디지털 포렌식 전문가에게 필요한 요건은?

[희야]

 디지털 증거는 양날의 칼, 무결성 판별할 중립적 감정기관 필요

디지털 포렌식 통해 수집한 증거의 정당성, 무분별한 문제제기 안돼 

[보안뉴스=김용호 성균관대 교수] 어떤 분야든 여러 의견이 엇갈릴 때에는 대비되는 내용에 대한 종합적인 검토와 판단이 필요하다. 특히, 해당 분야가 일반인이 이해하기 어려운 전문지식이 필요할 때에는 전문 가 판단 하에 내용 전달에 있어 대중에게 이해하기 쉬운 통역기능이 요구된다.

더구나 엄청난 양의 데이터가 관련되고, 무한히 복제 가능하면서도 쉽게 내용을 수정하기 쉬운 디지털 자료를 증거로 판단하기 위한 포렌식 과정은 더욱 전문가에게 의존하게 된다.

나름대로 ICT 분야에 해박한 지식을 가진 사람들에게도 디지털 포렌식에 관한 판단은 생소하다. 만약 법정에서 다른 분야의 디지털 전문가에게 “디지털자료는 변하기 쉽지요?”라는 질문을 던진다면 당연히 “그렇다”라고 답변하겠지만, 디지털 포렌식 전문가는 “변하기 쉬운 특성 때문에 해시값 또는 봉인이 필요하다”라는 답변을 할 것이다. 즉, 변조하기도 쉽지만 이를 탐지하기도 쉽다는 것이다. 

디지털 포렌식과 관련된 이슈가 생길 때마다 여기저기서 문의가 들어오지만 쉽게 답변을 주기가 어렵다. 필자도 10년이 넘는 시간을 포렌식 연구와 분석에 힘을 기울였으나 쉽게 답을 하지 못하는 이유가 있다.

첫째, 필자가 이야기한 내용이 와전되어 나가는 경우가 많을까 염려되어서이고, 둘째는 주변 상황을 알아야 답변할 수 있는, 즉 쉽게 단언하여 답변을 주지 못할 경우가 대부분이기 때문이다. 마지막으로 디지털 포렌식 분야에서 잔뼈가 굵었다고 하는 필자 생각에도 아직 수많은 고수들이 있어 자신이 함부로 조언할 수 있는 건 아니라는 생각이 앞서는 경우도 있다.

단지 디지털 포렌식을 위한 압수와 분석 현장에서의 경험이 남보다 많아서, 그나마 이 정도의 이야기를 할 수 있는 것이다. 그런데 요즈음 이 분야가 활성화되면서 포렌식 분야의 권위자라는 수식어로 포장해 관련 의혹만을 쏟아내는 이들도 있어 우려가 된다.  

일례로, 디지털 증거의 수정·삭제·조작이 쉽다는 점을  내세워 디지털 포렌식 기법으로 수집한 증거의 정당성에 대한 문제제기를 하고 있는 것이다. 

디지털 증거는 수정·삭제, 위·변조가 쉽지만, 이를 발견할 수 있는 디지털 기술은 얼마든지 있다. 해시값이 그것이며, 운영체제의 여러 가지 로그들과 파일 생성시간의 알리바이를 조합해보면 위·변조된 사실을 분명히 발견해낼 수가 있다.

그래서 전문가들은 이러한 방법으로 쉽게 탐지할 수 있는 부분들은 조작의 범위에 조차 넣지 않는다. 결론적으로 조작도 쉽지만 조작이 되면 조작 여부를 간단하게 판별할 수 있는 것이다.

실제로 디지털 저장매체가 중요한 증거로서 채택된 재판에서 양측의 당사자와 변호인은 자신들에게 유리한 부분만을 부각시키기 위해 해당 전문가를 섭외할 때에도 본인들에게 유리한 부분만을 찾아달라고 의뢰하는 경우가 대부분이다.

지금 ICT 세상은 디지털을 제외하고는 상상하기 어려운 환경이 되었고, 이를 뒷받침하기 위해 ICT도 각자의 전문분야로 세분화되고 있다. 그러나 유독 디지털 포렌식 분야만은 법 과학에서 천대를 받는다. 마치 과학이 예전의 주술인양 믿어도 되고 그렇지 않아도 되는 것처럼 여겨지는 것이다.

