의혹만 가득했던 박근혜·최순실 국정농단 게이트가 수면 위로 모습을 드러낸 것은 한 대의 태블릿PC가 발견되고 나서부터다. 태블릿PC에 저장된 문서와 사진, 접속정보는 국정농단을 파헤치는 데 결정적인 역할을 했다. 태블릿PC에서 각종 정보를 찾아내는 데 큰 역할을 담당한 이른바 디지털 포렌식(Digital Forensic) 수사기법도 덩달아 주목을 받았다. 과학수사의 첨단 기법이자 보안업계의 화두로 떠오른 디지털 포렌식의 세계로 독자들을 초대한다.
범인들은 완전 범죄를 위해 증거를 인멸한다. 살인 사건의 경우 범행에 사용한 흉기를 없애야 한다. 알리바이도 완벽해야 한다. 경찰은 범인과 치열한 두뇌 싸움을 펼침과 동시에 끊임없이 증거를 찾기 위해 수사를 이어간다.
사이버 범죄에서도 마찬가지다. 해커들은 자신이 접속한 흔적을 지우거나, 아예 관련 하드웨어를 물리적으로 파괴한다. 박영수 특별검사팀이 이른바 ‘블랙리스트’ 실체를 추적하는 과정에서 관련 정보가 저장된 하드디스크를 파괴한 정황이 드러나기도 했다.
하지만 물리적 파괴가 됐다 하더라도 작은 메모리 섹터 하나만 남아 있다면 귀중한 정보를 복원할 수 있다. 바로 ‘디지털 포렌식’ 기법을 통해서다. 우선 디지털 포렌식의 개념에 대해 알아보자.
IT기기·서버 등에서 범죄 단서 수집
디지털 포렌식을 정확히 이해하기란 쉽지 않다. 일상생활에서 쉽게 접하기 어려운 용어로 가득하기 때문이다. 디지털 포렌식 기법 적용이 가능한 범주는 컴퓨터 하드디스크, 스마트폰, 태블릿PC 등 디바이스와 서버와 같은 네트워크 환경이다. 쉬운 이해를 위해 안드로이드 기반의 태블릿 PC를 예로 들어 소개하고자 한다.
최희원 한국포렌식학회 전문위원은 디지털 포렌식의 개념을 이렇게 설명했다. “일단 사전적으로는 PC나 노트북, 스마트폰, 태블릿PC 등 각종 IT기기와 인터넷 서버에 남아 있는 각종 디지털 정보를 분석해 범죄 단서를 찾는 수사기법을 의미합니다. 디지털 포렌식 기법을 활용하기 위해서는 4단계의 사전 준비 과정을 우선 거쳐야 합니다.
사전 준비 과정을 거치는 이유는 단순히 증거를 발굴한다는 것 외에 법적인 절차와도 연관돼 있죠. 현행법상 디지털 포렌식 전문가들은 수사의 방향성을 사건 담당자에게 전달받고 이와 관련된 자료만을 수집해 전달해야 합니다. 그런 까닭에 이러한 4단계 과정을 거치면서 보다 효과적인 수사를 위한 정보 추출을 시도한다고 보면 됩니다.”
최 위원이 말하는 디지털 포렌식 4단계 기법은 ▲데이터 추출 ▲데이터 선정 ▲데이터 결합 ▲결과 보고서 제작이다. 우선 데이터 추출은 태블릿PC를 디지털 포렌식 솔루션이 탑재된 분석 컴퓨터에 연결하는 것에서 출발한다. 그리고 디바이스의 기기 보안 설정을 깨고 운영체제(OS)에 접근할 수 있는 ‘루팅’ 작업이 시작된다. 루팅 이후에는 OS에 직접 명령을 내릴 수 있는 ‘안드로이드 디버그 브릿지(ADB)’를 이용해 저장돼 있는 데이터를 추출한다. 이때 데이터는 수많은 파편처럼 분산돼 있다. 이러한 파편을 모아 하나의 온전한 데이터로 결합하는 과정을 거치면 사전 준비가 완료된다.
사전 준비 과정을 거친 데이터는 범죄의 중요한 증거가 된다. 사용자의 계정, 태블릿PC에서 설치되고 지워진 수많은 애플리케이션 정보, 애플리케이션 내에서 사용된 데이터 내역, 이동통신망 혹은 무선인터넷으로 연결된 장소의 위치정보 등이 주된 내용이다.
디지털 포렌식의 개념을 명확히 알기 위해서는 실제 범죄 사건에서 활용된 사례를 살펴볼 필요가 있다. 취재 도중 만난 대기업 정보보안 담당 출신 보안업계 관계자 A씨는 낯익은 이름 하나를 기자에게 들려줬다. 바로 단군 이래 최대 다단계 금융 사기사건으로 여전히 회자되는 이른바 ‘조희팔 사건’이다.
