유비쿼터스 시대가 성큼 우리 앞으로 다가온 지금 우리 사회는 온갖 디지털 매체와 네트워크로 연결되어 모든 분야에서 과거 상상에만 존재할 수 있었던 일들이 현실로 다가오고 있다. 그러나 이처럼 편리하고 빠른 정보 전달의 수단이 강화된 이면에는 개인 정보의 보호나 사이버 치안을 필요로 하는 등 반대적 요소가 도사리고 있는 것도 사실이다. 요새 CSI라고 하는 미국의 범죄 관련 드라마가 나라 전체에서 선풍적인 시청률을 기록하며 상영되고 있다. 지식정보화 시대에는 우리가 텔레비전이나 기타 영상 매체를 통해 흔히 볼 수 있는 범죄 현장에서의 증거 채취나 심리적 수사, 유전자 감식 등의 기능이 기계를 통해 벌어지는 사건의 현장에서도 사용되어야 한다는 것이다. 수사 현장에서의 증거 수집은 수사의 첫 단계로 가장 중요한 요소인데 주로 장물이나 지문, 혈액의 채취 등이 그것이다. 그러나 이러한 증거의 수집은 디지털 세계에서는 전혀 다른 이야기로 구성된다. 전자우편, 삭제된 파일, 접속 기록, 로그 파일 등이 디지털 증거라고 불리는 그것이다.

디지털 포렌식 의미와 표준화의 필요성

디지털 포렌식(forensics)은 디지털 저장 매체에 저장되어 있는 증거 자료를 획득하고 분석하는 절차와 방법을 지칭하는 용어이다. 디지털 자료는 기본적으로 생성, 변경, 복사, 전송 및 삭제가 매우 용이한 특징을 가지고 있으므로 이를 증거로 사용하기 위해서는 자료의 획득이나 분석, 보관 등에 엄격한 절차와 방법을 거쳐야 한다. 또한 기본적으로 디지털 포렌식은 법정에서 획득된 자료가 증거로 사용될 수 있기를 바라는 것이므로 현행법과도 밀접한 관련을 가지고 있다. 디지털 매체에서의 증거 수집이 기술적 요소라고 한다면 그 이후에 이의 증거 채택이나 법적인 문제를 다루는 것은 사법적 요소라고 할 수 있다. 기본적으로 증거로 채택되기 위해서는 고도의 정확성을 보여주는 컴퓨터나 혹은 디지털 기기에 대한 맹목적인 확신을 배제해야 하고 디지털 기록의 조작 가능성으로 인한 불신을 배제할 수 있어야 한다. 또한 디지털 포렌식은 이러한 문제뿐만 아니라 소프트웨어 지적재산권 분쟁의 해결을 위한 도구로도 사용되어 법원 판결에서 중요한 증거 자료로 사용될 수도 있다.

경찰청 사이버테러 대응센터의 2006년 보고서에 따르면 컴퓨터나 인터넷 관련 범죄가 2002년의 60,068건에서 2005년 거의 50%나 증가한 88,731건에 달하는 것으로 조사되었다. 이러한 사건들의 원활한 해결을 위해 디지털 포렌식 기술은 반드시 필요한 기술이며 이러한 기술의 표준화 작업도 매우 요구되는 시점에 놓여있다.

이 글에서는 이러한 포렌식의 기술적인 문제들에 대해 알아보고 이런 기술들과 관련하여 어떠한 표준화 활동들이 일어나고 있는지에 중점을 두어 살펴보도록 한다.

디지털 포렌식 특징 및 국내외 동향

증거로서 디지털 자료가 가지는 특징으로는 육안으로 식별이 불가능한 자료를 읽어낼 수 있는 경우가 있으므로 자료의 잠재성을 고려해야 하며, 자료의 생성, 삭제, 변경이 쉽게 가능하므로 취약한 점이 있으며, 자료가 0과 1만으로 구성된 2진수들을 사용함으로써 원본과 복사본의 구별이 어려운 점을 들 수 있다. 또한 디지털 자료는 기본적으로 방대한 양을 가지며 다양한 소프트웨어를 복합적으로 사용하므로 인과관계의 규명이 어려울 수 있다. 기억 장치의 내용이 쉽게 지워질 수 있다든지 네트워크로 연결되어 쉽게 해킹당할 수 있고 해당 국가의 경계를 넘기가 쉬워 법적인 문제가 연결되어 있는 경우 국외법적인 문제를 해결해야 하는 어려움이 있을 수 있다.