이를 바탕으로 손쉽게 의혹을 제기하는 기사도 많아지고 있다. 문제를 제기하기는 쉬우나 그 파장이 크다는 점이 더욱 문제다. 제기하는 문제가 이미 해결된 경우에도 큰 파장을 가져올 수 있다는 점에 유의해야 한다.

이에 일각에서 필요성을 주장하는 제3의 검증기관에 대해서는 필자도 바라는 바다. 검증기관이 설립되지 못하면 법원은 적어도 디지털 증거의 무결성만이라도 판별해주어야 한다고 생각한다. 그래야 재판에서 문제제기가 제일 많고 많은 시일이 걸리는 부분이 상당부분 해소될 것이다.

하지만 디지털 증거에 대해 조작은 쉽고, 검증은 어려운 것처럼 이를 모르는 시민들을 호도하는 경우가 있다. 디지털 증거가 무죄를 유죄로 만든다거나 당신을 범죄자로 만들 수 있다는 기사도 나오고 있다. 이 세상에 그런 증거가 어디 있겠는가? 원래 디지털 증거란 양날의 칼을 가지고 있다.

먼저 기본적으로 많은 기사에서 인용하는 전문가들 대부분은 디지털 포렌식 전문가가 아닌 다른 분야의 경험을 바탕으로 의견을 이야기하고 있다. 이들 대부분은 자신의 분야에서는 해박한 전문가이다. 한 분야에만 정통한 전문가가 디지털 포렌식을 판단할 경우, 퍼즐의 1~2 조각만을 보고 전체를 잘못 상상하는 오류를 범하기 쉽다. 이 분야는 법과 디지털 포렌식 기술 그리고, 사건과 관련된 내용을 잘 알아야만 정확한 판단을 내릴 수 있는 분야다.

이에 반해 전문가는 의뢰받은 내용을 찾으면서 또 다른 학문에 경의로움을 표하기도 한다. 이것이 바로 경우의 수인 것이다. 똑같은 컴퓨터를 분석하더라고 환경과 사용자의 성향에 따라 분석결과가 다르게 나올 수도 있다는 것이다. 즉, 모든 경우의 수에 있어 같은 결과를 적용하는데 무리가 있다는 의미다.

디지털 포렌식은 다른 디지털 분야와 달리 여러 사항에 따라 결과에 대한 판단이 달라지는 특성이 있다. 디지털 정보의 증거수집 과정도 마찬가지이다. 필자는 많은 사건의 디지털 포렌식 수집에서부터 분석에 이르기까지 전 과정에 참여하거나 부분적 참여한 경험이 적지 않다.

물론 수사기관들은 디지털 포렌식 절차를 기관마다 전부 보유하고 있으며, 무결한 증거물 수집과 분석을 위해 애쓰고 있다. 하지만 수사의 특성상 변수가 많아 굳이 하지 않아도 되는 부분은 넘어가거나 약식으로 처리하는 경우가 적지 않다.

이런 때 수사기관이 조작했다고 오인하는 경우가 대부분이다. 그래서 디지털 증거는 해시값이라는 원본증명을 하고, 디지털 증거의 원본성과 무결성을 확보하고 있다. 만약 그렇지 못할 때에는 증거물의 소유자나 참관인의 입회 하에 증거물을 봉인하고 분석용 이미지를 만든 후에 재봉인 작업을 한다. 이 두 가지 모두 증거물의 무결성에는 아무런 문제가 없다.

분석용 이미지는 논리적으로 원본과 자료가 동일할 뿐만 아니라 지워진 영역과 할당되어있지 않은 공간의 모든 정보를 포함하고 있다. 그래서 대부분의 수사기관들은 원본은 보관하고, 이미징된 자료로 분석하게 된다.

물론 이미징된 자료의 해시값도 원본과 동일하다. 이미징된 자료로 분석하게 되면 분석도중 원본의 변경도 막을 수 있을 뿐 아니라 언제든지 검증가능한 원본이 있기에 사본으로 분석 작업을 해도 무방하다.

