[스낵뉴스] "모든 것에서 기록을 찾는다"··· 디지털 포렌식의 세계

400억원 규모 성장 기대··· 사설업체 이용 시, 법원특수감정업체 여부 확인해야

정보통신기술(ICT)의 발달로 수사기법에도 첨단화의 흐름이 이어지고 있다. (사진=Pixabay)

[데일리e뉴스= 천선우 기자] 정보통신기술(ICT)의 발달로 수사기법에도 첨단화의 흐름이 이어지고 있다. 과거 난관에 봉착한 사건들에서 '디지털 포렌식'이 '게임 체인저' 역할을 톡톡히 해내고 있다. 국내에서는 2014년 세월호 승객이 가족과 나눈 카카오톡 내용을 복구한 것을 비롯해 2016년 박근혜·최순실 게이트, 지난해 발생한 버닝썬 게이트 등 굵직한 사건들 사이에서 디지털 증거가 결정적인 단초로 작용한 바 있다. 이는 과거 오감(五感)에 의존한 전통적인 수사기법의 한계를 극복한 것으로, 기술로 눈에 보이지 않는 데이터 영역까지 증거로 활용하는 시대가 온 것이다.

디지털 수사기법의 끝단에 서 있는 디지털 포렌식은 통상적으로 알고 있는 복원의 개념보다 훨씬 포괄적이다. 디지털 포렌식은 크게 감사 업무와 수사 목적으로 분류된다. 감사에선 주로 부정 적발에 초점을 두지만, 수사 영역에선 증거능력을 확보하기 위한 절차적 성격이 강하다. 수사 기관에서는 디지털 포렌식을 통해 범죄 근거를 디지털 정보를 사용해 찾고, 확보된 디지털 증거물을 분석한다. 나아가 디지털 증가가 법정 증거력을 갖도록 논리적이며 표준화된 절차와 방법을 통해 수집·보관함을 원칙으로 한다.

디지털 포렌식의 절차는 크게 3단계로 증거수집, 증거분석, 증거생성으로 구성된다.

증거수집 단계는 손상되기 쉽고, 사라지기 쉬운 디지털 증거가 저장된 디바이스, 즉 컴퓨터 메모리나 하드디스크, 그리고 USB 등에서 무결성을 보장하면서 원하는 데이터를 수집할 수 있는 기술이 요구된다.

이어 증거분석은 수집한 데이터로부터 가치 있는 정보를 만드는 기술이다. 증거분석 단계에서 유용하게 사용되는 기술로는 '삭제된 파일 복구 기술'이나 '암호화된 파일의 해독 기술', 또는 '문자열 검색 기술' 등이 있다.

마지막 증거생성 단계는 분석된 증거들을 보고서 형태로 만드는 과정이다. 보고서 안에는 데이터의 수집 및 추출 과정부터 데이터 조사와 분석하는 과정까지 모두 담겨 있어야 한다. 법원에서 디지털 증거 채택은 최종적으로 보고서를 통해 판단하게 된다.

디지털 포렌식 전문가들은 메시지를 삭제하거나 물리적으로 하드웨어를 파괴하는 행위, 침수 등 다양한 환경적 요인에서도 과거 데이터를 재현하거나 복구하는 게 가능하다고 설명했다. (사진=Pixabay)

◆ "데이터 삭제해도 어딘가에 흔적은 남는다"

디지털 포렌식이 본격적으로 부상한 것은 2019년 발생한 가수 정준영 사건이 대표적이다. 익명의 제보로 강간 모의·유포 등의 내용이 담긴 수만 건의 카톡 내용 중 일부가 유출되면서 사회적 파장이 컸다. 사건의 여파 외에도 데이터 영역에 있어 증거인멸의 사각지대는 없다는 것이 전적으로 증명된 사례이기도 하다.

화제를 모았던 것은 익명의 제보를 한 곳이 다름 아닌 디지털 포렌식 업체라는 점이다. 해당 업체는 과거 세월호 사건 때에도 카카오톡 내용을 복구한 것으로도 알려졌다.

디지털 포렌식 전문가들은 메시지를 삭제하거나 물리적으로 하드웨어를 파괴하는 행위, 침수 등 다양한 환경적 요인에서도 과거 데이터를 재현하거나 복구하는 게 가능하다고 설명한다.

디지털 포렌식 업체 관계자는 "피의자가 범죄와 관련된 데이터를 인위적으로 삭제해도 데이터의 흔적을 완전히 지우는 것은 불가능하다"며 "하드웨어 훼손 정도에 따라 시간이 걸릴 뿐, 복구나 복원 자체가 어려운 것은 아니다"고 말했다.

