의 트럭에 문서 등을 가득 실어 나가는 장면들을 볼 수 있었는데 이렇게 많은 문서들 속에서 증거를 찾는 일은 시간과 인력부분에서 쉬운 일은 아니다. 하지만 최근 디지털 포렌식은 이러한 문서들이 기록되어 있는 하드디스크를 확보함으로써 빠른 검색을 통해 증거를 확보하거나 과거에 작성되어 폐기되었거나 혹은 이메일로 송부한 후 삭제된 문서들을 복원하여 조사할 수 있는 기술의 발달로 다양한 수사에서 결정적인 역할을 해나가고 있다.  

디지털 포렌식이란 디지털 자료가 법적 효력을 갖도록 하는 과학적 절차와 방법으로 디지털 증거물에 대한 보존, 수집, 확인, 식별, 분석, 해석, 기록, 표현, 보고를 과학적인 증명 방법을 사용하여 수행하는 것을 말하는 것으로 컴퓨터 포렌식이 등장하면서 수사기관에서는 수사대상이 사람에서 증거물(유체)로 점차 변화되고 있다. 디지털 포렌식의 등장 배경은 첫째로 기하급수적으로 늘어나고 있는 수없이 많은 데이터를 처리해야 하는 문제이다.

2001년 FBI 관련 자료에 의하면 법적 증거의 95%가 컴퓨터에서 생산되고 있으며 과거 30년간 데이터 생산량은 12EB인데 비해 최근 2000년부터 4년간 9EB(버클리대 발표)로 크게 늘어나고 있으며 2010년은 150EB로 늘어날 것으로 보고 있다. 다음으로 최근의 조사 기법 패러다임의 변화를 들 수 있다. 최근 자료제출 및 영치범위의 확대로 그 범위가 사실상 무제한에 가까워짐으로써 임직원 PC의 업무 문서는 물론, 기업의 이메일 서버, 전자결재, 파일 서버, 회계 ERP 서버 등으로 조사영역이 확대되고 있다. 이러한 현상들은 디지털 포렌식을 사이버 수사, 위조, 해킹, 기술유출 등에 다양한 분야에 적용되어 사용되고 있으며 앞으로는 정보보호 전반에 대한 핵심기술로서 사용될 것으로 보고 있다.

디지털 포렌식 전문가

디지털 포렌식을 다루는 사람은 증거물을 다루는 일인 만큼 기본적인 소양으로 정직성이 필요하다. 정직하지 못한 사람은 완벽을 요구하는 증거물 취급의 무결성에 문제가 생길 수 있는 것이다. 디지털 포렌식 전문가에는 한 가지 영역이 아닌 Foren sic Analyst, Forensic Consultant, Forensic Agent 등으로 나누어 볼 수 있는데 Forensic Analyst는 IT Compliance, Legal Consultant 등을 예로 들 수 있다.(수많은 증거물의 관리가 필요하고 정렬되고 산뜻한 증거물 관리는 정확한 분석에 초석이다.)

Forensic Consultant는 Data Analyst, Network Analyst, Crypto Expert, Security 전문가, Databse 전문가 또는 회계법인, IT컨설턴트, 보안컨설턴트 등을 예로 들 수 있다. 다음으로 Forensic Agent는 주먹구구식의 경험에 의존한 수사가 아닌 Best Practice의 학습과 매뉴얼에 의한 첨단 장비를 활용하는 조사가 필요하다. 이러한 포렌식 조사는 3개 분야의 전문가들의 구성이 필요하며 각 분야의 전문가들이 팀을 이루어 공동으로 작업을 해야 하며 조화로운 형태를 이루어야 한다. 다음으로 포렌식 전문가는 풍부한 현장 경험과 즉각적인 현장 판단, 객관적이면서 클라이언트에게 유리하도록 증언(Litigation Strategist), 강한 IT 실력, 우수한 대화기술, 문장력, 설득력, 케이스에 대한 경험 등이 필요하다.

기업의 디지털 포렌식 활용

현재 기업에는 산업 유출 및 영업 비밀에 대한 보안 대책의 수단으로 감사 활동 및 보안시스템을 설치하여 운용하고 있지만 전통적인 방법의 감사 방법과 단순한 보안 시스템의 운용만으로는 근본적인 처방이 되고 있지 않다. 현재는 이러한 적절한 대안으로서 포렌식 기술이 필요하다.

