컴퓨터 포렌식의 적용 분야

컴퓨터 포렌식의 적용 분야

컴퓨터 포렌식은 넓은 의미와 다양한 세부 분야를 가지고 있기 때문에 컴퓨터 포렌식이라는 용어를 어느 특정 직업이나 목적에 한정해서 설명하기란 매우 어렵다. 컴퓨터 포렌식의 정의를 좀 더 확장하자면 '컴퓨터에 담긴 증거의 수집, 보관, 분석, 그리고 그 결과로서의 보고서 제출에 이르는 전 과정에 일반적으로 적용되는 절차와 기법'이라고 할 수 있다.

인터넷 침해 사고조사

외부에서 내부로의 공격이 주를 이룬다. 해커 혹은 악성 프로그램(인터넷 웜)이 어떻게 내부로 침입했고, 침입 후에는 어떤 활동을 했는가를 주요 대상으로 한다. 메모리 덤프나 프로세스 덤프, 네트워크 연결 정보, 열려있는 포트 정보 같은 휘발성 정보와 각종 보안 로그들이 사고 조사에서 가장 큰 역할을 한다. 컴퓨터 포렌식의 전체 과정 중 '라이브 리스폰스' 단계가 가장 중요한 경우이다. 일반적인 대응방법이나 분석방법만 놓고 본다면 이런 사건들에서의 컴퓨터 포렌식은 고전적인 컴퓨터 수사와 별반 다를 것이 없다. 비정상적인 네트워크 트래픽을 분리해서 목적지와 페이로드를 분석하고, 서버에 열려있는 포트와 애플리케이션을 맵핑시키고, 의심스러운 프로세스를 찾아 출처를 조사한다.

기존의 컴퓨터 범죄 수사와 컴퓨터 포렌식 사이의 중요한 차이는, 컴퓨터 포렌식은 수사(조사)의 초기 단계부터 법적인 문제를 고려하여 계획이 수립되고 법정에서의 증거 능력을 최대한 살리는 방향으로 증거들을 수집, 분석한다는 점이다.

예로 방화벽 로그는 해커를 찾는 데 중요한 역할을 하므로 방화벽의 디스크 용량이 

부족하더라도 원본을 삭제하거나 크기를 줄이기 위해 임의로 수정을 가해서는 안 된다. 이때는 원본을 복사하기 전에 해시 값을 만들어 복사본과 같이 보관하고, 로그 파일의 메타데이터도 별도로 기록해 두는 것이 바람직하다. 가능하다면 원본의 무결성을 증명할 수 있는 EnCase 나 FTK 같은 포렌식 도구로 방화벽 로그나 디스크 전체에 대한 증거 파일을 만들어 두면 더욱 좋을 것이다.

요즘 들어 안티 포렌식 기술이 해커들 사이에 널리 공유되면서 해커가 자신의 흔적을 지우거나 실행 코드를 암호화하고 중요한 데이터를 관리자가 볼 수 없는 영역에 숨기는 일이 자주 일어난다. 이런 경우가 의심된다면 디스크 전체에 대한 사후 조사(Post-Mortem Analysis)가 추가적으로 필요하다.

사용자의 부정이나 범죄 행위에 대한 조사

인터넷 침해 사고와 달리 내부에 있는 사용자가 조사 대상이 된다. 대표적인 예는 기업 정보 유출 조사와 내부 감사가 있다. 이때 가장 중요한 것은 과연 사용자가 어떤 정보를 가지고 있었는가에 대한 것이다. 외부로 유출된 정보가 명백하다고 하더라도 그것을 가지고 있던 사용자를 찾지 못한다면 아무 소용이 없을 것이고, 내부 감사를 하려고 해도 그가 어떤 정보를 가지고 있었고 어떤 정보를 삭제하거나 숨기려고 했는가 하는 문제가 조사의 핵심이 될 수밖에는 없다. 이런 경우 네트워크 트래픽이나 프로세스, 포트 정보처럼 휘발성이고 동적인 정보보다는 파일 시스템이나 애플리케이션 아티팩트처럼 비휘발성이고 정적인 정보들이 주요 분석 대상이 되며, 데이터 복구와 파일 카빙, 시그니처 분석, 암호 해독 같은 기술이 주로 사용된다.

