최근에 포렌식이라는 용어가 국내 보안을 비롯해 다양한 분야에서 널리 사용되고 있다. 마찬가지로 융합이 보안 분야의 새로운 패러다임이 되면서 포렌식도 전통적인 분야를 넘어 다양한 보안 분야와 결합되어 신조어가 만들어지고 새로운 서비스가 탄생하고 있다. 앞으로 포렌식에 대한 정의와 절차를 비롯하여 법률, 기술, 서비스 등에 대해 자세히 살펴볼 것이다. 그 첫걸음으로 이번 호에서는 포렌식 용어의 정의와 절차에 대해 살펴본다.
 
◇디지털포렌식의 용어와 적용 대상
포렌식이라는 용어는 법의학을 의미하는 영문 “forensic[f?|rens?k ; f?|renz?k]” 발음을 그대로 표기한 것이다. 미국 드라마 인기의 선구자 역할을 했던 CSI(Crime Scene Investigation)는 모두 알고 있을 것이다. CSI 드라마의 인기의 핵심은 사건의 해결해나가는 과정에 있다. “접촉하는 두 물체간에는 반드시 흔적이 남는다”라는 로카르드 교환 법칙(Locard’s exchange principle)처럼 사건 현장에서 시청자가 미처 생각하지 못한 증거를 찾아내 그것을 실마리로 사건을 해결한다. CSI에서 사건의 실마리가 되는 것은 지문, 혈흔, 발자국, 탄알 흔적 등 매우 다양하다. 이런 흔적을 분석해내는 활동을 포렌식이라고 한다. 국내에서 포렌식 연구를 하는 대표적인 기관으로 국립과학수사연구원이 있다.
 
지문, 혈흔과 같은 아날로그 증거 분석에 집중했던 과거와 달리 최근에 사건은 디지털기기를 빼놓을 수가 없다. 개인 1 PC 시대를 넘어 최근에는 1인당 다수의 디지털기기를 사용하고 있고, 삶과 떨어질 수 없이 밀접한 관계를 맺고 있다. 그로 인해, 최근의 사건 분석에서는 아날로그 증거와 함께 디지털기기에 남는 디지털 증거도 중요해졌다.
 
초기에는 컴퓨터가 널리 사용되면서 컴퓨터의 디지털 증거를 분석하는 활동이라는 의미로 컴퓨터포렌식이라는 용어를 사용했다. 이어서 단일 컴퓨터 기기를 넘어 사이버 공간의 디지털 증거를 분석한다는 의미로 사이버포렌식이라는 용어를 사용했다. 최근에는 디지털 증거가 남을 수 있는 모든 디지털기기를 대상으로 한다는 의미에서 디지털포렌식이라는 용어가 널리 사용되고 있다.
디지털포렌식의 대상은 데스크탑, 노트북, 라우터, 휴대폰, 네비게이션을 비롯하여 차량용 블랙박스, CCTV, 의학용 전자기기, 스마트 TV, 전자시계, 디지털 도어 등 디지털 흔적이 남을 수 있는 어떤 디지털기기도 포함한다.
 
디지털포렌식은 초기에 사이버범죄를 분석하는데 많이 사용되었지만 최근에는 살인, 강도, 강간, 폭행과 같은 강력범죄를 비롯하여 사기, 명예훼손, 회계부정, 세금포탈, 기업비밀유출 등 거의 모든 사건에 활용되고 있다.
 
◇디지털포렌식 절차
디지털포렌식은 “디지털기기를 매개체로 하여 발생한 특정 행위의 사실관계를 법정에서 규명하고 증명하기 위한 절차와 방법이다” 라고 정의할 수 있다. 이 문장에서 중요한 단어는 “법정에서”이다.
디지털흔적이 법정에서 디지털 증거로 인정받기 위해서는 증거능력(Admissibility)이 있어야 하는데, 증거능력을 갖추기 위한 많은 요건 중 가장 중요한 것이 초기 수집된 데이터가 법정에 제출될 때까지 변조되지 않아야 한다는 무결성(Integrity)이다. 무결성을 지키기 위해서는 디지털포렌식 절차에 따라 데이터를 수집, 보관, 분석, 제출해야 한다.
 
전통적인 아날로그 증거는 증거를 획득, 보관, 분석, 제출하는 과정에서 변조될 가능성이 크지 않지만, 디지털기기에 남아있는 디지털 증거는 단순히 “0”과 “1”이라는 비트로 존재하고, 저장매체에 따라 자기장, 전기적 방식 등으로 기록되어 있어 증거를 획득, 보관, 분석, 제출하는 과정에서 손쉽게 수정될 수 있다.
 
그렇다면 수집한 데이터가 디지털 증거가 되기 위해 반드시 지켜져야 할 디지털포렌식 절차에 대해 간단히 살펴보자.
 
디지털포렌식 절차는 크게 사전 준비, 증거 수집, 포장 및 이송, 조사 분석, 정밀 검토, 보고서 작성, 이렇게 6단계로 나눌 수 있다. 각 단계에서 무결성을 유지하기 위해 다양한 디지털포렌식 기술이 사용되지만 간단히 각 단계의 역할만 살펴보도록 하자.

