디지털 포렌식(Digital Forensic) 정의

디지털 포렌식이란?
최근 디지털 범죄가 증가하면서 디지털 저장 매체에 많은 정보가 담겨있는 범죄 증거를 찾는 수사기법이 있는데 이것을 "디지털 포렌식"이라고 한다. 디지털 포렌식은 디지털 증거물(스마트폰, PC)을 수집, 분석하여 범죄의 단서와 증거를 찾아내서 수사에 활용을 하는 과학수사 기법을 총칭한다.

최근 범죄자들의 스마트폰이나 PC를 압수를 한 뒤 해당 디지털 기기에 남아있는 데이터를 토대로 통화내역이나 문자메시지를 복구하여 법적 증거물로 인정을 받는 것을 볼 수 있는데, 이러한 데이터를 복원, 복구하는 기술을 디지털 포렌식이라고 한다.

국내에서 포렌식은 "법의학", 또는 "과학수사"라는 단어를 자주 사용되었다. 하지만 최근 IT기술이 발전 하면서 디지털기기를 매개체로 하여 발생한 범죄 행위의 사실 관계를 법정에서 증명하기 위해서 포렌식 앞에 디지털이라는 단어가 붙었고 이것이 우리한테 잘 알려진 "디지털 포렌식"이다.

2022년 추가 내용 >> 과거에 디지털 포렌식을 처음 접했을 때는 말 그대로 위키백과에서 가져온 법의학! 이라는 단어만 사용하고 있었으나, 현재 공부를 하다보니 디지털 포렌식의 정의를 살짝 바꿔도 될것같다.

시스템 상에 남아있는 사용자의 아티팩트(흔적)를 활용하여 범죄자 또는 해커가 했던 행위를 증명하는 절차이며, 이때 사용자는 컴퓨터의 본래 주인이 될 수도 있지만, 범죄행의를 하는 비인가자도 될 수 있습니다. 그래서 디지털 포렌식이란 시스템 내부에 남아있는 흔적들을 분석, 조사하여 하나의 보고서로 작성하여 증명하는 절차입니다.

과거 디지털 포렌식은 법과학의 일종으로 혈흔, 족적, DNA, 지문 등 과학수사의 연장선이라고 설명 했으나, 최근 DFIR을 공부를 하고 나니 디지털 포렌식의 정의를 법과학이라고 설명하기 보다는 다음과 같이 설명하는것이 옳바르다고 생각합니다.

출처 : https://www.epnc.co.kr/news/articleView.html?idxno=202895

디지털 포렌식이 필요한 이유
① 컴퓨터 사이버 범죄 증가 및 증거자료 디지털화
정보화 시대에 접어들면서 IT기술이 크게 발전함과 동시에 컴퓨터 관련 범죄나 아날로그 범죄에서도 중요한 증거가 될 수 있는 단서가 전자기기 매체 내에 보관되어 있는 경우가 증가함에 따라 증거수집 및 분석을 위한 전문적인 디지털 포렌식 기술이 요구된다.

예) 대표적인 범죄로는 숙명여고 시험지 유출 사건, 박근혜(전 대통령) 최순실씨의 국정농단 사건 등 디지털 포렌식 기술이 적용된 대표적인 사례입니다. 분명히 범죄자들은 데이터를 공장 초기화나 포맷 시켰다고 생각을 하더라도 컴퓨터는 데이터를 삭제 시키지 않고 비할당 영역에 고스란히 있어서 포렌식 수사기법을 사용했을 때 법적 증거를 찾을 수 있습니다. 즉, 컴퓨터는 우리가 생각하는것 보다 훨씬 똑똑하기 때문에 조심해야 합니다.

② 다양한 분야에서의 디지털 포렌식 활용도 증가
디지털포렌식은 단순히 검찰, 경찰에서 범죄자들의 디지털 매개체로 하여 특정 행위의 사실 관계를 규명하고 증명하기 위한 기술이 아니다. 최근에는 기업체나 금융회사 등 민간분야에서도 디지털 포렌식 기술이 사용되고 있다. 예를 들어 보험사기 및 인터넷 뱅킹 피해보상에 대한 법적 증거 자료 수집, 기업체에서 내부 정보 유출 방지, 회계 감사 등이 있다.