기술적 측면에서 이러한 디지털 자료를 증거로 확보하기 위한 방법으로는 내장 자료를 화면에 나타내고 사진을 촬영하는 방법, 기기에 내장되거나 다른 특별한 프로그램을 사용하는 방법, 디버깅 도구로 정보기기에 저장된 자료에 접근하는 방법, 하드웨어적 디버깅 도구를 이용하여 자료에 접근하는 방법, 포렌식 도구를 이용하여 가능한 모든 방법으로 자료를 획득하는 방법, 저장 장치를 물리적으로 분리하여 리더기에 장착하여 자료를 읽어내는 방법 등 다양하게 존재한다. 이 중 디지털 포렌식 도구를 중점으로 알아보면 디스크를 복제한다든지 디스크 쓰기 방지를 하는 하드웨어적인 방법과 무결성 검증 도구, 삭제된 파일 복구, 고급 검색 도구의 사용, 암호 및 패스워드 해제, 웜/바이러스 분석 등의 개별적인 소프트웨어를 이용하는 방법, 그리고 PC 상의 증거를 수집하는 도구나 휴대폰, USB 저장 장치, 웹 메일, html 파일 복구 등 특정 기기에 따른 포렌식 도구를 사용하여 자료를 획득하는 방법이 있다.

이러한 디지털 포렌식과 관련된 국내외적 동향으로는 미국의 NIST(National Institute of Standards and Technology)에서 수행하고 있는 프로젝트의 하나인 CFTF(Computer Forensic Tool Test)에서 디지털 포렌식에 사용되는 도구들의 요구사항을 정의하고 각 도구들을 검증하는 방법 및 절차를 수립하여 디지털 포렌식 도구의 테스트베드를 구축하고 있다. 2001년부터 DFRWS(Digital Forensics Research Workshop)에서는 최초로 디지털 포렌식의 정의를 내렸으며 디지털 포렌식과 관련된 많은 논문들이 발표되고 있다. 이 워크숍에서는 디지털 포렌식 프레임워크 정의, 디지털 증거의 신뢰성 논의, 숨겨지거나 삭제된 데이터의 탐지 및 복구 방안, 네트워크 환경에서의 포렌식 정의 등의 네 가지 목표를 설정하고 이에 대한 논의와 연구 논문이 발표되고 있다.

국내 표준화 동향으로는 한국정보통신기술협회(TTA)를 통해 디지털 포렌식과 관련된 표준화가 2007년 6월 과제로 승인되어 ‘컴퓨터 포렌식 가이드라인’, ‘이동전화 포렌식 가이드라인’, 컴퓨터 포렌식을 위한 디지털 데이터 수집도구 요구사항‘ 등의 3건이 2007년 12월 한국정보통신기술협회를 통해 국내 표준으로 제정되었다. 현재, 한국정보통신기술협회에서 진행 중에 있는 표준초안으로는 ‘컴퓨터 포렌식을 위한 디지털 증거 분석도구 요구사항’, ‘디지털 포렌식을 위한 디스크 이미지 교환포맷’, ‘컴퓨터 포렌식을 위한 디지털 데이터 수집도구 검증 규격’ 등이 있다. 또한 2008년 6월 일본 고베에서 개최된 ASTAP 포럼에서 디지털 포렌식의 공통 기술과 표준화에 대한 문제가 기고되어 논의되었는데 이 회의에 참석한 전문가들은 포렌식 기술 자체가 위에서 언급한 바와 같이 법적인 문제를 수반하고 있으므로 기술적인 문제만으로 다루기에는 어려운 점이 있으며 국제 표준화 작업을 위해서는 이러한 법의 상호 운영에 대한 연구가 필요하며 이와 아울러 플랫폼에 관계없이 이루어질 수 있는 공통 기반 기술을 정의하고 이에 대한 연구가 절실하다는 것에 의견을 모았다. 이러한 점을 볼 때 국내 표준안 제정과 아울러 이러한 국제적 표준화를 위한 연구가 더욱 절실히 요구된다.