특검, 태블릿 PC와 스마트폰 조사 위해 팀 조직하면서 관심 높아져
디지털 장비에서 법적 증거 찾는 분야, 최순실 국정농단 실체 밝히는데 큰 역할

[보안뉴스 원병철 기자] 대한민국의 모든 시선이 최순실 국정농단 사태에 쏠려있는 이 때 보안종사자들에게 친숙한 단어 하나가 등장해 이슈가 되고 있다. 바로 ‘디지털 포렌식(Digital Forensic)’이다. 특검이 태블릿 PC와 통화녹음 파일 등을 조사하기 위해 디지털포렌식팀을 구성했다는 발표가 났기 때문. 하지만 디지털 포렌식이란 이름을 들어본 사람은 많아도 정확히 어떤 역할을 하고, 어떤 장비를 쓰는지 알고 있는 사람은 많지 않다.

디지털 포렌식, 먼저 포렌식이란 용어는 로마시대 광장이었던 ‘포룸(FORUM)’에서 파생된 단어다. 포룸은 집회장이나 시장 등 공공장소로 사용됐으며, 특히 재판도 열렸던 곳이다. 포룸에서 열린 재판은 재판관과 검사, 변호사가 각각 있었고, 증거를 제출하거나 열띤 변호를 하는 등 지금과 비슷하게 진행된 것으로 알려졌다.

포렌식은 이런 포룸에서 파생된 단어로 주로 재판에서 과학적인 증거를 수집하고 제출하는 용어로 쓰였다. 이후 디지털 시대에 접어들면서 PC, 스마트폰을 비롯한 디지털 기기 활용에 따른 ‘디지털 증거’가 등장하자, 포렌식에서도 ‘디지털 포렌식’이 출현했다. 이후 디지털 포렌식은 디지털 증거를 수집·보존·분석하는 과정을 통해 법적 증거물로 인정받는 과학수사의 한 분야로 인정받았다.

특히, 기존 디지털 증거가 포함된 미디어가 이제는 쉽게 접근할 수 없는 새로운 형태로 다변화하면서 기술개발의 필요성도 높아졌다. 예를 들면, 스마트폰이나 디지털 카메라, 플래시 메모리 등이 전통적인 디지털 미디어라면, 이제는 네트워크가 연결된 프린터나 플레이스테이션 같은 콘솔게임기, 혹은 디지털 보이스 레코더 등 새로운 미디어가 우리 생활에 쓰이고 있다. 또한, 기업에서도 다양한 IT 장비와 기술을 사용하고 있는 것도 주목해야 한다.


우리나라, 2000년 경찰청 사이버수사대 창설 때부터 본격 활용
우리나라에서 디지털 포렌식이 등장한 것은 2000년 경찰청 사이버수사대가 창설하면서부터라고 전문가들은 말한다. 디지털 증거에 대한 본격적인 수사를 시작했기 때문이라는 견해다. 몇몇 전문가들을 제외하고 디지털 포렌식이 잘 알려지지 않았던 시절이었지만, 이때부터 포렌식 기법이 수사에 영향을 미치게 됐다고 디지털 포렌식 전문가인 서울호서직업전문학교 김대형 교수는 이야기한다.

김 교수는 초기 포렌식은 PC와 PC통신 중심이었으며, 나중에 서버와 관련된 기법도 대상이 됐다고 설명했다. 지금은 스마트폰과 게임기 등 디지털이란 이름이 붙은 모든 기기에 대한 모든 포렌식이 진행된다. 특히, 이번 특검에서는 태블릿 PC, 스마트폰, 메일을 중심으로 진행되고 있다고 김 교수는 설명했다.

사실 포렌식을 하는 것 자체는 그다지 어렵지 않다. 중요한 것은 태블릿 PC에서 알아낸 ‘디지털 증거’가 ‘가공’하지 않은 진짜 증거라는 사실을 입증하는 것이다. 때문에 디지털 포렌식 분야에서는 ‘기술’ 보다는 ‘무결성’에 더 초점을 맞춘다. 그래서 디지털 포렌식을 진행할 수있는 장비는 그다지 많지 않다. 우선 ‘시장’ 자체가 크지 않아서 그런 것도 있지만, ‘법정’에서 인정받는 장비도 한정됐기 때문이다.

