<디지털 포렌식> 죽었던 증거가 살아돌아온다. IT과학수사

디지털 포렌식은 최근 많은 디지털 기기 및 시스템 관련 범죄 해결에 단서를 찾는 중요한 임무를 수행해오고 있습니다. 컴퓨터(PC)나 스마트폰과 같은 디지털기기 또는 온라인상의 모든 데이터를 수집·추출하여 식별 및 분석하는 일련의 과정을 수행하는 포렌식은 사전적 의미로는 '법의학'이라는 뜻을 가지지만, 넓은 의미로는 'IT 과학수사'라는 의미로 알려져 있습니다. 즉, 디지털 포렌식은 디지털 정보를 기반으로 하는 과학수사를 뜻한답니다. 이 디지털 포렌식의 절차는 크게 3가지로 구분됩니다. 첫 번째는 증거수집(Gathering of proofs)단계, 두 번째는 증거분석(Evidence analysis)단계, 마지막 세 번째는 증거생성(Documents Production)단계입니다. 첫 번째 단계 증거수집단계에서는 모든 증거 분석을 하기 위해 디지털 정보를 수집하는 단계입니다. 즉, 손상되기 쉽고 사라지기 쉬운 디지털 증거가 될 만한 자료들이 저장된 디지털 기기(스마트폰, 컴퓨터, USB 등)로부터 무결성을 보장하며 추출할 수 있는 기술이 필요한 단계입니다. 혹시 무결성에 대해 모르시는 분들을 위해 무결성이란 추출하는 과정에서 데이터가 의도적으로 변경되거나 파괴되는 상황에 노출되지 않고 원래 상태 그대로 보존되는 특성을 뜻합니다. 두 번째 단계인 증거분석단계는 1단계에서 수집된 데이터를 바탕으로 증거로 사용될 수 있는 가치를 지닌 데이터로 만드는 기술이 필요합니다. 일반인이 가장 흔하게 볼 수 있는 기술 중에는 삭제된 파일 복구 기술이 있습니다. 이는 범죄를 저지른 사람이 자신의 증거를 없애기 위해 흔히 관련 모든 파일을 삭제시키거나 아예 포맷을 해버리는 경향이 있는데요. 이럴 때 적용되는 기술입니다. 다음 기술로는 암호화된 파일을 해독하는 기술이 있습니다. 그리고 문자열 검색 기술 등을 꼽을 수 있겠습니다. 마지막 단계인 증거생성단계에서는 앞서 데이터를 추출하고 이를 가치 있는 증거자료로 변환했다면 이를 종합하여 보고서 형태로 만드는 기술이 필요로 되는데요. 이것은 기계가 아닌 사람이 직접 해야 하는 작업입니다. 이 작업에는 데이터 수집, 분석, 식별, 분석 과정 등 모든 과정이 포함되어 있고 이 단계를 수행하는 사람을 바로 디지털 포렌식 전문가라고 부른답니다. 가장 어려운 단계이자 논리적이고 공정한 사고와 판단력으로 임해야 하는 단계인 만큼 굉장히 까다롭고 어려운 과정이라고 합니다. 최종적으로 이 보고서는 어떠한 사건의 죄를 판단하는 중요한 근거자료로 쓰이게 되는 것입니다. 최근 삭제된 파일 복구 기술을 적용하여서 한 인터넷 범죄자의 유죄를 받아 낸 사건이 있었습니다. 당시 범죄자는 자신의 혐의를 인정하지 않았는데요. 그 이유는 이미 증거자료가 될 만한 데이터들은 모조리 PC에서 삭제한 상태였으며, 더 이상 유죄를 입증할 만한 자료는 남아 있지 않다고 판단하였기 때문입니다. 하지만 과학수사대는 디지털 포렌식을 이용해 삭제된 파일을 복구했고, 이 복구된 자료를 가치 있는 증거자료로 만들어 범죄자에게 보여주었습니다. 그러자 범죄자는 자신의 혐의를 인정했고, 사건이 유죄로 종결되었다고 합니다. 사례를 통해 알 수 있듯이 앞으로 인터넷 활용이 더욱 증가함에 따라 사이버 수사를 포함한 모든 과학수사의 영향력은 점차 더 커질 것이고 포렌식 전문가의 수요도 증가할 것으로 보입니다. 이번 포스팅에서는 디지털 포렌식의 정의와 절차, 실제 사례를 알아봤습니다.