디지털 포렌식 개요
범죄 수사관들은 인간의 범죄가 언제부터 시작되었으며 왜 인간은 끝임 없이 죄를 저지를 수 밖에 없는가? 와 같이 다소 철학적인 질문보다는, 누가? 어떻게? 범죄를 저질렀는지에 대한 관심을 가지고 당시 최고의 기술력을 이용해 해답을 찾아내는데 많은 시간을 보내곤 한다. 최근 범죄수사를 소재로 한 드라마에서도 보여주듯이 경찰들이 폴리스 라인을 구성해놓은 범행현장에 수사관들이 도착하면 여러 흔적들을 사진으로 남기고 증거가 될만한 것들을 수집한다. 이후 분석실에 도착하면 각가지 첨단장비들을 이용해 누가? 어떻게? 범행을 저질렀는지 증명하게 된다. 이렇듯 범인은 범죄현장에 항상 흔적을 남기게 되는데, 이러한 현상을 프랑스의 범죄학자 에드몬드 로카드(Edmond Locard, 1877~1966)는 "접촉한 두 물체 사이에는 반드시 교환이 일어난다."라는 로카드 교환 법칙(Locard's Exchange Principle) 을 발표하였다.
포렌식(Forensic)이란 범죄와 관련된 사실관계를 확정 또는 증명할 수 있는 근거가 되는 자료 즉, 증거(證據)물을 과학적으로 조사하여 찾아내기 위한 일련의 과정을 일컫는 말이다. 포렌식이라는 용어가 사용되는 초기에는 법의학(Forensic Medicine) 분야를 대신할 만큼 법의학분야에 국한되어 사용되어왔다. 그러나 지금의 많은 분야에서 만들어내는 자료들이 디지털 기기에 저장되면서 디지털 자료에서도 범죄의 결정적 증거를 찾을 수 있게 되었다. 이러한 시대적인 흐름에 따라 포렌식이란 범죄 수사 및 민∙형사 소송 등 법정에 사용되는 증거의 수집, 보존, 분석을 위한 응용과학 분야를 통칭하는 용어로 사용되고 있다.
포렌식이 점차 대중화 되면서 최근에는 디지털기기에서 증거자료를 찾는 분야를 일컬어 “디지털 포렌식” 또는 “사이버 포렌식” 이라는 용어를 혼용되고 있는데, Digital Forensic Investigator News 에서 발표한 기사 에 따르면 디지털 포렌식(Digital Forensic)은 디지털 데이터를 저장할 수 있는 기기를 대상으로 조사하는 것으로 범죄를 조사하거나 기소하는데 도움이 될 수 있도록 저장된 디지털 데이터를 추출하는 것을 말하며, 사이버 포렌식(Cyber Forensic)은 컴퓨터 네트워크 시스템에서 불법적으로 보안을 위반한 사항이 있는지 조사하는 것으로 용어를 구분하고 있다.
디지털 증거의 증거능력 요건
디지털 증거는 디지털 기기에 저장된 증거(보관증거)와 디지털 기기에 의하여 자동으로 생성된 증거(생성증거)로 구분할 수 있는데, 일반적으로 디지털 증거의 내용물은 보관증거로 볼 수 있으며, 특성정보는 생성증거로 볼 수 있다. 보관증거인 내용물은 일반적으로 작성자의 동의가 없는 한 그 자체로는 법적 증거로 인정되지 않으며, 작성자가 부인한 경우에는 생성증거로서의 특성정보에 의해 진정성(Authenticity)이 증명되어야 내용물이 디지털 증거로서 법정에서 인정받을 수 있다. 즉 디지털 증거 또는 전자적으로 저장된 정보(ESI, Electronically Stored Information)란 디지털 포렌식 기법을 활용하여 수집된 디지털 데이터(저장매체에 저장, 네트워크 전송)로 법정에서 증거 능력을 갖는 디지털 데이터를 말한다.
디지털 데이터는 눈으로 확인하기 어렵기 때문에 별도의 장치가 필요하며, 0과 1로 이루어진 데이터로 변조가 쉽고, 복제가 용이하며, 저장매체의 기술이 발전하면서 데이터의 량이 점차 커지고 있다. 또한 컴퓨터 메모리에서만 사용되다가 전원이 차단되면서 사라지는 휘발성 데이터가 존재하며 네트워크로 연결된 컴퓨터들에 의해 범죄가 발생하는 영역이 지역적이지 않고 범죄의 증거가 원격지에 존재하는 특징을 가지고 있다. 이러한 디지털 데이터의 특성으로 인해 법정에서 증거로써 효력을 발휘하기 위해서는 다음과 같은 기본원칙이 지켜져야 한다.
1. 정당성(正當性)의 원칙
입수증거가 적법절차를 거쳐 얻어져야 함 (위법수집증거 배제법칙, 독수독과(毒樹毒果理論)이론 )
2. 재현(再現)의 원칙
동일조건에서는 동일결과 도출, 법정현출(顯出)
3. 연계 보관성(Chain of custody)
증거물 획득, 이송, 분석, 보관, 법정제출의 각 단계에서 담당자 및 책임자가 명확해야 함.
