[Forensic] 디지털 포렌식 개념과 원리

디지털 포렌식(Digital Forensics)

1. 정의 및 의의

디지털 포렌식이란 디지털증거를 수집, 분석, 보존, 현출하는데 적용되는 과학 기술 및 절차를 말한다.

전통적으로 디지털 포렌식이라는 개념은 주로 법의학 분야에서 사용되었지만, 최근 다양한 정보기기들의 활용과 소비가 높아지기 때문에 물리적인 증거 뿐만 아니라, 특수매체에 저장된 전자적 증거(Electronic Evidence)를 다루는 분야에서 포렌식이라는 용어가 확장되어 사용되고 있다.

또한, 법적 효력을 가진 전자적 증거로 채택되기 위해서는, 논리적이고 체계적인 정차에 따라 수집되어야 한다. 따라서, 증거 분석관과 도구에 대한 신뢰성이 확보되는 것이 중요하다.

 

2. 역사

1970년대 이전에는 컴퓨터 관련 범죄가 기존 법률을 사용하여 처리되었다.

1978년 플로리다 컴퓨터 범죄 법에서 최초로 컴퓨터 시스템에 관련된 법률이 포함되었고, 이후 컴퓨터 범죄의 범위가 증가하면서 저작권, 개인 정보, 포르노의 문제를 처리하기 위해 확대되었다.

 

국내의 경우에도 1996년부터 정부가 ‘정보화촉진기본법’을 만들면서 한국정보보호센터를 설립하였고, 이것이 우리나라 IT 보안 전문기관의 시작이었다.

이후 인터넷 사용인구가 증가함에 따라 사이버 상의 범죄가 급증하였고, 지속적인 확대 개편을 통해 현재의 사이버수사대까지 도달하여 많은 전자적 증거를 다루고 있다.

 

3. 분류/분야

분석 대상에 따라서 디스크 포렌식, 라이브 포렌식(휘발성 데이터), 네트워크 포렌식, 웹 포렌식, 모바일/임베디드 포렌식, 소스코드 포렌식, 데이터베이스 포렌식으로 나눌 수 있다.

 

3-1. 디스크 포렌식 (Disk Forensic)

하드디스크, USB, CD-ROM 등 물리적인 저장 장치의 보조기억장치에서 증거를 수집 분석한다. 첫번째로 디지털 포렌식 복제 전용 장비를 사용하여 저장매체를 똑같이 복제하고, 두번째로 Encase 도구로 저장매체에서 채증용 컴퓨터로 저장매체의 이미지를 읽어서 파일 형태로 복제한다. 이후 복제본에서 분석 작업을 수행하고, 작업 종료 후 원본과 복제본의 해시 값이 일치한 것을 확인하여 동일성, 무결성을 증명한다.

 

3-2. 휘발성 데이터 포렌식 (Volatile Data Forensic)

휘발성 데이터는 전원이 종료되면 그와 동시에 사라지므로, 반드시 전원 종료 전에 데이터를 수집해야 한다. 따라서, 비휘발성 데이터보다 우선순위로 수집하고, RFC3227에 따라 휘발성이 강한 순서로 수집하게 된다.

 

3-3. 네트워크 포렌식 (Network Forensic)

네트워크 정보와 전송 데이터를 수집하여 필요한 증거를 추출, 분석, 보고하는 과정이다. IP 헤더, Ethernet 헤더, 라우팅 테이블, ARP 캐시 테이블 등이 있고, 이용 형태나 추적이 가능하기 때문에 상당한 정보가 수집될 수 있다.

 

3-4. 데이터베이스 포렌식 (Database Forensic)

데이터베이스나 메타데이터 등을 분석하여 증거를 확보한다. 데이터 베이스 시스템 포렌식, MS-SQL 서버 포렌식, 오라클 포렌식 등 각 플랫폼 관련해서 데이터 파일이나 로그 파일을 분석하게 된다.

 

3-5. 모바일 포렌식 (Mobile Device Forensic)

모바일 포렌식은 정보 처리 및 저장 시스템에 대해 분석하기 위해 별도의 기술이 필요하다. 대다수의 모바일 기기들이 통신 기능을 제공하고 있기 때문에 증거의 수집, 식별, 획득, 보존, 문서화하여 법정에 제출하는 과정에서 전문적인 절차와 기법을 필요로 한다.

 

4. 사례

4-1. 최순실의 태블릿 PC 수사

최순실씨가 사용하던 것으로 알려진 태블릿 PC의 경우 디지털 포렌식을 통해 태블릿 PC 내부에 저장된 대통령 연설문 등 각종 문서가 전달된 흔적과 각 부서의 완성전 문서가 최 씨에게 전송된 사실이 밝혀졌다.

