지금 우리는 IT와 비즈니스가 융합화 되고 있는 스마트 시대를 살아가고 있다. 이렇게 하루가 다르게 변화하고 있는 환경에서 이제 모든 정보는 디지털화 되고 있다고 해도 과언이 아니다. 정보가 디지털화 됨에 따라 그에 따른 저장매체도 점점 더 다양해지고 있다.

정부기관이나 일반기업에서 휴대용 장비의 사용은 업무필요상 그것이 업무의 효율성 측면이나 시간절감 차원에서 이제 선택이 아닌 필수요소로 자리매김하고 있는 것이 지금의 오피스 업무의 현실이라고 봐도 무리가 아닌 듯싶다. 그렇다고 해서 기존 디스크 방식의 저장매체를 배제하라는 의미는 아니다. 여기서 필자가 말하고 싶은 것은 기존 대용량 저장매체의 업무처리 방식에 적용되는 디스크 포렌식/컴퓨터 포렌식과 성격이 다른 모바일 포렌식(Mobile Forensic) 개념과 활용방안이다.

모바일 포렌식의 개념

모바일(mobile)이라는 의미는 소형화·경량화를 통해 이동편의성을 극대화한 물리적 미디어를 총칭하여 나타내는 정보통신기기라고 정의할 수 있다. 예를 들면 휴대폰, 스마트폰, PDA, PMP, DMB, Navigation, 전자사전, 디지털카메라, 캠코더, 차량용 블랙박스, 각종 USB 디바이스 등 휴대가 가능한 모든 장치가 해당된다고 보면 된다. 그리고 여기에 포렌식(forensic) 이라는 말이 더해져 만들어진 개념이다. 다시 말해 모든 휴대 가능한 장치에 대하여 법정에서 증거로서의 증거능력을 갖게 하기 위한 법률적·수사적·기술적 분석과정 및 절차라고 말할 수 있다. 또한 모바일 포렌식은 디지털 포렌식에 포함되는 개념으로도 생각할 수가 있는데 그 이유는 서론에서도 이야기 했듯이 모든 모바일 포렌식 장치에서 추출되는 증거도 결국은 디지털 증거로 나타나기 때문이다. 하지만, 여기서는 편의상 모바일 포렌식이라는 용어로 설명하도록 한다.

사이버 포렌식과의 차이점

사이버 포렌식과 모바일 포렌식은 상위개념과 하위개념의 관계라고 볼 수 있다. 기존 사이버 포렌식이 사이버 상에서 일어나는 모든 범죄행위에 대한 법정대응 및 처리절차라고 한다면 모바일 포렌식은 디지털 기술이 발전하면서 생긴 휴대용 물리적 미디어에 대한 법정대응 및 처리절차로 보는 것이 타당할 듯하다. 엄밀히 따진다면 이견도 있을 수 있겠으나 모바일 포렌식도 결국은 컴퓨터와 연동되어 일어나는 사건이 대부분이므로 사이버 포렌식의 영역 안에 포함된다고 보는 것이 바람직하다.

스마트워크 환경에 따른 모바일 포렌식의 필요성

조직이나 기업 환경에서 업무처리를 하는 데 있어 모바일 디바이스 특히 스마트폰의 지속적인 시장점유율 증가는 이러한 스마트워크로의 업무환경 변화 추세를 잘 설명해주고 있다고 할 수 있다. 또한 스마트폰이 가지고 있는 장점을 잘 활용하면 업무처리의 효율성은 물론 시간적으로도 많은 이득을 얻을 수 있다.

하지만 포렌식 관점에서 바라볼 때 스마트폰이 가진 취약점은 결국 범죄로 악용될 소지가 충분하다는 점이다. 가령 스마트폰으로 업무를 보는 직원이 회사의 영업비밀이나 대외비를 경쟁업체에 넘겨주는 경우 회사에 발생하는 막대한 금전적 손실은 물론 대외적인 신뢰도 하락으로 이어져 경제적 손실보다 더 큰 피해를 입을 수 있다. 더욱이 기업의 핵심연구개발 자료나 데이터가 산업스파이에 의해 해외로 유출될 경우 그 피해는 더 심각할 수도 있다.

