물리 포렌식 증거는 디지털 포렌식 조사에 큰 도움 안 돼

범죄가 인터넷 공간으로 옮겨옴에 따라 디지털 포렌식 비중 커져

[보안뉴스 문가용] 1991년 개봉한 [분노의 역류]라는 영화에서는 로버트 드 니로가 분한 도날드 림게일(Donald Rimgale)이라는 인물이 주인공으로 등장해 시카고에서 일어난 일련의 방화 사건을 수사한다. 수사관이 되기 전에 소방관이기도 했던 도날드는 수사를 위해 소방관들과의 긴밀한 공조 속에 증거와 단서를 하나씩 모아 간다. 그렇게 할 수 있었던 건 그가 소방관으로 근무했던 경험이 있고 수사관으로서의 지식을 갖추고 있었기 때문이다.

오늘날 보안 업계가 말하는 사건 대응 팀 역시 도날드 림게일이라는 등장인물과 본질의 측면에서 크게 다르지 않다. 사건 대응 팀 역시 사고 현장을 덮쳐서 불을 재빨리 끄고 추가 피해를 최대한으로 막는다는 면에서 소방관이고, 그 원인이 무엇이었는지 조사를 통해 찾아낸다는 점에서 수사관이기도 한 것이다. 키보드, 모니터, 소프트웨어 등의 툴들은 호스, 방화재킷 등에 비유할 수는 있지만 그렇다고 같은 건 아니다.

보안 분석가들에게 가장 중요한 것은 모든 것을 통제 하에 둘 수 있어야 한다는 것으로, 수상하고 비인가된 활동이 포착되자마자 인지하고 조치를 취할 수 있어야 한다. 이럴 때 사실에 근거한 이해를 바탕으로 사건의 원인을 정확하게 밝혀내는 것도 중요하지만 뿌리가 되는 근본 원인을 찾아내 해결하지 못한다면 비슷한 일이 또 발생할 확률이 높아진다. 이 역시 화재 진압과 비슷하다고 할 수 있다. 그 밖에도 닮은 점은 여러 가지다.

물리 포렌식 vs. 디지털 포렌식

오늘날의 포렌식이라 하면 보통 두 가지 개념을 포괄한다. 법 집행 기관, 그리고 기업 보안 및 IT 부서가 진행하는 디지털 수사다. 물리 포렌식(지문 채취, 탄의 궤적 추적, DNA 검사 등)은 법 집행 기관과 밀접한 관계를 유지하고 있지만 디지털 포렌식에서는 별다른 영향력을 발휘하지 못한다. 그런데 그 반대의 경우는 조금 다르다. 디지털 포렌식에서 나온 증거는 물리 포렌식에서도 중요한 역할을 하는 게 보통이기 때문이다.

이는 범죄와 관련된 행위들이 오프라인에서 온라인으로 부쩍 옮겨가기 때문에 나타나는 현상이기도 하다. 그래서 디지털 증거자료가 법정에서 강력한 증거로 제출될 때가 많다. 디지털 증거자료를 가지고 범인의 의도와 목적, 범죄 현장의 위치, 심리 상태 등까지 파악하는 게 대부분 가능하다. 누가 무슨 일을 했는지, 빼도 박도 못하게 파악하기 위한 과정 중에 디지털 자료들은 귀중한 단서가 되는 것이다.

기업 내 보안 부서에서 디지털 포렌식은 ‘멀웨어가 어디서 왔는가? 어떻게 여기까지 왔는가?’에 대한 답 이상을 찾아 나서야 한다. ‘이 공격을 통해 자료를 얻은 해커들은 그걸 가지고 무엇을 했는가? 다음 목표는 무엇인가? 정확히 무엇을 가져갔는가?’이다. 즉 언제, 어떻게, 무슨 이유로 그랬는지를 알아내어야 한다는 것이다. 이렇게 문제의 깊숙이까지 답을 찾아내지 않으면 같은 사건이 또 발생할 확률이 높아진다. ‘누가’ 그랬는지에 대한 대답은 우선순위에서 조금은 밀려난다.

엔드포인트에서의 보안

법 집행기관에서 하는 물리 포렌식이고 보안 부서에서 하는 디지털 포렌식이고 똑같은 점이 있다면 바로 대단히 어려운 일이라는 것이다. 특히 엔드포인트에서의 포렌식은 정말로 어려운 일이다. 이게 무슨 말이냐 하면, 예를 들어 개개인의 핸드폰에 접근해서 그 안에 들어 있는 데이터를 열람하는 게 포렌식 과정 중에서 굉장히 까다로운 부분이라는 것이다. 또한 엔드포인트 시스템을 원격으로 조정할 때 호환 문제나 네트워크 속도 문제도 있고, 엔드포인트 시스템 및 기기나 그 기기에 설치된 소프트웨어나 OS는 게 말 그대로 무한대로 많기 때문에 그 지식을 다 갖추는 게 불가능하기도 하다. 바로 이 지점이 이미 수백 년간 범죄와 전쟁을 유지해 온 법 집행 기관의 ‘물리 포렌식’에 기대야 하는 부분이다.

기업이 직접 운영하는 IT 및 보안 부서에서 독립적으로 포렌식을 진행해야 할 필요가 늘어남에 따라 규모가 잡히고 안정적인 포렌식 툴에 대한 요구가 높아지고 있다. 포렌식을 진행하려면 매일처럼 생성되는 새로운 정보를 기업 차원에서 관리해야 하는데, 관리 역시 생성처럼 매일 이루어져야 할 부분이 되고 있기도 하다. 보안을 전문으로 담당하는 회사의 경우 보안 관련 경고만 하루에 수천에서 수백이라고 하는데, 적극적으로 나서서 취약점을 수정해나가고 방화벽 등을 통해 경고를 대중에게 전달하고 다른 위협 첩보와 대조해야 한다는 뜻이다. 로그 데이터, 네트워크 트래픽, 엔드포인트에서 찾아낸 것들을 서로 연결해서 의미를 찾는 것 역시 포렌식의 한 부분이다.

꼭 [분노의 역류]를 봐야만 수사의 중요성을 깨닫는 건 아니다. 불을 끄는 것도 중요하지만 범인을 찾아내 원천차단 하는 것이 훨씬 더 비중 있는 일이라는 것 역시 마찬가지다. 그렇기 때문에 포렌식에서는 공인된 안전한 포렌식 툴이 점점 중요해지고 있다. 아니, 디지털 정보가 대중들 사이에서 널리 사용되고 있기 때문에 간단한 포렌식 기술이나 툴도 곧 대중화 될지도 모를 일이다. 정보가  갈수록 많아지는 만큼 적절한 포렌식 기술은 여러 모로 도움이 될 것으로 보인다.

글 : 크레이그 카펜터(Craig Carpenter)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>