• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[왕보안의 위대한 포렌식-3] 디지털 포렌식의 3가지 시선들 2014.08.12

왕보안과 정보통, 인터뷰 통해 디지털 포렌식의 다양한 시각을 듣다
수사기관, 기업, 법률회사에서 말하는 디지털 포렌식 활용목적   

 

[보안뉴스= 김의한 학생기자] “오늘 만나볼 사람들은 LG전자 김재수 정보보안팀장님과 대형 로펌에서 근무하시는 이동욱(가명) 포렌식팀장님이야. 두 분 모두 바쁜 와중에 시간 내주신 거니까 들려주시는 이야기를 잘 듣도록 해.” 든든하게 식사를 마치고 흐뭇해하던 정보통은 식사 전 ‘새로 맡은 사건에 대해 조언을 들을 사람들이 있다’고 했던 왕보안의 말이 생각났다. “밥 먹기 전에 말씀하신 분들이 그분들입니까? 그런데 어떤 이야기를 들으시려는 거예요?”


“디지털 포렌식이 수사기관에서 주로 사용되고 있지? 디지털 포렌식을 활용하는 분야가 수사기관뿐일까?”

“수사기관 말고도 디지털 포렌식을 이용하는 곳이 있나요? 디지털 포렌식은 수사기관이 범죄수사를 하고 증거를 찾기 위해 활용하는 것이잖아요?”


어리둥절한 표정을 짓는 정보통을 보며 왕보안은 그럴 줄 알았다는 듯한 표정을 지어 보였다. “그래서 내가 널 데리고 가는 거야. 사실. 오늘 이야기를 들어야 할 사람은 내가 아니라 너야. 김재수 팀장님과 이동욱 팀장님에게 기업과 법무법인에서 디지털 포렌식이 어떻게 쓰이는지 들어보라고. 시야를 넓혀두면 앞으로 이쪽 일하는 데 도움이 될 테니까.”


#왕보안 경찰청 수사관(수사기관에서의 디지털 포렌식)

두 분의 이야기를 듣기 전에 네가 수사기관과 기업 그리고 법률회사에서의 디지털 포렌식의 활용·비교하는 데 도움이 될 수 있도록 수사기관의 디지털 포렌식에 대해 간단히 설명해 주도록 할게.


디지털화된 시대에서 지문수집과 같은 전통적인 과학수사기법만으로는 사건의 실체를 밝히는 데 한계가 있을 수밖에 없어. 물론 디지털 포렌식을 이용한다고 모든 사건을 해결할 수는 없지만 그래도 전통적 수사기법과 디지털 포렌식 등 이용할 수 있는 모든 과학적 수사기법들이 어우러져야만 사건의 실체에 다가갈 수 있고 범죄의 증거를 찾아내는 데 유리하기 때문에 우리 수사기관이 디지털 포렌식을 활용하는 거야.


디지털 포렌식을 활용해 수사를 진행하는 과정에서 수사기관이 가장 중요하게 여기는 것은 법으로 정해진 절차를 준수하는 거야. 디지털 포렌식은 크게 수집과 조사 그리고 분석 및 보고 4단계로 구성돼 있는데 모든 과정은 헌법과 형사소송법에서 정한 적법한 절차를 따라야 해. 기업이나 법률회사와 같이 민간에서 디지털 포렌식을 이용해 필요한 정보를 찾아낼 때에는 자율로 정한 규칙을 따르면 되지만 우리 수사기관은 법에서 정한 절차를 엄격하게 준수해야 해. 그렇지 않으면 법정에서 힘들게 수집한 증거가 사용될 수 없기 때문이지.


#김재수 LG전자 정보보안팀장(기업에서의 디지털 포렌식)

저희는 정보수사기관이 아니므로 수사기관과 같이 ‘범죄자’라는 개념을 갖고 분석 작업을 수행하고 있지는 않아요. 경찰 등 수사기관이 국가와 국민의 재산권을 지키기 위해 일을 한다면, LG전자의 정보보안팀은 회사 경영에 위해를 끼칠 수 있는 산업기밀 유출을 예방하기 위해 디지털 포렌식을 활용한다고 볼 수 있죠.


만약 정보가 유출됐다면 유출된 정황에 대한 증거자료를 확보하고 민·형사상의 증거자료로 활용하기 위한 용도로 쓰입니다. 그뿐만 아니라 정보유출 징후가 뚜렷한 임직원의 정보저장매체에 대해 정보감사(Information Audit)라는 개념을 적용하고 디지털 포렌식 기법을 통해 유출행위 또는 모의행위를 사전에 확인하기 위해 노력하고 있어요. 수사기관 등과 연계하여 경영에 위험이 되는 요소들을 예방하기도 하죠. 이처럼 회사 발전에 기여하는데 초점을 두고 디지털 포렌식을 활용하고 있습니다.