폭발적인 증가추세를 보이고 있는 모바일 장치의 보급에 따라 업무생산성 향상, 탄소배출 감소, 사이버 회의, 원격진료 등과 같은 긍정적인 측면이 있는 반면에 기업비밀과 핵심연구개발기술 유출, 개인정보 탈취 등 그에 따른 부작용 및 역기능도 점차 증가할 수밖에 없다.

이제는 시대의 흐름이 언제 어디서나 시간의 구애를 받지 않고 업무가 가능한 스마트오피스/스마트워크로 옮겨가는 큰 흐름을 막을 순 없다. 또 정부정책에 따라 올해 시범 구축된 2개 스마트워크센터가 내년부터 2015년까지 광역권 48개, 민간투자형 450개로 확산되고, 공무원 스마트워크 비율이 2015년에는 30%까지 늘어날 것으로 예상되고 있다. 자세한 통계는 아래 그림을 참고하기 바란다.

따라서 이러한 환경에 대처할 수 있는 미봉책이 아닌 전략적인 대응책이 필요하다고 생각하는바 모바일 포렌식의 필요성이 더욱 부각될 것으로 보인다.

모바일 포렌식 국내·외 활용현황 비교

국내에서 모바일 포렌식 활용현황을 보면 아직까지는 국정원, 기무사령부, 국방부 조사본부, 대검찰청, 사이버 경찰청 등과 같은 수사기관에서 수사목적상 증거를 보관 및 확보하고 데이터를 찾아내어 기소하기 위한 목적으로 사용하고 있는 실정이다. 그리고 국내 모바일 포렌식 분석업무만을 전문으로 하는 곳이 몇 군데 있는데 이씨플랫폼과 모바일트랙이 대표적이라고 할 수 있다. 이들은 주로 하드웨어적인 분석과 자체 분석 솔루션으로 소프트웨어적인 분석업무를 수행한다.

해외의 경우 영국 정부기관과 경찰청에서 사용하는 Cellebrite 사의 UFED, 미국 연방정부 및 수사기관에서 사용하는 GSI 사의 EnCase Portable, AccessData 사의 Mobile Phone Examiner, 그 밖에 스마트폰용 Oxygen Forensic Suite가 가장 대표적으로 사용하고 있는 제품들이다. 해외제품들은 우리나라에서도 정부/수사기관이나 법무법인에서 많이 사용하고 있는 것으로 알고 있다.

아무래도 포렌식의 기반이 되는 모체가 외국이다 보니 포렌식 분석제품이나 장비도 위에 열거한 외국제품들이 주를 이루고 있는 것으로 보인다. 필자의 개인적인 견해로도 분석기능이 더욱 탁월한 것으로 판단된다. 필자 역시 스마트폰 분석을 할 때는 Oxygen Forensic Suite를 많이 사용하는데 스마트폰에 특화된 강점을 가지고 있기 때문에 분석하기가 한결 수월하다. 이것 역시 기술적인 차이라고 생각한다.

국내 모바일 포렌식 분야 발전 위한 선결과제

사이버 범죄가 급속도로 증가하고 있는 추세와 발맞추어 모바일 장치 특히 스마트폰을 이용한 범죄는 점점 더 다양해지며 컴퓨터와 연동한 범죄로 진화되고 있는 추세이다. 더욱이 스마트폰을 이용하는 산업스파이는 국가의 기간산업은 물론이고 기업의 핵심기술 유출을 통하여 한 나라 및 기업의 근간을 흔들 수 있는 심각한 상황을 만들 수도 있다.

그럼에도 불구하고 현실은 아직까지 표준과 절차의 부재라는 당면과제에 직면해 있다. 게다가 현재 급부상하고 있는 스마트폰은 법 집행, 표준, 절차가 아직 미흡하여 하이테크 범죄 및 일반 범죄에 악용될 소지가 다른 모바일 장치보다 훨씬 농후하다. 그 이유는 스마트폰은 휴대전화 개념이 아닌 Small PC로서의 역할을 하기 때문이다. 따라서 정부차원에서는 이에 대응한 법 집행, 표준과 절차 마련에 적극 나서야 하고 그에 필요한 전문인력 양성교육을 통해 전문가집단을 만들어 오피니언 리더로서 활동할 수 있도록 함으로써 지속적으로 증가하고 있는 스마트폰을 이용한 범죄 및 사고에 대응해야 한다.

