디지털 포렌식 수사관은 디지털매체를 분석해 숨겨진 범죄를 찾아낸다. 범죄자들도 첨단 안티 포렌식 기법을 이용해 증거를 숨기고 없앤다. 심증과 알리바이는 필요 없다. 꼼짝할 수 없는 물증이 필요하다. 디지털 판 셜록홈즈와 괴도 루팡의 대결. 디지털포렌식과 안티포렌식의 전쟁은 이미 시작됐다. <송영록 기자 syr@ittoday.co.kr>
디지털매체 분석으로 숨겨진 범죄도 찾아 낸다
최근에 하드디스크를 포함한 컴퓨터에 대한 수색과 압수는 모든 범죄 수사에 있어서 반드시 수행해야 할 절차가 됐다. 사이버 범죄에서 압수/수색과 증거분석은 일반 범죄사건 수사와 마찬가지로 과학적이고 기술적인 지식을 활용해 수행 돼야 한다. 물론 적법한 절차가 필요하다. 이런 디지털 증거가 법정에서 유효하게 증거능력을 인정받기 위해선 증거의 진정성과 무결성 그리고 신뢰성 등을 보장해야 한다. 디지털 증거의 압수에서 분석, 그리고 법정 제출까지 아우르는 모든 제반 행위를 디지털 포렌식이라고 한다.
디지털 포렌식이 주목받기 시작한 건 신정아/변양균 스캔들 때부터. 당시 둘 사이 주고받았던 이메일이 복원되면서 세간의 관심이 집중됐다. 황우석 교수 사건 때도 마찬가지로 김성종 연구원의 이메일을 복원해 내기도 했었다.
현재 디지털 포렌식을 위해선 잘 알려진 소프트웨어 사용한다. 대표적인 소프트웨어로는 ’엔케이스(EnCase)’와 ’FTK’가 있다. 이 두 제품은 현재 국내에서 사용되고 있으나 국산소프트웨어와의 연동과 한글 지원이 원활하지 못하다는 단점이 있다. 국내업체인 파이널데이터의 ’파이널포렌식’ 제품도 많이 사용되고 있으나 아직까지는 외산 제품에 비해 인지도와 성능에서 뒤떨어진다는 분석이다.
디지털 포렌식 분석의 종류에는 네트워크 포렌식, ▲암호 알고리즘 포렌식 분석, ▲데이터복구 포렌식 및 분석, ▲모바일 포렌식 분석, ▲윈도우 포렌식 분석, ▲소스 포렌식 분석, ▲DB 포렌식 분석, ▲리눅스 포렌식 분석, ▲ETC OS 포렌식 분석 등이 있다.
그렇다면 어떻게 디지털 증거를 복원해 내는 것일까?
디지털 포렌식을 위해 요구되는 기술은 저장매체 이미징 기술, 디지털 증거 무결성 확보 기술, 활성 시스템 정보수집 기술, 네트워크 정보수집 기술, 삭제/손상 데이터 복구 기술, 데이터 고속검색/분석 기술, 패스워드 검색 및 암호 해독 기술, 정보 은닉 탐색 및 추출 기술, 네트워크 분석 및 역추적 기술 등이 있다.
데이터 복구 기술은 삭제된 파일을 복구해 내는 것이다.
일반적으로 파일을 삭제한다고 해서 디스크 상에서 해당 파일이 사라져 버린 것은 아니다. 다만 그 파일로의 링크가 삭제됐기 때문에 완전히 삭제됐다고 느끼는 것이다. 따라서 다른 파일로 덮여 쓰여 지지만 않았다면 디스크의 어느 한 부분에 데이터가 남아 있게 된다. 포렌식 도구를 이용해 이 같은 데이터를 복구해 낼 수 있다.
디지털 증거 수집 방법 중 기본적인 것은 원본 디스크를 다른 디스크에 복사하는 방식과 원본 디스크에 대한 이미지 파일을 작성하는 방식이다. 디스크 복사 방식은 전용 장비를 사용한다면 간단하게 복사본을 생성할 수 있다. 다만 원본 디스크와 사본 디스크의 크기가 다를 경우 각각의 해쉬값이 달라지므로 무결성 증명이 어렵다는 단점이 있다.
