Term
탐정, 디지털 포렌식
2016 09 30
  • Facebook
  • Twitter
  • Copy URL

요즘 방 탈출 카페가 유행이다. 원래는 게임으로 먼저 나온 장르지만 직접 몸을 움직여 방 탈출을 한다는 것이 굉장히 흥미롭다. 버튼을 누르면 자동으로 문이 열리면서 숨겨진 방도 나오는데 생각보다 퀼리티도 좋다! 방에 들어가게 되면 여러 단서를 찾아 주어진 단서를 풀어 방을 탈출할 수 있다. 어떻게 보면 추리 게임이라고 할 수 있다. 오늘은 보안 업계에서도 이런 추리게임과 비슷한 분야에 관해서 이야기해보려 한다. 하지만 현실은 진짜 추리 게임은 아니다.

이미지를 불러오는데 실패했습니다.

디지털 포렌식은 컴퓨터와 같이 디지털적인 매체를 증거로 다루는 법의학의 한 분야로 컴퓨터 포렌식 혹은 사이버 포렌식이라고도 불리며 사건, 사고가 생겼을 때 증거로 사용할 수 있는 전자적 증거물을 수집하고 분석하는 일련의 작업과정을 말한다. 즉, 디지털 포렌식은 사고의 디지털 증거를 찾아 증거로 제출하고 증거가 입증할 수 있게 하는 일련의 작업과정이다. 외국에서는 디지털 포렌식 분야가 수사기관이나 기업체, 민간분야에서 활성화되어 있지만 국내에서는 아직 디지털 포렌식 분야에 생소함을 느낀다. 특히나 몇 년 전까지만 해도 디지털 포렌식의 정의가 여럿 있었고 요즘에서야 국내에서도 디지털 포렌식 분야가 활성화되면서 디지털 포렌식의 정의도 굳어가고 있다.

디지털를 증거로 사용하기 위해서 일련의 과정이 필요하다. 일련의 과정이 필요한 이유는 디지털의 특성 때문이다. 컴퓨터에 프로그램을 하나 설치하게 되면 많은 흔적이 컴퓨터에 남는다. 설치했던 파일을 지우더라도 그 흔적은 여전히 남아있다. 즉, 컴퓨터로 하는 작업 하나하나 흔적이 남는다. 디지털 포렌식은 이러한 흔적을 따라 사고과정을 찾아내며 증거로 사용할 수 있는 디지털 증거를 찾는다. 하지만 디지털의 특성상 아무것도 하지 않더라도 시간이 지남에 따라 흔적이 사라질 수 있고 바뀔 수 있으며 증거를 수집하는 과정에서도 증거가 훼손될 수 있어 일련의 과정이 필요하다. 또한, 이러한 일련의 과정으로 얻어낸 디지털 증거가 법적으로 효력이 발생하기 위해서는 단순히 우연히 나오는 결과물이 아닌 몇 번의 반복과정을 거치더라도 항상 같은 결과가 나와야 증거로 사용할 수 있다. 즉, 이러한 디지털의 특성 때문에 좀 더 안전하고 정확하게 디지털 증거를 회수하는 과정이 필요한 것이다.

디지털 포렌식 과정에서 사용되는 기술은 포렌식을 할 수 있는 것마다 포렌식을 가져다 붙여 굉장히 다양하다. Web을 통해 일어난 사고에 대응하는 웹 포렌식, 컴퓨터를 끄지 않고 실시간으로 대응하는 라이브 포렌식, 파일시스템에서 설치되었던 프로그램의 흔적을 확인할 수 있는 파일시스템 포렌식 등 다양하게 적용할 수 있다. 이는 연구하는 부분에 따라 증거를 좀 더 정확하고 확실하게 수집할 수 있는 연구가 활발하게 이루어지고 있어 그 특징을 잘 살려내는 명칭이 붙는다.

국내에서도 이러한 연구와 컨퍼런스가 활발하게 이루어지고 있다. 또한, 컴퓨터 하는 이들이 쉽게 접할 수 있는 포렌식 문제 사이트, 대회가 운영되어 여러 방면으로 디지털 포렌식 지식을 공유하고 기술 발전에 힘쓰고 있다. 특히나 국내에서는 ‘범인을 찾아라’라는 대표적인 디지털 포렌식 대회가 있다. 대회마다 세부적인 내용은 달라지지만 일반적으로 한 사건을 추적해 나가는 대회이다. 예를 들어, 사건에 대한 파일시스템이 담긴 USB가 주어지면 참여자는 파일 시스템에서 사건의 흔적을 찾아 사고의 과정 경위를 보고서로 작성하여 제출하는 대회이다. 가장 정확히 사건의 과정을 유추해내고 증거를 확보하는 것이 이 대회의 필승법이다. 이러한 유형의 대회나 문제 같은 형식은 국내뿐만 아니라 세계적으로도 활발하게 이뤄지고 있으며 요즘은 해킹대회에서도 가끔 포렌식 문제가 출연한다.

이미지를 불러오는데 실패했습니다.

디지털 포렌식은 이렇게 글로만 봤을 땐 추리게임 같고 탐정이 된 것처럼 재미있어 보이지만 사실은 하는 과정이 엄격하다. 실제로 사고가 일어나면 디지털 증거의 훼손을 최대한 막아야 하고 디지털 증거로 사용하기 위해 엄격한 과정이 필요로 된다. 실제 사건을 다루는 것이기 때문에 작업 하나하나가 심혈을 기울여 작업한다. 또한, 수사관의 조작 여부도 확인해야 하므로 과정을 촬영하거나 다른 인원과 함께 작업하는 경우가 많다. 한마디로 신경써야 할 부분이 한 두 가지가 아니다.

요즘에는 안티-포렌식이란 것도 생기면서 포렌식 과정을 할 수 없도록 하는 것도 생겨났다. 예를 들어 데이터를 복구를 못 하게 하는 ‘완전삭제’가 되는 프로그램이 안티 포렌식 툴이다. 하지만 이러한 안티-포렌식을 맞서기 위해 안티안티-포렌식도 생겨나 흔적을 없애고 살리는 빅 매치가 활발하게 일어나고 있다. 디지털 포렌식을 할 수 있는 친구가 있다면 그 친구 앞에서는 내 컴퓨터 봉인.

유성경 yuopboy@grayhash.com