Q. 기업에서 보안강화를 목적으로 디지털 포렌식을 활용했으면 하는데, 관련 업무를 침해사고대응팀(CERT)에서 수행하는 것인가? 이렇듯 디지털 포렌식 관련 팀을 구성하거나 이를 업무에 활용하기 위해서는 어떤 절차가 필요한가?

A-1. 디지털 포렌식은 사건·사고 조사를 해 원인 규명 및 책임자 확인을 목적으로 한다. 따라서 침해사고 원인규명만을 위한다면 침해사고대응팀에서 수행하면 될 것이고, 내부 통제가 목적이라면 감사팀에서 할 수도 있다. 또는 디지털 데이터가 포함된 사건·사고 조사를 위한 별도의 디지털 포렌식팀을 설치해도 된다.

디지털 포렌식은 디지털기기의 동작 원리를 파악하여 디지털데이터가 생성된 원인을 규명하고, 어떠한 이벤트의 결과물인지 해석하는 과정이다. 따라서 디지털 포렌식을 하기 위해서는 충분한 교육·훈련을 받아 디지털 데이터에 대한 전문지식을 갖춘 전문가가 필요하다.

아울러 조사하기 위한 포렌식 도구를 구비해야 하며, 법적 분쟁이 발생했을 때 승소할 수 있도록 적법적인 조사가 이루어질 수 있는 체계가 필요하다. 즉, 인력, 도구, 조사절차의 신뢰성이 확보될 수 있어야 한다.

(이상진 고려대학교 사이버국방학과 교수·디지털포렌식연구센터장/sangjin@korea.ac.kr)

A-2. 디지털 포렌식은 일반적으로 침해사고대응팀(CERT)에서 수행하며, 정보기기에 내장된 디지털 자료를 근거로 삼아 그 정보기기를 매개체로 하여 발생한 어떤 행위의 사실 관계를 규명하고 증명하는 신규 보안서비스 분야이다. 디지털 포렌식은 검찰, 경찰 등의 국가 수사기관에서 범죄 수사에 활용되며, 일반 기업체 및 금융회사 등의 민간분야에서도 디지털 포렌식 기술의 필요성이 증가하고 있다.

예로써, 포렌식 기술은 보험사기 및 인터넷 뱅킹 피해보상에 대한 법적 증거 자료수집 및 내부정보 유출방지, 회계 감사 등의 내부보안 강화에 활용이 가능하다. 디지털 포렌식의 일반적인 절차는 증거수집, 증거분석, 증거 제출의 절차로 이루어진다. 증거 수집에서는 손상되기 쉽고, 사라지기 쉬운 디지털 증거가 저장된 저장매체(컴퓨터 메모리, 하드디스크, USB등)에서 데이터의 무결성을 보장하면서 데이터를 읽어내야 한다.

이 때 무결성이란 원 저장매체에 대한 데이터 변조가 일어나지 않았음을 의미한다. 증거 분석에서는 증거 수집으로 얻은 데이터로부터 유용한 정보를 이끌어내는 과정이다. 이 과정에서 유용한 기술로는 삭제된 파일 복구 기술이나 암호화된 파일 해독 및 문자열 검색 기술 등을 들 수 있다.

마지막으로 증거 제출에서는 입수된 디지털 증거가 법적 증거로 채택되기 위해 신뢰성을 확보되어야 하는데 이를 위해 법률적으로 디지털 포렌식에 대한 표준 절차뿐만 아니라 포렌식 툴에 대한 검증절차 또한 이뤄져야 한다.

(왕재윤 한국산업기술보호협회 관제운영팀 연구원/jywang@kaits.or.kr)

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>