다음 단계는 사용자의 활동 기록을 분석하는 것인데, 외부 기기(특히 USB 썸 드라이브)의 연결 유무, 접근한 파일 목록, 파일 복사/이동, 사용한 애플리케이션 목록, 그리고 타임라인이 주요 분석 대상이다. 외부 저장장치의 연결 유무나 CD/DVD 복사 기록은 기업 정보 유출 조사는 물론 내부 감사에서도 중요한 역할을 하는데, 사용자가 감추고자 하는 정보를 이동형 저장장치나 CD에 복사한 다음 고의로 컴퓨터에 남아있는 원본을 삭제할 수 있기 때문이다. 삭제한 원본의 흔적은 찾았지만 정작 그 내용은 복구하지 못했다면, 사용자가 남긴 흔적을 바탕으로 숨겨진 복사본을 찾거나 적어도 사용자가 고의로 정보를 은폐했거나 다른 곳으로 빼돌렸다는 증거를 확보해야 한다. 이런 조사에서 가장 위협이 되는 것은 디스크 와이핑에 의한 디스크 안전 삭제다. 불행히도 디스크 와이핑은 기업의 기밀보호라는 명분으로 지금은 매우 흔하게 사용되는 안티 포렌식 기술 중 하나다. 그래서 디스크 와이핑은 종종 컴퓨터 포렌식 조사관의 가장 큰 골칫거리가 되곤 한다.

컴퓨터가 도구로 사용된 사건에 대한 조사

앞의 예는 컴퓨터가 사고나 범죄와 직접적인 관련이 있다. 이제는 컴퓨터가 범죄의 부가적인 도구로 사용되는 경우를 알아보겠다. 이런 예는 미국 영화나 수사 드라마에서 가장 흔히 접할 수 있다. 용의자가 정부와 이메일을 주고받는 뻔뻔한 남편이거나, 컴퓨터로 다음 목표를 연구하는 전문 도둑이거나, 학교 친구의 블로그에 악성 댓글 달기를 좋아하는 여고생일 수 있다. 컴퓨터 포렌식 수사관은 이들의 컴퓨터로부터 정부에게 보낸 이메일을 찾아내거나 삭제된 메일을 복구하고, 도둑이 가지고 있는 건물 도면 파일이나 자주 들어간 웹사이트로부터 다음 목표를 예상하며, 웹사이트 접속 기록과 아이디로부터 악성 댓글을 단 사람이 누군지 밝혀낸다.

이렇게 컴퓨터가 어떤 범죄의 도구로 사용된 경우에는 사용자의 컴퓨터 사용 기록과 가지고 있는 정보에 대해 광범위하게 조사할 필요가 있다. 컴퓨터 부팅 시간, 사용자가 사용한 애플리케이션의 목록, 최근에 접속한 웹사이트의 목록과 사용자 ID, 사용자의 이메일 계정과 이메일을 주고받은 사람들의 목록, 사용자가 삭제한 파일이나 이메일 목록 등을 알아야 하고, 시그니처 분석과 타임라인 분석이 필수적이다. 이런 경우에서는 사용자의 컴퓨터 사용 능력에 따라 안티 포렌식 기술의 적용 정도가 매우 달라질 수 있다. 여고생이라면 안티 포렌식 기술을 걱정할 필요는 없을테지만, IT 회사에서 엔지니어로 일하는 조심스러운 불륜남이라면 어느 정도의 지식은 가지고 있을지도 모른다.

E-Discovery(Electronic-Discovery)

이 개념은 미국에서 재판 전에 피고와 원고 양측이 서로 가지고 있는 정보를 공개하는 제도로부터 출발한다. Discovery 란 단어 앞에 E 라는 약자가 붙은 것을 보면 알겠지만 E-Discovery 는 특별한 활자로 된 문서가 아니라 전기적인(디지털) 형태로 되어 있는 정보의 요청 및 보관, 그리고 분석 결과에 대한 공개를 의미한다. 예로 사용자가 보낸 이메일이나 문서, 네트워크 로그 기록, 삭제된 파일의 흔적 등이 E-Discovery 의 단골 요청 대상이다.

이런 정보는 내용만 보자면 모두 문서로 대체 가능하다. 하지만 디지털 정보에는 내용뿐만 아니라 정보 자체에 대한 메타데이터까지 포함된다는 사실을 명심해야 한다. 파일의 MAC 타임스탬프가 가장 대표적인 예다. 디지털 데이터들은 너무 쉽게 수정될 수 있기 때문에 단순히 문서화해서는 파일 컨텐츠와 메타데이터에 대한 신뢰성을 보장할 수 없다. 그래서 디지털 형식으로 된 정보를 제공, 공개할 때는 원본 자체를 공개하거나 최소한 원본과 동일하다는 것을 증명할 수 있는 어떤 방식을 통해 그 복사본을 제공해야 한다.