또한 기업 차원에서는 보안부서 내에 내부감사와 포렌식 분석 업무를 수행할 수 있는 전문인력을 적극적으로 채용하여 기업 내·외부에서 발생하는 사건 및 사고에 대하여 처리할 수 있도록 하는 것이 차후에 발생할 수 있는 큰 손실을 최소화할 수 있는 대안이라고 생각한다.

모바일 포렌식의 활용분야

• 정부기관이나 수사기관에서 용의자의 범행사실을 증명하기 위한 증거자료가 필요한 경우
• 법무법인이나 기업에서 법정소송 시 증거자료가 필요한 경우 
•  조직이나 기업에서 산업스파이나 회사 기밀자료 유출을 적발하고자 하는 경우
• 보험회사에서 보험사기 혐의자의 증거를 찾아내야 하는 경우
• 의료사고로 인한 분쟁 시 소송을 위한 증거수집이 필요한 경우
• 자동차 사고 시 원인을 규명하기 위하여 사고차량 블랙박스를 분석해야 하는 경우

위의 경우 이외에도 모바일 포렌식의 활용분야는 점점 더 늘어날 것으로 예상하고 있다.

이제 모바일 포렌식은 선택 아닌 필수

지금까지 모바일 포렌식에 대해 개괄적으로 이야기해 보았다. 서두에서도 말했듯이 스마트폰은 모바일 분야에서 새로운 영역이라 할 수 있으며 그 애플리케이션의 다양성으로 인하여 스마트폰을 PC와 연동하여 사용하거나 단독으로 업무를 볼 수 있는 장치의 특성으로 업무의 효율성 향상 및 시간절감 효과라는 긍정적인 측면이 매우 크다. 그러나 그것을 자칫 부정적인 용도로 잘못 사용하게 된다면 여러 지능적인 형태로 파생되는 화이트칼라 범죄에 노출될 수 있음을 주지해야 한다.

그렇다고 해서 스마트 오피스 업무로 바뀌어가는 대세를 거스를 수는 없기에 그에 따른 대비책을 세워야 하며 차후 사고 발생시 신속하고 정확하게 조사·분석하여 동일한 사고가 생기지 않도록 대책을 강구하는 것이 매우 중요하다. 필자는 이를 위한 필요충분조건이 바로 포렌식이라고 감히 제안하고 싶다. 결국은 모바일 포렌식이 스마트 오피스 시대에 보안의 최후 보루로써의 수단이 될 수밖에 없다고 생각한다. 특히, 정부기관에서의 법적 증거 확보나 기업간의 소송이나 분쟁에서 모바일 포렌식으로 찾아낸 증거가 결정적 단서로서 역할을 할 수 있다고 본다.

따라서 정부기관의 장이나 기업 CEO, 그리고 임원진 이상의 간부들은 이러한 스마트 시대로의 변화에 대응하는 전략을 세워야 하고 필요하다면 보안부서를 재구성하여 포렌식 감사와 포렌식 조사 및 분석을 수행할 인력, 그리고 그에 따른 법적대응을 전담할 팀을 구성하는 것이 필요하다. 그리고 그것이 급변하고 있는 스마트 시대를 앞서갈 수 있는 필수불가결한 요소가 되고 있다.

물론 예산 측면도 고려해야 할 사항이지만 앞서도 얘기했듯이 보다 더 큰 것을 생각한다면 그것은 문제가 되지 않는다고 생각한다. 당장 눈앞에 보이는 이득이 없다고 해서 유비무환의 전략을 세우지 못한다면 소탐대실의 결과로 이어질 것은 자명하다. 모바일 포렌식은 시기상조가 아닌 반드시 추진해야 할 과제로 심사숙고해야 할 것이다.   

<글 : 손 형 근 | 한국CISSP협회 연구부문 사이버포렌식 팀장/사이버포렌식전문가협회 교육이사(son3817@paran.com)

CISSP/CISA/CCFP/EnCE/MCDBA/MCTS/MCSA/MCSE/MCSA.MCSE: Security>

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>