흥미돋 요 몇달간 뉴스에 자주 나왔던 포렌식 수사 대체 무슨 뜻인가요?

[김메갈]

출처 : 여성시대 김메갈


개인적인 호기심에 의해 포렌식에 대해 공부하다가 찾은 내용을 출처와 함께 공유합니다 🙂

포렌식이 뭔가요? (What is dForensics?) | FORENSIC-PROOF여기를 눌러 링크를 확인하세요forensic-proof.com

과거부터 논란이 되어 왔지만 최근 포렌식에 대한 관심이 더욱 많아지면서 ‘포렌식’이라는 단어의 정의가 혼란스러워지고 있다. 많은 후배들이 ‘포렌식을 공부하고 싶다’라고 상담을 해오지만 정작 포렌식이 무엇인지 무엇을 하고 싶은지 모르는 경우가 많다. 이전에도 많이 언급했었지만 다시 한번 ‘포렌식’이라는 단어에 대해서 이야기해보고자 한다.

내가 하는 이야기가 정답은 아니다. ‘포렌식’이라는 단어를 사용하는 다양한 산업 종사자들 저마다 나름의 정의가 있을 수 있고, 그것은 서로 상이할 수 있다. 다만, 그 나름의 산업들을 잘 이해하고 있다고 생각하기 때문에 지금까지 경험에 기반하여 ‘포렌식’의 정의를 고민해보고자 한다.



디지털 포렌식이란?
국내에서는 ‘forensics’은 발음 그대로 부르지 않고 ‘법의학’ 혹은 순화시켜 ‘과학수사’라는 용어로 불러왔다. 그 이유는 서서히 도입된 것도 있지만 기반이 되는 학문의 특성도 한 몫을 했다고 본다. 반면, ‘digital forensics’은 도입이 빨랐고 기반도 IT 이기 때문에 원문 그대로 발음하는 것에 거부감이 덜 하여 그냥 ‘디지털 포렌식’이라고 부르게 된 것으로 생각한다. 그런 이유로 국내에서 ‘포렌식’이라는 단어는 ‘법의학’을 지칭하기 보다는 ‘디지털 포렌식’을 지칭하는 용어로 사용되고 있다.

포렌식의 정의는 다양하지만 좋아하는 정의는 다음과 같다.

디지털기기를 매개체로 하여 발생한 특정 행위의 사실 관계를 법정에서 규명하고 증명하기 위한 절차와 방법이다.

즉, 디지털기기를 매개체로 하여 발생한 어떤 결과의 원인과 과정을 밝혀내는 활동이다. 다만, 문제는 ‘법정에서’이다. 법정에서 밝혀내야하기 때문에 ‘디지털 데이터’의 증거 능력을 고려해야 한다. 기존의 혈흔, 지문 등의 아날로그 증거와는 다르게 디지털 데이터는 쉽게 복제가 가능하고 변조할 수 있는 등의 특징을 가진다. 이런 특징을 최소화하고 디지털 데이터가 증거 능력을 갖도록 하기 위해 사전 준비부터 데이터 수집, 이동, 분석, 검증, 법정 증명 과정 동안 검증된 절차와 방법이 요구된다. 결과적으로 ‘포렌식’이라는 것은 단순한 분석 기술을 넘어 이런 절차와 방법을 포함하고 넓게 보면 보고서 작성과 증언 등의 과정도 포함된다고 볼 수 있다. 하지만, 이 정의는 국내에서 일어나는 현상을 설명하기는 부족하다.

수사기관과 준수사기관에서는 원 정의가 유효하겠지만 최근에는 침해사고, 기업감사, 이디스커버리 등 다양한 민간 산업에서 ‘포렌식’이라는 단어를 사용하고 있다. 민간에서의 포렌식은 ‘증거 능력’을 고려할 필요가 없기 때문에 포렌식을 이루는 많은 것들 중 수집과 분석 기법만을 중점적으로 활용한다. 산업군에 따라 활용되는 기법도 많은 차이가 있어 침해사고에서 활용되는 분석 기법과 감사에서 활용되는 분석 기법은 서로 다르다. 그렇다면 ‘증거 능력’을 고려하지 않는 이런 현상을 ‘포렌식’의 범주에 둘 것인가?

수사기관에서는 이 부분에 상당히 거부감을 표현한다. 하지만, 침체된 민간 시장에 ‘포렌식’이라는 단어가 주는 새로운 이미지가 큰 도움이 되기 때문에 민간에서는 주저없이 ‘포렌식’이라는 용어를 이러저리 붙이고 있다. 간혹 백번 양보해도 이해가 안되는 분야에 ‘포렌식’이라는 용어가 붙는 경우도 있다. 개인적인 생각으로는 이런 현상을 막을 수는 없고 현재는 많은 부분을 공유하고 있기 때문에 국내 시장을 설명하기 위해서는 ‘법정에서’라는 단어를 제외하고 정의를 다음과 같이 다시 할 필요가 있다고 생각한다.

