셜록 홈즈가 사이버 범죄 수사한다면 필요한 것은

현장속으로/세미나 2011.09.06 08:53

90년대에 유명했던 만화, ‘소년탐정 김전일’을 아는가. 명탐정의 손자인 김전일은 각종 사건에 휘말리지만 사건 현장의 작은 단서들을 이용하여 큰 그림을 그리고 결국 난해하기 그지 없는 범인들의 트릭을 척척 풀어낸다. 그리고 전집까지 있는 유명 소설책인 셜록 홈즈에서 또한 주인공인 셜록 홈즈는 명쾌하게 여러 사건들을 해결해 낸다. 그렇다면 갈수록 발전하는 기술만큼이나 사이버 범죄가 급증하는 요즘, 이러한 사이버 범죄는 어떻게 대처되고 있을까.

 

  사이버 범죄의 증거를 찾는 디지털 포렌식

 

제 아무리 명탐정이라고 해도 정확한 증거가 없으면 문제를 해결할 수 없다. 범죄를 확정하기 위해서는 그 범죄를 입증할 증거가 있어야 하기 때문이다. 사이버 범죄에서 이러한 증거를 찾기 위한 기법을 바로 디지털 포렌식이라 말한다.

 

이때 증거가 되는 자료들을 디지털 데이터(digital data)라고 부르는데 디지털 데이터는 현실의 물건과 다르기 때문에 몇 가지 특징을 가진다. 가장 큰 특성은 무제한적으로 복사할 수 있다는 점이다. 용량이 허락하는 한 복사가 가능하며 또한 복사본과 원본의 구분이 불가능 하다. 또한 다양한 디지털 기기(컴퓨터, 휴대폰, MP3 )에 동일한 자료를 넣을 수 있는 다양성을 가지고 있다.

 

그러나 기기를 보는 것만으로 확인할 수 없기 때문에 어떤 기기에도 필요한 디지털 데이터가 있을지 모르는 잠재성과 쉽게 변조가 가능하기 때문에 취약성을 가지고 있다. 또한 메모리의 데이터는 쉽게 없어지는 휘발성이 가지고 있어서 취급하는 과정에서 주의를 기울여야 하기 때문에 디지털 포렌식에서도 어떻게 정보를 취급할 것인가가 큰 이슈 중 하나이다.

 

  디지털 포렌식의 진행

 

이러한 디지털 데이터의 특성상 디지털 포렌식은 투명하고 검증되는 과정을 거쳐서 진행된다. 현재에는 수집, 조사, 분석, 보고의 과정으로 진행된다. 수집의 과정에서는 말 그대로 증거가 되는 기기 및 자료를 수집한다. 이후 조사의 과정에서는 수집한 자료가 지워진 경우 복구하고 증거화하기 위해 변경이 불가능한 이미징 처리를 하게 된다. 이와 같은 증거 가시화의 과정을 거친 이후에는 증거의 가치를 분석하고 결과를 보고하게 된다.

 

디지털 데이터의 특성은 디지털 포렌식의 과정뿐만 아니라 디지털 포렌식의 특성에도 영향을 미친다. 우선 디지털 포렌식은 그 증거자료를 찾고 분석하는 처리과정을 거치기 위한 기기가 요구된다. 이러한 기기가 없으면 자료를 처리할 수 없기 때문에 디지털 포렌식은 매우 도구 의존적이다. 그러나 반대로 말하면 그러한 도구가 있으면 누구라도 자료에 접근이 가능하기 때문에 이러한 자료를 매우 폐쇄적으로 보관하며 외부로부터의 접근을 방지하고 있다.

 

또한 디지털 포렌식은 사이버 범죄에 대응하는 것이기 때문에 사이버 기술의 발전에 따라 범죄 방법도 다양화 되어가고 그에 대응하는 기술도 계속해서 발전한다. 그리고 그 가운데에는 포렌식 기술에 대응하기 위한 안티 포렌식 기술도 있다. 최근의 포렌식은 이러한 점에서 크게 정보 수집 방법, 정보 처리(복구, 해석) 방법, 안티 포렌식 대응이라는 3가지의 이슈를 가지고 있다.

