지식정보화 사회가 발전하면서 사이버 공간상의 범죄가 크게 늘어나고 있습니다.
PC나 노트북, 휴대폰 등 각종 저장매체 또는 인터넷상에 남아 있는 각종 디지털 정보를 분석해 범죄 단서를 찾는 수사기법 “디지털 포렌식(Digital Forensic)”에 대해 알아보려 합니다.
디지털포렌식(Digital forensic)은 디지털적인 법과학의 한 분야로 컴퓨터 법과학이라고도 합니다. 디지털 기기를 매체로 발생한 특정 행위의 사실 관계를 법적으로 규명하고 증명하기 위한 절차와 방법을 말합니다. 즉, 디지털 기기에 각종 저장매체 또는 인터넷에 남아있는 각종 디지털 데이터와 통화기록, 이메일 접속 기록 등 정보를 수집하고 분석해 범죄의 단서를 찾는 수사기법을 말합니다.
- 적법한 절차를 거쳐서 획득한 증거물
- 동일한 조건, 동일한 과정 반복 시, 오차 범위 이내의 동일한 결과 도출
- 위조 및 변조로 훼손되지 않고, 안전하게 보관
- 휘발성이 강한 컴퓨터 정보를 신속하고 정확하게 확보
디지털 포렌식은 크게 증거 수집, 증거 분석, 증거 제출과 같은 절차로 구분됩니다.
디지털 포렌식은 수집한 정보가 법적 효력을 가질 수 있도록 증거 수집의 원칙에 따라 정보를 획득합니다. 즉, 컴퓨터 메모리, 하드디스크 드라이브, USB 메모리 등 저장 매체에 남아있는 데이터를 취합하는 것입니다. 원본 데이터가 손상되지 않아야 하기 때문에 원본 데이터의 무결성을 보장하는 이미지 기술 등이 사용됩니다.
증거 분석 단계에서는 수사에 필요한 정보를 끌어내기 위해 수집된 데이터를 자세히 분석하는 단계입니다. 일부 데이터가 숨겨져 있을 수 있기 때문에 삭제된 파일을 복구하거나 암호화된 파일을 해독하는 기술 등이 활용됩니다.
위와 같은 과정을 통해 입수된 디지털 증거가 법적 증거로 채택되기 위해서는 증거 자료의 신뢰성이 중요합니다. 이를 위해 법률적으로 디지털 포렌식에 대한 표준 절차뿐 아니라 증거 수집 및 분석에 사용된 포렌식 툴에 대한 검증 절차도 이루어지게 됩니다.
과거에는 PC에 한정되었었던 것과 달리 최근에는 스마트폰, 스마트 워치, CCTV 등 다양한 디지털 기기로 수사의 대상이 확대되며 신사업 군으로 확대되고 있습니다. 검찰, 경찰 등 국가 수사기관에서뿐만 아니라 일반 기업체 및 금융회사 등 민간 분야에서도 중요성이 높아지고 있습니다. 컴퓨터로 이메일을 보내고 문서를 작성하거나 메시지, 애플리케이션을 활용하는 것까지 사용한 매체의 저장 장치에 모든 활동 흔적이 남게 되는데, 사용자가 이런 활동 흔적을 삭제하거나 파기했다 하더라도 포렌식 전문가의 손을 거치면 원본에 가깝게 복원이 가능합니다. 특히 일반 기업에서는 기업의 자료 유출이나 회계 부정 등 내부 감사를 하는데 디지털 포렌식이 수요 되는 추세입니다.
운영 중인 시스템의 휘발성 정보를 수집하는 기술로서 시스템, 네트워크, 프로세서, 메모리 정보는 시스템 운영에 대한 디지털 증거를 제공하지만 시스템이 종료되면 다시는 확보할 수 없는 휘발성 정보이기 때문에 활성 시스템 상태에서 빠르고 정확하게 확보하는 기술입니다. 모든 명령어 실행은 휘발성 증거 수집 과정 자체가 시스템의 상태를 변경할 수 있기 때문에 특수 제작된 포렌식 CD에서 실행되어야 합니다.
범죄자가 네트워크를 통해 비인가 접속, 서비스를 방해하는 위법 행위를 실시한 경우 네트워크 관련 증거를 확보하기 위해 Network Packet, 주변 네트워크, 정보보호 장비의 Log를 통합 수집하는 기술입니다.
디지털 증거는 물리적 증거와는 달리 위조, 삭제, 변경이 용이하기 때문에 이를 방지하기 위하여 증거수집 당시의 정보를 그대로 유지를 시킬 수 있는 기술입니다.