경찰청 관계자는 "언론 보도에서 언급된 스마트폰은 디지털 포렌식이 대부분 가능하다"면서도 "다만 운영체제 및 단말기 사양별로도 저마다 디지털 포렌식 적용 기준이 달라, 어떤 것이 더 어렵다를 논할 수는 없다"고 밝혔다.

그는 또 데이터의 특성상 숨겨져 있거나, 삭제된 경우가 대부분이기 때문에 이를 찾거나 복구하려면 이에 맞는 절차 및 첨단 기술이 요구된다고 설명했다. 아울러 이에 걸맞는 수준의 전문 인력도 필요하다고 덧붙였다.

법제처에 명시된 증거분석관 자격 및 선발 요건에 따르면 ▲경찰 교육기관의 디지털 포렌식 관련 전문교육을 수료한 자 ▲국가·공공기관의 디지털 포렌식 관련 분야에서 3년 이상 근무한 자 ▲디지털 포렌식·컴퓨터 공학·전자공학·정보보호공학 등 석사 이상의 학위 소지자 ▲해당 분야 전문교육 과정 수료자·자격증 보유자 등이 디지털 포렌식 센터에서 근무할 수 있다.

국내 최초 디지털 포렌식 부서는 2004년 경찰청 사이버안전국에서 창설한 디지털포렌식팀이다. 현재는 전국 지방경찰청 산하에 디지털증거분석팀을 운영해 전국적인 수사 지원 체계를 구축했다. (사진=천선우 기자)

◆ 경찰·검찰 등 국가·공공기관에서 수사 목적 활용

디지털 포렌식은 사용될 영역은 무궁무진하다. 최근 메신저 대화 내용 복구 및 영상·문서조작의 진위를 가리는 등 영역을 막론하고 다양하게 활용되는 추세다. 해외의 경우 기업을 중심으로 사내 보안 사고에 대한 조사를 하거나 기밀 유출 탐지 등에 이용하고 있다. 국내에서는 주로 수사 목적으로 국가·공공기관에서 전담부서를 통해 운영 중이다.

국내 최초 디지털 포렌식 부서는 2004년 경찰청 사이버안전국에서 창설한 디지털 포렌식팀이다. 현재는 전국 지방경찰청 산하에 디지털증거분석팀을 운영해 전국적인 수사 지원 체계를 구축했다.

지난 21일 서울 서대문구 경찰청 디지털 포렌식 센터에 방문했다. 보안을 다루는 만큼 분위기도 사뭇 엄중하게 느껴졌다. 센터 곳곳에는 다수의 CCTV가 설치돼 있고, 별도의 인증 절차를 거쳐야 내부로 진입할 수 있다. 아울러 회의실을 제외하곤 안을 들여다볼 수 없도록 유리 벽면에는 짙은 색의 시트지가 덮여져 있다. 심지어 부서 현판이 걸린 사진 촬영조차 어려울 정도였다.

현재 디지털 포렌식 센터에는 포렌식 기획계, 포렌식 연구개발계, 디지털 저장매체계, 네트워크 분석계로 나눠 운영 중이다. 분석관들은 사건 현장에 파견된 수사관들이 하드웨어·저장매체 등 물적 증거를 확보해 디지털 분석을 의뢰하면 본격적인 작업에 돌입한다. 분석관은 영장에 기재된 범죄 의혹과 관련된 데이터만 선별하며, 디지털 증거로서 가치를 높이는 데 주력한다.

경찰청 관계자는 "디지털 포렌식 센터에 소속된 분석관들은 대다수가 고도의 기술력을 지닌 IT 전문가"라며 "급변하는 기술력에 대응하기 위해 정기적인 연수와 자체 교육도 진행하고 있다"고 말했다,

이외에도 디지털 포렌식 영역은 수사 기관에만 한정된 것은 아니다. 조사 기관에서도 다양하게 운용되고 있다. 서울시는 2010년 서울시청 조사과를 편성해 공공기관 해킹 추적 등 업무를 수행하고 있다. 공정거래위원회도 거래 담합 등 시장 리스크 감지·분석을 위해 전담부서를 배정하고, 최근 인력 규모를 확장 중에 있다.

무결성과 동일성은 실제 법정에서 증거 채택에 있어 결정적인 근거로 작용한다. (사진=Pixabay)

◆ 법정 증거 채택 여부, 무결성·동일성 근거로 판단

디지털 포렌식의 특성은 단어의 유래와도 연관이 깊다. '포렌식(forensic)'의 어원은 공청회를 뜻하는 라틴어 'forensis'에서 파생된 것으로 공개적인 자리에서 '객관성'과 '신뢰도'를 강조한다. 디지털 포렌식도 이와 유사하다. 무결성과 동일성, 신뢰성, 진정성이 주요 원칙이다.