디스크에 대한 이미지 파일을 작성하는 방식의 경우, 원본 디스크와 비트 단위로 똑같은 파일을 생성해 낸다. 사용자가 원하는 크기로 파일을 분할 생성할 수 있고 무결성 확인이 쉽다. 최근 개인용 컴퓨터의 하드디스크 용량이 이미 수백기가 바이트를 훌쩍 넘었다. 이런 방대한 양의 디지털 정보 중 원하는 정보를 얻어내기 위해선 검색범위를 축소하는 것이 중요하다. 이를 위해선 해쉬 검색 기술이 요구된다. 또 분석대상인 모든 파일에 대해 사전 인덱스를 구축한 후 검색한다면 실시간으로 신규검색이 이뤄지므로 검색 시간을 단축 할 수 있다. 다만 초기 인덱스 구축의 비용은 생각해야한다.
분석 대상 디스크를 처음부터 끝까지 비트 단위로 검색하는 방식은 지워진 파일이나 남겨진 조각 파일들도 검색하는 장점이 있지만 시간이 오래 걸리고 입력된 검색어에 한해 검색이 가능하다는 한계가 있다.
메모리 및 스왑 영역도 검색한다. 메모리에는 캐쉬 데이터, 라우팅 정보, 프로세스 정보 등이 남아있다. 패스워드나 암호문이 남아있을 가능성도 있다. 스왑파일은 가상메모리 시스템의 일부분으로써 시스템이 동작하고 있는 활성 시스템에서는 운영체제가 파일을 점유하고 있어서 일반적 파일 복사 방법으로 데이터를 얻어낼 수 없다. 따라서 파일 시스템을 분석하고, 스왑 파일을 물리적으로 하드디스크로부터 읽어내는 방식을 사용하다.
디지털 포렌식을 국내에 처음 도입한 임종인 고려대 정보보호경영대학원 원장는 “현직 판검사는 물론 일선 경찰에 이르기 까지 직접 대학원을 찾아 디지털 포렌식을 배워 간다”며 "점점 첨단화돼 가는 범죄에 대해 법을 집행하는 사람들도 이러한 지식을 갖춰나가야 할 필요성을 느끼고 있는 것"이라고 말했다.
디지털포렌식 수사관인 김기범 반장은 “과거 경찰 수사만으론 한계가 있다며 현재 많은 디지털 기계들이 등장했고 융합되고 있는 추세에서 디지털 포렌식 수사는 핵심키워드가 될 것이다”라고 말했다.
흔적조차 찾으려 하지 말 것! 데이터는 이미 사라졌다.
막으려는 자가 있으면 뚫으려는 자가 존재하는 법.
최근 다양한 디지털 포렌식 기술로 사이버 범죄에 효과적으로 대응하는 사례들이 증가하면서 이런 디지털 포렌식에 대응할 수 있는 안티 포렌식 기술 또한 발전하고 있다.
디지털 포렌식 수사에 의해 증거가 발견되지 않도록 하는 기술이 안티 포렌식인 것.
안티 포렌식 기술은 범죄의 결정적 증거를 은닉하고 훼손하는 형태로 발전을 거듭하고 있다. 대표적인 기술로는 파일 시스템 특성에 따른 정보은닉 및 삭제, 스테가노그래피, 메타데이터를 이용한 정보의 은닉, 그리고 물리적인 정보 파괴가 있다.
가장 기본적인 방법은 데이터 영구 삭제이다. 보통 디가우저란 장비를 사용한다. 디가우저란 목표물에 강력한 자기장을 쏴서 자기 테이프와 디스크 미디어에 있는 데이터나 신호들을 완전히 제거하기 위한 장치다.
일반적인 디지털 데이터가 하드디스크, 자기 테이프 등 자기적 매체에 저장된다는 점에 착안한 방식이다. 자기적 매체에 있는 마그네틱 도메인의 자기 성질을 없애거나 변형하는 것. 결국, 그 안의 데이터는 사라지게 된다.
