왕보안·정보통 수사관과 함께 풀어본 디지털 포렌식 정의와 종류   

디지털 기기를 통해 범죄를 저지르거나 디지털 기기에 흔적을 남기는 범인이 존재한다면 범인을 찾아내 검거하는 수사관이나 기업 핵심기밀을 유출하는 산업스파이를 색출하는 보안담당자들도 존재해야 할 것입니다. 이때 수사관들이나 기업보안담당자들이 범죄자를 찾아내고 범죄자의 혐의를 입증하는 과정에서 디지털 포렌식의 절차 및 기술이 활용됩니다. 이에 본지에서는 김의한 학생기자와 함께 하는 [왕보안의 위대한 포렌식] 코너(4회 연재)를 통해 디지털 포렌식을 제대로 이해하고, 이를 적극 활용할 수 있는 방법을 고민해보는 시간을 갖도록 하겠습니다. 많은 관심 부탁드립니다. [편집자 주(editor@boannews.com)] 

▲ 이름: 왕보안(45세)     경력: 포렌식 수사관 11년차

[보안뉴스= 김의한 학생기자] 디지털 포렌식 수사관인 왕보안은 의자에 기댄 채로 책상에 발을 올리고 있었다. “휴…” 왕보안은 멍한 눈으로 천장을 바라보며 깊은 한숨을 내뱉었다. 얼마만의 휴식인지 기억이 나지 않았다. 최근 발생한 회계부정사건에서 압수한 디스크들을 분석하느라 한동안 정신을 차릴 수 없었다. 다행히 디스크의 HPA에서 의도적으로 숨겨진 것으로 추정되는 자료들을 발견해 사건을 해결하긴 했지만, 그 과정이 쉽지만은 않았다.

“선배님?” 뒤에서 들리는 목소리에 돌아보니 몇 주 전부터 함께 일하게 된 신입 수사관 정보통이었다. 해맑은 표정으로 커피를 들고 있는 모습을 보니 왕보안은 한숨이 나왔다.

“어휴…” 마음 같아서는 당장이라도 이 녀석에게 꿀밤을 쥐어박고 싶었다. 지난 회계부정 건 조사과정에서 하드디스크 중 하나를 이미징하라고 맡겼더니 쓰기방지장치도 연결하지 않은 채 디스크를 장치에 연결하고 이미징 작업을 시작하려 했기 때문이다. 생각만 해도 아찔했다. 원본 하드디스크의 내용이 변하기라도 했다면 해당 디스크에 존재하는 모든 자료를 증거로 사용할 수 없게 되기 때문이다.

▲이름: 정보통(32세)    경력: 포렌식 수사관 경력 전무

“선배니~임?” 왕보안이 잠시 생각에 잠겨 있는 동안 정보통이 다시 한번 왕 수사관을 불렀다. “왜?” 왕 수사관이 심드렁하게 대답했다. “선배님 죄송하지만 저 부탁하나 드리면 안 되겠습니까?” 넉살좋게 웃으며 부탁이 있다고 말하는 정보통. “사실 제가 포렌식에 관해 아는 게 별로 없거든요…”라며 뒤통수를 긁적거렸다. “선배님이 제게 기초라도 조금 알려주셨으면 해서요. 남는 시간에 따로 공부는 열심히 하겠습니다. 부탁드립니다!” 왕보안은 난감했다. “근데 너 포렌식 팀에는 어떻게 들어왔냐?” 왕보안의 질문에 정보통은 “그게…. 자세한 사정은 나중에 말씀드리겠습니다. 어떻게 안 될까요?”

‘어차피 함께 일할거 하나라도 알려준 후 일하는 게 편하겠지’라는 생각에 왕보안은 결국 정보통과 책상 앞에 마주 앉았다. “디지털 포렌식이 뭔지는 알지?” “예. 디지털 기기에서 범인이 남긴 증거를 찾는 것 아닙니까?” 왕보안은 ‘완전 바보는 아니구나’라는 표정으로 설명을 이어갔다. “맞아. 그런데 좀 더 자세하게 말하자면 법이 인정하는 범위 안에서 적법한 절차에 따라 디지털 기기에서 증거로 사용할 수 있는 정보를 찾아 법정에 제출하는 일련의 절차와 방법을 말해.”

“우리 경찰내 과학수사센터 요원들도 범죄현장을 방문해 피의자의 혈흔을 확인하고 시체를 부검하는 등 과학적 수사기법을 이용해 범인의 흔적을 찾아내잖아. 이렇게 찾아낸 흔적 즉, 증거는 특정인을 용의자로 지목하고 법정에서 피의자가 사건의 범인임을 증명할 수 있도록 도와주지. 그걸 뭐라고 그러는 줄 아나?”