가장 신뢰성 있는 복사본의 예로 전문 포렌식 도구를 통해 생성한 증거 파일들이다. 그래서 Guidance Software 사가 자사의 대표 제품인 EnCase 를 광고할 때도 미국 법원이 유일하게 인정한 포렌식 도구라고 광고를 하는 것이다.

E-Discovery 는 개인의 민사재판에도 적용되는 개념이지만, 지금까지 출시된 제품으로 보자면 대부분 기업 환경을 목표로 한다. 이는 몇 년 전부터 내부 직원과의 소송이나 외부 기업과의 소송, 심지어 정부와의 소송에서 디지털 증거가 큰 역할을 하게 되면서 기업들이 이에 대비할 필요성을 느끼게 되었고, 그래서 포렌식 도구 개발사들이 돈이 되는 기업 환경에 E-Discovery 의 초점을 맞추었기 때문이다.

E-Discovery 는 디지털 형식으로 된 증거를 찾고 그것을 적절한 방법을 통해 보관한다는 면에서는 내부 감사를 위한 컴퓨터 포렌식과 별반 다를 것이 없어 보이지만 적용 대상과 범위, 기법적인 면에서는 큰 차이가 있다. 일단 Guidance Software 나 AccessData 처럼 메이저급의 컴퓨터 포렌식 소프트웨어 개발사들이 E-Discovery 용 제품을 별도로 만들어 플래그십 제품으로 광고하고 있는 것만 봐도 E-Discovery 제품이 일반 컴퓨터 포렌식 제품과 얼마나 차별화되어 있는지 짐작할 수 있다.

기업을 대상으로 하는 E-Discovery 제품은 어느 개인의 특정 컴퓨터를 대상으로 하지 않고 기업이 가지고 있는 모든 컴퓨터 혹은 대부분을 조사 대상으로 삼는다. 기업의 규모에 따라 다소 차이는 있겠지만 매우 고가인 E-Discovery 제품을 사용할 수 있는 규모라면 아무리 적게 잡아도 최소 수백 대 이상의 컴퓨터들이 E-Discovery 의 조사 대상이 된다. E-Discovery 제품은 조사자가 중앙에서 네트워크로 연결된 수많은 컴퓨터를 동시에 조사할 수 있게 해주며, 찾고자 하는 데이터들을 한곳으로 수집하고, 그것을 포렌식적인 방법으로 관리하고 저장한다. 그리고 필요할 때 적절한 보고서를 만들 수 있도록 도와주는 기능도 가지고 있다.

단, 이런 E-Discovery 제품의 기능만 보고 실제 E-Discovery 라는 절차의 성격을 규정지어서는 안된다. E-Discovery 제품은 법정에서의 E-Discovey 를 지원하기 위한 하나의 도구일 뿐이라는 점을 명심하고, 실제로 E-Discovery 의 공개 대상에는 해킹 사고 당시에 수집한 보안 로그, 메모리 덤프, 이메일 기록, 애플리케이션 사용 기록 등도 얼마든지 포함될 수 있다.

데이터 복구 및 파일 카빙

많은 사람들이 컴퓨터 포렌식이라고 하면 삭제된 데이터를 복구하는 기술을 먼저 떠올린다. 아마 데이터 복구(Data Recovery)와 파일 카빙(File Carving)이 기존의 컴퓨터 범죄 수사와 비교해 봤을 때 가장 뚜렷이 차별화되는 기술이고 이해하기도 쉽기 때문인 것 같은데, 사실 데이터 복구나 카빙은 컴퓨터 포렌식이 사용하는 하나의 기술일 뿐이지 또 다른 '분야'로 볼 수는 없다.

컴퓨터 포렌식에 속하는 어떤 세부 '분야'라면 그것은 반드시 정보의 수집과 저장, 분석, 그리고 보고서 제출에 이르는 모든 과정을 전부 포함하고 있어야 한다. 어떤 회사가 삭제된 데이터를 복구해 준다고 하면서 자신을 컴퓨터 포렌식 전문 회사라고 소개한다면 그것은 과장 광고를 넘어 허위 광고에 해당한다. 분명 데이터 복구와 파일 카빙이 매우 전문적인 기술을 요하는 것은 분명하지만 이것은 어디까지나 기술의 영역에 속할 뿐이다.

