사이버 포렌식에 대한 올바른 이해

사이버포렌식 전문가협회와 인연을 맺은 지 불과 3개월이지만 이 분야에서 필자는 수년간 연구를 해오며 겪어온 포렌식 경험담들이 있어 지면을 빌어 컴퓨터 포렌식에 대해 소개하고자 한다. 컴퓨터 포렌식 용어가 국내에 시작된 지 불과 4년여 밖에 지나지 않아 아직도 보안 및 수사 분야에 있는 분들을 전문가들을 제외하고는 일반에게 알려져 있지 않은 생소한 용어이다. 요즘 컴퓨터 포렌식이라는 말을 주변에서 자주 듣게 되지만 검색엔진을 통해 찾아보면 조금씩 다른 뜻풀이가 나오는 것 같아 혼동되는 듯하다. 법과 관련이 있고 탐정과도 관련이 있는데 쉽고 정확한 정의를 내리기란 쉽지 않다. 컴퓨터 포렌식(Computer Forensic)은 법의학(Forensic Medicine)에서 비롯된 전이용어로 국내에는 접두 부분인 컴퓨터를 제외하여 '포렌식'이라고 표현하고 있다.

'Forensic Medicine'과 'Computer Forensic' 사이를 구분하기 위해 특별히 '컴퓨터 포렌식'또는 '사이버 포렌식'이라고 불리기도 하며 영문으로 표기할 때는 간단히 C. Forensics이라고 표현하기도 한다.

우선 포렌식에 대한 정의를 위해서는 범주 지정이 중요하며 이를 기준으로 온라인 포렌식과 오프라인 포렌식으로 나눈다. 상업적인 목적으로 나온 보안 제품중에는 포렌식에 대한 용어가 오용되어 사용되기도 한다.

기존 포렌식은 네트워크 환경을 배제하여 집중적인 디지털 증거 분석에 초점을 맞추어오던 형태가 사이버 범죄의 증가로 인해 네트워크 상에서도 컴퓨터 범죄수사 착수를 위해 네트워크 포렌식을 도입하게 되었다.

포렌식에서는 침해사고 대응팀에서 분석하는 업무를 병행할 수 있으며 이와 더불어 변종 웜 바이러스에 대한 분석이 가능하다. 백신 회사에서는 고객을 위한 지원 서비스라고 한다면, 포렌식에서는 객체를 위한 지원 서비스로 볼 수 있다. 여기서 객체란, 주체인 사용자가 아닌 시스템 자체, 말하자면 디지털 증거가 들어있는 원본 디스크를 두고 말한다.

원본 디스크와 동일한 포맷으로 비트별 복사한 원본 디스크 사본에서 분석을 하는 작업을 '포렌식 무결성 분석작업'이라고 통상 말하고 있다. 기존에는 포렌식에 대한 개념과 이해가 부족하여 의미적으로 법적인 컴퓨터 증거분석으로만 보게되는데 실제 포렌식 수사 시 기타 용도로 쓰이게 됨을 주변에서 볼 수 있다.

사이버 포렌식 Q&A

국내외 상용화된 포렌식 자동화 도구들의 개발 동기는 국가의 수사적이고 보안적인 측면에서 대응할 수 있는 사용하기 쉬운 통합 분석작업에 있었다. 그러나 사이버 범죄(웜 바이러스, 백도어 등)의 증가 및 기업간의 산업스파이로 인한 엄청난 경제적인 피해를 가져옴에 따라 포렌식은 수사적인 면에 국한되지 않고 다각적인 면에서 접근할 수 있는 필수 기술로 부각되기에 이르게 된다.

포렌식에 대한 올바른 이해를 돕기 위해 포렌식 세미나에서 질문 받게 되는 사항들을 중심으로 아??같이 정리해 보았다.

1. 포렌식에는 컴퓨터에 존재하는 데이터가 법적인 증거로 국내에서 사용될 수 있나? 법정의 증거물이 되기 위해서는 부가적인 조건들을 만족해야 하는 걸로 알고 있다. 해킹에 대한 증거물(로그 및 문서파일)을 법적인 용도로 사용할 수 있는가.

- 법률적으로 '전문증거(Hearsay Evidence)'라는 용어가 있다. 간단히 컴퓨터와 관련한 증거물들은 전문 증거법칙이 적용된다고 할 수 있다. 아래 대법원 판례를 보면 좀 더 구체적으로 이해할 수 있을 것이다.

