[기고] 컴퓨터 포렌식 기술 시장 전망 및 개발 동향

[글=박세환 Ph.D.]
      ㈜기술법인 엔펌(ENF) 전문위원(Chief Consultant)
      한국CCTV연구소 영상보안CCTV산업발전연구회 회장
      한국산업기술진흥협회 ReSEAT프로그램 전문위원

이번 원고에서는 AI 알고리즘이 적용된 기술로 확산되고 있는 컴퓨터 포렌식(디지털 포렌식) 기술의 개요와 국내외 기술 시장 전망에 대해 설명한다. 아울러 분산 처리 기법, 파일 카빙 기법 등 컴퓨터 포렌식 주요 기술 개발 동향에 대해 설명하고, 이러한 전망치를 토대로 과학수사 기능을 넘어 의료, 군사, 안보, 사회 문제 해결 등 다양한 분야에 활용되고 있는 컴퓨터 포렌식의 시사점을 제시한다.

국내 컴퓨터 포렌식 기술의 현황

국내 컴퓨터 포렌식 관련 하드웨어적 기술 수준은 글로벌 기술력을 주도할 수 있을 정도로 상위권에 진입하고 있다. 반면, 분산 처리 기법이나 파일 카빙을 위한 소프트웨어적인 알고리즘 설계와 관련된 기술 개발은 매우 취약한 편이다. 이에 파일 조각의 시그니처(signature)와 콘텐츠를 기반으로 데이터 단편 조각 간의 상관성을 계산할 수 있는 파일 카빙 기법에 대한 연구에 주력할 필요가 있다.

특히, 이미지 파일 카빙 기술은 글로벌 기술 시장 선점을 통한 매우 큰 국가 경제적 효과를 얻을 수 있어 국내 산업 환경에 맞는 핵심(원천) 기술을 조기에 상용화할 필요가 있다. 디지털 포렌식 기술은 사이버 과학수사 및 범죄 예방은 물론, 주거 생활 안정형 감시 체제 구축 등 민간 시장에서의 수요도 크게 증가할 것으로 전망된다. 이에 공공과 민간 부문의 수요 니즈를 모두 수용할 수 있는 파일 카빙 기술을 개발하고 제품의 상용화를 추진할 필요가 있다.

컴퓨터 포렌식의 개요

최근에는 데이터 암호화 기법을 이용해 데이터를 보호하는 경우가 많아 디지털 데이터에 대한 암호 해독이 디지털 증거 분석에 신기술로 부각되고 있다. 이로 인해 암호 해독에 따른 분석 시간이 증가하게 되면서 스테가노그라피(steganography: 기밀 정보를 제3의 기밀 정보 안에 숨기는 암호화 기술)와 같이 변형 데이터의 분석 및 다량의 디지털 증거 분석 처리 등에 분산 처리 기법(Distributed Processing Engine, 이하 DPE)을 적용하고 있다.

그렇다 해도 영장 청구 제한 시간(48시간 이내)은 부족할 수 있어, 보다 고도화된 암호 해독 기법의 개발이 요구된다. 데이터가 대용량화되고 암호화 기술이 고도화되면서 디지털 포렌식이 제한 시간에 맞추지 못하면 디지털 증거 불채택으로 인한 2차 피해를 야기할 수 있다.

이러한 문제를 방지하기 위해서는 디지털 증거 분석 시간의 제약을 완화할 수 있는 제도가 있어야 한다. 즉, 증거 수집 및 분석 예상 시간을 측정해, 디지털 증거 제출 신청 및 신청 승인을 거쳐 분석 시작이 이루어지기 전까지 압수 수색 영장 제한 시간을 일시 정지하고, 예상 시간 내 제출 및 증거 채택이 이루어지는 제도 개선이 필요하다. 여기에는 증거 수집 및 분석 예상 시간을 어떻게 정확히 측정할 수 있을 것인가에 대한 공동 노력과 사회적 합의가 필요하다.

아울러 이미지 파일의 시그니처 정보를 기반으로 디지털 증거를 수집하는 파일 카빙 기법은 현재 국내 일부 벤처기업들이 보유한 기술을 공공기관 등에서 업무 목적으로 이용하기도 한다. 향후에는 민간 시장의 수요도 크게 증가할 것으로 전망되므로, 공공과 민간 부문의 수요 니즈를 모두 충족할 수 있는 법적 증거 능력을 갖춘 파일 카빙 기술 상용화를 추진하여 사이버 과학수사 등에 적용할 필요가 있다.

