‘디지털 포렌식(Digital Forensic)’은 이제 모두가 한 번쯤 들어봤을 단어일 것이다. 디지털 포렌식은 디지털 공간에서 일어난 해킹 혹은 범죄 흔적을 수집하고 분석해 사실 관계를 밝혀내고 재발 방지 체계를 수립하는 데 크게 기여하고 있다. 이번 글에서는 디지털 포렌식이 무엇이고, 어떤 종류가 있으며, 어떻게 진행되는지 살펴본다.
최근 한 언론 매체에서는 “국세청이 고의적인 탈세를 근절하기 위해 부산지방국세청 등 모든 지방청에 디지털 포렌식 지원 전담팀을 신설하기로 했다. 국세청이 발표한 ‘2024 국세행정 운영방안’에 따르면, 국세청은 불법사금융 조사, 주가조작 등 자본시장 불공정 거래, 다단계 판매 사기, 역외·신종 탈세 등을 조사하기 위해 모든 지방청에 포렌식 지원 전담팀을 신설해 조사팀의 지원요청에 신속히 대응하기로 했다. 포렌식 전담팀은 각 지방청 조사1국 산하에 있을 예정으로, 부산과 대구, 대전 등 모든 지방청에 신설된다. 이들은 디지털 기기에 저장된 증거를 추출하거나 추출된 증거를 분석하는 작업을 할 것이다”라고 언급했다.
디지털 포렌식은 디지털 정보를 사용해 범죄 근거를 찾는 수사 기법을 말한다. PC 및 디지털 저장 장치에 저장됐거나, 온라인 상의 전자정보 중 필요한 정보를 식별해 수집·분석하고 제출하는 일련의 과정을 의미한다. 포렌식은 ‘법의학적인, 법정의’라는 뜻의 형용사로, ‘과학 수사(Forensic Science)’ 등의 용어에 사용된다. 즉, 디지털 포렌식이란 디지털 정보를 대상으로 하는 과학 수사 기법을 의미한다.
디지털 포렌식은 법에도 규정돼 있다. 대검찰청 예규 제805호 ‘디지털 포렌식 수사관의 증거 수집 및 분석 규정’에 따르면, 디지털 포렌식을 ‘디지털 증거를 수집·분석 또는 보관하거나 현출하는 데 필요한 기술 또는 절차’로 정의한다. 디지털 증거란 범죄와 관련해 디지털 형태로 저장되거나 전송되는 증거로서의 가치가 있는 정보를 말한다.
우리나라에서는 대검찰청 산하 디지털수사담당관실에서 디지털 포렌식을 주로 맡는다. 2007년에 서울중앙지방검찰청에 디지털 포렌식 수사팀이 만들어졌으며, 이후 부산과 대구, 광주, 대전, 인천, 수원 등에도 설치됐다. 2008년에는 대검찰청 소속기관인 국가디지털포렌식센터(NDFC)가 설립됐다.
IT 기술이 발달하면서, 범죄 등의 수사에도 디지털을 활용한다. 디지털 포렌식은 개인 PC는 물론, 기업의 데이터베이스와 네트워크, USB와 같은 이동식 저장매체, 스마트폰, 애플리케이션, 디지털카메라, CCTV, 클라우드 서비스 등 다양한 분야의 디지털 정보를 다루고 있다. 디지털 기술이 발달할수록 디지털 포렌식의 대상 범위도 넓어진다.
2015년, 유명한 결혼 중개 사이트인 애슐리 메디슨(Ashley Madison)이 해킹돼 대규모 데이터 유출 사건이 발생했다. 이 사이트는 이상형의 여성을 소개해주는 서비스를 제공한다. 회원들은 익명으로 서비스를 이용해 왔는데도 불구하고, 해커들은 회원들의 개인정보를 해킹해 유출했다.
