초연결시대 대비한 데이터 획득 방안 연구 필요하다 김대형 교수, “국내 디지털 포렌식 성장 위해 제도적 지원 필요”
[CCTV뉴스=이승윤 기자] 디지털 포렌식은 디지털 매체에 기억된 전자적 정보를 수집하고, 보존과 분석을 통해 관련된 정보를 법정에 증거로 제출하는 절차를 말한다. 디지털 포렌식은 데이터를 통해 증거를 찾기 때문에 데이터 수집이 중요하다. 그러나 강화되고 있는 보안과 개인정보보호 침해 이슈 등으로 인해 데이터 수집이 점점 더 어려워지고 있다. 그렇다면 이런 문제점은 어떻게 해결해야 할까? 호서 김대형 교수를 만나 전반적인 디지털 포렌식에 대한 이야기와 해결 방법에 대해 들어봤다.
Q.디지털 포렌식은 어떻게 정의할 수 있는가?
디지털 포렌식은 과거에는 ‘컴퓨터 포렌식’ 이라는 용어로 사용됐다. 컴퓨터를 대상으로 증거 수집과 분석을 의미한다는 차원으로 해석됐기 때문이다. 최근 ICT 기술이 발전됨에 따라 모바일과 다양한 IT 기기가 출현하고 컴퓨터라고 하기에는 모호한 기기들이 등장하면서, 한정적인 컴퓨터라는 키워드 보다 범위가 확장된 디지털을 키워드로 하는 디지털 포렌식이라는 용어가 일반적으로 사용되고 있다.
디지털 포렌식을 정의한다면 디지털 데이터를 저장하거나 전송하는 기기들이 모두 대상이 되며 디지털 기기에 저장되어 있거나 전송되는 사건과 관련된 디지털 데이터를 획득하고 분석해 발견된 디지털 증거와 과학적 분석 내용을 법원에 제출하는 일련의 과정이라고 정의할 수 있다.
Q.디지털 증거를 찾기 위해 어떤 기술과 도구가 사용되는가?
디지털 포렌식은 기본적으로 디지털 데이터를 찾는 것이다. 디지털 데이터는 온전하게 저장매체에 저장돼 있기도 하고 손상되거나 삭제된 경우도 많다. 또한, 지나가면 없어지는 실시간 데이터도 있다. 따라서 우선 데이터를 획득해야 하는데, 디지털 포렌식에서는 쓰기방지장치, 복제기, 이미징 프로그램, 모바일 획득 장치 등을 활용해 데이터를 획득한다.
획득된 디지털 데이터는 조사와 분석이 진행되는데, 기본적으로 캐나다 IT 기업인 오픈텍스트의 인케이스(EnCase) 소프트웨어가 대중적으로 사용되고 있다. 인케이스(Encase)는 2000년 초반 엔론 회계 부정사건때 삭제된 이메일을 복구해서 유명해졌으며, 미국 법원에서도 인케이스(EnCase)로 복구한 데이터를 증거로써 인정하고 있다. 모바일에서는 세계적으로 이스라엘 IT 기업인 셀레브라이트(Cellebrite)의 제품이 유명하다. 이전의 미국 FBI가 아이폰을 조사하기 위해서 애플에 협조 요청했으나 거부한 사건이 있다. 이를 셀레브라이트사가 해킹해 FBI에 알려줬다. 그만큼 기술력 있으며, 전 세계에서 모바일 포렌식을 진행할 때는 이 회사 제품을 사용하고 있다. 그러나 국내 모바일의 경우는 셀레브라이트 제품으로 분석이 어려워 국내 기업인 한컴GMD의 모바일 포렌식 도구를 활용해 분석하고 있다.
Q.디지털 포렌식 진행 시 어려운 점은 무엇인가?
디지털 포렌식에서는 데이터 획득이 어려운 부분으로 나타나고 있다. 특히 스마트폰의 경우 루팅(Rooting)이나 탈옥을 막기 위해서 보안을 강화하고 있고 사생활 보호를 위해 데이터 암호화, 완전삭제 기능을 강화되는 추세이다. 또한, 포렌식이 많이 주목을 받으면서, 데이터 획득을 방해하는 안티포렌식(Anti-Forensic)도 나타나고 있다.
이런 문제점에 대응하며 데이터를 획득할 수 있는 기술이 개발돼야 한다. 또한, 초연결 사회로 진화되면서 데이터는 하나의 저장매체에 있지 않고 연결된 다양한 기기에 존재하므로 이러한 기기에서의 획득 방안도 연구돼야 한다.
이와 함께 클라우드와 같은 연결된 저장매체로부터 결정적인 증거를 얻기 위해서는 빠른 시간 안에 데이터를 획득해야 하는데, 개인정보보호 등의 문제가 있어 데이터를 얻기 어려운 상황이다. 이런 절차상 문제에 대해 국가에서 법적, 제도적 환경을 마련해 데이터 획득에 대한 지원이 필요하다.
Q.국내의 디지털 포렌식 현황은 어떠한가?
정보보호에서 침해대응분야에 포렌식이 이용되기 때문에 규모가 작지만 관련 기술 연구 지원이 이루어 지고 있고, 수사와 조사 기관에서 꾸준하게 조직을 확대하거나 신설해서 증가하는 디지털 범죄에 대응하고 있다.
경찰청의 경우 사이버테러대응센터에서 2013년에 사이버안전국으로 규모를 확대했고 최근에는 94명의 디지털 포렌식 자문단을 구성하는 등 사이버범죄에 대응하고 있다.
검찰의 경우 국가디지털 포렌식센터를 운영하고 있으며, 최근에는 사이버수사부도 출범했다. 그 외에도 저작권위원회, 선관위, 공정거래위원회 등에서도 전문인력을 채용하여 디지털 포렌식 업무를 수행하고 있으며 점점 확대해 나가는 추세다.
그러나 디지털 포렌식이 활성화된 미국 등에 비해 아직 규모가 작아 이를 보완할 수 있는 법적, 제도적 장치가 마련돼야 할 것 같다. 우선 사이버범죄 발생 건수에 비해서 전문 인력은 부족하고 그렇다고 공공부분에서 인력을 무작정 늘릴 수만은 없다. 그래서 요즘 논의가 되고 있는 공인탐정제도가 마련되거나 체계적인 법률체계가 마련이 필요하다.
Q.호서는 디지털 포렌식 전문과정을 운영하고 있다. 교육은 어떤 과정으로 진행되고 있는가?
호서직업전문학교에는 사이버수사가 있다. 기본적으로 컴퓨터공학, 정보보호학을 가르치며 사이버포렌식 관련 과목을 가르치고 있다. 포렌식 관련 주요 과목은 사이버 포렌식개론, 윈도우포렌식, 파일시스템, 증거분석이며, 정보보호와 포렌식 융합 과목으로는 침해대응 기술을 가르치고 있다. 침해대응은 해킹사고 발생 시 정보보호와 포렌식 기법을 이용해서 침해 원인을 분석해서 대응 방안을 마련하는 일련의 과정을 배우고 있다. 또한 법률이 중요하기 때문에 형법과 형사소송법, 조사기법이 과정에 포함돼 있다.