[보안뉴스 김태형] 최근 디지털 포렌식(Digital Forensics) 기술의 발전과 함께 안티 포렌식(Anti Forensics) 기술 수준도 높아지고 있다. 하지만 디지털 증거를 찾아내고 보호하기 위해서는 이러한 안티 포렌식에 대응하는 기술을 지속적으로 연구·개발하고 정책적인 지원이 필요하다는 주장이 제기됐다.

26일 서울 르네상스호텔에서 개최된 ‘제12회 디지털포렌식 산업포럼 조찬 세미나’에서 이상진 고려대 디지털포렌식연구센터 교수는 ‘안티 포렌식의 현주소’를 주제로 진행한 강연에서 이같이 말했다.

이날 강연에서 이상진 교수는 “디지털 기술의 발전으로 디지털 데이터가 범죄에 대한 법적 증거로 효력을 발휘하게 되면서 안티 포렌식의 개념이 등장하게 됐다. 이 안티 포렉식은 포렌식 기술에 대응해 자신에게 불리하게 작용할 가능성이 있는 디지털 데이터를 훼손하거나 숨김으로써 증거물의 획득 차단 또는 방해하는 일련의 행위를 말한다”고 설명했다.

이러한 안티 포렌식 기술에는 데이터 삭제, 데이터 완전 삭제, 저장매체 파괴, 데이터 암호화, 데이터 은닉, 위·변조 등 다양한 기술이 존재하고 이런 기능을 제공하는 전문 솔루션들은 HW/SW 형태로 등장하고 있다.

하지만 이러한 안티 포렌식 기술들은 개인 또는 조직에서 정보보호를 위한 도구로 널리 활용되고 있는 반면, 디지털 증거를 분석하고 찾는 포렌식 가술에 반하는 요소가 되는 양면성을 가지고 있다.

이 교수는 “이러한 안티 포렌식에 대응하는 기술은 디지털 증거를 분석하고 찾아내기 위해서는 꼭 필요하다. 이러한 기술에는 데이터 복구, 패스워드 복구, 은닉 데이터 탐지, 물리 메모리 분석 기술 등이 있다. 하지만 데이터 완전 삭제가 제대로 수행 되었으면 데이터를 복구할 방법이 없고 패스워드의 복구도 전수조사로는 어렵고 패턴 분석이나 사전 공격 등으로 알아낼 수도 있지만 이도 쉽지 않다”고 설명했다.

이 외에도 은닉 데이터에서 탐지된 데이터의 복호화나 물리 메모리 분석을 통한 데이터 복구 등은 모두 현실적·기술적으로 어려운 상황이라는 것.

이에 대응하고 범죄에서 증거가 되는 디지털 증거의 분석과 증거 확보를 위해서는 안티 포렌식 대응 기술을 위한 지속적인 연구개발과 정책적인 지원이 필요하다는 것이 이 교수의 주장이다.

또한 그는 기업과 같은 조직 차원의 디지털 증거 인멸을 하는 경우에는 처벌을 강화하거나 DRM에 의해 암호화된 파일의 경우에는 원본 파일 제출 명령, 데이터 임의 삭제나 변조를 방지하기 위해 주기적인 모니터링과 실시간 수집 등의 현실적인 대책이 필요하다고 덧붙였다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>