디지털 포렌식의 오해
디지털 포렌식은 "데이터 복구"라고 생각하는 사람들이 증가하고 있다. 하지만 포렌식 자체가 사건의 원인과 과정을 밝혀내기 위해 사용되는 "데이터 복구"는 포괄적인 의미로 포렌식의 범주에 들 수 있지만 사용자가 실수로 삭제한 데이터나 사이버테러(해킹)에 의해 손상된 데이터를 복구하는 것을 "포렌식"이라고 부르는 것은 잘못된 생각이다. 결론은 사설에서 데이터 복구나 복원 등을 하는 것은 디지털 포렌식이라고는 볼 수 없고, 법정 증거자료를 위한 복구는 디지털 포렌식이라고 할 수 있다.

디지털 포렌식 5대 원칙
① 정당성의 원칙
정당성의 원칙은 디지털 포렌식 기술을 통해 증거를 수집할 때 불법적인 방법을 활용하지 않고 정당하게 증거를 수집을 했다는 것이다. 적법한 절차를 따르지 아니하고 수집한 증거는 형사소송법 제308조의 2에 의거하여 증거로 인정되지 아니한다.

② 무결성의 원칙
무결성의 원칙은 정당한 방법으로 수집된 증거가 위조, 변조되지 않았음을 증명할 수 있어야 한다. 일반적으로 디지털 증거는 특성상 쉽게 위조, 변조가 가능하고 이를 알아차리기 힘들기 때문에 수집했을 당시에 데이터 Hash값과 법정 제출 시점 데이터의 Hash값이 동일하다면 무결성이 입증된다. 무결성을 입증하기 위해 증거를 수집했을 때 경우에 따라서 현장에 입장할 시점부터 조사가 끝날 시점까지 영상을 촬영하거나 사진을 찍음으로써 증명을 할 수 있게 함.

* hash란?
단방향 암호화 기법으로 해시함수(해시 알고리즘)을 이용하여 고정된 길이의 암호화된 문자열로 바뀌는 것을 의미함.
해시 알고리즘은 종류가 여러가지 이고 알고리즘마다 hash의 길이가 다릅니다. 과거에 사용되던 해시 알고리즘은 보안이 뚫린 것도 있다.(MD5, SHA-1, HAS-180) 앞에 해시 알고리즘 말고 SHA-256, SHA-512등을 권장.

③ 재현의 원칙
재현의 원칙은 말 그대로 동일한 조건을 주었을 때 오차범위 내에서 동일한 결과가 나와야 한다는 것이다.

④ 신속성의 원칙
데이터는 비휘발성과 휘발성이 존재하는데 휘발성의 증거를 수집했을 경우 외부에서의 요인을 최소화하기 위해 모든 과정을 지체 없이 신속하게 진행되어야 하는 것이다.

⑤ 절차 연속성의 원칙
절차연속성의 원칙은 디지털 증거의 수집/분석 과정을 모두 기록을 하여 사후 검증에 대한 수단을 제공하는 것이다.
모든 과정을 기록하기 위해서는 사진이나 영상을 촬영하는 것이 좋다. 증거물 획득 → 이송 → 분석 → 보관 → 법정 제출까지의 단계에서 담당자나 책임자를 명확히 제시되어야 하며, 수집된 저장매체가 이송단계에서 물리적 손상이 발생했다면, 이동 담당자는 확인하고 해당 내용을 정확히 인수인계하여 이후 단계에서 적절한 조치가 취해지도록 해야 함.

이렇게 디지털 포렌식에 대한 간단하게 알아보았는데, 설명이 정확하지는 않지만 비전공자들이 포렌식 입문을 하기에는 충분할 것이다. 다음엔 디지털 포렌식의 수사절차에 대해 알아보도록 하자!! 열공하시길 바랍니다~