컴퓨터 디스켓에 들어 있는 문건의 증거능력 (대법원99도2317판결) (대법원 1999. 9. 3. 선고 99도2317 판결)

컴퓨터 디스켓에 들어 있는 문건이 증거로 사용되는 경우 "위 컴퓨터 디스켓은 그 기재의 매체가 다를 뿐 실질에 있어서는 피고인 또는 피고인 아닌 자의 진술을 기재한 서류와 크게 다를 바 없고, 입수 후의 보관 및 출력 과정에 조작의 가능성이 있으며, 기본적으로 반대신문의 기회가 보장되지 않는 점 등에 비추어 그 기재 내용의 진실성에 관하여는 전문법칙이 적용된다 할 것이고, 따라서 형사소송법 제 313조 제1항에 의하여 그 작성자 또는 진술자의 진술에 의하여 그 성립의 진정함이 증명된 데 한해 이를 증거로 사용할 수 있다."

전문증거 (Hearsay Evidence)

사실인정의 기초가 되는 실험사실(實驗事實;要證事實)을 실험자 자신이 직접 법원에 보고하지 않고 간접적으로 보고하는 증거. 실험자 자신이 실험사실을 서면에 기재하는 경우(진술서), 실험사실을 들은 타인이 서면에 기재하는 경우(진술기재서), 실험사실을 들은 타인이 법원에 직접 진술하는 경우(傳聞陳述;좁은 뜻의 전문증거)를 포함한다. 영미법에서 전문증거는 반대신문으로 다룰 수 없기 때문에 증거가 될 수 없다는 원칙(전문법칙;hearsay rule)이 확립되어 있다. 대륙법에서는 전달과정에서 잘못이 있을 수 있으나 그것은 자유심증의 문제이므로 증거능력에는 영향이 없으며 다만 직접심리주의의 요구로 증거능력에 제한이 있을 뿐이다. 한국에서는 전문법칙을 채택하고 있는데, 적용되는 경우는 진술증거에 한하며, 인적증거인가 물적증거인가를 불문한다. 전문법칙을 지나??엄격히 적용하면 사실상 범죄인을 처벌한다는 근본목적의 달성에 지장이 크므로 개별규정을 두어 예외를 인정하고 있다. 또한 당사자의 동의가 있으면 적용이 배제된다.

다음은 사전에 나와 있는 전문증거에 대한 내용이다.

2. 기업회계 감사에도 포렌식 기술이 이용되어 미국의 경우 엔론사의 부정회계 사건을 포렌식 수사를 통해 해결했다는 뉴스를 접했다. 이는 일반 컴퓨터 범죄(해킹)와 접근방법이 조금 다를 것이라 생각된다. 기업회계 감사에서는 어떤 부분에 중점을 두고 분석해야 하나.
- 컴퓨터 포렌식에는 다양한 기법이 존재한다. 이 경우는 분석기법 중 지워지거나 손상되거나 혹은 은닉된 파일들을 복구하는데 초점을 맞추어야 한다. 즉 고의 혹은 임의로 은닉, 손상, 삭제된 파일을 복구하여 회계와 관련한 데이터의 부정 여부를 가려내는 데 중점을 두게 된다. 따라서 담당자의 책임소재를 분명하게 가려낼 수 있으며 공정한 시비여부를 디지털 근거에 입각하여 판단할 수 있다.

3. 소프트웨어 불법 복제 수사에 관한 질문이다. 국내에서는 불법적으로 많은 소프트웨어를 불법 복사 판매하고 있다. 소프트웨어 뿐 아니라 여러 가지 성인 음란물도 불법적으로 판매되고 있다. 이런 불법 행위를 컴퓨터 포렌식 기술을 이용해서 방지하거나 범인을 잡을 수 있는가.

- 포렌식에는 크게 온라인(On-line)과 오프라인(Off-line) 분석이 있으며 사용 출처에 대한 분석을 위해서 온라인 분석 내에서 네트워크 포렌식을 적용하면 된다. 네트워크 포렌식에서는 인터넷상에서 주고받는 불법 소프트웨어의 출처를 역추적할 수 있는 정보를 기반으로 분석하게 된다.

4. 음란 사이트 접속을 감시하고 싶다. 개인적으로 사용하는 PC에서 인터넷을 통해 음란 사이트, 혹은 특정 사이트에 접속하는지 감시하고 싶은 것이다. 어렵지 않다면 어떤 방법이 있는지 알고 싶다.

- 웹서핑 중에 자신도 모르는 사이 본인의 컴퓨터에 여러 가지 사이트에 관한 기록이 남겨지게 된다. 본인의 의도가 아닌 반강제적으로 자동 설치된 프로그램이 윈도 내 깊은 곳에 자리잡히게 되는데 포렌식에서는 기본적인 쿠키나 히스토리 파일 이외에 생성된 각종 수상한 파일들에 대한 기록 등(Log)을 참조하여 음란 사이트 접속에 대한 감시를 하게 된다.