 

  계속되는 디지털포렌식 기술 발전 노력

 

며칠 전, 고려대학교에서 디지털 포렌식 기술 워크샵이 있었다. 한국 디지털 포렌식 학회에서 주최한 이 행사는 디지털 포렌식의 현 시점과 앞으로의 발전 방향을 확실하게 알 수 있는 자리였다. 또한 그 외에도 관련 자격증이나 도구, 특정부문에 대한 전시도 함께 이루어져 전문성을 더했다.

 

인상깊었던 발표 중 하나는 네트워크 포렌식에 관한 것이었다. 네트워크 포렌식의 경우 가장 대표적인 것이 최근에 발생한 3. 4 DDos 사태이다. 이러한 경우, 네트워크의 특성상 파일 등의 형태로 남아있지 않기 때문에 패킷을 분석하여 조사를 진행하게 된다.

 

예를 들어 특정 포트 번호를 통해 외부에서 내부로 진입을 시도하였음을 확인할 수 있고, 포트가 임시 포트인지 정식 포트인지를 확인하여 잘못된 접근인지 등을 확인할 수 있다. 그러나 암호화된 트레픽이나 터널링된 패킷에는 대응이 아직 어렵다는 점에서 문제점은 남아있다 

 

예를 든 것은 네트워크에서 과정이었지만 이 외에도 모바일에서 백업 데이터를 이용하는 등 다양한 기술에 대한 워크샵이 이어졌다. 이 같이 연구가 계속해서 활발하게 진행되는 것은 기술의 발전과 함께 늘어나는 사이버 범죄가 현실에서의 범죄보다 오히려 더 큰 피해를 줄 수 있는 소리없는 전쟁이기 때문이다.

 

안철수연구소에서도 얼마 전 A-First 팀을 조직하여 현장 대응 능력을 늘리면서 포렌식에 대한 관심을 보였다. 최근 보안 관련 사고가 일어나면서 보안에 관한 관심이 늘어나고 있는데 이런 때일수록 서로 협조해 보안을 지켜나가는 노력이 필요하다. 하지만, 기술의 발전은 계속해서 이루어지며 그에 대응하는 방법으로는 범죄를 막을 수 없다. 무엇보다 중요한 것은 결국 이 모든 행동을 직접 행하는 우리 자신이다. 우리 모두가 범죄의 중요성을 공감하고 방지하려는 노력을 계속 해나갈 때 범죄 없는 사회를 이룩할 수 있을 것이다. Ahn

대학생기자 최승호 / 고려대 컴퓨터통신공학부

모두가 열정적으로 살지만 무엇에 열정적인지는 저마다 다릅니다.
당신의 열정은 당신의 꿈을 향하고 있나요?
이제 이 길의 끝을 향해 함께 걸어나가지 않으시겠습니까.

댓글을 달아 주세요

  1. Jack2 2011.09.06 10:36 신고  Address |  Modify / Delete |  Reply

    이제 사이버 범죄뿐만 아니라 컴퓨터 사용 증가로 인해 모든 범죄수사에서 포렌식을 이용하는데 이번워크샵과 같은 포렌식을 다루는 워크샵이 점점 더 많아졌으면 하네요. 좋은 내용의 글 잘 읽고 갑니다 ^_^

    • 최승호 2011.09.07 10:56  Address |  Modify / Delete

      활발한 워크샵으로 범죄수사에 대처할 기술 논의가 많이 이루어진다면 정말 좋겠네요^^

  2. 카레 2011.09.06 14:38  Address |  Modify / Delete |  Reply

    착한놈보다 나쁜놈이 주목받는 현실이 무섭습니다. ㄷㄷㄷ

  3. 마야 2011.09.07 04:32  Address |  Modify / Delete |  Reply

    오, 나름 추리물 무지 좋아해서 제목만 보고 클릭! 디지털 포렌식에 관한 거였군!!
    꽤 흥미가 가는 기술 @.@

    • 최승호 2011.09.07 10:57  Address |  Modify / Delete

      갈수록 중요해지는 디지털 포렌식이라 생각합니다.ㅎㅎ