컴퓨터 포렌식 기술 시장 전망

디지털 문서 검토 및 사이버 범죄 탐지에 정교한 인공지능(AI) 알고리즘이 적용된 컴퓨터 포렌식 기술이 확산되고 있다. 선도적인 소프트웨어 전문 기업 AccessData는 컴퓨터 포렌식 조사를 수행하기 위한 강력한 소프트웨어를 마련해 조사관에게 지능형 서비스를 제공하고 있다. 이처럼 미래의 디지털 포렌식 기술은 SS8 네트워크, 아바투, CCL그룹 및 법의학 전문가그룹 등을 중심으로 데이터 중심 분석에서 다중 소스 증거 수집, 관계 분석, 직관적 분석 및 프로파일 기반의 자동 분석 등 보다 첨단 기술로 발전하고 있다.

이에 따라 글로벌 디지털 포렌식 기술 시장은 2014년 20억달러에서 매년 12.5%씩 높은 성장을 지속하여 2020년에는 40억 달러의 대규모 시장을 형성한 것으로 나타났다. 국내 컴퓨터 포렌식 기술 시장은 2012년까지는 200억 원 미만이었으나, 2014년을 기점으로 200억 원 이상을 기록하면서 세계 시장의 1% 정도의 비중을 차지하고 있다. 2014년은 2010년경부터 서비스가 시작된 4G-LTE(A) 서비스가 정점에 도달한 시기로서 스마트폰을 이용한 디지털 데이터 사용이 급증했고, 이로 인해 디지털 포렌식 기술 시장도 본격적으로 형성됐다.

현재의 컴퓨터 포렌식 시장은 서비스나 솔루션을 활용하는 기관(공공/민간)들이 그리 많지 않아 느리게 성장하고 있다. 그러나 갈수록 사이버 범죄가 증가함에 따라 향후 컴퓨터 포렌식 기술시장은 지속적인 증가추세를 나타낼 것으로 예상된다. 북미, 아시아태평양에 이어 유럽에서 높은 잠재시장성을 나타내고 있다.

국내 컴퓨터 포렌식 기술 시장은 정부와 공공기관 주도로 대부분 외국 제품이 국내에 유통되어 오다가 2016년경부터는 민간업체들이 본격적으로 시장에 진입하면서 민간 시장이 활성화되어가고 있다. 민간 시장을 활성화시키기 위한 선결과제로는 유관기관과 민간업체들 간의 상호 협력을 통해 공공 부문 중심의 컴퓨터 포렌식 서비스를 질적으로 개선할 수 있는 인프라 구축이 필요하다.

컴퓨터 포렌식 주요 기술 개발 동향

1. 분산 처리 기법(DPE)

컴퓨터 포렌식을 위한 디지털 증거는 다양한 저장장치, DB 및 인터넷 서버 등에 문서나 로그 정보 형태로 대량으로, 그리고 무작위로 존재한다. 이러한 디지털 증거가 법정에서 증거물로 인정받기 위해서는 물리적 저장매체를 압수하여 분석하는 강력한 성능을 가진 솔루션이 필요하며, 이를 분석하는 데 장시간이 소요된다. 이는 형사소송법에 명시된 압수 수색 영장 청구 제한 시간인 48시간에 적합하지 않다.

그동안 컴퓨터 포렌식 도구의 성능이 향상되면서 디지털 증거 수집 및 분석 시간이 많이 단축되었으나, 여전히 대용량 자료를 48시간 이내에 분석하기는 쉽지 않은 일이다. 이러한 문제점에 대한 해결 방안으로 DPE가 개발되었다. 이 기법은 분산된 데이터들을 네트워크를 통해 여러 대의 컴퓨터에 나누어 처리하는 시스템으로, 대용량 디지털 저장매체에 대해 효율적인 분석을 가능하게 한다.

120GB 이미지 파일을 대상으로 분석 소요 시간을 비교할 때 DPE를 구성하지 않은 단일 환경에서는 10시간 42분의 분석 시간이 소요된 데 비해, DPE 적용 시 2분할에서는 6시간 57분, 4분할에서는 4시간 33분으로 분석 시간을 획기적으로 단축할 수 있는 것으로 나타났다.

단, DPE의 구성이 늘어나면 그만큼 분석 시간의 감소율이 저하되어 분석 시간이 늘어날 수 있다. 따라서 DPE의 구성을 늘리기 보다는 DPE 구성 간 적정성을 고려하여 구성하는 것이 분석 시간 단축 효율성을 높이는 방법이다. 아울러 작업 중인 PC에서 오류가 발생하여 분석 작업이 중단될 경우, 가동 중인 다른 PC가 자동으로 이어받아 분석 작업을 수행할 수 있어 분석 내용에는 영향을 미치지 않는 장점이 있다.