정보통이 자신을 너무 무시한다는 듯 얼굴을 잠시 찡그리더니 답한다. “아이~ 참 선배님도. 저 그래도 경찰입니다. 법의학(Forensic Medicine)이잖아요. 법의학에서도 포렌식이라는 용어가 쓰이듯 법적 문제를 해결하기 위해 과학의 힘을 빌릴 때 포렌식이라는 용어를 사용하는 것 아닌가요?”

“그래, 정확히 알고 있군. 디지털 포렌식도 법의학과 같은 맥락에서 생각하면 쉽게 이해할 수 있지. 디지털 포렌식 수사관은 사람의 시체가 아니라 범죄현장에 남겨져 있는 디지털 기기에서 과학적인 방법으로 범인의 흔적을 찾아내기 위해 노력하잖아. 단, 반드시 법이 인정하는 범위 내에서 절차를 준수해 증거를 수집해야만 하지. 범인을 잡을 수 있는 결정적 증거를 찾아냈어도 그 절차가 법에서 인정하지 않는 것이라면 법정에서 그 진정성이 인정되지 못하거든.”

정보통은 얼마 전 자신의 실수로 결정적인 증거를 무용지물로 만들었던 일을 떠올리며, 얼굴이 붉어졌다. “지난 일은 이제 잊으라고.” 왕보안 수사관은 이를 눈치챈듯 어깨를 두드리며, 정보통을 격려했다.

“디지털 포렌식은 범죄수사에만 사용되는 게 아니야. 이제는 민·형사소송, 첩보, 기업보안 분야에서도 활용되기 시작했지. 특히, 법률사무소에서도 포렌식팀을 두고 기업 특허 및 영업비밀 유출소송 등에 대비하고 있고, 기업 보안부서에서도 포렌식 업무를 담당할 인력을 뽑기도 해. 외부에서 네트워크 등을 통해 기업 내부로 침입한 해커들의 추적하기 위해서뿐만 아니라 정보자산을 불법 유출하는 내부자를 찾아내기 위한 목적으로도 활용되고 있는 거지.”

“자, 오늘은 이 정도로 하지. 다음엔 디지털 증거에 대해 배워보자고. 그럼 그 전까지 포렌식의 종류에 대해 스스로 공부해 와야 돼. 알았어?” 왕보안의 말에 정보통은 거수경례로 화답했다. “넵, 선배님. 포렌식의 종류는 제가 확실히 정복해 오겠습니다. 충성!”

   

[정보통의 학습노트]

▲ 디지털 포렌식의 종류

종류	설명
컴퓨터 포렌식	테스크톱, 랩탑, 서버 등 범용컴퓨터를 대상으로 디지털 포렌식을 적용하는 경우
모바일 포렌식	스마트폰, 스마트패드, 스마트 카메라, 네비게이션 등 디지털 정보가 저장되는 휴대용 장비에 실시하는 경우. 모바일 기기의 사용 증가하면서 디지털 포렌식의 한 분야로 자리잡음
악성코드 포렌식	전 세계적으로 각종 피해를 주면서 사회적으로 영향을 끼치는 악성코드를 대상으로 하는 경우
네트워크 포렌식	네트워크 정보, 사용자 로그, 인터넷 사용기록 등 네트워크와 관련된 각종 정보 혹은 라우터, 무선장비, 방화벽 등 네트워크 장비들을 대상으로 하는 경우

※4가지에 국한되지 않고, 그 분야가 점차 확대되는 추세임

[왕보안의 용어풀이]

HPA : HPAATA-4에서 추가된 HPA(Host Protected Area)는 데이터를 저장할 수 있는 디스크의 숨겨진 영역이다. HPA에 정보가 저장된 경우 BIOS, OS, 사용자는 일반적인 방법으로 접근이 불가능하다. 포렌식 수사관은 증거 수집을 위해 HPA 영역을 살펴볼 필요가 있다. HPA 영역과 함께 사용자가 접근할 수 없는 하드디스크의 영역으로는 ATA-6에서 추가된 DCO가 있다.

▲하드디스크의 HPA 영역과 DCO 영역[그림출처: FORENSIC PROOF]

쓰기방지 장치 : 하드디스크, 외장형 스토리지, USB 메모리, Flash Card와 같은 디지털 저장장치를 분석하고자 할 때 원본 데이터가 수정 및 삭제되지 않도록 해주는 쓰기방지 기능을 지원하는 휴대형 장치. 소프트웨어적인 방식과 하드웨어적 방식이 존재한다.

▲TABLEAU 쓰기방지장치

이미징 : 이미징은 저장매체의 모든 물리적인 섹터를 복제하는 것을 말한다. 디스크를 이미징하게 되면 디스크의 첫 번째 섹터부터 마지막 섹터까지 데이터가 쓰여져 있는지 여부와 관계없이 모두 복제한다. 미가공 이미지의 경우 원본 저장장치와 크기가 같다. 단순히 폴더를 옮겨 같은 파일을 만드는 논리적인 복사와는 다르다.

[글_김의한 학생기자(euihan8862@gmail.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>