이 사건에서 디지털 포렌식은 중요한 역할을 담당했다. 수많은 사용자 정보가 유출됐으며, 범죄자들을 추적하고 책임을 물어내기 위해서는 디지털 흔적을 조사해야 했다. 경찰과 디지털 포렌식 전문가들은 해킹된 데이터를 분석해 해커들이 누구인지, 어떻게 해킹을 했는지를 추적했다. 이를 통해 범인을 검거하고, 해당 정보를 기반으로 법적 조치를 취할 수 있었다. 이처럼 디지털 포렌식은 이 사건과 같은 대규모 데이터 유출 사건뿐만 아니라 다양한 범죄 사건에서도 유용하게 활용되고 있다.
디지털 포렌식은 PC 포렌식, 모바일 디바이스 포렌식, 네트워크 포렌식, 메모리 포렌식, 클라우드 포렌식 등으로 나눌 수 있다. PC 포렌식은 주로 개인 PC와 서버, 랩탑 등의 컴퓨팅 장치에서 발생하는 디지털 증거를 수집하고 분석하는 것을 다룬다. 모바일 디바이스 포렌식은 스마트폰, 태블릿, 휴대전화 등 모바일 장치에서 발생하는 디지털 증거를 처리한다. 네트워크 포렌식은 네트워크에서 발생하는 통신 데이터를 분석하고 이해하는 것을 다루는데, 네트워크 트래픽 패킷을 캡처하고 분석해 통신 패턴, 사용자 활동, 보안 위협 등을 식별한다. 메모리 포렌식은 컴퓨터의 램(RAM)에서 발생하는 데이터를 수집하고 분석하는데 프로세스, 스레드, 네트워크 연결, 암호화 키 등을 분석해 중요한 정보를 발견한다. 클라우드 포렌식은 클라우드 저장소, 클라우드 애플리케이션 사용 로그 등을 분석하여 증거를 수집한다.
디지털 포렌식은 어떻게 진행될까? 디지털 포렌식은 PC와 디지털 장치에서 발견되는 디지털 증거를 수집, 분석, 보존하는 과정이다. 이를 통해 범죄나 부정 행위에 대한 증거를 찾고, 이를 법 집행 기관에 제공한다. 디지털 포렌식은 다음과 같이 4단계로 진행된다.
증거 수집: 디지털 포렌식의 첫 번째 단계는 증거 수집이다. 이 단계에서는 조사 대상 장치나 시스템에서 증거를 수집한다. 이때 증거는 하드디스크, USB 드라이브, 메모리 카드, 휴대폰, 태블릿 등 다양한 디지털 장치에서 발견될 수 있다.
증거 보존: 증거를 안전하게 보존하는 것이 매우 중요하다. 디지털 증거는 변조되거나 손상될 수 있으므로 보존 과정에서는 철저한 주의가 필요하다. 이를 위해 이미지 복사본을 만들거나 특수한 소프트웨어를 사용해 증거를 보호한다.
증거 분석: 증거를 수집하고 보존한 후에는 분석해야 한다. 이 단계에서는 디지털 포렌식 전문가가 다양한 툴과 기술을 사용해 데이터를 분석하고 추출한다. 파일 시스템, 메타데이터, 삭제된 파일, 네트워크 트래픽 등을 분석해 유용한 정보를 찾아내는 과정이다.
보고서 작성: 증거 분석이 완료되면 결과를 요약하고 정리하여 보고서를 작성한다. 보고서에는 수집된 증거, 분석 결과, 발견된 사실, 추론, 결론 등이 포함된다.
디지털 포렌식은 범죄 조사뿐만 아니라 데이터 무결성 확인, 사내 조사, 사고 대응 등 다양한 분야에서 사용된다. 디지털 포렌식 전문가는 컴퓨터 과학, 정보 보안, 법률 등 다양한 분야에서 훈련을 받아야 하며, 최신 툴과 기술을 활용해 효율적으로 작업해야 한다.