그렇다면 기업에서의 포렌식 응용 분야로는 어떠한 것이 있을까. 기업에서의 포렌식의 응용분야는 디지털 감사, 보안사고의 재설정, 시스템 운용문제의 재조정, 사고대응, 증거보존(로그분석), Risk 분석(HR), 시스템 손상으로부터 회복의 일을 할 수 있다. 보안사고발생시 사고의 원인 규명이나 트로이 목마 분석, 해킹 소프트웨어 제거 등은 보안 전문가들이 할 수 있으나 보안 사고에 대한 증거분석 및 증거 보존, 사후대응, 피해규모 산정 등은 포렌식의 역할이 필요한 분야이다. 이렇듯 최근의 조사 패러다임은 다음과 같이 변화하고 있다.

첫째로 삭제파일 우선 분석으로 시간 절약이 필요하다(수사기관이나 기업 조사시, 기업 감사에서 본인이 직접 제출토록 요청). 둘째로 조사기관의의 경우 기관에서 자료를 획득한 후 해당 컴퓨터를 분석하여 파일 특정이 필요하며 셋째로 이메일에 일정관리 포함하여 분석하고 넷째로 HDD 정밀 분석에서 대용량 데이터 스토리지, 데이터베이스, 네트워크 분석과 같이 진행되어야 한다.

다음으로 기업에서 준비해야 할 것이 e-Discovery이다. 현재 e-Discovery는 미국 민사 소송에서는 이미 2006년 12월에 의무화되어 있으며 현재 Concordance, Zylab, EV 등이 e-Disicovery툴로 사용되고 있다. 현재 기업에서는 이메일 아카이빙으로 발전했다. 이러한 기업의 분석에서는 온라인 리뷰용 툴도 사용되고 있으며 이러한 온라인 리뷰용 툴은 이메일, 문서파일 등 인덱싱 및 검색, Retrieve 및 리뷰를 위한 검색(Tag, Relevant, Mark, Comment, Distribution) 등을 포렌식 전문기관이나 로펌, 회계법인 등에서 사용하고 있다. 기업에서의 분석기법으로는 다음과 같은 것을 볼 수 있다.

• 시계열 분석 : 특정 대상의 시간적 변동을 계속적으로 관측하여 얻은 자료에 근거하여 그 변동의 원인을 해명하고 미래를 예측하기 위하여 행하는 분석
• 전문가 시스템 : 전문적인 지식이나 문제 해결 방법 따위를 컴퓨터에 넣어 두고 컴퓨터를 문제 해결에 이용하는 시스템, 의료진단시스템, 설계시스템 등
• 퍼지논리 : 어떤 현상의 불확실한 상태를 표현하고 처리할 수 있는 비결정적인 확인 논리, 미국 버클리 대학의 자데가 처음으로 소개. 인간의 애매한 표현을 처리할 수 있는 이론적 바탕을 제공
• 패턴인식 : 인간의 지각 능력을 본떠서 만든 프로그램에 의해 컴퓨터가 도형, 문자, 음성 따위를 식별하는 일. CCD카메라, 광학문자판독기, 자기 잉크 문자판독기 따위에서 사용되고 있으며 편지 문자 판독장치나 음성 응답 장치 따위에서도 이용할 수 있도록 연구가 진행

그 밖에 불확실성 추론, Agent 정보검색, 인공지능, 신경망/기계적학습 등의 방법이 사용되고 있다. 이러한 조사 기법은 회계시스템 분석(분식, 횡령, 비자금, 부정조사), 로그분석(운영체계, DB, Firewall, IDS, Application, 보안시스템, 메일) 의약분야(병원 비용과다 청구, 의약품 유통비리, 진료진단시스템분석), 건설분야(공사수주시스템, 하청관리 등 분석, 비자금 조성), 전자지불결제(카드 부정사용사기), 금융시스템(은행, 보험, 증권관련 부정징후 및 사기 관련 시스템 분석, 금융기관의 부정은 내부직원의 부정이 90% 정도임), 제조판매(임직원 뇌물관련 하청 거래 부정조사, 판매관리시스템 분석) 등에 활용될 수 있다.

디지털 포렌식의 활용과 전망

앞으로 디지털 포렌식은 환경적인 면에서 최근 IT트렌드의 변화를 볼 수 있으며 컴퓨터로 제어되는 자동차나 컴퓨터를 이용한 의료 기술 등과 같이 IT융합 기술의 등장이 많아지고 클라우드 컴퓨팅과 같은 가상화 기술, 웹 콘텐츠의 증가와 각종 멀티미디어 데이터가 증가하고 있으며 각종 암호화 기술 등이 등장하고 있다.(주변의 환경은 100% 디지털 세상에 가까워지고 있으며 Culture Oriented, 클라우드 모바일 컴퓨팅, 보안 분야에서 블루오션으로 새롭게 등장(NYPD, 2006)하고 있다.) 또한 민간 조사 분야의 핵심기술로 등장하고 있는데 그 예로 디지털 감사, 회계감사, 인력관리, 정보보호 및 보안 컨설팅, 해킹수사, 국가기관의 기업조사, 등이 디지털 포렌식과 연계되어 이루어지고 있다.