 

4-2. 세월호 카카오톡 복구

세월호 참사가 발생하고 침수된 핸드폰을 디지털 포렌식을 통해 복원 작업을 하기도 했다. 그 당시 상황에 대한 영상과 문자 메시지 등 여러 디지털 증거가 복원되고, 증거로 사용되기도 했다.

 

5. 진로

먼저, 크게 수사기관, 법률 관련, 포렌식 서비스, 침해사고 대응, 기업 보안/감사등으로 나눌 수 있다.

수사기관은 경찰, 검찰, 국방부, 국정원 등이 있고, 법률 관련해서는 김앤장과 같은 법률 회사가 있다. 침해사고 분석으로 KISA, 안랩, 인포섹 등의 회사에서 활용이 가능하고, 디지털포렌식 장비나 솔루션을 제공하고 관리해주는 회사도 진로가 될 수 있다.

 

6. 조사모델

디지털 포렌식의 모델은 다음 6단계 절차와 같다.

조사 준비 → 현장 대응 → 증거 확보 및 수집 → 운반 및 확인 → 조사 및 분석 → 보고 및 증언

적법한 절차의 준수, 원본의 안전한 보존, 증거의 무결성 확보, 증거의 신뢰성 증명, 분석 결과의 반복성, 진정성 유지가 보장된 디지털 증거만이 법적 증거로 사용 될 수 있다.

 

 

디지털 증거(Digital Evidence)

1. 법적 의미

디지털 형태로 저장되거나 전송되는 증거가치 있는 정보를 뜻한다.

 

2. 특징

2-1. 매체독립성

저장매체나 매개체의 특성에 따른 영향을 받지 않고 항상 일정한 정보의 값을 유지한다.

 

2-2. 대량성

데이터의 양이 방대하여 특별한 기술과 도구, 교육된 전문인력을 사용하지 않고서는 증거추출이 곤란하다.

 

2-3. 복제성

반복된 복사 과정을 거치더라도 디지털 정보의 값 혹은 가치가 동일하게 유지되므로 질적인 면에서 원본과 사본 구별 되지 않는다.

 

2-4. 취약성

간단한 조작만으로 위조 내지 변조가 가능하고 정보 일부의 삭제 내지 변경이 용이하다.

 

2-5. 비가시성

전자적 정보의 형태로 기록, 저장되기 때문에 인간의 오감으로는 직접 정보의 내용을 인지할 수 없다.

 

3. 원칙

3.1. 무결성의 원칙

수집증거가 위변조 되지 않았음을 증명하는 것. (Hash)

 

3-2. 연계 보관성의 원칙

최종 보고 단계까지 디지털 증거물이 손상되지 않도록 조치한 내용을 기록, 담당자는 확인, 인수인계과정에서도 근거를 남기도록 함.

 

3-3. 정당성의 원칙

디지털 증거를 수집, 획득하는 절차가 적법한 절차를 거쳐서 얻어져야 법적으로 증거 능력이 부여 된다는 것을 의미.

위법 절차를 통해 수집된 증거는 증거능력이 부정되며, 위법하게 수집된 증거에서 얻어진 2차 증거에 대한 증거 능력 또한 부정한다.

 

3-4. 동일성의 원칙

같은 조건에서 항상 같은 결과가 나와야 함. 다를 경우 동일성의 원칙이 어긋나서 신뢰성이 떨어진다.

 

3-5. 신속성의 원칙

휘발성 정보의 경우 시간이 지날수록 손실될 수 있으므로, 디지털포렌식 과정이 신속하게 진행되어야 한다.

 

4. 수집방법

4-1. 라이브 포렌식

대상 시스템의 운영 및 작동을 중단하지 않은 상태에서 디지털 증거를 수집 또는 분석하는 기법으로 ‘활성 시스템 포렌식’이라고도 한다.

 

4-2. 데드 포렌식

대상 시스템의 운영 및 작동을 중단하고 전원을 차단한 상태에서 디지털 증거를 수집 또는 분석하는 기법으로 컴퓨터 대상 디지털 증거 수집의 가장 기본적인 방법이다. 통상적으로 별다른 구분 없이 컴퓨터 대상 포렌식이라고 할 경우 데드 포렌식을 뜻 한다. 라이브 포렌식과 대비할 때만 데드 포렌식이라 한다.

 

4-3. 레저렉션

기존에 수집한 증거를 토대로 다시 시스템을 구성하여 가동하는 것이다.

 

 

로카르드의 교환 법칙(Locard’s Exchange Principle)

접촉하는 두 개체는 서로의 흔적을 주고 받는다. 물리적 세계에서 범죄자가 범죄현장을 드나들 때 범죄자는 흔척을 남기고 나갈 때 무엇인가 가지고 간다는 의미이다. 따라서, 디지털 포렌식에서도 이 법칙이 적용되고, 작은 증거도 해결의 실마리가 될 수 있다.