5. 회사 안에서 기밀이 유출되는지 확인할 수 있나. 회사 내에 나름대로 보안계획을 가지고 있고 여러 가지 보안 장비를 사용하여 신경쓰고 있다. 회사의 특성상 보안의 유지가 매우 중요하다. 여러 가지 정황상 회사의 기밀이 유출되고 있다는 생각이 든다. 혹시 포렌식 기술을 사용하여 기밀 유출을 확인할 수 있나. 혹은 미연에 방지할 수 있는 방법이 있나.

- 포렌식 전용 프로그램을 미리 사용하고 있었다면 99% 방지할 수 있다. 그렇지 않은 경우에는 사후 분석 기법을 사용하여 사건을 해석할 수 있다. 질문한 대로 원천적으로 사전에 기밀 유출을 막고자 한다면 포렌식 전용 프로그램을 회사 규범에 동의한 담당자의 PC에 설치해야 한다.

6. 포렌식과 관련한 국제 자격증이 있다고 들었다. 국내에서도 자격증 취득을 할 수 있는가. 또 조건이 어떻게 되는가.

- 국내에서 해외 포렌식 자격증을 직접 취득할 수 없으며, 해외 연수교육을 통해 최소 1주일간의 체류비를 개인이 부담하여 사설 포렌식 자격증을 취득할 수 있다. 현 시점에서 국제 공인자격증은 아직 없으며 국내에는 동국대 정보보호대학원 내의 사이버 포렌식 전문?鄕?수료증 코스가 사설로 운영되고 있다. 향후에는 국가자격증으로 전환할 계획이다.

7. 포렌식 분석의 디지털 증거에는 어떠한 항목들이 있는지 자세히 알고 싶다. 대학원 정보보호과정에서 배우는 내용들도 포함하고 있는 것인가.

- 국내 대학원 교육과정에는 공식적인 포렌식 과정이 개설되어 있지 않지만 해킹 및 시스템 보안 과정에서 포렌식과 관련된 내용 등을 개략적으로 강의하고 있다. 실질적인 포렌식에서 사용하는 디지털 증거는 다음과 같습니다.
- file signature
- hash 분석
- swap, unallocated 공간조사
- Raid 5 분석
- GREP 검색(계좌번호, 전화번호, 이메일 주소, 카드번호, 주민번호, 웹사이트 주소 자동 추출)
- 전자메일 복구 및 ID 및 콘텐츠 분석
- 웹메일 분석
- 삭제 파티션 이미지 복구
- Advanced 데이터 분석
- 레지스트리 분석

<그림 1> 사이버 포렌식의 개요

<그림 2> 포렌식 무결성 분석 작업

8. 포렌식이란 법적인 증거제시를 위한 분석수사를 말하고 있는데, 오직 수사기관에서만 사용하는 특정 영역인가. 일반인도 이러한 포렌식 자동화 도구를 이용해 서비스를 할 수 있는가.

- 포렌식 세미나 및 인터넷 정보를 통해 알 수 있는 지식이란 극히 일부에 지나지 않는다. 포렌식은 기업에서 도용 당할 수 있는 일급비밀 및 산업스파이 감시를 위해 일정시간 동안 모니터링을 할 수 있다. 정보선진국에서는 이미 기업 내부인 감사에 적용하고 있으며, 이러한 정보는 절대로 유출하지 않고 있다.

따라서, 기업용 포렌식 사용사례를 파악하기란 매우 어렵다. 실제 사용자 파악은 포렌식 판매업체에서도 꺼려하고 있다. 일반인이 포렌식 자동화도구를 사용하는 것은 법적으로 금지하지는 않지만, 인터넷에서 해킹도구로 오용하여 사용할 수도 있기에 구매자에 대한 신원확인 작업을 거친 후 판매토록 하고 있다. 일반인의 경우 손쉽게 데이터 복구용 자동화 도구를 사용해 소프트웨어적인 복구를 하는 것이 바람직하며 출처 및 근거자료 활용을 위해서는 포렌식 서비스를 받을 것을 권고한다.

포렌식은 옵션 아닌 필수

포렌식을 어려운 학문으로 알고 있거나 외부에 알려지지 않은 특수기법으로 이해하기보다는 일반인 스스로가 포렌식 전문자격을 갖추기 위해 접근할 수 있는 교육과정, 또는 기업 내 감사인, 수사기관, 보안 CTO들이 갖추어야 할 필수사항으로 생각했으면 한다. 다음 호에는 포렌식 사례연구를 통해 베일에 쌓인 포렌식 실무에 접근하도록 하겠다.

포렌식 전문가에 대한 짧막한 글~
http://ykei.egloos.com/4498295