디지털 포렌식, 신뢰성과 원본성 확보가 핵심!

[CCTV뉴스=이승윤 기자] 1997년 경찰청이 사이버수사를 시작했던 때부터 주요사건의 수사기법으로 활용된 디지털 포렌식이 최근 최순실 국정농단사건, 숙명여고 사건 등에서 결정적인 디지털 증거를 발견하는데 핵심 기술로 활용되면서 큰 주목을 받고 있다. 그러나 일반적으로 디지털 포렌식에 대한 단편적인 내용만 알고 있으며, 디지털 포렌식의 핵심요소, 세부적인 분석 과정 등에 대해 모르는 경우가 많다. 특히 디지털 포렌식과 데이터복구를 혼동해 데이터복구를 통해 얻은 디지털 증거를 법원에 제출해 증거 효력을 인정받지 못하는 경우도 종종 발생하고 있다.

디지털 포렌식, 데이터복구와 다른 개념으로 인식해야

디지털 포렌식은 컴퓨터, 스마트폰 등 디지털 디바이스에 기억된 전자적 정보를 수집하고 분석을 통해 관련된 정보를 법정에 증거로 제출하는 절차이다. 디지털 기기의 데이터를 수집하기 때문에 데이터복구와 비슷하다고 볼 수 있지만, 개념 자체가 다르다. 디지털 포렌식은 실제 법정에서 사용할 수 있는 디지털 증거를 확보하는 절차이고 데이터복구는 일반적인 데이터를 복구하는 과정이기 때문이다.

특히 데이터복구를 통해 얻은 디지털 데이터는 법적으로 효력을 받기 어렵다. 디지털 데이터는 0과1이라는 바이너리코드(Bbinary code)로 구성돼 있어 눈으로 식별하기 어려움, 간단한 위·변조 가능, 복사 시 원본과 구분이 어려움 등의 특성이 있다. 이런 특성들을 보완하면서 디지털 증거를 찾기 위해서는 디지털 증거의 원본성 확보, 분석결과의 신뢰성, 검증을 위한 재현성이 보장돼야 한다.

디지털 포렌식의 경우 사용자가 생성한 자료, 시스템 로그, 각 자료에 대한 메타정보를 법적인 절차에 맞게 수집, 운반, 보관, 분석이 완료될 때까지 무결성을 유지하면서, 절차마다 생성된 증거자료가 연속성을 가지고 보존해 원본성과 재현성을 확보하기 때문에 디지털 증거로 법적효력을 인정받을 수 있다.

그에 반해 데이터복구는 데이터가 손실 됐을 때 사용자의 문서, 사진, 메일 등 자료를 단순 복구하는 방식으로 진행돼 이 과정에서 중요한 증거 데이터가 삭제될 수 있으며, 신뢰성과 원본성을 확보하기 힘들어 디지털 증거로 법적 효력을 얻기 힘들다. 한국디지털포렌식센터 최운영 대표는 “데이터복구로 얻은 디지털 자료는 원본성과 무결성이 확보하지 않기 때문에 법적 증거로 사용하기 어렵다”고 말했다.

디지털증거, 신뢰성과 원본성 확보가 필수

디지털 포렌식에서 중요한 핵심은 디지털 증거의 원본성 확보, 분석 결과의 신뢰성, 검증을 위한 재현성 보장이다. 이 3가지 요소 중 하나라도 빠진다면 법정에서 디지털 증거로 채택되기 어렵다. 한국디지털포렌식센터 최 대표는 “디지털 증거의 수집부터 법정 제출까지 전 과정에서 원본성과재현성이 확보돼야 증거로써 법적 효력을 얻을 수 있다”고 말했다.

국내에서 디지털 포렌식을 활용하고 있는 국내 수사기관들은 이 3가지 요소를 확보하기 위해 노력하고 있다. 특히 2008년 국가디지털 포렌식센터(NDFC)를 개설해 검찰 수사에 디지털 포렌식을 사용하고 있는 검찰청은 신뢰성 확보와 공정성 확보를 위해 내부적으로 다양한 노력을 하고 있다.

우선 검찰청은 피압수자의 인권보장을 위한 절차를 규정한 디지털 증거 수집과 처리 등에 관한 규칙을 제정하고 디지털 증거 수집과 관련된 표준화된 실무 매뉴얼을 마련했으며, 난해한 디지털 포렌식 결과를 수사관이 쉽게 이해할 수 있도록 결과보고서 작성 가이드라인도 제시했다. 또한, 분석도구기법의 적절성 검토와 보고서의 정확성을 위해 증거분석관 전원으로 구성된 내부 심의회를 운영, 디지털 증거 분석결과에 대한 내부검증을 시행하고 있다.