하지만, 이 법칙은 조사/수사 과정에서 증거를 취급하는 조사관/수사관에게도 적용된다. 만약 수사관이 라이브 데이터를 수집할 시에, 복사본을 스캔하면서 불가피하게 대상 데이터에 변경을 초래할 수 있다. 또한, 한번 변경된 데이터를 원래 상태로 되돌리는 것은 불가능하다. 따라서, 라이브 포렌식 과정에서 불가피하게 생성, 삭제, 변경된 데이터를 구분하고, 수집 과정에 있었던 모든 행위를 문서화할 필요가 있다.

결론적으로, 디지털 포렌식은 가잘 기본적으로 로카르드의 교환법칙에 의거하여 이뤄지고, 계속해서 디지털 포렌식이 진행되는 과정에 영향을 미치므로, 수사관은 이러한 것을 신경써야 한다.

 

 

연계보관성(Chain of Custody)

모든 증거는 획득된 후, 이송 → 분석 → 보관 → 법정 제출 과정을 거친다.

위 과정이 명확해야 하고, 문제가 생겼을 경우에 이를 추적 할 수 있어야 한다. 연계 보관성을 만족하려면 증거를 전달하는 과정에서 주고 받은 담당자와 책임자를 명시해야 한다.

따라서, 최종 보고 단계까지 디지털 증거물이 손상되지 않도록 책임을 부여하여 목적지에 도달하게 한다.

 

 

형사소송법 제313조 의의

2015년에 형사소송법[시행 2016.10.1.] 제 313조가 개정되었다.

제313조(진술서등)

컴퓨터용 디스크 등의 정보저장매체 포함된 내용을 증거로 사용있고, 그 성립의 진정에 대해서는 과학적 분석결과에 기초한 디지털포렌식 자료, 감정 등 객관적 방법으로 성립의 진정함을 증명할 수 있다.

 

 

독수독과론(毒樹毒果理論), 위법수집증거 배제법칙(違法蒐集證據 排除法則), 적법절차의 원리(適法節次의 原理)

1. 독수독과론

위법한 수사방법으로 얻은 증거가 있다면, 그 증거에서 파생하는 증거 역시 위법한 것으로 간주한다. 인권과 정의를 수호하고 수사당국의 공권력 남용과 폭주를 막기 위한 장치이다.

 

2. 위법수집증거 배제법칙

적법한 절차에 따르지 않고 수집한 증거, 위법수집증거의 증거능력을 부정하는 증거법칙이다. 비진술증거 뿐만 아니라 진술증거에 대하여도 적용된다.

 

Q. 그렇다면 위법수집증거의 범위와 유형은 무엇일까?

2-1. 영장주의에 위반하여 수집된 증거

영장 없이 압수, 수색, 검증된 물건, 영장 자체에 하자가 있는 경우, 영장기재의 압수물에 포함하지 않는 다른 증거물의 압수, 도청 및 비밀녹음 등이 있다.

 

2-2. 적정절차에 위반하여 수집된 증거

야간압수, 수색금지규정에 위반한 압수/수색, 당사자의 참여권을 보장하지 않는 검증과 감정 등도 증거로 할 수 없다.

 

2-3. 형사소송법의 효력규정에 위반하여 수집된 증거

증거조사절차가 위법하여 무효인 경우에는 이로 인하여 수집한 증거는 증거능력이 없다. 따라서, 거절권을 침해한 압수/수색, 선서 없는 증인신문, 감정, 통역, 번역의 결과는 증거로 할 수 없다.

 

3. 적법절차의 원리

형사 절차 단계에서의 개인의 인권 보호를 위해 밟아야 하는 수순이다. 국민의 자유와 권리를 제한하는 경우에는 반드시 법률과 적법한 절차에 근거해야 한다. 따라서 전제적인 행위에 대해 개인(피의자)의 불리함을 막기 위해서이다.

죄형 법정주의, 법률 불소급의 원칙, 일사부재리, 미란다 원칙 등을 활용한 기존의 판례들은 적법 절차에 핵심 내용으로서 다음 3가지를 강조해왔다.

 

3-1. 절차상 개인의 권리나 자유에 영향을 미치는 국가 행위에 대하여 해당 국가 기관이 정당한 권한을 가질 것과 입법의 절차는 물론 제정된 법률의 내용도 구체적이고 명확히 할 것.

 

3-2. 문제 행위에 대한 상대방에게 고지 및 청문이 있어야 하며, 변호인의 조력을 받을 권리와 유리한 증인의 강제 소환 등을 보장될 것.

 

3-3. 권리와 의무를 판정하는 정의의 원칙과 헌법의 기본 이념이 합치하여야 하며, 자의적인 것이 아닐 것.

