OS업그레이드, 하드웨어 변경, 휘발성 데이터 등은 장애요소 

[보안뉴스=최우영 제트코 이사] 핸드폰과 PDA, 태블릿 PC 등과 같은 디지털 모바일 장치들은 현대인의 개인적·비즈니스적인 모든 측면에서 중요한 역할을 하고 있다. 사용자들의 편리를 위해 기능적으로 엄청난 진보가 이루어졌고 이로 인해 오늘날 널리 사용되고 있는 것이다. 그렇다 보니 이제는 좀더 빠르고 저렴한 통신 기술뿐만 아니라 프로세싱 속도 및 저장능력 면에서도 더욱 파워풀한 디지털 모바일 장치들이 요구된다.

이렇듯 시간이 흐르면서 모바일 디지털 장치는 가장 기본적인 보이스 바탕의 통신장치에서 카메라, 멀티미디어 플레이어, 다이어리, 파일저장 시스템 및 웹브라우저 기능이 들어간 멀티 기능의 장치로 옮겨가고 있다.

2012년 현재 전 세계 핸드폰 사용자는 60억 명에 달한다고 하는데, 이는 전 세계 인구의 87%에 달하는 숫자다. 향후에는 더 많은 사람들이 디지털 모바일 장치를 사용할 것이며, e-commerce 애플리케이션 등을 통해 좀더 많은 중요한 정보들이 디지털 모바일 장치에 저장될 것이다.

이렇듯 모바일 장치는 현대인들에게 없어서는 안 될 훌륭한 도구지만, 중요한 정보가 담긴 모바일 장치에 대한 보안 측면으로서의 고려가 미흡하다는 점은 아쉽기만 하다. 현재도 그러하지만 향후에는 이를 이용한 범죄가 증가하리라는 예상은 분명해 보인다. 그러나 한 가지 다행스러운 것은 대부분의 용의자들의 모바일 장치는 범죄와 관련해 유용한 증거를 찾을 수 있는 훌륭한 조사대상이 될 수 있다는 점이다.

이와 관련한 컨셉으로 모바일 포렌식이라는 용어가 나왔는데 이는 디지털 포렌식 분야의 하나로 모바일 장치에서 디지털 증거나 데이터를 복구하여 범죄수사의 중요한 법적 증거자료로 사용할 수 있도록 하는 것이다.

최근 몇 년 동안 모바일 폰을 이용한 범죄가 늘어나고 있지만 모바일 장치에 대한 포렌식 연구는 2000년대 초반에 시작된 비교적 새로운 분야다. 소비자 시장에서의 스마트폰 사용 확산으로 인해 모바일 장비의 포렌식 조사에 대한 수요가 늘어나고 있지만 이를 기존의 컴퓨터 포렌식 기술로 해결하는 데는 한계가 있는 것이 사실이다. 핸드폰 장치의 메모리 타입, 커스텀 인터페이스 및 자체의 독자적인 특성으로 인해 컴퓨터 포렌식과 비교해 다른 포렌식 프로세스가 요구되는 이유다.

초기에는 모바일 장치를 조사하기 위해 컴퓨터 포렌식 조사와 유사한 기술을 사용하여 화면을 통해 분석하거나 중요한 내용을 사진으로 촬영했다. 그러나 시간이 흐르면서 조사관들이 최소한의 간섭으로 모바일 장치의 메모리를 복구하고 그것을 별도로 분석할 수 있는 상업용 툴들이 나오기 시작했다. 그리고 최근 몇 년간은 이런 기술들이 더욱 더 빠르게 개발되기 시작했고, 독자적인 모바일 장비에서 삭제된 데이터를 복구할 수 있는 몇몇 전용툴들도 나오게 되었다.

모바일 포렌식 툴로는 Paraben사의 Device Seizure, Celebrite사의 UFED, Logicube사의 Cell DEK, Microsystemation사의 XRY, Oxygen Software 등이 있다.

모바일 장치가 진보함에 따라, 모바일 장치에서 찾을 수 있는 데이터의 양과 종류도 지속적으로 증가하고 있다. 모바일 장치에서 수사기관들에 의해 잠재적으로 복구될 수 있는 증거 데이터(evidence)는 SIM 카드, 핸드셋 및 메모리 카드 등의 몇 개의 다른 소스에서 찾을 수 있다.

전통적으로 모바일 폰 포렌식은 call logs, 연락처 및 핸드폰 IMEI/ESN 정보뿐만 아니라 SMS와 MMS 메시지를 복구하는 것에 연관되어 있었다. 하지만 새로운 스마트폰 시대에는 웹브라우징, 무선 네트워크 세팅, 이메일 및 이미지, 파일 등의 저장된 데이터 및 스마트폰 앱 관련 중요 데이터를 포함하는 다른 형태의 인터넷 매체로부터 나오는 다양하고 넓은 범위의 정보를 포함하게 됐다.

이런 모바일 포렌식 기술을 이용해서 수집된 증거자료를 바탕으로 범죄를 해결한 케이스에 대해 알아보자.

테러방지 사건에 법정증거로 채택된 핸드폰 데이터

아일랜드 테러집단으로 알려진 IRA(Irish Republican Army)에 연루되어 있다는 혐의로 기소된 Sean Farrell(27세)이라는 이름을 가진 한 더블린 남성을 상대로 열린 재판에서 핸드폰 데이터가 증거가 채택됐다.

Europol의 분석관으로 일하는 Fiona Summers 수사관은 본 사건에 대한 법정재판에서 Farrell과 더불어 본 사건에 연관되어 체포된 또 다른 남성의 핸드폰에서 이 두 남성들이 주고받은 문자메시지 및 전화통화 내역을 포함한 모든 통신 데이터를 추출하여 분석했다고 증언했다.