#이동욱(가명) 로펌 디지털포렌식팀장(법률회사에서의 디지털 포렌식)

법률회사의 디지털 포렌식 팀은 주로 수사기관과 반대되는 입장에서 디지털 포렌식을 이용하는 경우가 대부분입니다. 이 때문에 법정에서 사용할 수 있는 증거라는 점에서 디지털 자료를 바라보는 관점은 비슷해도 그 쓰임이 다를 수밖에 없죠. 수사기관이 수사대상자를 압수하고 압수한 물건에서 디지털 증거를 발견하기 위해 디지털 포렌식을 이용하는 반면, 저희는 수사대상이 된 의뢰인을 보호하기 위해 디지털 포렌식을 활용하죠.


예를 들어 수사기관이 의뢰기업에 압수수색을 해 갔다. 그러면 우리 같은 경우에는 가서 수사기관하고 똑같은 관점에서 압수수색 과정을 되돌아보는 거죠. 그렇게 하면서 수사기관이 어떤 부분에서 법적으로 혹은 절차적으로 잘못했는지 등을 조사하는 겁니다. 저희는 디지털 증거의 존재 여부에 대해서도 신경을 쓰지만 압수된 디지털 증거가 법정에서 증거로 사용될 수 있는지 없는지에 대해 중점적으로 살핍니다.


법률회사는 민·형사 사건뿐 아니라 기업 내부감사에 대한 서비스를 제공하고 있습니다. 최근에는 법인 등이 공정거래위원회나 국세청 등 국가기관에 의해 조사를 받게 되면 의뢰를 받고 도움을 주는 경우도 많아지고 있습니다.


[정보통의 학습노트]

▲수사기관, 기업, 법률회사에서는 각각 어떤 분석도구를 이용할까?


기관

도구 및 특징

수사기관(경찰)

 증거 분석 도구 사용 범위에는 제한이 없다. 일반적으로 사용되는 EnCase나 FTK 뿐 아니라 오픈 소스 혹은 자체개발 프로그램 등 다양하게 사용할 수 있다. 단, 정식으로 구입해 사용해야 하며 법정에서 재현했을 때 제출한 증거와 같은 결과를 도출할 수 있어야 한다.

모바일 포렌식을 위해 경찰에서 자체 개발한 <네모 스마트>라는 프로그램을 주로 사용하고 있다.

   기업      (LG전자)

 기본적으로 널리 알려진 디지털 포렌식 도구(Encase 및 FTK)를 활용하고 이와 함께 포터블 형태로 휴대가 간편하고 Timeline을 통해 직관적인 분석이 가능한 DFAS라는 도구를 사용하고 있다.

 Enterprise DFAS라는 원격 디지털 포렌식이 가능한 솔루션 도입을 위해 기능사항들을 검토하는 중이다. 원격 디지털 포렌식 기능 도입에 신경 쓰는 이유는 글로벌 기업이라는 LG전자의 특성 때문이다. 국내뿐 아니라 해외에서도 디지털 포렌식을 통한 업무를 진행함에 따라 보안사고의 조사 및 처리를 적시에 처리하지 못할 경우에 발생할 수 있는 회사의 피해를 최소화하기 위함이다.

법률회사

 포렌식 장비는 일반적으로 수사기관이 사용하는 포렌식 장비와 유사한 것들을 사용한다. 같은 법정에서 같은 사건의 증거를 가지고 수사기관과 대립해야 하는 경우가 많기 때문이다. 수사기관이 EnCase를 사용해 이미지를 만들었다면 같은 사건을 맡은 법률회사 디지털포렌식팀도 EnCase를 이용해 이미지를 제작하는 것이 일반적이다. 어떤 장비라도 언제든지 이용할 수 있게 최대한 다양한 포렌식 장비를 준해 놓고 있는 편이다.


[왕보안이 만난 사람]

▲ 장 기 식 경찰청 사이버안전국 첨단기법개발팀장

 

경찰청 사이버 안전국은 어떻게 구성돼 있습니까? 사이버안전국은 3과 12팀 108명으로 구성되어 있습니다. 3개의 과는 사이버범죄 예방 및 사이버공간 치안을 담당하는 사이버안전과와 사이버범죄 발생 시 수사를 진행하는 사이버대응과 그리고 수사 시에 필요한 디지털증거 분석을 담당하는 디지털포렌식센터로 구성돼 있습니다.