그중 무결성은 법정에 증거로 채택되기 전까지 원본 정보의 훼손 여부를 따진다. 동일성은 원본으로부터 출력, 이미징(imaging; 사진·복사·출력)화 된 매체 자료가 원본과 동일한지를 판단한다. 두 가지 특성은 실제 법정에서 증거 채택에 있어 결정적인 근거로 작용한다. 위·변조를 판가름하는 기준으로 전자 지문으로 불리는 '해시값' 대조를 통해 보장될 수 있다.

특히 무결성이나 동일성을 입증할 수 없다면 복원 업체를 통해 어렵게 추출한 메신저 대화 내역 등은 법정에서 증거로써 아무런 가치가 없게 된다. 쉽게 말해 법원이나 경찰 등에서는 디지털 증거에서 산출된 결과도 중요하게 여기지만, 수집하는 과정 등 신뢰성을 비중있게 평가하기 때문이다.

이에 개인이 검증되지 않은 사설 업체를 이용할 경우 심사숙고해야 한다. 일반인이 제출한 데이터 자료가 증거 효력을 지니려면 해당 업체가 법원특수감정업체(법원특수감정인 및 디지털포렌식전문가 보유 업체) 인지 반드시 확인해야 한다. 무결성을 입증하기 위해선 제 3자 검증 방식인 '법원증거감정서' 작성이 필요한 데, 이 작업이 고도의 전문성이 요구되기 때문이다.

KISTI 마켓 리포트는 국내 시장 잠재력을 두고 올해 400억원 규모로 성장할 것으로 내다봤다. KISTI는 또 국내 디지털 포렌식 시장이 소수의 기업만 제대로 된 디지털 포렌식 도구와 서비스를 제공한다고 분석했다. (자료=KISTI 마켓 리포트)

◆ 디지털 포렌식 시장 해마다 급성장

트랜스페런시 마켓 리서치에 따르면, 전 세계 디지털 포렌식 시장은 매년 9.7%씩 성장해 2025년에는 약 66억5000만 달러가 될 것으로 예측된다.

국내에서도 디지털 포렌식 수요는 폭발적으로 늘고 있다. 특히 민간 영역에선 통신을 중심으로 성장한 스마트폰 사용률이 높아지면서 모바일 장치, 메신저 앱(App) 형태의 네트워크 부문에서 디지털 포렌식이 자주 사용되는 추세다. 아울러 기업에서는 업무 방식이 서면에서 전자문서 형태로 전환이 되면서 기밀 탐지 솔루션으로도 활용되고 있다.

KISTI 마켓 리포트는 국내 시장 잠재력을 두고 올해 400억원 규모로 성장할 것으로 내다봤다. KISTI는 또 국내 디지털 포렌식 시장이 소수의 기업만 제대로 된 디지털 포렌식 도구와 서비스를 제공한다고 분석했다.

디지털 포렌식 기술이 각광 받으면서 사설 업체 수도 최근 들어 늘어가고 있다. 실제로 포털 사이트에 디지털 포렌식 키워드를 치면 블로그를 포함한 다량의 홍보성 글들을 찾아볼 수 있다. 한편 디지털 포렌식 인가와 관련된 명확한 법과 제도는 현재로썬 없는 실정이다. 이에 이용자가 검증된 디지털 포렌식 업체가 아닌 일반 복구 업체로 인해 입는 피해도 적지않이 예상된다.

디지털 포렌식 전문가는 "디지털 포렌식 인가와 관련된 현행 법이나 제도가 전무한 실정"이라며 "특히 수요가 많은 민간 쪽에서 기존에 데이터 복구만 하던 업체가 디지털 포렌식 업체로 위장을 하는 경우가 많다. 문제는 일반인이 두 업체의 차이를 모른다는 것"이라고 지적했다.

특히 향후에는 보안이 중요한 국가 사업에서도 영향을 끼칠 전망이다. KISTI는 디지털 포렌식의 새로운 영역으로 국방, 금융, 의료, 정보기술, 교육, 물류 등 다양한 분야에서도 활용될 것으로 예측했다. 또 스마트폰과 클라우드 컴퓨팅, 사물인터넷(IoT) 분야의 폭발적인 성장도 이뤄지고 있어, 디지털 포렌식 소프트웨어(SW)의 국산화 기술을 키우는 것도 중요한 선결 조건으로 대두된다.

디지털 포렌식 전문가는 "도구의 신뢰성 부분과 업체가 가져야 할 기본적인 소양 등 문제점이 산적해 있다"며 "최근 협회를 구성해 기본적인 자격요건 정립과 공인된 솔루션 프로그램 사용 등 가이드 라인을 정립하고 있다"고 말했다.

이 기사를 인용할 경우 데일리e뉴스 원문 링크도 남겨 주십시오.

천선우 기자 다른기사 보기