컴퓨터 포렌식(Computer Forensic) 이란?

[최성렬(사랑합니다.)]

TV에서 " CSI 과학 수사대" 라는 드라마를 외국의 감식 수사 수준에 감탄하면서 아주 재미있게 보았던 적이 있다. 이 프로그램은 감식수사팀이 현장에서 수집한 증거를 토대로 범인을 찾아내거나 범인이 꼼짝 못하도록 명백한 증거를 제시하는 내용이 주를 이뤘다.

이 TV 프로그램의 내용처럼 감식수사팀의 사건에 대해 객관적인 증거를 확보하고 이를 토대로 원인을 분석하여 대응방안을 강구하는 행위들을 그대로 Cyber 분야에도 적용시켜 수많은 컴퓨터를 통한 범죄를 해결하는 분야가 "컴퓨터 포렌식(Computer Forensic) 이다.

일반적으로 Forensic는 법정에서 변론하는 기술을 묘사할 때 사용하는 "웅변술, 토론학" 을 의하며, Forensic는 법정 제출을 목적으로 증거를 수집하는 행위를 묘사할 때 사용하는 것이 관례이다.

즉, "Computer Forensic" 는 컴퓨터를 매개로 이루어지는 행위에 대한 법적 증거 자료 확보를 위하여 컴퓨터 저장 매체 등의 컴퓨터 시스템과 네트워크로부터 자료(정보)를 수집, 분석 및 보존하여 법적 증거물로 제출할 수 있도록 하는 일련의 행위를 의미한다. 컴퓨터 포렌식의 결과물은 법적으로 인정돼야 하므로, 컴퓨터를 포함한 기술적 문제를 포함하고 있는 범죄의 전자증거물은 법적 요구사항을 반드시 수반해야 한다.

 
Computer Forensic 피해 시스템 분석

흔히, 컴퓨터 포렌식을 피해시스템 분석이라 간단히 말하는데 엄밀히 말하자면, 피해시스템분석은 컴퓨터 포렌식의 한 단계에 해당된다.

전자 증거물(컴퓨터 증거)의 수집 및 보존은 법적 대응절차에서 반드시 선행되어야 할 요건으로서 사건의 결정적인 증거에 대한 무결성을 보장하는 단계이다. 
컴퓨터에서 증거를 찾아내는 과정에서 전자매체의 특성상 누구라도 쉽게 변조 가능하므로, 증거를 훼손 및 변조하지 않음을 증명하여 명백한 증거로 채택될 수 있게 하는 작업으로서 시스템의 이미지를 복사 (디스크 이미징) 하는 부분에 해당 된다. 
디스크 이미징 작업은 유닉스나 윈도우 시스템에서 "dd" 라는 유명한 툴이 있고, 모든 포렌식 도구에서 필수적으로 제공되는 기능이다.

전자적으로 저장된 자료(피해시스템 이미지 파일)를 분석용 도구를 이용해는 단계가 앞서 말했던 피해시스템 분석에 해당되며, 법정제출은 피해시스템 이미지로 패해시스템을 분석 한 후, 리포팅 작업을 하여 법정에 제출하는 것을 말한다.

이런 일련의 과정(증거수집, 보존, 분석, 리포팅)을 모두 지원하는 것이 포렌식 도구의의 필수적 요건이라 할 수 있으며, 선진국에서 이미 정착된 컴퓨터 포렌식 시스템은 한마디로 컴퓨터의 모둔 입출력 및 저장장치에 남겨진 관련 기록들을 훼손 없이 그대로 보존시키고 그 후에 수사관이 원하는 증거 수집 및 분석 기능을 수행하는 시스템이라 정의할 수 있다.