현재 미국 포렌식 전문회사의 경우 연매출 4조원 업체가(FTI, 2008) 등장했으며 일본 K사의 포렌식분야 파트너는 회사 평균 매출 3배가 넘는 10억엔 규모의 실적을 달성했다. 한국도 포렌식의 민간분야 활성화를 위해서 한국적인 포렌식 방법론의 표준화가 필요하다.

그렇다면 앞으로 더 발전해야 할 포렌식 기술에는 어떤 것이 필요할까. 기본적으로 포렌식 기술에는 고속 이미징 및 압축기술(대용량 데이터로 최근 HDD가 1TB 이상의 용량이 사용되고 최근 500GB의 HDD에 대한 이미징으로 10시간 소요/USB3 등 새로운 인터페이스가 적용된 컴퓨터 및 Write Protect 장비와 저장용 HDD의 고속화), 고속 검색기술, 디지털 증거 공증기술, 가상기반의 포렌식 기술(목표 시스템에 영향을 주지 않으면서 디지털 증거 수집 및 조사를 수해할 수 있는 가상화 기반 디지털 포렌식 기술에 대한 연구), 멀티미디어 기술(저작권 침해 방지, 각종 자동차 사고에 대한 분석 등), Live포렌식(살아 있는 컴퓨터에 휘발성 증거 수집을 목표로 프로세스, 레지스트리, 시스템정보, 로깅정보, 암호화되지 않은 데이터, 콘솔명령, 웹 히스토리, 암호키 등을 수집), 분산처리기술(대용량 스토리지 증거들에 대한 디지털 증거분석의 가장 큰 문제인 속도 문제를 해결하기 위해 분산컴퓨팅 기술을 활용하여 해결), 자동화 포렌식 기술(사람의 실수를 최소화하고자 이미징(해쉬값, 시그너처분석, 복구, 키워드 검색), 분석, 검색 기술 등을 자동화함으로써 디지털 수사의 속도를 증가시킬 수 있는 도구에 대한 연구) 등이 필요하다.

앞서 말한 포렌식 기술과 더불어 포렌식 도구는 어떠한 방향의 발전이 필요할까. 첫째는 고속처리 병렬처리시스템으로 고속데이터 처리가 필요하며 각 프로세스별 업무 분담이 필요하다. 둘째로 현행 수작업으로 진행되는 절차를 자동화한 처리가 필요하며 셋째는 정확성 및 신뢰성 향상이 필요하다.

그리고 넷째 다양한 운영체제와 파일시스템에서 동작, 오류 통제, 100% 검증, 예기치 못한 오류가 발생시 이전 단계로 복구(Rollback)하는 시스템이 필요하다. 다섯째로는 고성능의 확장 가능한 스토리지를 지원하며 신형 인터페이스의 신속한 적용으로 속도 향상(USB3는 USB2의 10배 속도 향상)이 필요하다. 여섯째는 새로운 증거 포맷이 필요하다. 계층형 증거포맷, 레벨0는 원본이미지, 레벨1은 단일 선형구조로 탐색속도 개선과 해쉬값을 가진 구조, 레벨2는 분산처리시스템을 하기 적합한 크기로 변경이 필요하다.

다음으로 Digital Evidence Bag(디지털 증거를 저장할 포괄적인 개념의 용기) 현실의 일반적인 증거보관 개념을 디지털 포렌식 분야에 적용, 다양한 기기에서 수집한 증거의 보관 포맷 표준화, 표준화된 증거의 처리과정 간소화가 필요한 것이다. 이어 감사추적을 들 수 있는데 분석 후 감사로그는 제3자 확인이 필요하기 때문이다. 마지막으로 적절한 Raw포맷-이미지-분석용 포맷(키워드 검색, 분산시스템)-보관용 포맷이 필요하다. 이렇듯 빠르게 변화되고 있는 기술에 맞추어서 포렌식 기술의 발전도 필요하지만 이와 더불어 포렌식 전문가의 양성도 또한 필요하며 국내 실정에 맞는 국산화의 장비 또한 시급한 과제이다.

<글 : 전상덕 건국대학교 정보통신대학원 겸임교수(zauri3@naver.com)>

[월간 정보보호21c 통권 제121호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>