디지탈포렌식

초기에는 컴퓨터가 널리 사용되면서 컴퓨터의 디지털 증거를 분석하는 활동이라는 의미로 컴퓨터포렌식이라는 용어를 사용했다. 이어서 단일 컴퓨터 기기를 넘어 사이버 공간의 디지털 증거를 분석한다는 의미로 사이버포렌식이라는 용어를 사용했다. 최근에는 디지털 증거가 남을 수 있는 모든 디지털기기를 대상으로 한다는 의미에서 디지털포렌식이라는 용어가 널리 사용되고 있다.
디지털포렌식의 대상은 데스크탑, 노트북, 라우터, 휴대폰, 네비게이션을 비롯하여 차량용 블랙박스, CCTV, 의학용 전자기기, 스마트 TV, 전자시계, 디지털 도어 등 디지털 흔적이 남을 수 있는 어떤 디지털기기도 포함한다.
 
디지털포렌식은 초기에 사이버범죄를 분석하는데 많이 사용되었지만 최근에는 살인, 강도, 강간, 폭행과 같은 강력범죄를 비롯하여 사기, 명예훼손, 회계부정, 세금포탈, 기업비밀유출 등 거의 모든 사건에 활용되고 있다.

 

◇디지털포렌식 절차
디지털포렌식은 “디지털기기를 매개체로 하여 발생한 특정 행위의 사실관계를 법정에서 규명하고 증명하기 위한 절차와 방법이다” 라고 정의할 수 있다. 이 문장에서 중요한 단어는 “법정에서”이다.
디지털흔적이 법정에서 디지털 증거로 인정받기 위해서는 증거능력(Admissibility)이 있어야 하는데, 증거능력을 갖추기 위한 많은 요건 중 가장 중요한 것이 초기 수집된 데이터가 법정에 제출될 때까지 변조되지 않아야 한다는 무결성(Integrity)이다. 무결성을 지키기 위해서는 디지털포렌식 절차에 따라 데이터를 수집, 보관, 분석, 제출해야 한다.
 
전통적인 아날로그 증거는 증거를 획득, 보관, 분석, 제출하는 과정에서 변조될 가능성이 크지 않지만, 디지털기기에 남아있는 디지털 증거는 단순히 “0”과 “1”이라는 비트로 존재하고, 저장매체에 따라 자기장, 전기적 방식 등으로 기록되어 있어 증거를 획득, 보관, 분석, 제출하는 과정에서 손쉽게 수정될 수 있다.
 
그렇다면 수집한 데이터가 디지털 증거가 되기 위해 반드시 지켜져야 할 디지털포렌식 절차에 대해 간단히 살펴보자.
 
디지털포렌식 절차는 크게 사전 준비, 증거 수집, 포장 및 이송, 조사 분석, 정밀 검토, 보고서 작성, 이렇게 6단계로 나눌 수 있다. 각 단계에서 무결성을 유지하기 위해 다양한 디지털포렌식 기술이 사용되지만 간단히 각 단계의 역할만 살펴보도록 하자.

 

사전 준비 단계는 사건이 일어나기 전에 행해지는 활동으로 도구의 준비, 검증, 분석 교육 등의 활동이다.

 

증거 수집 단계는 사건과 관련된 디지털기기에서 디지털 데이터를 수집하는 과정으로 수집 과정에서 데이터가 변조되지 않아야 한다. 포장 및 이송 단계는 수집된 데이터를 포장하여 분석실로 이송하는 과정으로 외부의 요인에 의해 변조되지 않도록 해야 한다.
 
조사 분석 단계는 수집한 디지털 데이터를 분석하는 과정으로 다양한 디지털포렌식 분석 기술이 사용된다. 흔히, 디지털포렌식은 이 분야의 연구를 지칭하기도 한다. 정밀 검토 단계는 분석되기까지의 각 단계의 검증을 비롯하여 분석 결과가 정확한지 검토하는 단계이다. 보고서 작성 단계는 정밀 검토를 마친 결과를 바탕으로 분석된 결과를 법정에 제출하기 위해 객관적인 보고서를 작성하는 단계이다.
 
디지털포렌식과 관련한 많은 기관에서 6단계의 기본 절차를 바탕으로 해당 기관에 맞게 재구성한 절차를 사용하고 있다.
 
◇최근의 디지털포렌식 흐름
최근의 흐름을 살펴보면 디지털포렌식을 법률과 항상 연관시키기에는 사용되는 범위가 너무 넓다. 법정에 제출할 목적은 아니지만 디지털포렌식 기술을 사용하는 다양한 분야에서 해당 용어를 사용하고 있기 때문이다.
 
대표적으로 침해 사고의 원인과 영향을 분석하는 침해사고 포렌식, 악성코드의 흔적을 분석하는 악성코드 포렌식, 디지털 데이터의 저작권과 관련한 저작권 포렌식, 기업의 내부 감사를 위한 감사 포렌식, 회계 데이터의 은닉과 조작을 판단하기 위한 회계 포렌식 등이 있다. 이런 분야는 법률과 직접적인 연관은 없지만 특정 행위 결과의 사실관계를 규명한다는 점에서 모두 동일하다. 그렇다면 디지털포렌식을 다음과 같이 재정의해 볼수도 있지 않을까?
 
“디지털기기를 매개체로 하여 발생한 특정 행위의 사실관계를 규명하고 증명하기 위한 절차와 방법이다.”
그렇지만 디지털포렌식을 법률과 분리해서 생각하는 문제는 많은 이견이 있다. 새로운 분야를 디지털포렌식 범주에 포함할 것인지, 디지털포렌식의 파생 분야로 볼 것인지 말이다.
 
2006년 말, 미국의 민사소송규칙에 디지털 증거를 대상으로 하는 전자증거개시(e-Discovery) 제도가 포함되면서 IT 분야 뿐만아니라 미국과 사업적 관계를 맺고 있는 국내의 많은 기업에서 디지털포렌식에 관심을 가지고 있다. 그리고 법률 서비스를 제외한 디지털포렌식 기술을 사용한 사업 모델이 민간 기업에서도 활발히 추진되고 있다.
 
현재 디지털포렌식이 사회적으로 다양한 관심을 받고 있는 만큼 관련 학계나 기관에서는 용어의 정의와 범위를 명확히 할 필요가 있다. 그렇지 않다면 현재 디지털포렌식이라는 새로운 용어가 지니는 이미지가 변질되어 버릴 수도 있기 때문이다.

 

http://blog.naver.com/sayno9