• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[왕보안의 위대한 포렌식-4] 대한은행 고객정보 유출, 범인은 누굴까? 2014.08.20

대한은행 고객정보 유출사건(가상)으로 보는 디지털포렌식 수사과정


 ▲ 왕보안 수사관
[보안뉴스=김의한 학생기자] 똑똑. 문 두드리는 소리에 누군가 문을 열고 나왔다. 헝클어진 머리를 머리끈으로 묶고 있는 다소 지저분한 인상의 남자였다. “무슨 일이시죠?” 

남자의 질문을 받은 사람은 왕보안 수사관이었다. 왕보안은 문 옆에 부착된 ‘그린캐피탈’의 간판을 다시 한 번 확인한 후 압수·수색 영장을 남자에게 내밀었다. “경찰입니다. 대한은행 고객정보 유출 및 무단이용에 관한 혐의로 그린캐피탈에 대한 압수·수색 절차를 진행하도록 하겠습니다.”

 

왕보안의 말에 남자는 잠시 당황하는 듯하더니 몸을 돌려 안으로 들어갔다. 왕보안과 동행한 수사관들은 그린캐피탈 사무실 안으로 진입했다. 정보통은 캠코더를 들고 현장을 촬영하며 뒤를 따랐다.


왕보안과 정보통이 압수·수색 영장을 발부받아 그린캐피탈을 찾아온 이유는 그린캐피탈의 개인정보 무단사용 혐의를 밝히고, 이들이 해당 정보를 어떻게 취득했는지 알아내기 위해서였다.


얼마 전 대한은행으로부터 수사 의뢰가 들어왔다. 은행 관계자는 고객들로부터 지속적으로 항의가 들어와 자체적으로 조사했다고 이야기했다. 이와 함께 그린캐피탈이라는 대부업체에서 은행 고객정보를 불법적으로 취득해 모집활동에 사용하고 있고 고객정보가 외부로 유출된 정황이 드러났다고 전했다. 대한은행이 경찰에 그린캐피탈의 고객정보 불법사용에 대해 고발하고 정보가 유출된 경로에 대해 조사해달라고 요청한 것이다.

 ▲ 그린캐피탈 김미영 대표

사무실 책상 하나에는 데스크톱이, 나머지 두 개에는 전화기만 한 대씩 놓여있었다. 왕보안은 컴퓨터를 조작하고 있는 여성을 기기에서 격리시키고 운영체제를 확인한 후 컴퓨터의 전원 플러그를 뽑았다. 컴퓨터를 정상 종료할 경우 중요한 정보가 될 수 있는 활성 데이터가 영영 사라질 수 있기 때문이다.


사무실에 있던 관계자나 외부인이 현장을 훼손할 수 없도록 출입을 통제하는 작업도 함께 진행됐다. 컴퓨터를 사용하던 여성을 조사한 결과 그린캐피탈의 대표 김미영 씨라는 것을 알아낼 수 있었다.


김미영 씨를 참관시켜 컴퓨터에서 하드디스크를 분리하는 장면을 포함해 압수·수색하는 모든 과정을 직접 지켜보도록 했다. 디스크를 제거한 상태에서 현장 컴퓨터를 부팅해 BIOS 상태의 시간과 휴대폰 시계의 시간을 한 장의 사진에 담았다. 증거분석을 위해 컴퓨터에 설정된 시간과 실제 시간과의 차이를 알아두기 위함이었다.


디스크를 복제하기 전 쓰기방지장치를 연결한 후 휴대용 분석도구에 장착했다. 압수 대상자인 김미영씨에게 사무실에 있던 하드디스크가 원본 내용이 복제될 하드디스크가 비어 있는 상태임을 보여주기 위해 새 제품을 개봉하는 장면과 원본 하드디스크의 용량보다 크기가 더 큰 것을 직접 눈으로 확인시켰다. 이를 확인시킨 후 새 하드디스크를 장착해 디스크 복제를 시작했다.