 

 

증거법정주의(證據法定主義), 자유심증주의(自由心證主義), 증명력(證明力), 증거능력(證據能力)

1. 증거법정주의

증거의 증명력에 관하여 반드시 법률이 정한 증거방법을 사용하여 증거자료를 채택하고 이에 따라 사실을 인정해야 한다는 주의. 어떠한 종류의 사실은 반드시 일정한 증거방법을 사용하여야 된다든지, 반대로 일정한 증거자료가 있으면 반드시 일정한 사실을 인정하지 않으면 안 된다는 따위이다.

 

2. 자유심증주의

증거법정주의에 반하여 어떠한 증거에 대한 진실여부를 판단함에 있어서 법관에게 자유를 인정하는 주의. 법관은 자유롭게 증거의 취사선택을 할 수 있고, 모순되는 증거가 있는 경우에 어느 증거를 믿는가도 법관의 자유판단에 맡겨지며, 동일증거의 일부만을 취신할 수 도 있다.

 

3. 증명력

증명력이란 증거의 실질적 가치가 의미하는 것으로 법관의 자유심증에 맡겨져 있다.

 

4. 증거능력

증거가 엄격한 증명의 자료로 사용될 수 있는 법률상의 자격으로 미리 법률에 의하여 형식적으로 결정되어 있다.

💡 증거능력이 있으나 증명력이 없는 증거도 있고, 증명력이 있으나 증거능력이 없는 증거도 존재한다.

 

 

아티팩트(Artifact)

디지털 포렌식에서 아티팩트의 의미는 운영체제나 애플리케이션을 사용하면서 생성되는 흔적을 말한다. 보통 시스템이나 앱이 자동으로 생성한 데이터인 생성 증거와 사람의 사상이나 감정을 표현하기 위해 작성한 데이터인 보관 증거로 분류한다.

 

💡 windows 시스템의 생성증거와 보관증거

생성증거 : 레지스트리, 프리패치, 이벤트 로그 등

보관증거 : 작성한 메일 내용, 블로그 및 SNS 작성 내용, 작성한 문서 등

보관 증거의 경우, 고의가 들어간 데이터이기 때문에 전문 법칙이 적용되어 증거로 인정받기 위해서는 전문 법칙 예외 규정을 따져야 한다. 하지만, 생성 증거의 경우 전문 법칙이 적용되지 않아 증거로의 가치가 매우 높다.

 

💡 전문법칙 : 전문증거의 증거능력을 원칙적으로 부정하는 증거법상의 원칙

 

 

휘발성(Volatile) 아티팩트

전원이 끊어지면 손실되는 데이터를 휘발성 데이터라고 한다. 따라서, 초기 대응 시 동작중인 시스템 메모리의 휘발성 데이터를 수집해야 한다. 휘발성 데이터들 중에서도 휘발되는 시점이 다르기 때문에 우선 순위를 고려해서 수집한다.

process, password, ip address, event log 등 악성 코드와 관련된 내용 등 중요한 단서가 될 수 있으므로, 디지털 증거로 사용할 수 있도록 적합한 절차에 맞춰 수집하는 것이 중요하다.

 

RFC3227에 따른 각 데이터의 휘발성이 높은 순서

1) 레지스터, 캐시 - 수집이 필요한 경우 극히 희소함

2) 라우팅 테이블 (보편적인 일반 휘발성데이터)

3) 프로세스 정보 (보편적인 일반 휘발성데이터)

4) 메모리 (보편적인 일반 휘발성데이터)

5) 임시 파일

6) 디스크

7) 원격 로그온과 모니터링 데이터

8) 물리적 설정, 네트워크 토폴로지

9) 기타 저장 장치

 

 

비휘발성(non-Volatile) 아티팩트

가용성이 중요한 서버 및 종료할 수 없는 시스템을 다룰 때는 컴퓨터 전체 시스템의 포렌식 사본을 생성해야 한다. 생성된 이미지 파일을 통해 사건을 정밀하게 조사하게 된다.

 

비휘발성 주요 데이터

1) 보안 구성 평가 : 시스템이 안전하게 구성됐는지 점검

2) 호스트 파일 획득 : 신뢰된 호스트와 네트워크 정보 존재

3) Prefetch 파일 조사 : 시스템의 감염 여부를 증명할 수 있는 잠재적 흔적

4) 자동시작 리스트 조사 : 시스템 재부팅 시 지속적인 악성코드 존재 여부 확인

5) 이벤트 로그 조사 : 발생한 로그를 통해 행위 분석

6) 사용자 계정 조사 : 사용자 행위를 추측할만한 기록 포함

7) 파일 시스템 조사 : 숨겨진 파일이나 ADS의 위치 탐지 및 관련 목록 출력

8) 레지스트리 덤프 : 운영체제 내에서 작동하는 모든 하드웨어, 소프트웨어, 사용자 정보 및 시스템 구성 요소 등 확인