데이터 복구는 크게 물리적인 복구와 소프트웨어 적인 복구로 나뉘는데, 대부분의 '데이터 복구 전문회사들'이 하는 일은 물리적인 복구다. 그들은 저장장치에 물이 들어갔다거나, 로직 보드가 망가졌다거나, 기타 기계적인 결함들이 있는 경우에 이를 수리하고 그것이 불가능하다면 플래터나 플래시 메모리 칩으로부터 직접 데이터를 읽어 다른 가용한 저장장치에 데이터를 기록하는 일을 한다. 반면 소프트웨어적인 복구는 파일 시스템의 구조나 서로 다른 파일들이 가지고 있는 독특한 내부 구조를 바탕으로 삭제되었거나 일반적인 소프트웨어 인터페이스로는 읽을 수 없는 데이터를 복구하는 것을 의미한다. 물리적인 복구는 상당한 노하우와 기술이 필요한 반면 소프트웨어적인 복구는 노하우보다는 사용하는 도구의 능력에 크게 의존한다.

데이터 복구와 파일 카빙의 차이점

데이터 복구는 일반적으로 저장장치의 파일 시스템이 살아있거나 최소한 복구할 수 있는 경우에 파일 시스템이 가지고 있는 파일 시스템의 메타데이터를 기반으로 해서 데이터를 복구하는 것을 의미한다. 반면 파일 카빙이란 파일 시스템의 도움 없이 파일들이 가지고 있는 고유한 정보(시그니처 정보, 파일의 논리적 구조, 저장되는 데이터의 형식(format) 등) 에 의존하여 삭제된 파일의 전부 혹은 그 일부를 복구하는 것을 의미한다.

전자는 파일 시슽메이 가지고 있는 삭제된 파일의 논리적 위치 혹은 있을 것이라 예상 가능한 곳으로부터 파일을 복구하는 것이기 때문에 생각보다 많은 전문 지식을 필요로 하지 않지만, 후자는 전적으로 그 파일만이 가지고 있는 내부 구조와 컨텐츠에 의존하기 때문에 매우 다양한 종류와 버전을 가지고 있는 파일들의 내부 구조를 분석할 수 있는 광범위하고 전문적인 지식이 필요하다. 그래서 데이터 복구 프로그램들은 몇 년 전에 만들어진 것이나 요즘 만들어진 것들이나 기능상에 큰 차이가 없지만 파일 카빙은 이제 막 시작 단계의 기술이라 도구 간의 차익 ㅏ크다.

https://en.wikipedia.org/wiki/File_carving 데이터 복구와 파일 카빙에 대해서 더 많은 정보를 찾을 수 있다.

컴퓨터 포렌식 전문가

컴퓨터 포렌식 분야는 우리나라에서는 아직 생소한 분야이고 최신 컴퓨팅 기술은 물론 약간의 법률적인 지식에 이르기까지 상당히 광범위한 소양을 요하는 분야이기 때문에 전문가가 되기란 쉽지않다. 그래서 개인의 능력에 대한 객관적인 평가를 내리기 위해서 자격 시험이라는 것이 필요한데, 국내에서는 디지털 포렌식 전문가 자격증이 있고, 외국에서는 다음과 같은 자격증이 있다.

대표적인 외국 자격증은 GCFA(GIAC Certified Forensic Analysist), CCE(Certified Computer Examiner), CFCE(Certified Forensic Computer Examiner) 등이 있고, 벤더 자격증으로는 EnCE(EnCase Certified Examiner)와 ACE(AccessData Certified Examiner)가 유명하다.

자격증은 어디까지나 그것이 다루는 분야에 대한 기본적인 능력을 평가하는 잣대일 뿐이지 그 사람의 모든 능력을 평가하는 것은 아니다. 관련 자격증이 많은 미국에서조차 자격증만으로 그 사람의 모든 능력을 평가하지는 않으며, 컴퓨터 포렌식이 결국에는 소송과 관련되기 때문에 국가 차원에서의 자격 인정 제도가 필요하다고 주장하는 사람들도 있다.(물론 대부분의 사람들이 이에 반대하고 있다.)

컴퓨터 포렌식 전문가가 갖추어야 하는 기본적인 소양은 다음과 같다.