 
사전 준비 단계는 사건이 일어나기 전에 행해지는 활동으로 도구의 준비, 검증, 분석 교육 등의 활동이다. 증거 수집 단계는 사건과 관련된 디지털기기에서 디지털 데이터를 수집하는 과정으로 수집 과정에서 데이터가 변조되지 않아야 한다. 포장 및 이송 단계는 수집된 데이터를 포장하여 분석실로 이송하는 과정으로 외부의 요인에 의해 변조되지 않도록 해야 한다.
 
조사 분석 단계는 수집한 디지털 데이터를 분석하는 과정으로 다양한 디지털포렌식 분석 기술이 사용된다. 흔히, 디지털포렌식은 이 분야의 연구를 지칭하기도 한다. 정밀 검토 단계는 분석되기까지의 각 단계의 검증을 비롯하여 분석 결과가 정확한지 검토하는 단계이다. 보고서 작성 단계는 정밀 검토를 마친 결과를 바탕으로 분석된 결과를 법정에 제출하기 위해 객관적인 보고서를 작성하는 단계이다.
 
디지털포렌식과 관련한 많은 기관에서 6단계의 기본 절차를 바탕으로 해당 기관에 맞게 재구성한 절차를 사용하고 있다.
 
◇최근의 디지털포렌식 흐름
최근의 흐름을 살펴보면 디지털포렌식을 법률과 항상 연관시키기에는 사용되는 범위가 너무 넓다. 법정에 제출할 목적은 아니지만 디지털포렌식 기술을 사용하는 다양한 분야에서 해당 용어를 사용하고 있기 때문이다.
 
대표적으로 침해 사고의 원인과 영향을 분석하는 침해사고 포렌식, 악성코드의 흔적을 분석하는 악성코드 포렌식, 디지털 데이터의 저작권과 관련한 저작권 포렌식, 기업의 내부 감사를 위한 감사 포렌식, 회계 데이터의 은닉과 조작을 판단하기 위한 회계 포렌식 등이 있다. 이런 분야는 법률과 직접적인 연관은 없지만 특정 행위 결과의 사실관계를 규명한다는 점에서 모두 동일하다. 그렇다면 디지털포렌식을 다음과 같이 재정의해 볼수도 있지 않을까?
 
“디지털기기를 매개체로 하여 발생한 특정 행위의 사실관계를 규명하고 증명하기 위한 절차와 방법이다.”
그렇지만 디지털포렌식을 법률과 분리해서 생각하는 문제는 많은 이견이 있다. 새로운 분야를 디지털포렌식 범주에 포함할 것인지, 디지털포렌식의 파생 분야로 볼 것인지 말이다.
 
2006년 말, 미국의 민사소송규칙에 디지털 증거를 대상으로 하는 전자증거개시(e-Discovery) 제도가 포함되면서 IT 분야 뿐만아니라 미국과 사업적 관계를 맺고 있는 국내의 많은 기업에서 디지털포렌식에 관심을 가지고 있다. 그리고 법률 서비스를 제외한 디지털포렌식 기술을 사용한 사업 모델이 민간 기업에서도 활발히 추진되고 있다.
 
현재 디지털포렌식이 사회적으로 다양한 관심을 받고 있는 만큼 관련 학계나 기관에서는 용어의 정의와 범위를 명확히 할 필요가 있다. 그렇지 않다면 현재 디지털포렌식이라는 새로운 용어가 지니는 이미지가 변질되어 버릴 수도 있기 때문이다.
 
◇용어 표기에 대한 첨언
“forensic”의 한글 표기가 “포렌식”인지 “포렌직”인지에 대해 이견이 있지만 “포렌식”이 더 널리 사용되고 있는 만큼 앞으로 “포렌식”이라는 용어를 사용할 것이다. 그리고 한글 표기에는 형용사형과 명사형을 별도로 구분하지 않지만, 영문 표기 시 “forensic”은 형용사형을 의미한다. 명사형을 사용하려면 “forensics”로 ‘s’를 붙여줘야 한다. 간혹, 명사형을 써야 하는 영문 표기에 형용사형을 쓰는 경우가 많은데 올바르게 사용되길 바란다.
 
<필자소개>

김진국: 現 안철수연구소 A-FIRST팀 연구원
강원대학교와 고려대학교 정보보호대학원을 졸업하고 현재는 안철수연구소 A-FIRST팀에서 침해사고 포렌식 분석 업무를 담당하고 있다. 국내의 디지털포렌식과 관련된 정보 공유를 위해 개인 블로그인 FORENSIC-PROOF(forensic-proof.com)와 디지털포렌식 커뮤니티인 FORENSICINSIGHT(forensicinsight.org)를 운영하고 있다.
메일 : proneer(at)gmail.com / 트위터 : @pr0neer / 페이스북 : facebook.com/proneer
[김진국 안철수연구소 A-FIRST팀 연구원]