검찰청은 신뢰성확보를 위해 전국의 증거분석실도 표준화했다. 참여실, 필수설비, 공간배치 등 변화된 사법환경을 반영하는 구체적인 기준에 따라 지방청 증거분석실을 표준화했다. 또한, 표준화 작업에서 한국인정기구(KOLAS) 인증을 대비해 디지털증거분서실 설계•운영과 관련된 일반적인 원칙, 고려사항, 공간구성•설계, 환경 기준 등 연구용역 결과에 따라 마련된 표준설계지침을 따랐다.

김용환 경찰청 디지털 포렌식센터 연구개발팀은 “가이드라인, 증거 분석실 표준화와 함께 디지털 포렌식에서 중요한 부분인 증거분석관 전문성을 위해 경찰청 디지털 증거 수집과 처리 등에 관한 규칙을 선발 자격요건으로 규정하고 있다”고 말했다.

신뢰성과 함께 정확한 절차 진행돼야 법적 효력 얻을 수 있어

디지털 포렌식은 원본성 확보와 함께 적법한 절차에 따라 분석이 진행돼야 디지털 증거가 법정 증거로써 효력을 얻을 수 있다. 그래서 분석 절차는 수집-분석-검증-보고서-수사기관 또는 법정에 제출되는 정형화된 형식으로 진행된다. 한국디지털포렌식센터 최 대표는 “법정 증거능력으 로 인정받기 위해서는 적법한 절차와 형식을 준수하는 것이 중요하다”고 말했다.

먼저 디지털증거가 저장된 매체에서 데이터를 수집하는 과정에는 디지털 포렌식에서 중요한 무결성이 유지된 상태로 증거를 수집할 수 있도록 쓰기방지기능과 원본 훼손 또는 조작을 방지하는 기능이 포함된 수집 장비를 통해 데이터를 수집한다. 이 장비에는 이미징(Imaging) 기술이 적용돼 있다. 이 기술은 디지털 데이터를 동일하게 복제한 후 파일 형태로 변환시켜준다.

수집과정에서 중요한 점은 원본성을 훼손하지 않는 부분으로 이를 위해 수집과정에서 수집한 데이터가 원본임을 입증하는 해쉬값(SHA-1, SHA-256 등)으로 보장하는 것이 중요하다.

두 번째는 분석과정으로 수집된 이미징 파일을 대상으로 분석을 진행한다. 분석결과에 대한 신뢰성 확보를 위해 공인되거나 검증된 증거분석프로그램을 활용하는데, 주로 국내외에서 인정받고 있는 분석프로그램을 활용해 분석을 진행한다.

세 번째는 분석한 데이터를 검증하는 과정이다. 이 과정에서는 디지털 포렌식의 분석된 디지털 증거가 원본성, 신뢰성, 재현성 등의 요소를 갖추고 있는지, 법원에서 디지털 증거로 법적 효력을 받을 수 있는지를 검증하는 과정이 진행된다.

마지막은 디지털 포렌식 보고서 작성이다. 보고서는 법정이나 수사기관에서 당사자의 혐의를 판단할 수 있는 근거자료 또는 참고자료로 활용되므로 디지털 보고서 작성 시 디지털 증거수집과 분석과정의 원본성과 검증을 위한 분석 내용이 상세히 기술돼야 한다.

또한, 디지털 포렌식 분석보고서는 사실문서로써 의뢰사항에 대한 현출여부만 기록해야 하며 근거 없는 추정내용이나 분석자의 주관적인 판단 내용이 들어가서는 안된다. 한국디지털포렌식센터 최 대표는 “간혹 비전문가들이 추정 여부나 자신의 주관적인 의견을기재하는 경우가 발생하는데 이는 잘못된 행동”이라고 지적했다.

결정적 증거, 디지털 포렌식 전문 수사관이 찾을 수 있어

디지털 포렌식은 실제 법정에서 유효하게 사용될 수 있는 디지털 증거를 찾는 것이 주된 목적이다. 그래서 추출된 데이터를 분석해 결정적인 디지털 증거를 찾을 수 있는 수사관의 역할이 중요하다. 디지털 포렌식 수사관은 기본적으로 데이터를 분석할 수 있는 능력과 분석된 데이터에서 사건과 연관된 디지털 증거를 찾을 수 있는 능력이 필요하다.