이에 대해 김 교수는 “우리나라 법이 일본에 영향을 많이 받은 것처럼 디지털 포렌식은 미국에 영향을 많이 받았다”며, “특히, 법정에 포렌식 전문가가 없기 때문에 미국 법정에서 적합한 장비로 인정받은 장비를 사용하면 대체로 국내에서도 인정해주고 있다”고 말했다. 증거 수집을 위한 성능이 획기적이지 않은 이상, 제출한 증거의 무결성을 입증 받은 ‘판례’에 쓰인 장비를 계속 사용하는 게 더 낫다는 얘기다.


해킹 기법과 비슷한 디지털 포렌식, 장비보다는 수사관 역량이 중요
김 교수에 따르면 사실 디지털 포렌식은 해킹 기법과 비슷하다. 예를 들면, 스마트폰을 포렌식할 때 아이폰의 ‘루팅(탈옥)’과 비슷한 과정을 거치기 때문. 쉽게 설명하면, 스마트폰을 루팅해서 데이터를 추출하는 것이다. 이때 사용되는 장비는 앞서 소개한 것처럼 ‘판례’에 쓰인 장비다. 대표적인 것이 ‘인케이스’다. 2002년 미국 엔론 회계부정 사건때 관계자가 지운 이메일을 복구한 장비로, 미국 법정에서 인정받은 후 꾸준하게 사용되고 있다.

모바일 분야에서는 미국이 애플 아이폰을 해킹하지 못했을 때 도움을 줬던 이스라엘 모바일 포렌식 전문기업 셀러브라이트 등이 명성을 떨치고 있다. 특히, 모바일은 ‘안드로이드’와 ‘애플’에 대한 포렌식 기법이 서로 다르며, 플래시 메모리에서 정보를 추출하는 것 자체가 매우 어려운 것으로 알려졌다. 미국 FBI가 테러범의 아이폰에서 자료를 뽑아내지 못한 게 그 대표적인 예다.

어렵게 데이터를 뽑아내면 ‘증거’로 쓸만한 자료를 찾아내야 하는데, 이때 눈에 보이는 자료 말고도 삭제된 자료를 찾는 것이 더 중요하다. 삭제된 자료를 복구하고 기존의 파일에서 ‘키워드’를 서치해 ‘증거’를 찾는 것, 여기까지가 디지털 포렌식이라고 할 수 있다. 즉, ‘장비’보다는 디지털 포렌식을 실행하는 ‘조사관’의 역량이 더 중요하다고 할 수 있다.

김 교수는 “최근에는 인공지능을 사용해 사건의 키워드를 바탕으로 정보를 수집하는 것을 연구하고 있지만, 아직까지는 조사관의 역량에 디지털 포렌식의 결과가 달려 있다고 할 수 있다”면서 “사실 디지털 포렌식은 수사, 심리, 법 등에 통달해야 한다. 즉, 기술만 있어서 되는 것도 아니고, 어떤 것이 수사상 증거가 될 것인지와 함께 법적인 측면도 잘 알아야 한다”고 강조했다.

지난 12일 JTBC 뉴스에서는 최순실 씨의 태블릿 PC에서 디지털 포렌식을 거쳐 얻은 정보를 공개했다. 태블릿 PC의 사용자가 누구인지에 대한 의문이 계속되자, 복구된 메일 내용을 공개하며 최순실 씨가 실제 사용자였다는 점을 증명한 것이다. 아직 법정에서 사용된 것은 아니지만, 이처럼 디지털 포렌식은 현 상황을 뒤집을 수도, 반대로 확실하게 만들 수도 있는 스모킹 건을 찾는 역할을 하는 셈이다. 전 국민의 눈이 최순실 국정농단 사건에 쏠려 있는 지금, 디지털 포렌식의 활약상을 꼼꼼히 살펴보는 것도 보안 분야에서는 매우 의미 있는 일이 될 것으로 보인다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>