ㅇ 디지털 증거 분석을 위한 전문 지식과 기술

ㅇ 증거 획득과 보존, 그리고 제출에 관한 법률적인 지식

ㅇ 보고서 작성 능력

디지털 증거 분석을 위한 전문 지식과 기술은 가장 기본적인 소양이지만 그 범위는 매우 넓다. 일단 OS 와 파일 시스템에 대한 이해가 필수적이다. 그리고 해킹 기법과 그에 대한 대응 기법의 이해, 암호에 대한 일반적인 지식, 네트워크 프로토콜에 대한 이해, 보안 로그를 분석할 수 있는 능력, 애플리케이션 아티팩트와 파일 구조에 대한 이해, 실행 파일 분석, 더 나아가 코드 분석을 위한 리버스 엔지니어링 능력이 필요한 경우도 있다. 그러나 한 사람이 이 모든 기술에 달인이 될 수 는 없다.

OS 를 예로 일반적으로 사용하는 범용 OS 만도 윈도우, 리눅스, 유닉스, 맥OS 등 다양하며, 각각 여러 하위 버전을 가지고 있고 컴퓨터 포렌식 전문가라면 그 모든 것에 전문가가 되기를 희망하기보다는 그 중에서 한두개 정도만 선택해 자신의 전문 분야로 선택하고 집중하는 편이 좋다. 다른 예로 인터넷 침해 사고를 주로 담당하는 사람과 내부 감사를 주로 담당하는 사람은 각자 가지고 있는 전문 기술의 분야도 많이 다르고 소속되어 있는 조직의 성격도 많이 다를 것이다. 인터넷 침해 사고를 다룬다면 해킹 기법과 코드 분석에 관한 지식이 필수가 될 수 있지만, 내부 감사를 수행한다면 코드 분석보다는 시그니처 분석 능력이 더 필수적인 요소가 된다. 이처럼 모두 같은 컴퓨터 포렌식 전문가라는 이름을 가지고 있더라도 그들이 갖추어야 하는 필수 지식은 그들의 업무 성격에 따라 크게 달라질 수 있으므로 그에 맞게 기술과 지식을 습득하는 것이 옳다. 물론 여러 방면에서 다양한 지식을 가지고 있는 것은 어떻게 보더라도 좋은 일이지만 너무 그런 것에 연연할 필요는 없다.

컴퓨터 포렌식은 태생적으로 범죄 수사나 소송과 맞물리기 때문에 민간 기업에 있는 컴퓨터 폴네식 전문가에게도 법류 지식은 기본 소양이 될 수 밖에 없다. 그러나 컴퓨터 포렌식 전문 기술과 마찬가지로 업무의 성격에 따라 조사관에게 필요한 법류 지식의 깊이와 넓이는 매우 달라 질 수 있다. 법 집행기관에 근무한다면 다른 포렌식 업무에 종사하는 사람들보다 훨씬 더 많은 법률적 지식이 당연히 필요할 것이다.이런 업무를 하는 사람들은 컴퓨터 포렌식 준비 단계에서부터 법률적인 제약 사항과 필수 사항을 검토해야 한다. 반면 E-Discovery 나 내부 감사를 주요 관심사로 가지고 있는 기업의 컴퓨터 포렌식 전문가라면 정보의 획득과 보관에 관한 부분만 신경을 쓰고 그 나머지는 회사의 법무 팀에 모두 위임할 수 있다. 미국의 사설탐정은 개인임에도 불구하고 소송과 관련된 버적 지식을 상당 수준 갖추고 있어야 한다. 그래서 미국 사설 탐정 자격 시험에는 법률 섹션이 필수로 포함되어 있다.

많은 사람들이 보고서의 중요성을 간과할 때가 많은데, 아무리 결정적인 증거라 할지라도 판사와 (미국이라면) 배심원들에게 충분히 이해시키지 못한다면 증거로서의 가치는 크게 떨어질 수 밖에 없다.

특히 컴퓨터 포렌식 전문가가 상대해야 하는 판사나 변호사, 검사는 컴퓨터 관련 지식이 크게 낮다는 사실을 간과해서는 안된다. 컴퓨터 포렌식은 일반인들에게는 매우 낯설고 전문적인 영역이기 때문에 그것을 통해 얻은 정보(증거)를 기술적으로만 나열해서는 그들을 제대로 이해시키기 어렵다. 그런데 그들은 그런 보고서를 본 후 법률적인 판단까지 내려야 한다. 법원에 제출하는 보고서는 일반인도 충분히 이해할 수 있을 정도로 쉬우면서도 핵심적인 증거를 명백히 알릴 수 있도록 세심히 작성돼야 한다. 이런 이유로 컴퓨터 포렌식 전문가에게는 보고서 작성 능력 역시 기본 소양일 수 밖에 없다.