즉, 디지털 포렌식 수사관은 포렌식 기술과 법률관련 지식이 함께 갖춰야 한다. 한국디지털포렌식센터 최 대표는 “최종적으로는 디지털 증거에 대해 분석 판단을 전문 수사관이 전담해서 하고 있어 수사관은 분석결과에서 현출된 데이터가 사건과 어떤 연관성이 있는지, 디지털 증거의 가치가 있는지를 정확히 판단할 수 있는 능력이 있어야 한다”고 말했다.

IT 환경 변화에 따라 활용범위 계속 확대되고 있어

디지털 포렌식은 기본적으로 하드디스크 위주의 포렌식이 진행됐지만, 최근 IT 환경의 변화에 맞춰 범위가 점점 더 넓어지고 있는 추세이다. 스마트폰이 대중적으로 보급되면서 이를 분석할 수 있는 모바일 포렌식이 나타났으며, 해킹과 정보유출이 빈번하게 발생하면서 네트워크를 분석하는 네트위크 포렌식이 나타났다.

활용범위의 확장과 함께 다양한 IT 기술의 최적화된 분석을 위해 분류도 세분화되고 있다. 영상분을 전문적으로 분석하는 영상 포렌식, USB등 메모리장치를 분석하는 메모리 포렌식, 녹취데이터의 위·변조를 분석하는 음성포렌식 등이 세분화되면서 나타난 포렌식 기술이다. 한국디지털포렌식센터 최 대표는 “최근 주목받고 있는 스마트카, IoT, 클라우드에 맞춘 포렌식도 등장하고 있다”고 말했다.

국내, 디지털 포렌식 산업 아직 초기 단계

디지털 포렌식은 발전하는 IT 환경에 맞춰 활용범위가 확대되고 있으며, 각 기술에 맞춰 세분화되고 있다. 또한, 디지털 포렌식 기술이 사용되는 전자증거제시(E-Discovery)는 기업 분쟁과 국제 법률다툼 등에 중요한 부분으로 작용되면서, 많은 기업이 이를 적극적으로 활용해 법적으로 대응하고 있다. 이처럼 디지털 포렌식은 다양한 분야에서 사용되면서 산업 자체가 성장하고 있는 추세이다.

특히 미국과 유럽 등의 나라에서는 공인탐정제도를 허용하고 있어 민간 디지털 포렌식 산업이 빠르게 성장하고 있다. 

그러나 국내는 성장산업으로 주목받고 있는 디지털 포렌식을 국가 수사기관에서만 활용되고 있으며, 민간에서는 이를 활용할 수방안이 마련돼 있지 않아 매우 작은 시장 규모를 보유하고 있다. 정확히 말하면 디지털 포렌식 산업이 활발한 미국과 유럽 등과 비교했을 때 국내는 민간 포렌식 시장 자체가 형성돼 있지 않다고 볼 수 있다.

이에 많은 디지털 포렌식 전문가들은 국내 민간 디지털 포렌식 산업 육성을 위한 방안이 필요하다고 말하고 있다. 고려대학교 정보보호대학원 이상진 원장은 “포렌식 컨설팅 사업 육성과 규제가 필요하다”며 “이 사업이 활성화되면 국내 민간 디지털 포렌식 산업활성화와 함께 피해자에게 수사기관에 고소하기 전 단계에 자료를확보하고 증거를 제공할 수 있도록 절차적인 도움을 줄 수 있다”고 말했다.

한국디지털포렌식센터 최운영 대표는 민간 포렌식 산업이 활성화되면 수사기관의 진행하고 있는 사건 중 포렌식이 필요한 부분에큰 도움을 줄 수 있다고 설명했다. 지난 경찰청에 발표한 자료에 따르면, 디지털 포렌식이 필요한 사건은 2013년 1만 1200건에서 2017년 3만 6060건으로 5년 사이 3배 가까이 늘었다.

반면 같은 기간 전국 디지털 포렌식 분석요원은 2013년 54명에서 2017년 74명으로 약 1.3배 증가해 인력 부족현상이 나타나고 있으며, 이 인력 문제로 인해 사건이 계속 지연되고 있는 상황이다. 최 대표는 “실제 현직에 근무할 당시 디지털 포렌식을 의뢰하면 결과를 받기까지 매우오랜 시간이 걸렸다”며, “국내에 디지털 포렌식 시장이 커지면 수사기관에 업무를 줄여주는 효과가 나타날 것”이라고 말했다.