2. 파일 카빙 기법

디지털 증거로 수집한 이미지 파일의 경우에는 시그니처 정보를 알아야 이미지 재조합이 가능하다. 그러나 암호화된 디지털 이미지의 경우 시그니처 정보가 없는 경우가 많다. 이처럼 시그니처 정보가 없는 이미지 파일 조각들을 재조합하여 이미지를 재생하는 기법이 파일 카빙(File Carving)이다.

파일 카빙 기법은 메타데이터(meta-data)와 같은 부가 정보가 없는 데이터의 단편 조각들 간 인접-상관도를 측정하여 원래 이미지 형태로 단편화 조각들을 재조합해 디지털 증거를 재현하는 기술을 의미한다.

이 기술은 파일 시스템 정보를 사용하지 않고 데이터가 덮어 쓰이지 않은 비 할당 영역을 대상으로 수행한 파일의 고유 특성만을 이용하여 파일을 복구하는 기능을 갖고 있다. 파일 카빙은 Header/Footer, Header/File Size, Header/Ram Slack, 파일 구조 검증의 네 종류 기법으로 나눌 수 있다.

특히, 파일명을 제외한 형태, 크기, 위치, 파일의 주인 등의 정보가 담긴 inode table이 훼손되어 파일을 복구하기가 어려워졌을 때 데이터 카빙(Data Carving) 기법은 매우 유용하다. 파일의 시그니처를 통해 파일의 시작점(jpeg 이미지의 경우 header는 FFD8, trailer는 FFD9)과 끝점을 찾아 해당 부분을 캡처(capture)함으로써 조각난 이미지 파일을 복구할 수 있는 장점이 있다. 단, 파일의 시그니처를 이용해 파일의 시작점과 끝점을 찾는 방법이 완벽하긴 하지만, 대부분의 Jpeg 이미지는 끝점에 시그니처가 거의 없어 끝점을 찾는 것이 매우 어렵다는 단점이 있다.

암호화된 이미지의 단편 조각을 읽어내는 파일 카빙은 하드웨어 구조를 기반으로 이미 개발되었으며, 이미지 단편 조각 간 상관성을 계산하는 기술은 소프트웨어 포렌식 기술을 기반으로 개발되고 있다.

컴퓨터 포렌식 기술의 시사점

컴퓨터 포렌식 기술은 훼손된 아날로그 사진의 복원, 메모리 삭제 및 메타데이터 훼손 등으로 인한 디지털 증거 복원 등의 분야에 유용하게 응용될 수 있다. 이는 이 기술이 과학수사 기능을 넘어 의료, 군사, 안보, 사회 문제 해결 등 다양한 분야에 활용될 수 있음을 시사하고 있다. 하드웨어 복원 관점에서의 컴퓨터 포렌식 기술은 국내 연구 역량이 선진국에 비해 매우 뒤떨어진 것이 현실이다. 이에 소프트웨어 알고리즘 기반의 응용 연구를 통해 선진국 수준의 기술을 개발한다면 매우 다양한 분야에 유용하게 응용될 수 있을 것이다.

아울러 컴퓨터 포렌식 기법을 효과적으로 구현하기 위해서는 다양한 디지털기기 및 저장매체의 특성과 동작 원리를 이해하는 학습이 선행되어야 한다. 나아가 컴퓨터 포렌식 조사의 원칙을 지키며 수행할 수 있는 전문가를 양성하고 필요한 컴퓨터 포렌식 도구도 개발해야 한다. 우리 사회에 4대 사회악(성폭력, 가정폭력, 학교폭력, 불량식품)과 5대 강력 범죄(살인, 강도, 강간, 절도, 폭력)가 빈번하게 발생하면서 이러한 가정 파괴형 범죄 예방과 사후 처리를 위해 디지털 포렌식 기술을 적극 활용할 필요가 있다.

근래에는 CCTV 통합관제 시스템을 이용한 방범 및 쓰레기 불법 투기 단속 등의 생활 밀착형 감시 환경이 구축되어 있는데, 이러한 CCTV 카메라의 이미지 해독이나 증거 수집 등에 디지털 포렌식 기술을 적용한다면 보다 더 정밀한 시스템을 구축하는 데 기여할 수 있을 것이다.