전화기 옆에는 이름과 전화번호, 주민등록번호 그리고 대출현황 등이 적혀있는 문서가 놓여 있었다. 처음 왕보안에게 문을 열어주었던 조선조 씨를 추궁하니 모객활동에 사용하던 것이라고 답했다. 대조해본 결과 종이에 적혀있는 고객 이름들은 대한은행에서 유출됐다고 밝힌 고객정보와 일부 일치한다는 것을 확인할 수 있었다.


압수 대상자의 휴대폰을 압수했다. 휴대폰은 압수되자마자 전원을 끄지 않고 배터리를 분리했다. 역시 휘발성 메모리를 보존하기 위한 절차였다. 압수·수색이 종료되고 압수물품을 모아보니 현장에서 압수된 증거는 하드디스크 이미지, 김미영 대표의 휴대폰과 책상 서랍에서 발견된 USB, 조선조 씨가 모객활동에 활용됐다고 진술한 문서 외에도 다수의 물품이 나열돼 있었다.


왕보안은 증거물을 하나씩 확인하며 증거물 목록을 작성했다. 목록에는 증거물의 일련번호 외에 증거물을 압수한 일시 및 장소, 증거물의 종류, 제조사, 모델명 등의 정보들이 상세히 기록됐다.


분석실까지 증거를 이동하는 과정에서 증거를 위·변조하지 않았다는 것을 확실히 하기 위해 하드디스크 등 충격에 약한 제품들은 충격을 완화해줄 수 있는 케이스에 보관하고 나머지는 따로 봉투에 담아 밀봉했다. 밀봉 후에는 현장 책임자인 왕보안과 제삼자인 입회인이 서명날인을 해 봉인과정에서 문제가 없었음을 증명했다.


이러한 모든 절차는 무결성과 연계보관성을 확보하기 위한 절차였다. 이러한 절차를 철저히 지키지 않으면 힘들게 수집한 증거가 법정에서 사용되지 못할 가능성이 커지기에 왕보안은 항상 원칙과 절차를 잊지 않으려고 노력했다. 모든 압수·수색 과정은 정보통의 캠코더에 녹화되고 있었다.

▲ 정보통 수사관

“선배님 고생 많으셨습니다!” 더운 날씨에 현장을 돌아다니느라 땀범벅인 정보통이 환하게 웃으며 왕보안에게 음료를 건넸다.

“고생은 인마 이제 시작인데.” 왕보안은 현장에서 압수한 증거들을 분석하고 보고서를 작성해야 한다는 생각을 하니 머리가 지끈거렸다. 증거를 수집하는 것뿐 아니라 이르 분석하고 문서로 만들어 법정에서 사용될 수 있도록 하는 것이 수사관의 업무였다.


“보통아 오늘 밤 잠은 다 잔 것 같으니 가는 길에 냉커피나 한잔 마시고 들어가자.”


“선배님 냉커피가 뭡니까. 나이 들어 보이게. 아이스 아메리카노로 하죠. 그리고 오늘부터는 증거분석에 대해서도 가르쳐주시는 겁니다.”


왕보안의 뒤를 따라가는 정보통의 입가에 땀방울과 함께 환한 미소가 맺혀 있었다(사건 해결에 관해서는 하단 [왕보안의 사건노트]에서 확인하실 수 있습니다).



[정보통의 학습노트]

▲ 디지털 증거수집 과정 Q&A

Q. 왕보안 수사관이 현장에 진입하자마자 컴퓨터를 조작하고 있는 여성을 기기에서 격리시킨 이유는?
압수·수색이 진행되면 압수 대상자는 자신에게 불리한 증거를 숨기거나 없애려고 할 가능성이 크다. 특히 디지털 증거의 경우 은닉이나 훼손이 일반적인 증거보다 용이하기 때문에 현장에 도착하면 압수 대상자의 디지털 기기 조작을 제지해야 한다. 압수 대상자가 압수 당시 디지털 기기를 통해 수행하고 있던 작업은 사건해결을 위한 중요한 증거가 될 수 있다.

Q. 컴퓨터를 정상종료하지 않고 플러그를 뽑은 이유는?
컴퓨터를 정상적으로 종료하게 되면 운영체제가 활성 상태일 동안 저장되었던 임시 데이터가 지워지거나 하드디스크가 정리될 수 있다. 이때 활성데이터를 보호하고 추후 분석과정에서 활용하기 위해서는 전원 플러그를 뽑아 순간적으로 전원이 꺼지도록 해야 한다.

