About Digital Forensic
- 디지털 포렌식이란?
- 흔적이란?
- 기존 과학수사와의 비교
- 디지털 포렌식에 관한 오해
- 5W1H
1. 디지털 포렌식이란?
연일 뉴스에서 ‘디지털 포렌식’이라는 용어가 등장하고 있다. 구글에 해당 용어를 검색하면 '경찰은 삭제된 증거를 어떻게 복구하는 걸까?', '삭제파일도 뚝딱 복구한다는 디지털 포렌식', '삭제된 증거 되살리는 디지털 포렌식...지워도 소용없다' 등의 내용들이 보인다. 디지털 포렌식이란 삭제된 증거를 복구하는 것일까? 흔히 디지털 포렌식 업무를 한다고 하면 복구와 관련된 질문들을 많이 받는다. 그러나, 복구는 디지털 포렌식의 한 분야일 뿐이다. 그렇다면 디지털 포렌식이란 무엇일까? 여러 정의가 있지만 필자는 다음과 같이 말하고 싶다.
여기서 디지털 환경이란 컴퓨터, 스마트폰 뿐만이 아닌 서버, 스마트워치 등 다양한 디지털 기기를 포함하며, 과학적인 방법은 컴퓨터 과학과 법적인 절차가 결합된 방법으로 디지털 기기에 남은 흔적을 분석하는 것을 의미한다.
2. 흔적이란?
법의학의 창시자 로카르는 "Every contact leaves a trace"라는 말을 남겼다.(로카르의 교환법칙, Locard’s exchange principle)
모든 접촉은 추적가능한 흔적을 남긴다는 뜻으로, 사건현장에서는 범죄자가 접촉한 곳에 남긴 흔적이 반드시 존재한다는 것이다. 해당 흔적은 사건현장의 발자국, 머리카락 등이 될 수 있으며, 이를 통해 용의자를 특정할 수 있다. 흔적들 중 법정에서 혐의를 입증하는데 사용되는 것을 증거라 부른다.
디지털 환경도 이와 유사하다. 사용자가 디지털 기기(컴퓨터, 핸드폰 등)를 사용함에 따라 디지털 기기 안에는 그 흔적(파일, 로그, 데이터 등)들이 남는다. 흔적은 크게 두가지로 분류된다. 하나는 디지털 기기가 자동적으로 생성한 것(생성증거)이며, 다른 하나는 사용자가 직접 생성하여 디지털 기기에 보관하는 것(보관증거)이다.
자신의 컴퓨터를 살펴보자. C:\ 경로의 폴더와 파일들 중 본인이 직접 생성한 것이 있는가? 대부분의 경우 없을 것이다. 이처럼 사용자 자신이 생성하지 않았음에도 컴퓨터 내에는 컴퓨터가 자동으로 생성한 파일들이 존재하며, 이런 파일들을 생성증거 (Computer Generated Evidence) 라고 한다. 반면, Microsoft Office, 한글 문서 파일 등과 같이 사용자가 직접 생성하고 컴퓨터에 보관하는 파일들을 보관증거라 한다.
3. 기존 과학수사와의 비교
| 과학수사 | 디지털 포렌식 수사 |
|---|---|
| 물리적 형태로 존재하는 증거를 수집(혈흔, 머리카락, 장갑 등) | 전자적 형태로 존재하는 디지털 증거를 수집(이미징) |
| 수집한 증거들 중 머리카락의 DNA 분석 | 획득한 이미지에서 레지스트리 추출 및 분석 |
| 머리카락의 주인을 통해 용의자 특정 가능 | 레지스트리 분석을 통해 컴퓨터 사용자 특정 가능 |
전국을 떠들썩하게 했던 국정농단 사건에서는 핵심증거인 태블릿 PC의 사용자가 누구인지가 중요한 쟁점 중 하나였다.
(해당 태블릿 PC 분석은 모바일 포렌식 분야로 레지스트리 분석이 아닌 여러 다른 흔적을 통해 사용자를 특정하였다.)
4. 디지털 포렌식에 관한 오해
도구만 사용하면 다 되는거 아닌가?
흔히 시스템 해킹(Pwnable) 쪽의 보안을 한다는 사람들이 이러한 말들을 자주 한다. 이에 대한 나의 대답은 다음과 같다. “누구나 동일한 컴퓨터라는 도구가 있지만, 그 도구로 하는 업무와 결과는 천지차이다.”
- 증거를 수집해주는 도구는 존재하지만, 현장에서 어떤 증거를 어떻게 수집해야하는지 알려주지 않는다. 현장에서는 다양한 상황이 존재한다.(CMOS 비밀번호 걸려있는 경우, WTG 방식을 이용할 것인지, Write Blocker를 이용해 하드에 직접 연결할 것인지, 라이브 포렌식을 진행할 것인지, 메모리 덤프도 할 것인지, 서버의 이메일 자료는 어떻게 할 것인지, 전체획득을 할 것인지, 선별압수를 위한 키워드는 무엇인지 등)
- 증거를 분석해주는 도구는 존재하지만, 증거 내 어떤 흔적을 분석해야 하는지 알려주지 않는다. 레지스트리, 링크 파일, 프리패치 파일 등 수많은 흔적(Artifacts, 아티팩트)들이 증거 내에 존재하지만, 어떠한 것들을 분석해야 하는지 알려주지 않는다.
- 증거를 분석해주는 도구는 존재하지만, 분석결과를 해석해주지 않는다. 여러 아티팩트 분석 결과를 종합하고 해석하는 것은 오로지 디지털 포렌식 조사관의 역할이다.
- 모든 아티팩트에 대한 분석을 지원하지 않는다. 디지털 환경은 끊임없이 진화(운영체제 업데이트 등)하고 있으며, 그에 따라 흔적이 남는 방식도 계속해서 변화한다. 기존의 도구들은 새로운 환경의 흔적에 대해 곧바로 분석을 지원하지 못한다. 이럴 경우 스스로 도구를 개발해서 분석을 진행해야 한다.
전문가만 할 수 있는가?
디지털 포렌식은 전문가만이 할 수 있는 영역이 아니다. 비전문가들도 실생활에서 충분히 활용할 수 있으며, 이미 누군가는 자신도 인지하지 못한채 디지털 포렌식을 활용하고 있을 수도 있다. 다음은 실생활에서 누구나 응용할 수 있는 기초적인 디지털 포렌식 사례이다.
- 브라우저(Internet Explorer, Chrome 등)에서의
방문한 페이지 목록,다운로드 목록을 통해, 사용자가 이전에 어떠한 사이트를 접속했고 다운로드 했는지 확인하여 사용자의 관심사를 추론할 수 있다. - 윈도우 탐색기 창의
'최근에 사용된 폴더,'최근에 사용한 파일'에서, 사용자가 최근에 컴퓨터에서 어떠한 작업을 했는지 추론할 수 있다.
포렌식과 디지털 포렌식은 같은 말인가?
포렌식(Forensic)을 한국말로 번역하면 '법의학'이다. 법의학은 법과 관련된 의학적 문제를 연구하는 것으로, 엄밀히 얘기하면 디지털 포렌식과는 구분하여야 한다. 그러나, 우리나라에서는 포렌식이라고 하면 대부분 디지털 포렌식을 말하는 상황이다.
5. 5W1H
- 누가(Who) : 디지털 포렌식 수사관(조사관)
- 언제(When) : 디지털 시대
- 어디서(Where) : 디지털 환경
- 무엇을(What) : 디지털 기기
- 어떻게(How) : 디지털 포렌식
- 왜(Why) : 실체적 진실의 발견
Comments