Summers 수사관의 증언이 있기 전에 이미 XRY 모바일 포렌식 장비를 사용하여 용의자들의 핸드폰과 SIM 카드에서 추출한 송수신 문자메시지, 걸거나 받은 통화기록, 받지 못한 통화 기록, 연락처, 저장된 사진 등을 포함한 모든 통신데이터에 대한 분석자료가 법정 증거로 제출됐다.

Summers 수사관은 체포된 남성의 핸드폰에서 Farrell의 핸드폰으로 2011년 6월 24일 오전 10시 53분에 보낸 문자메시지에 “Sean, 가방 하나에 모두 담았나?”라는 내용이 담겨있었다고 증언했다. 이 재판이 있기 일주일 전에 열렸던 재판에서는 기소된 남자의 지문이 엽총이 든 플라스틱 가방에서 채취되었다는 내용이 증언된 바 있다. 이 플라스틱 가방은 Dublin 8 지역의 Bride Road에 위치한 원룸 아파트를 수색하던 중에 발견한 두 점의 다른 무기와 함께 발견됐다. Farrell은 기소된 남자와 어떤 관계인지를 묻는 여러 차례의 질문에 “no comment”라는 답변으로 일관했다.

핸드폰 증거로 살인사건 해결

2008년 카리브해의 아름다운 섬인 안티구아에서 신혼여행을 즐기던 중 살해된 영국인 Ben과 Catherine Mullany를 살해한 혐의로 기소된 두 명의 남성인 Avie Howell과 Kaniel Martin에 대한 재판이 안티구아의 수도 St. John’s에서 열렸다.

기소된 용의자들은 본 살인사건과 관련된 증거가 명백함에도 불구하고 재판 내내 한결같이 자신들의 무죄를 주장했다. 하지만 그들의 주장에도 불구하고 2개월에 걸친 재판 끝에 이들은 유죄가 선고됐다.

이 사건은 살해된 부부의 살인사건이 국가의 관광산업에 악영향을 미칠 것을 우려한 안티구아 수상의 특별 요청에 따라 영국의 포렌식 전문 수사관들이 안티구아로 파견되어 사건 조사를 도움으로써 극적으로 해결될 수 있었다. 이 살인사건에 가장 핵심적인 증거는 두 개의 핸드폰이었다. 그 중 하나는 희생된 부부의 것이었고 또 다른 하나는 기소된 용의자들 중 한 명의 것이었다.

살해된 Mullany의 핸드폰이 용의자 Martin의 집에서 발견되었으며 핸드폰 데이터 분석결과, 살인사건이 발생된 지 12시간 후에 Howell이 자신의 SIM 카드를 Ben Mullany의 핸드폰에 끼웠었다는 것이 밝혀졌다. 또한, 증거로 제출된 핸드폰에 녹음된 음성 메시지에는 용의자 Martin이 자신의 여자 친구와 얘기하는 내용이 녹음되어 있었고, 또 다른 메시지에는 Martin이 직접 노래를 부른 것이 녹음되어 있었다. 이 용의자의 핸드폰은 또 다른 핵심 증거를 제공했다.

이 두 용의자는 희생된 부부가 머물렀던 호텔 방 근처에는 전혀 간 적이 없다고 주장했지만, 핸드폰 기록에 따르면 총기가 발사된 시각 전에 Martin이 그 근처에 있었다는 것이 증명되었다. 이 용의자들은 일주일 후에 다시 Morning glory Sunshine 가게에서 범행을 저질렀다. 이 가게의 점원인 Ms. Woneta Anderson이 머리에 총상을 입고 즉사했으며 사건현장에 남겨져 있던 스카프에서 Howell의 DNA가 검출된 것이다. 영국의 포렌식 전문가인 Christopher Moynehan 박사를 포함한 관련 전문가들은 Howell과 Martin의 옷에서 살해현장에서 사용된 총기의 잔여물이 검출되었다고 증언했다.

모바일 포렌식 분야의 향후 과제

모바일 장치는 현대인이 살아가는 삶의 중요한 부분으로 자리잡아 가고 있다. 스마트폰은 취미를 즐기는 엔터테인먼트 장소가 되기도 하고, 사회활동을 하는 소셜 툴, 비즈니스를 하는 움직이는 사무실이 되고 있다. 증가하는 connectivity 옵션과 더 증가되는 스토리지 능력 및 프로세싱 능력과 함께 모바일 폰의 사용은 주요 흐름이 될 것이며, 향후 모바일 폰이 퍼스널 컴퓨터를 앞지르는 시대가 올 것이다.

디지털 범죄 증가 추세와 더불어 모바일 폰도 디지털 범죄에 사용될 차세대 수단이 될 수 있다. 모바일 폰 기술은 엄청나게 빠른 속도로 진화하고 있으며 하루가 멀다 하고 쏟아져 나오는 모델들과 기능들 및 데이터의 추가는 포렌식 조사관에게는 커다란 어려움이 되고 있다. 또한, OS의 업그레이드, 빈번한 하드웨어 변경, 휘발성 데이터 등은 모바일 포렌식 조사에 있어 장애요소가 되고 있다.

따라서 모바일 폰의 출시 사이클, 기능 추가 및 변화된 환경에 발 빠르게 대응해 나가야 하는 것이 향후 모바일 포렌식 분야의 과제가 될 것이다.

[글_ 최 우 영 제트코 영업이사(wooyoung@jetco.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>