4. 무결성(Integrity)의 원칙
디지털 데이터는 위∙변조와 훼손이 용이하기 때문에 수집 이후 변경되지 않았음을 입증할 수 있어야 한다.
5. 원본성(Originality)의 원칙
디지털 증거 자체는 가시성과 가독성이 없으며 매체독립적인 정보이기 때문에 법정에 제출할 때 가시성, 가독성 있는 형태로 변환하여 제출하게 된다. 이러한 경우 제출되는 증거 데이터가 원 매체에 있는 증거와 동일해야 함을 의미한다.
디지털 자료가 증거자료로 채택되었다는 것은 진정성과 무결성이 보장되는 증거능력(Admissibility)과 충분한 증명력(Weight)이 인정되었다는 것이다. 국내에는 디지털 데이터가 증거로 채택되기 위해서 갖추어야 할 요건이 별도로 규정된 것은 없지만 몇 가지 판례를 통해서 참조할 수 있다. 영남위 사건 에서는 컴퓨터에 저장된 문건은 전문법칙(Hearsay rule) 이 적용된다고 인정하였으며, 일심회 사건 에서는 자격 있는 자가 검증된 도구를 사용하여 분석한 결과는 신뢰할 수 있다는 판결이 있다. 또한 무결성이 훼손된 데이터는 증거로 인정되지 못한 사례도 있다. 이와 같은 요건을 기본적으로 만족할 경우 판사에 의해 증거능력여부가 결정되며 증명력 또한 자유심증주의에 의해 결정된다. 이해 반해 미국의 경우 증거능력 판단은 판사가 증명력 판단은 배심원들이 한다.
지금까지 살펴본 디지털 증거의 조건을 확보하기 위해서는 첫째, 논리적이고 체계화된 디지털 증거수집 절차의 수립, 둘째 신뢰성 있는 디지털 포렌식 도구의 확보, 셋째 증거 분석관의 자격 검증이 필요하다.
디지털 증거 처리 표준 가이드라인 제정
디지털 증거의 증거능력을 인정받기 위해서는 합리적인 표준 절차가 필요하고 이를 의무적으로 준수하도록 할 필요가 있다. 디지털 포렌식 조사를 수행하는 과정을 살펴보면 디지털 데이터 수집, 데이터 분석 및 증거 확보, 조사 결과에 대한 보고서 작성으로 나눌 수 있다. 이를 도식화 하면 아래 그림과 같다.
디지털 포렌식을 수행하기 위해 다양한 디지털 기기에 대한 학습이 선행되어야 하며 디지털 포렌식 조사의 일반적인 원칙을 지켜가며 수행할 수 있는 전문가를 양성하고 필요한 디지털 포렌식 도구도 준비되어 있어야 한다. 사건이 발생한 현장에 도착 후 현장을 보호한 상태에서 수색이 이루어져야 하며 시스템을 파악한 후 수색영장이 허용하는 범위에서 모든 H/W, S/W, 메모, 로그, 저장매체 등을 수색한다. 이후 휘발성 데이터를 수집하고 사본을 생성한다. 이렇게 수집된 디지털 데이터는 해쉬 알고리즘 등으로 무결성을 확보하며 전자파 차폐막과 같은 장비를 이용하여 절차의 연속성을 보장하기 위해 봉인한다. 이때 용의자와 제3자의 서명을 받고 증거수집 과정을 녹화하는 것도 좋은 방법이다. 이러한 증거물은 보관실에 보관되어 발∙출입 기록을 유지해야 한다. 조사분석 과정에서는 브라우징, 복구, 수리/복원, 검색, 탐색, 암호해독, 데이터분석 과 같은 기술들이 종합적으로 사용된다. 또한 분석에 참여하지 않은 자가 반대되는 입장에서 문제를 제기하면서 진행하는 것이 바람직하다. 최종적으로 보고서 작성시에는 6하 원칙에 따라 명백하고 객관적으로 기술해야 하며 누구나 알기 쉬운 형태로 작성되어야 한다.
미국의 경우 NIST 에서 표준화된 디지털 증거 표준 가이드라인을 제시하였고, 현재 RFC 3227 “디지털 증거 수집 및 획득에 대한 가이드라인” 에서도 디지털 증거취급에 관한 국제 표준을 선도하기 위해 노력 중이다. 국내에서도 경찰청에서 발표한 “디지털 증거 처리 표준 가이드라인”이 있으며, 이를 발전시킨 “컴퓨터 포렌식 가이드라인”이 한국정보통신기술협회(TTA) 에서 표준으로 채택되었다.
디지털 포렌식 도구의 신뢰성 검증
디지털 포렌식 절차를 따른다 하더라도 그 과정에서 사용하는 포렌식 도구의 신뢰성이 보장되지 않는다면 그 도구의 결과인 디지털 증거를 신뢰할 수 없을 것이다. 적합성을 검증하기 위해서는 디지털 포렌식 절차마다 사용되는 도구들에 대해 기능적 요구사항을 정의하고 각 요구사항을 만족하는지 적합성 테스트를 거쳐 인가 받은 것만을 사용하여야 한다. 미국에서는 Daubert Test 와 같은 과학적 증거 판별 기분을 가지고 디지털 포렌식 도구가 디지털 증거의 무결성을 보존하면서 유효한 결과물을 산출할 수 있는지 검증하고 있다.
