[이슈분석]디지털세상 '흔적' 모두 찾는다

#7월 24일 서울 강남서초교육지원청에는 숙명여고 시험지 유출이 의심된다는 민원글이 올라왔다. 숙명여고 사건 발단이다. 이후 교육청이 특별 감사를 벌였지만 의혹을 규명하지 못했다. 쌍둥이 자매 성적이 급격히 오르는 등 심증은 확보했으나 물증이 없었다.

이후 경찰이 수사에 착수한 후 구체적 증거가 나왔다. 숙명여고 전 교무부장 A씨와 쌍둥이 딸 노트북, 스마트폰을 압수해 분석한 결과 영어시험 주관식 답안 등이 발견됐다. 디지털기기에 삭제된 흔적 등을 복원해 나타난 중요 증거였다.

서울 수서경찰서는 12일 수사결과를 발표하면서 전 교무부장 A씨와 쌍둥이 딸을 업무방해 혐의로 각각 구속·불구속 기소 의견으로 검찰에 송치했다.

디지털세상은 '흔적'을 남긴다. PC, 스마트폰 등이 늘면서 디지털기기에 남아있는 각종 증거를 찾는 '디지털 포렌식'이 과학수사 중요 축으로 떠올랐다. 숙명여고 시험지 유출 사건 중요 증거뿐 아니라 최근 발생한 '강서 PC방 살인사건' '혜경궁 김씨 사건' 모두 디지털 포렌식 작업이 바탕이 됐다. 2016년 '비선실세 국정농단' 사건 주요 증거품인 '태블릿PC는 디지털 포렌식으로 복구돼 해당 태블릿PC가 최순실씨 것이며 국정개입했다는 사실을 밝히는 데 중요 역할을 했다.

디지털 포렌식은 PC에 한정됐던 과거와 달리 스마트폰, 스마트워치, CCTV 등 다양한 디지털 기기 확대와 함께 신 산업군으로 떠오른다. 활용 분야도 검·경 수사에만 활용되는 것이 아니라 기업 내부 감사팀, 전자증거제시(이디스커버리) 소송 활용 등 다양한 분야로 확대됐다.

◇숨긴·삭제파일 까지 모두 찾는다

문수교 인섹시큐리티 정보보안사업부 과장이 디지털 포렌식 분석 과정을 설명하고 있다.

디지털포렌식은 증거수집 원칙에 따라 디지털 기기에 저장된 정보를 추출하는 과정을 말한다. 컴퓨터를 이용해 이메일을 보내고, 문서를 작성하는 것부터 스마트폰 문자메시지, 애플리케이션(앱) 다운·활용 등 모든 것이 매체 저장장치에 흔적을 남긴다. 사용자가 삭제, 파기 행위를 했다고 하더라도 포렌식 전문가 손을 거치면 원본에 가장 가깝게 복원된다.

물론 단순히 모든 흔적을 찾아 낸다고 해서 디지털 포렌식은 아니다. 디지털 포렌식은 증거수집 원칙에 따라 디지털 정보를 획득해야 한다. 일반 수사과정에서 나오는 모든 증거물이 법적 효력을 갖지 못하는 것과 마찬가지다. 디지털증거 수집 후 증거보존, 증거분석, 문서화, 법정제출 단계를 거친다.

디지털 포렌식 기본은 증거물로 수집된 저장장치를 복사하는 것부터 시작한다. 이를 이미징(Imaging)이라 한다. 이미징 기술은 디지털 증거물이 보관된 저장장치를 복제하는 기술이다. 증거 원본성을 그대로 유지해야 하기 때문이다. 증거분석은 삭제된 파일을 복구하는 기술과 수집된 증거를 분석하는 과정이다. 디스크 브라우징, 데이터 뷰잉, 검색, 타임라인, 통계, 로그(log) 분석 등이다. 로그분석은 시스템에 접속한 사용자 행위를 기록한 로그 정보를 이용해 외부 침입 흔적과 사용자가 어떤 명령어를 사용했는지, 시스템에서 처리한 업무와 오류 정보가 무엇인지 분석한다. 검찰과 경찰, 민간 업체는 포렌식 프로그램으로 '엔케이스 포렌식' '마그넷 엑시엄' '마에스트로 윈도우 포렌식' '그리프아이 DI' 등을 활용한다. 물론 전문 프로그램만 있는 것은 아니다. 전문프로그램은 확인된 사업자에게만 판매하는 등 구입절차도 까다롭다. 때문에 일부 소규모 사설업체는 오픈소스를 활용해 카카오톡 메시지 등을 복원한다.