보통 원본데이터에 있는 자성보다 더욱 강한 신호에 목표물을 여러 번 노출시키거나 영구 자석을 이용해 자기적 매체를 천천히 무력화 시키는 방법을 사용한다.
이런 디가우저 장비는 현재 여러 업체에서 상품화 해 판매하고 있기 때문에 누구나 쉽게 장비를 구입할 수 있다. 파이널데이터의 ‘파이널 이레이저’, 에스엠에스의 ‘블랙매직’, 아크로니스의 ‘아크로니스 드라이브 클렌저’ 등은 하드디스크드라이브와 USB메모리 등 각종 데이터 저장장치에 기록된 중요 정보를 제거하고 복원을 방지 한다.
물론 개인정보보호를 위해 이러한 제품들이 필요하지만 안티 포렌식에 사용되며 완전범죄를 꿈꾸는 범인의 도구로 악용될 가능성을 배제 할 수 없다.
디지털 포렌식을 막기 위한 겹쳐쓰기 방식도 있다. 소프트웨어를 이용해 하드 디스크에 데이트를 겹쳐 쓰게 해 원래의 데이터를 찾을 수 없게 하는 것. 저장매체 전체의 자료 저장 위치에 0 또는 1을 겹쳐 쓰는 방식이다.
클라이언트 수가 작을 경우 처리비용이 저렴하고 재활용도 가능하다. 하지만 정보시스템 저장매체 불용처리지침 규정상 최소 3회 이상을 반복해야 해 작업시간이 길어지기도 한다.
데이터를 없애버리는 대신 숨기는 기법도 안티 포렌식에 사용된다.
가장 기본적인 방법으로 암호화가 있다. 정보보호의 수단으로 사용되는 기술이지만 안티 포렌식에 악용될 경우 디지털 포렌식 수사를 더디게 할 수 있다.
최근엔 문서의 저작권을 보호하기 위해 사용되던 스테가노그래피 기술이 안티 포렌식에 악용 되는 경우도 늘고 있다. 스테가노그래피란 메시지가 전송되고 있다는 사실 자체를 은닉해서 데이터를 숨기는 기술이다.
최근 스테가노그래피 기술은 BMP 같은 그림 파일이나 WAV와 같은 음악파일 안에 메시지를 암호화해서 숨기는 방법으로 발전했다. 겉으로 보거나 듣기에는 일반 파일과 전혀 차이가 없다. 파일 전송 시에도 마찬가지다.
암호화의 경우, 데이터 획득까진 가능하지만 스테가노그래피는 일반 파일과 구별할 수 없기 때문에 데이터 획득 조차 어렵다. 설사 획득했다 하더라도 사용자가 설정한 비밀번호를 알고 있어야 정보의 추출이 가능하다.
이런 스테가노그래피의 특성이 범죄자들에게 짜릿한 유혹으로 다가오고 있다. 안티 포렌식이 범죄를 위해 태어난 건 물론 아니다. 예를 들어 회계법인 컨설팅 업체 등은 프로젝트를 마친 후 자료들을 완전 파기하게 돼있다. 그럴 때 안티 포렌식 툴을 사용한다. 버려진 컴퓨터에서 새나가는 무분별한 개인정보를 보호하기 위해서도 안티 포렌식 기법은 필요하다. 다만 범죄에 악용되는 게 문제다.
임종인 고려대 정보보호경영대학원 원장은 "안티 포렌식툴에 대한 무분별한 통제는 안 된다"고 전제한 후 "최근 포렌식툴에 대한 CC인증 등을 정부에서 추진하고 있듯이 인증을 통해 객관적인 통제가 이뤄져야한다"고 밝혔다.
이어 임 원장은 "미국의 경우, 수사가 시작된 후 함부로 자료를 파기하면 수사방해죄에 적용된다. 민사재판에서 조차 이메일 데이터를 고의로 삭제했다고 패소한 경우가 있다"며 "우리도 이 같은 수사방해죄를 도입할 필요가 있다"고 말했다.