국내에서는 2007년 TTA에서 디지털 포렌식을 위한 수집도구 검증을 위한 요구사항을 우선적으로 표준화 하였으며 NIST(National Institute of Standards and Technology)에서는 CFTT(Computer Forensics Tools Testing)를 진행하면서 일부 많이 사용되고 있는 도구에 대한 평가 결과 리포트를 온라인상에 공개하고 있다. 미국의 Williford v. Texas 127 S.W. 3d 309, 2004 Texas App. 사건에서 “담당 수사관은 컴퓨터 포렌식 전문가이면 EnCase의 사용법을 숙지하고 있었고, EnCase는 상업적인 도구로 사회적으로 널리 사용되고 있으며, 많은 테스트를 통해 낮은 오류율이 검증되어 그 결과가 저명한 저널을 통해 알려져 있다는 사실로 볼 때 담당 수사관의 증거수집 절차는 정당하였으며, 수집된 증거는 법적증거로서 유효하다”는 피고 측의 의견이 받아들여졌다. 이는 포렌식 도구를 이용해 수집된 증거가 법적증거로서 유효하다는 것을 인정한 판결이다.
디지털 포렌식 수사관 인증
“CSI효과”라고 하는 연구결과가 있었는데, 이는 배심원 제도를 채택하고 있는 미국에서는 복잡한 포렌식 조사 과정을 정확히 알고 있지도 못한 배심원들이 CSI 드라마를 보고 학습된 결과로, 때로는 엉뚱하지만 지적을 하기도 하지만 예전과는 다르게 높은 수준의 포렌식 증거를 요구하는 경우가 늘어나 포렌식 분석가들을 힘들게 하고 있다는 현상이다. 꼭 이러한 이유로 포렌식 수사관이 전문가이어야 하는 것은 아니지만, 디지털 데이터의 특성상 디지털 증거를 취급하는 사람의 숙련도나 이해도에 따라 처리과정상 오류가 발생할 수 있고, 법정에서 증언하는 전문가의 능력에 따라 디지털 증거의 증거능력과 증명력에 차이가 발생할 수 있기 때문에 전문가 증인(Expert Witness)의 자격이나 능력은 디지털 증거 처리에 있어 매우 중요한 문제라고 할 수 있다. 2007년 일심회 사건에서 대법원은 디지털 증거의 증거능력 요건으로 “조작자의 전문적인 기술능력과 정확성 담보”를 요구하고 있다. 미국의 경우 디지털 포렌식 자격 위원회 및 각종 국가기관과 민간자격증 제도가 있으며 숙련도를 측정할 수 있는 시험기관이 있는 반면 국내에서는 최근에서야 디지털 포렌식 수사관 인증에 필요성을 느끼고 준비하고 있는 단계에 있는 것으로 알고 있다.
법적 요건에 충실한 디지털 포렌식 기술
디지털 포렌식에 사용되는 기술은 IT분야의 종합예술이라고 해도 별다른 손색이 없을 정도로 많은 기술들이 접목되어 사용된다. 디지털 증거는 기존의 혈흔, 지문 등과 같은 전통적인 증거와는 다르게 변조, 복제가 쉽고 특정 O.S. 또는 디지털 기기에 국한되지 않고 저장된다는 특징들만을 생각해 보아도 이러한 디지털 데이터들을 분석하기 위해서는 많은 기초 연구가 필수적임을 어렵지 않게 알 수 있다.
디지털 포렌식에 사용되는 기술에는 아래 표와 같은 기술들이 필요할 것이다. 우리가 일반적으로 알고 있는 것처럼 아래 표와 같은 디지털 포렌식 기술들에 대해, 악성코드 또는 네트워크 분석가들도 전문적으로 분석할 수 있는 분야가 존재하지만 악성코드에 대응한다는 것은 신속한 복구 및 사고의 원인 규명을 통한 예방책 마련이 목표이지 사고 원인 규명, 가해자 파악, 증거 보존을 통한 법정 요구 조건 충족 등 포렌식이 가지는 목표와 서로 다르다.
목표는 서로 다르지만 디지털 데이터를 분석하는 것은 디지털 포렌식 수사과정 중에서 꽃 이라고 할 수 있다. 정작 이렇게 중요한 기술들이 빛을 발하기 위해서는 분석한 결과가 법적 증거자료로 인정받을 수 있도록, 앞에서 살펴본 법적 요구사항들이 충족될 수 있는 연구와 개발이 반드시 필요하다.
참고자료
[1] 디지털 포렌식 개론, 2010, 고려대 이상진 교수
[2] 컴퓨터 포렌식 가이드라인, 2007, TTA
[3] 디지털 포렌식 수사관 인증제 도입방안 연구, 2009. 고려대 임종인 교수
[4] http://forensic-proof.com/