일례로 근래에 논란이 된 바 있는 ‘인케이스’ 프로그램은 2바이트로 된 한글과 일부 복구 문자열처리 부분에서 오류를 낼 수 있으나, 이 부분은 해시값을 제공하는 증거의 무결성과 변작 및 조작과는 관계가 없는 것이다. 문자처리 과정에서 있을 수 있는 프로그램상의 문자열처리 오류를 마치 ‘인케이스’ 자체의 오류인 것처럼 호도해선 안 된다.

참고로 ‘인케이스’ 프로그램은 미국의 NIST에서 증거수집 및 무결성에 관한 인증을 받고, 우리나라 뿐만 아니라 전세계 80여개국 이상의 수사기관들이 사용하는 프로그램이다. 모든 프로그램은 버그가 존재할 수 있고, 오류가 있으면 밝혀내어 사실관계를 증명하면 되는 것이다. 

한편, 재판과정에서 이미징으로 자료를 제출했는데, 원본이 아니라는 이유로 원본을 가져오라는 해프닝이 벌어진 적이 있다(디지털 포렌식에서는 이미징된 자료도 원본으로 간주됨), 재판은 이러한 해프닝으로 인해 또 연기됐는데 이는 전문가들에겐 시간낭비 일뿐이다.

그리고 필자가 이미징 후 재봉인 작업을 참관했을 때에는 대부분의 최초 증거물 수집 봉인지의 증거물에 소유자의 친필서명이 되어 있었다. 그런데 재봉인 작업에서 자신의 증거물이 무결하게 잘 처리되고 있는가를 확인하지 않고, 묵비권만을 행사하다가 막상 재판시에는 모두 조작이라는 반론을 내놓았다.

만약, 조작의 의심이 있다면 끝까지 지켜보고 살펴본 후 그때 이의를 제기해야 할 것이다. 시종일관 모른다고 묵묵부답의 태도를 보이면서 디지털 증거물의 조작이라고 하는 것은 수사과정을 참관한 입장에서 볼 때, 모든 수사과정 참여자를 범죄자로 만들어 버리는 무서운 태도가 아닐 수 없다.

필자의 경우에도 포렌식 분석 결과에 대해선 몇 번이고 재분석을 해 오류의 가능성을 줄이는데 힘쓰고 있다. 결과발표 또한 신중하게 한다. 디지털 포렌식 관련 수사나 일반 수사 마찬가지로 어느 정도는 신뢰가 기본바탕이 돼야 한다.

이와 관련 제안을 해본다면, 수사기관과 민간이 서로 신뢰할 수 있는 중립적 제3의 기관이 만들어져야 한다. 왜냐하면 서로의 불신이 만들어낸 결과로 인해 무결한 증거를 재검증하는 데 재판의 대부분을 허비하고 있기 때문이다.

결국 빠른 시일 내에 첨단기술과 경험을 보유한 중립적 감정기관이 탄생하여 전문가인척하는 사람이 아닌 진짜 전문가가 대우를 받을 수 있도록 해야 한다. 또한, 법원은 최소한 디지털 증거의 무결성 만큼이라도 검증할 수 있는 체계를 갖춰 법정 시비가 되는 중요한 부분부터 해소해 나갈 수 있기를 바란다. 그리고 조속하게 디지털 증거 관련법이 제정돼 디지털 증거에 대한 신뢰성 확보와 함께 재판과정의 간소화가 이루어질 수 있는 날이 오길 기대한다.

[글_김 용 호 성균관대학교 정보통신대학원 겸임교수(porsche0911@paran.com)] 

필자는-----------------------------------

김 용 호 교수(porsche0911@paran.com)

필자는 지난 2008년 8월 경기대학교 대학원 정보보호학과(이학박사)에서 디지털 포렌식을 전공했다. 현재 한국포렌식학회 디지털포렌식연구소 연구소장, 연구이사, 디지털포렌식전문가 시험 검정본부 출제/채점 위원, 경찰청 자문위원, KISA 지식정보보안아카데미 디지털 포렌식 분과위원, 서울지방경찰청 외사과 첨단수사 자문위원 등을 맡고 있다.

  <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페)

카페 주소 :http://cafe.daum.net/Security-no1클릭

교재 소개 : 알기쉬운 정보보안기사.산업기사(이론편,문제편[1,200제])