디지털 포렌식의 정의

디지털 포렌식의 정의

[배경]

전통적으로 포렌식의 개념은 법의학 분야에서 주로 사용되었다. 즉 지문, 모발, DNA 감식, 변사체 검시 등에 주로 이용되었다. 그러나 최근 다양한 정보기기들의 활용으로 포렌식 개념은 물리적 형태의 증거(유형의 증거)뿐만 아니라 전자적 증거(Electronic Evidence)를 다루는 디지털 포렌식 분야로 점차 확대되고 있다.

IT 기술의 발전 및 급격한 정보화 사회로의 변화는 정보의 디지털화를 가속시켜 컴퓨터 관련 범죄뿐만 아니라 일반 범죄에서도 중요 증거 또는 단서가 컴퓨터를 포함한 디지털 정보기기 내에 보관하는 경우가 증가함에 따라, 증거수집 및 분석을 위한 전문적인 디지털 포렌식 기술이 요구된다.

디지털 포렌식은 검찰, 경찰, 국세청, 선거관리위원회, 공정거래위원회, 저작권위원회 등 각종 국가 기관에서 범죄 수사에 활용되고 있으며, 일반 기업체 및 금융회사 등의 민간분야에서도 디지털 포렌식 기술의 필요성이 증가하고 있다. 예로서, 포렌식 기술은 보험사기 및 인터넷 뱅킹 피해보상에 대한 법적 증거 자료 수집 내부 정보 유출 방지, 회계 감사 등의 내부 보안 강화에 활용이 가능하다.

1980년대에는 군 또는 정보부에서 전자정보를 수집하였다. 수사 과정에서 전자적 증거의 중요성이 부각되면서 국제컴퓨터수사전문가협회가 출범하고 처음으로 Digital Forensics라는 용어를 사용하였다. 그 이후에 경찰청 사이버범죄수사대, 경찰청 사이버테러대응센터, 대검찰청 산하의 디지털포렌식센터 등 전자적 증거를 수집＊분석하기 위한 기관들이 생겨났다.

현재 디지털 포렌식은 정보매체에 존재하는 전자적 증거를 자료로 삼아 과거 어떤 행위의 사실 관계를 역으로 규명하고 증명하는 새로운 절차로서 자리매김해 가고 있다.

[디지털 포렌식의 의의와 유용성]

1) 의의

특수저장매체인 컴퓨터에 기억된 전자적 정보를 정확히 식별하여 수집하고, 분석을 통해 관련된 정보를 특정하여 보전하고 법정에 증거로 제출하여, 언제든지 검증이 가능한 형태로 자료를 준비하는 절차를 디지털 포렌식(Digital Forensics)이라고 한다.

2) 디지털 포렌식의 유용성

- 로그감시

다양한 도구와 기술을 사용하여 시스템 로그를 감시할 수 있다. 예를 들어 다수의 시스템으로 부터 로그를 추출하고 분석하여 상호 연관성을 판단하고, 이로써 사고처리, 정책위반사실 적발, 감사 등에 활용할 수 있다.

최근 꾸준히 문제가 되고 있는 피싱이나 해킹 등의 문제를 해결하는 데에 이러한 로그기록의 감시기법 또한 도움이 될 수 있다.

- 데이터 복구

포렌식 툴 중에는 시스템에서 소실된 데이터를 복구할 수 있는 능력을 갖춘 것들이 많다. 또한 의도적으로 삭제하였거나 변조된 데이터도 복원이 가능하다. 물론 상황에 따라 복구율에는 많은 차이가 있을 수 있지만, 일부 강력한 포렌식 도구는 심각하게 훼손된 컴퓨터나 디스크에서도 소실, 삭제된 데이터를 복구해낼 수 있다.

- 데이터의 추출 및 파기

일부 기관은 포렌식 도구를 사용하여 재배치 또는 폐기하는 시스템으로부터 데이터를 추출하여 보관하기도 한다.

대부분의 포렌식 도구는 어떠한 파일이 언제 생성되고 수정되었는지 시계열별로 표시하는 기능을 가지고 있기 때문에 업무의 흐름을 파악하는데 큰 도움이 된다. 이러한 형태로 데이터가 정렬된다면 보관된 데이터의 가용성이 크게 증대될 수 있다.

- 법적 책임 이행태세 확립

다양한 법령과 규정에 의하여 각 기관들에게는 추후 감사에 활용할 수 있도록 반영한 데이터를 보호하고 특정한 기록을 보존할 책임이 부여된다. 또한 보호된 민감정보가 자칫 유출된 경우 다른 국가기관이나 피해당사자에게 이를 통지할 의무가 있을 수 있다.

포렌식 절차가 수립되어 있는 경우 이러한 정보유출 등 사고에 원활하게 대응할 수 있고, 법적 책임과 의무를 수행하는데 큰 도움이 된다.

- 업무운용상 문제해결

대부분의 포렌식 도구와 기술은 일반적인 업무운용상의 문제를 해결하는 데에도 활용이 가능하다. 예를 들어, 네트워크 설정이 잘못 잡혀 있는 시스템의 위치를 파악한다던지, 응용 프로그램의 기능오류를 해결한다던지, 현재 설치된 운영체제를 검토하고 설정을 확인하는 데에도 사용이 가능하다.

[디지털 포렌식의 일반원칙]

원칙	설명
적법성	입수 증거가 적법절차를 거쳐 얻어져야 함
검증가능성	같은 조건에서 항상 같은 결과가 나오도록 검증이 가능함
신속성	전 과정은 지체 없이 신속하게 진행되어야 함
연계보관성(무결성)	증거물 획득에서 법정제출까지 무결하고, 담당 책임자가 명확해야 함
동일성	수집 증거가 위.변조 되지 않았음을 증명해야 함