전원 플러그를 제거하는 과정에서 주의해야 할 것은 콘센트 쪽이 아닌 컴퓨터 쪽 플러그를 제거해야 한다는 것이다. 무정전전원장치(UPS)가 장착된 PC의 경우 콘센트 쪽 플러그를 제거하게 되면 UPS가 작동돼 증거물 컴퓨터의 시스템에 변화를 줄 수 있기 때문이다.

Q. 휴대폰 압수시 배터리를 분리할 수 없는 기종이라면 어떻게 해야 할까?
배터리를 분리할 수 없는 기종의 경우 전원을 종료하는 방법은 정상종료뿐일 것이다. 하지만 기기를 정상종료하게 될 경우 중요한 증거가 될 수 있는 활성 데이터가 손실될 수 있다. 그래서 전원을 켠 상태에서 휴대폰을 분석실로 옮겨야 한다.

전원이 켜져 있는 휴대폰은 장소에 구애받지 않고 무선 신호에 의해 데이터가 변경될 위험에 노출된다. 이를 방지하기 위해 전원이 켜져 있는 휴대폰의 경우 반드시 전파 차단용 봉투나 이동식 전파차단 장치 등에 넣고 밀봉하여 증거의 무결성이 훼손되지 않도록 해야 한다.


[왕보안의 사건노트]
▲대한은행 고객정보 유출사건 증거분석 결과

압수 대상자였던 김미영의 책상에서 발견된 USB에서 암호화돼 있는 파일을 발견했다. 비밀번호 제공을 요청했지만 김미영은 이에 대한 대답을 거부했다. 때문에 비밀번호 해제를 위해 무차별 대입공격을 시도했다. 비밀번호가 해제된 문서에는 신용등급, 이름, 전화번호 등 고객정보가 저장돼 있었고, 이를 대한은행에 의뢰한 결과 유출된 정보와 일치한다는 것을 알 수 있었다.

파일카빙을 통해 삭제된 데이터를 복구해 보니 대한은행 고객들의 개인정보가 띄워져 있는 모니터가 촬영된 사진이 발견됐으며, 모니터 좌측 하단에 관리책임자 유정우’라는 스티커가 부착돼 있는 것을 확인했다. 대한은행 고객정보에 접근권한을 가진 직원 중 유정우라는 사람이 존재한다는 것을 알 수 있었다. 뿐만 아니라 그린캐피탈 대표 김미영의 휴대폰을 통해 2개월 전부터 유정우와 주기적으로 통화가 이루어진 내역을 확보했다.

USB에서 복구된 파일을 조사하는 과정에서 추가로 공인인증서 파일이 포함된 폴더를 발견하고 유정우의 공인인증서라는 것을 알아냈다. 이를 통해서 고객정보와 고객정보가 포함된 모니터가 촬영된 사진이 저장돼 있는 USB가 유정우의 소유였다는 것을 유추했다.

대한은행의 협조를 통해 유정우 과장의 컴퓨터를 조사한 결과 김미영의 책상에서 압수한 USB와 제조사, 모델명, 시리얼넘버가 모두 같은 USB가 접속된 기록이 발견됐고 장치접속 시간이 김미영의 USB에 저장돼 있던 개인정보가 담겨있는 문서의 파일생성시간과 일치한다는 것을 확인했다.

위 내용을 종합해 보았을 때 유정우가 자신이 사용하던 USB의 내용을 지우고. 자신의 권한을 이용해 취득한 대한은행의 고객정보가 포함된 문서파일과 촬영된 사진을 USB에 저장해 김미영에게 전달했다는 것을 알 수 있었다. 이번 그린캐피탈 고객정보유출사고는 내부자에 의한 사건으로 결론지어졌다.


※ 이 사건은 디지털 포렌식 수사과정을 설명하기 위해 가상으로 꾸민 사건으로 해당 기사에 등장하는 은행, 회사명과 등장인물들의 이름은 모두 가상임을 밝힙니다.   


[글_김의한 학생기자(euihan8862@gmail.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>