컴퓨터 포렌식

컴퓨터와 인터넷이 친숙하지 않던 시절, 범죄 현장의 컴퓨터는 하나의 부수적인 증거물에 지나지 않았다. 그러다 컴퓨터가 업무와 일상생활 양쪽에서 밀접한 관계를 맺기 시작하면서 컴퓨터는 더 이상 부수적인 증거물이 아니라 또 하나의 '범죄 현장'으로 인식되기 시작했다.

조금만 생각해보면 컴퓨터가 우리의 생활에서 차지하는 비중이 예전에 비해 놀랍도록 커졌음을 알 수 있다. 기업에서는 손으로 작성하던 보고서가 워드프로세서로 대체된 지 이미 한참이 흘렀고, 자재 관리나 회계 관리용 SW 는 회사 운영에 빼놓을 수 없는 요소가 되었으며, 사내 전화는 점점 메신저나 이메일로 대체되어가고 있다. 우리도 컴퓨터와 인터넷만 있으면 인쇄 신문이 제공하던 뉴스를 웹 브라우저를 통해 읽고, 영화나 콘서트 티켓을 인터넷으로 예매하며, 모든 생활 제품을 몇번의 클릭만으로 구매할 수 있다.

컴퓨터를 점점 더 많이 사용할수록 그만큼 더 많은 정보를 컴퓨터에 남기게 된다. 1차적으로 사용자는 컴퓨터 사용 기록을 남기게 되는데, 여기에는 컴퓨터를 켜고 끈 시간, 접근한 웹사이트의 목록, 사용한 프로그램의 목록과 사용 시간, 열어본 문서들의 목록 등이 포함된다.

이러한 정보는 대부분 사용자가 모르는 사이에 기록되는 특징이 있다. 2차적으로 기록되는 정보는 사용자의 인지하에 기록된다. 기업의 예를 들면, 사업 제안서, 업무 보고서, 협력 업체에 보낸 이메일, 동료에게 보낸 인스턴트 메시지, 회계 감사 보고서 등이 있을 수 있다. 이런 정보는 때로 외부에 유출되어 회사에 심각한 피해를 주기도 한다.

컴퓨터 포렌식은 사용자가 의도했든 의도하지 않았든 컴퓨터를 사용하면 남긴 정보를 비트 레벨에서 찾아내고 그것을 분석함으로써 컴퓨터라는 새로운 범죄 현장으로부터 사고나 범죄와 관련된 증거물을 찾아 그것을 분석하는 새로운 범죄 수사 기법이다.

컴퓨터 포렌식은 '컴퓨터 범죄 수사' 와는 개념이 많이 다르다. 컴퓨터 범죄 수사는 컴퓨터 조사를 통해 획득한 디지털 증거에 대한 무결성과 법적 증거로서의 유효성이라는 부분을 많이 간과하고 있었다. 이것은 디지털 증거들을 어떻게 다루고 어떻게 분석할 것인가에 대한 관심과 지식이 부족했기 때문이다.

예로, 최근 컴퓨터 포렌식 분야의 가장 큰 이슈 중 하나인 메모리 분석이 본격적으로 주목 받기 시작한 시점은 DFRWS(Digital Forensic Research Workshop) 2005 이후부터였다. 그 이전까지만 해도 컴퓨터 메모리는 법정에서 증거로서의 효력을 별로 발휘하지 못했지만, 지금은 컴퓨터 메모리의 수집 여부 자체가 판결을 결정짓는 중요한 단서가 되기도 한다. 또한 과거 컴퓨터 범죄 수사에서는 증거들이 어떻게 수집되고 어떻게 분석되었는가 하는 부분을 크게 문제 삼지 않았다. 예로 조사관의 실수로 인해 수집한 디지털 증거의 메타데이터 일부가 바뀌었다 하더라도 그것을 증거로 인정하지 않는 판사는 아무도 없었고, 변호사도 별 관심이 없었다. 중요한 것은 오직 그 파일의 컨텐츠였다.

그러나 컴퓨터 포렌식 관점에서 본다면 그것은 무결성이 훼손되었기 때문에 증거로서의 가치가 떨어지며, 심할 경우 증거 능력이 없는 것으로 간주될 수 있다. 증거에 대한 수정은 물론 분석 과정에서 절차상의 문제나 사용한 도구에 문제가 있다면 그것 역시 증거 가치를 떨어뜨리는 중요한 요인이 된다.

컴퓨터 포렌식은 이런 면에서 전통적인 포렌식과 매우 유사하다.

전통적인 포렌식은 불필요한 사람의 사건 현장 출입을 철저히 제한하며, 증거를 수집할 때도 라텍스 장갑을 끼고 핀셋을 사용해서 수집한다. 이런 노력은, 증거 수집 과정에서 발생할 수 있는 부정적인 영향을 최소화하여 향후에 법정의 반대 측으로부터 제기될 수 있는 증거들에 대한 의심을 사전에 제거함으로써 법적 증거로서의 효력을 배가시키기 위함이다. 컴퓨터 포렌식도 이와 마찬가지다. 디지털 증거의 수집과 보관, 분석은 전통적 포렌식에 준하는 사전 준비와 도구들, 그리고 컴퓨터 포렌식 조사관들에 대한 철저한 사전 교육과 훈련이 반드시 필요하며 컴퓨터 '포렌식' 이라 부르는 이유이다.

컴퓨터 포렌식은 기존 컴퓨터 범죄 수사의 모든 영역을 포괄한다.