포렌식이란 디지털기기를 매개체로 하여 발생한 특정 행위의 사실 관계를 규명하고 증명하기 위한 절차와 방법이다.



디지털 포렌식 산업들…
‘포렌식’이라는 단어를 사용하는 다양한 산업을 이해해보자. 침해사고에 사용되는 포렌식을 흔히 ‘사고 대응 포렌식’이라고 한다. 침해사고도 사후 분석의 성격이 강하기 때문에 사고의 원인과 과정을 밝혀내야 한다. 이 때 사용되는 것이 포렌식 기법이다. 사실 기존에 이루어졌던 사고 대응이 네트워크 기반의 침해 현상을 다양한 장비와 솔루션으로 차단하는 정도였다면 최근에는 일정 주기 동안 증적을 쌓고 분석 범위를 호스트와 기타 장비까지 넓혀 원인과 과정을 정밀하게 분석하고 있다.

다시 말해, ‘사고 대응 포렌식’은 사건 수사에서 활용했던 포렌식 기법을 침해사고 분석에 활용하는 것이고 최근에는 침해사고에만 활용 가능한 다양한 기법들이 추가적으로 연구되고 있기도 하다. 그렇다면 ‘사고 대응 포렌식’이라는 단어가 기존의 ‘사고 대응’을 포함할 수 있을까? 포렌식의 정의의 관점에서 보면 어떤 결과의 원인과 과정을 밝혀내는 활동이므로 그렇다고 볼 수도 있지만 사고 대응은 원인과 과정을 밝혀내는 것 이외에 현상 유지부터 대응, 사후 관리까지 더 많은 영역을 포함한다. 결과적으로 ‘사고 대응 포렌식’은 사고 대응 업무에서 포렌식 기법이 활용 가능한 부분만을 의미할 뿐인데 언제부터인가 ‘포렌식’이라는 단어가 이를 모두 통용하는 것처럼 활용되고 있다.

또 하나의 예로 어느 순간부터 ‘데이터 복구’가 포렌식인 것처럼 이야기되고 있다. ‘데이터 복구’가 활용되는 많은 영역 중 원인과 과정을 밝혀내기 위해 사용되는 ‘데이터 복구’는 포렌식의 범주에 둘 수 있지만 실수로 삭제하거나 사이버 테러로 손상된 데이터를 복구하는 것을 ‘포렌식’이라고 부르는 것은 잘못되었다고 생각한다. 물론, 3.20으로 손상된 데이터 복구의 목적이 사고의 원인을 밝혀내기 위한 것이라면 ‘포렌식’이라 부를 수 있을 것이다.

말하고 싶은 것은 ‘포렌식’은 개념적인 단어이지 어떤 업무 영역을 지칭하지는 않는 다는 점이다. ‘포렌식’이라는 단어의 정의만 생각하면 각 분야에서 의미하는 ‘포렌식’이 어떤 의미인지 쉽게 알 수 있을 것이다.



포렌식을 공부하고 싶어요!!
많은 후배들이 포렌식을 공부하고 싶다고, 어떻게 공부해야 하냐고 물어온다. 그 때마다 사실 마땅한 대답을 찾지 못해 원론적인 대답만 해줄 뿐이다. 포렌식이 어떤 직업이나 업무를 지칭하는 것이 아니기 때문이다. 파일시스템을 공부하라고 하는 것이 적절한 답변일까? 레지스트리? 데이터 복구? 리버싱? 로그 분석? …

포렌식이라는 용어가 사용되는 산업은 다양하고 사용되는 기법은 상이하다. 어떤 기법을 배운다고 모두 통용되기는 힘들다. 모두 통용되는 것이 있기는 하다. 바로 ‘컴퓨터’이다. 그렇다고 ‘컴퓨터’를 공부하라고 하는 것이 적절한 답변은 아닐 것이다.

이렇게 질문하는 후배들 중 상당수는 포렌식은 하고 싶은데 어떤 업무를 하고 싶은지는 뚜렷하지 않은 경우가 대부분이다. 포렌식이라는 목적이 될 수 없는 것을 목표로 정하기 보다는 ‘사이버 수사관’이 되고 싶다거나, ‘기업의 감사’ 업무를 하고 싶다거나, ‘사고 대응’ 업무를 하고 싶다고 질문하는 후배들이 많아지길 기대해본다.

그렇다고 합니다

[꾸에엥엥에]

포렌식 공부할때 하드디스크에서 사십몇번을 지워야 그나마 복구가 어렵다고 들었어 뭐든지 다 복구가능 ㅎㅎㅎㅎ

[호텔스캘리포니아가고싶다]

법적 기능을 하는 디지털 기록 보고서 !?