인섹시큐리티 관계자는 “PC나 스마트폰에 단순 저장된 파일만을 가져올 것인지, 임시저장과 파일 디렉토리, 시스템 업데이트, 비 할당영역까지 복사할 것인지 선택해 확인가능하다”면서 “PC나 스마트폰에 한 번이라도 데이터를 저장했거나 프로그램을 사용했다면 대부분 복원 가능하다”고 말했다. 이어 “최근 사용자는 검색엔진을 통해 관심있는 키워드 검색을 자주 한다”면서 “웹 관련 검색어를 확인해 어디에 관심 있었는지, 무엇을 검색했는지 등을 확인 한다”고 덧붙였다.

◇정부기관 수사 넘어 일반 기업까지 포렌식 활용 늘어나

디지털 기기 활용이 늘어나면서 검찰, 경찰, 군 등 수사기관뿐 아니라 기업 내 감사팀까지 디지털 포렌식 수요가 늘어난다. 기업에서 디지털 포렌식을 활용하는 측면은 크게 내부감사와 이디스커버리 활용이다. 기업은 내부 자료 유출이나 회계 부정 등을 찾기 위해 대외 알려지기 전 사내조사를 벌인다. 대부분 기업이 회사 투명성을 강조하면서 증거물을 디지털로 남기기 때문에 이를 역추적한다.

실제 B중견기업은 내부 감사팀에서 기술유출을 수사하던 가운데 난관에 봉착해 A포렌식 전문기업에 자료 복구를 의뢰했다. A기업 조사결과 해당 인원이 자신 컴퓨터 시간을 6시간가량 빠르게 임의로 조작한 것을 확인했다. 이를 바탕으로 기술 유출자로 지목된 직원 알리바이는 깨졌고 내부 징계를 내릴 수 있었다.

이외에도 국제 법률 다툼 등 이디스커버리에서 활용한다. 이디스커버리는 미국, 영국, 호주 등에서 채택한 민사소송제도 '디스커버리(증거개시절차)'를 종이문서에서 전자정보 중심으로 옮긴 것이다. 원고와 피고 양측은 재판에 앞서 이메일, 전자문서 등 자신이 보유한 전자증거를 공개해야 한다. 합당한 이유 없이 보유 증거를 공개하지 않으면 법적 제재나 재판상 큰 불이익(패소 등)을 받는다.

한컴지엠디 관계자는 “기업에서 포렌식 수사 의뢰는 최순실 국정농단사건 이후 급격하게 증가했다”면서 “삼성전자와 애플 소송에서 확인한 것처럼 증거를 모두 제시해야 하는데 삭제된 증거 등은 디지털 포렌식을 진행해 복구 후 제출한다”고 설명했다.

◇포렌식 수사망 좁혀오는 것 예상…'안티포렌식'까지 등장

디지털 포렌식이 발달하면서 반대급부로 디지털 포렌식을 방해하는 '안티포렌식'도 다양해졌다. 대표적으로 데이터를 완전 삭제하는 '디가우징'이다. 최근 재판 거래 의혹을 받는 양승태 전 대법원장과 박병대 전 법원행정처장 퇴임 후 내부 규정에 따라 하드디스크를 강력한 자성으로 삭제하는 '디가우징' 조치 후 폐기처분해 논란이 됏다. 이외에도 하드디스크 등을 직접 파괴하는 방식, 데이터 덮어쓰기를 이용해 데이터를 삭제하는 방식 등 다양하다.

게다가 최근 활용이 높은 솔리드스테이트드라이브(SSD)는 저장방식이 하드디스크와 달라 일반 삭제를 하더라도 복구가 쉽지 않다.

데이터를 교묘하게 숨기기도 한다. 대표적으로 스테가노그래피 기법이다. 영화, 동영상 파일 등 사이즈가 큰 데이터에 문서, 사진 파일을 몰래 집어넣는 방식이다. 동영상 데이터 빈 공간을 찾아 저장하기 때문에 발견도 쉽지 않다.

인섹시큐리티 관계자는 “이미지 파일 안에 문서파일을 집어넣더라도 실제 이미지는 깨지지 않으며 동영상도 육안으로 변화를 확인하기 어렵다”면서 “확장자를 변경하거나 문서파일을 변경해도 해쉬값을 대조해 찾을 수 있지만 이런 교묘한 수법을 활용할 경우 포렌식으로 찾는 것은 쉽지 않다”고 덧붙였다.

정영일기자 jung01@etnews.com