[알아봅시다] 디지털포렌식(Digital forensic)

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리
이메일ㆍHDD서 삭제된 데이터 복구
디지털 활용한 21세기 수사방식
해킹ㆍ사이버테러 방지에도 사용



IT기술이 발전하고 정보화 사회로 변화하면서 좋은 점도 있지만, 이로 인해 컴퓨터 관련 범죄들도 늘어나고 있습니다.

얼마 전에 개봉한 영화 `다이하드 4'를 보면 국가 전산망을 교란시켜 교통, 전력, 난방 등 모든 기간 산업을 마비시키는 장면이 나오기도 합니다. 이렇게 갈수록 지능화되는 컴퓨터 범죄를 막기 위해 21세기 수사방식 `디지털 포렌식(Digital forensic)'이 떠오르고 있습니다. `포렌식'이란 `수사'라는 의미를 가지고 있습니다. 때문에 디지털과 관련한 수사는 디지털 포렌식이라고 불리고 있습니다.

◇디지털 포렌식은= PC나 휴대전화 등에 내장된 디지털 자료를 근거로 발생한 사실 관계를 증명하는 보안서비스 분야입니다. 접속기록, 첨부파일 등 디지털기기에 남아있는 디지털 지문을 찾아 범죄를 해결하는 것입니다.

디지털 포렌식은 검찰, 경찰 등 국가 수사기관에서 범죄 수사에 활용되며, 일반 기업체 및 금융회사 등 민간분야에서도 그 중요성이 갈수록 높아지고 있습니다.

디지털 포렌식은 크게 증거수집, 증거분석, 증거제출과 같은 절차로 구분됩니다. 증거 수집은 컴퓨터 메모리, 하드디스크드라이브, USB메모리 등 저장매체에 남아 있는 데이터를 취합하는 것입니다. 이 때 중요한 것은 원본 데이터가 손상되거나 변형되지 않아야 하는 것입니다. 이 때문에 원본 데이터 무결성을 보장하는 이미징 기술 등을 사용합니다.

이렇게 모아진 증거는 분석 단계를 거칩니다. 수집된 데이터에서 수사에 필요한 유용한 정보를 끌어내는 것입니다. 일부 데이터는 숨겨져 있을 수 있기 때문에 삭제된 파일을 복구하거나 암호화된 파일을 해독하는 기술이 활용됩니다.

마지막으로 이런 과정을 통해 입수된 디지털 증거가 법정 증거로 채택되기 위해 증거자료 신뢰성을 확보합니다. 이를 위해 법률적으로 디지털 포렌식에 대한 표준 절차 뿐 아니라 증거 수집 및 분석에 사용된 포렌식 툴에 대한 검증 절차도 이뤄집니다.

◇데이터 복구와 검증 툴=뉴스에서 보면 용의자 사무실이나 집안에서 PC를 조사한 결과 범죄와 관련된 이메일이나 사진 파일을 발견했다는 내용을 볼 수 있습니다. 용의자는 분명히 데이터를 지웠다고 생각하겠지만 수사관들이 디지털 포렌식 기술을 이용해 데이터를 살려낸 것입니다.

가장 일반적인 증거분석 방법은 삭제한 데이터를 복구하는 것입니다. 일반적으로 파일을 삭제하는 것은 파일 내용을 지우는 것이 아니라 파일의 이름표에 해당하는 리스트를 지우는 것입니다. 또 파일을 삭제했을 경우 파일 데이터베이스 파일이 남아 있을 수 있어 이 데이터베이스 파일을 분석해 관련 파일 존재 여부를 확인할 수 있습니다.

또 일부 데이터를 윈도에서 숨김 속성을 해놓거나 파일 확장자를 바꿨을 때는 포랜식 툴이 이런 파일들을 찾아줍니다. 보통 하나의 파일 형식은 하나의 파일 확장자와 하나의 식별자(Identifier)라 불리는 유일한 값을 가지는데, 이 식별자는 파일 생성시 헤더에 자동으로 저장됩니다. 따라서 확장자를 바꿀 경우 파일 확장자와 식별자가 일치하지 않으므로 확장자가 바뀐 파일들을 찾을 수 있습니다.

이메일의 경우 이메일 자체를 삭제하는 것이 아니라 이메일 헤더 값을 바꿔서 삭제하기 때문에 복구될 가능성이 높습니다. 그렇지만 포털들에서 제공하는 웹메일 경우 이메일 데이터를 포털에서 관리하기 때문에 복구하기는 쉽지 않습니다.

또 PC나 응용 프로그램을 사용하게 되면 운영체제나 프로그램이 사용흔적인 로그(log)를 남기는 경우가 있습니다. 이런 로그는 사건 분석에 중요한 정보가 될 수 있습니다. 로그에는 파일 생성, 접근 등에 관한 정보가 있는 파일 시스템 로그, USB단자 사용기록을 저장하는 USB 사용로그, 인터넷 웹사이트 접속 등에 관한 정보인 임시파일, 쿠키, 엑티브 X 등 인터넷 사용로그 등이 있습니다.

디지털 포렌식은 수사기관, 기업체 등에 광범위하게 사용되고 있습니다. 스파이, 기술 유출, 공갈, 사기, 위조, 해킹, 사이버 테러와 같은 PC범죄 또는 회사 정보 및 기술 유출을 막는데도 쓰입니다.

갈수록 진화하는 디지털 범죄 및 막기 위해서는 이를 예방, 수사 할 수 있는 디지털 포렌식 기술도 한층 강화되고 있습니다.

이형근기자 bass007@

추천기사