디지털포렌식센터가 주로 담당하는 업무는 무엇인가요? 디지털포렌식센터의 주된 업무는 크게 두 가지로 나눌 수 있습니다. 첫 번째는 디지털증거 압수 등 현장업무를 지원하고 현장에서 수집된 디지털증거를 분석하는 것입니다. 두 번째는 디지털증거분석기법 연구입니다. 빠르게 발전하고 있는 IT 기술로 인하여 새로운 디지털 기기들이 나타나고 있고 범죄에 사용될 가능성이 크다고 할 수 있습니다. 이처럼 범죄에 사용될 수 있는 새로운 디지털 기기에 대한 연구를 진행하고 있습니다. 또, 새로운 분석방법도 개발되고 있어 이에 대한 연구도 함께 진행해 나가고 있습니다.


경찰청 포렌식 수사관의 가장 중요한 역량은 무엇이라고 보시나요? 민간과 달리 수사기관의 디지털증거분석관들은 IT에 대한 전문지식 이외에 다양한 지식을 갖추고 있어야 합니다. 그리고 분석관들의 다양한 경험을 토대로 사건의 실체에 접근할 수 있는 감각을 갖추어야 한다고 생각합니다.


수사기관이 압수·수색을 진행할 때 현장에서 시스템을 확인하고 범죄의 증거가 되는 부분을 찾아 그 부분에 한해서만 이미징 하는 것이 원칙으로 알고 있습니다. 범죄와 관련이 있는 범위를 찾기 위해서는 컴퓨터를 조작해야 하고 이러한 과정에서 무결성이 훼손될 수 있을 것 같다는 생각도 드는데요. 범죄와 연관이 있는 범위를 이미징해야 한다는 것은 압수수색 영장에 기재돼 있습니다. 일단 영장에 기재돼 있으면 저희는 그것을 따라야 하죠. 질문하신 절차가 원칙으로 되어 있기는 합니다. 하지만 원칙이라고 해서 원칙을 지키지 못할 상황에도 이를 따라야 하는 것은 아니에요.


기본적으로 사건과 관련된 부분에 대해서만 증거를 수집하는 것이 원칙이지만 현실적인 어려움도 있어서 예외규정이 있습니다. 압수?수색 영장 뒤에 별지가 붙어있는데 이곳에 예외규정이 적혀 있습니다. 원칙은 필요한 정보만 담아올 것. 그렇지만 기타 여러 가지 이유 등에 의해서 그렇게 하지 못할 경우에는 원본을 압수하던지 원본을 복사 혹은 이미징해 올 수 있다는 항목들이 적혀 있죠. 건드려서 메타데이터가 변형된다든지 등의 부분은 원칙이 그렇기 때문에 어느 정도 감안이 된다고 봐야 하는 상황인 것이죠. 그렇게 하지 않고는 작업할 수 없는 상황이니까요. 그런 와중에서 최대한 변경되지 않도록 작업을 해야 합니다.


그럼 보통 법원에서는 컴퓨터를 건드리지 않은 상태에서 전체를 이미징한 증거와 원칙을 지켜서 범죄와 관련이 있는 부분만 찾아 이미징을 한 증거 중 어느 쪽을 더 신빙성 있고 증거능력이 있다고 판단하나요? 무결성, 정당성 등 모든 것이 담보되면 좋겠지만 어쩔 수 없이 담보되지 않는 부분들이 있어요. 사실 증거의 채택 여부는 법원에서 판사의 재량에 따라 결정된다고 볼 수 있죠. 그래서 우리는 가급적으로 최대한 증거로 채택될 수 있도록 원칙들을 지키는 것이죠. 앞서 말씀드렸지만 저희는 기본적으로 적법한 절차를 따르는 방식을 사용합니다. 적법한 절차를 따르지 않으면 증거채택을 위한 논의 자체가 되지 않기 때문에 저희는 절차를 최대한 지키려고 노력하는 편입니다.


※ LG전자 김재수 정보보안팀장님과 익명을 요청하신 로펌 디지털포렌식팀장님의 세부 인터뷰 내용은 별도의 기사를 통해 보다 자세히 소개될 예정입니다. 장기식 팀장님을 비롯해서 도움 말씀 주신 세 분께 깊은 감사의 말씀드립니다.


[글_ 김의한 학생기자(euihan8862@gmail.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>