우선 조희팔 사건에 대해 간략히 알아보자. 조희팔은 ‘의료기기 임대사업’을 명목으로 투자금을 유치하는 방식의 사기행각을 벌였다. 피라미드식 다단계 수법으로 수많은 투자자를 끌어모았다. 조희팔 일당은 투자 초기에는 주기적으로 수익금 명목으로 상위 투자자들에게 돈을 입금했다. 하지만 이는 하위 투자자들에게 받은 투자금을 그대로 입금하는 것이었다. 실제로는 전혀 수익이 발생하지 않는 구조였던 것이다. 결국 그들의 사기행각은 3년여 만에 들통났다.
문제는 여기서부터 발생했다. 조희팔 일당의 묘연한 행적 못지않게 범죄로 발생한 수익의 행방과 규모 역시 확인이 어려웠다. 수사기관은 이를 파악하기 위해 백방으로 노력했지만 오히려 의혹은 증폭됐다. 수사에 소극적이라는 비난에 직면하기도 했다. 여기서 빛을 발한 것이 바로 디지털 포렌식 기법이었다.
A씨는 말한다. “조희팔 일당은 꽤 치밀했습니다. 특히 범죄 수익이 오고 간 흔적과 관련 내용이 저장된 서버 내 디스크를 모조리 포맷한 채 도주해버렸거든요. 특히 가장 중요한 데이터베이스(DB) 서버의 경우 대용량 파일을 30회 이상 덮어쓰기하며 아예 복구가 불가능한 상태로 만들어버렸습니다. 그런데 의외의 곳에서 단서가 잡혔다고 해요. DB 서버가 아닌 웹 서버를 분석하는 과정에서 이곳이 아주 잠시 DB 서버로 사용된 흔적을 잡아낸 거죠. 집요하게 웹 서버를 분석·복구하기 시작했습니다. 그리고 이 과정에서 DB에 저장됐던 파일의 일부를 찾아냈고, 디지털 포렌식 기법을 통해 파편을 모으듯 자료를 완벽하게 복구할 수 있었다고 합니다.”
이처럼 디지털 포렌식 기법을 활용한 수사를 통해 검찰은 조희팔 일당의 사기 규모가 무려 5조 원에 달한다는 내용을 확인할 수 있었다. 수사에 속도를 내기 시작한 검찰은 결국 꼬리에 꼬리를 무는 의혹을 밝혀냈다. 이후에도 디지털 포렌식 기법은 사건 관련자들의 이메일, 통화내역, 계좌 정보, 입출금 내역 등을 추적·확인하는 데 결정적인역할을 담당했다고 전해진다.
저작권 보호부터 기업 간 소송에도 활용
국내에서 디지털 포렌식이 처음 등장한 시기는 경찰청 사이버수사대가 창설된 지난 2000년 무렵이다. 초기 디지털 범죄는 주로 플로피디스크를 포함한 저장매체로 인한 PC 감염, 그리고 PC 통신 중심으로 발생했다. 당시에는 스마트폰, 태블릿PC를 포함해 대용량의 저장매체가 없었기 때문에 디지털 정보를 발굴해내는 최근의 디지털 포렌식 기법보다는 조금 단순했다고 전문가들은 회상한다.
이후 IT 기술의 발전과 첨단 보안사고의 증가는 디지털 포렌식 기법의 성장과 궤를 같이했다. 실제로 지금까지 살펴본 ‘디지털 정보 추출’뿐 아니라 꽤 많은 보안 기술이 디지털 포렌식이라는 개념에 포함된다. 최희원 위원은 말한다. “다양한 산업군에서 디지털 포렌식이 활용됩니다. 콘텐츠, 소프트웨어(SW), 자동차, 금융, 의료 등 전 분야에서 디지털 포렌식에 대한 니즈가 발생하고 있습니다. 이는 단순히 특정 범죄가 발생했기 때문만은 아닙니다. 각종 기밀 유출, 해킹에 대비하는 것 역시 디지털 포렌식에 포함된다고 볼 수 있어요.”
디지털 포렌식 기법은 의외로 우리 생활 곳곳에서 활용 된다. 각종 영화, TV 프로그램 등 디지털 콘텐츠를 다운로드 받을 수 있는 온라인 P2P(Peer to Peer) 사이트에서 활동하는 ‘헤비업로더(Heavy Uploader·영리를 목적으로 불법 저작물, 혹은 불법 복제한 콘텐츠를 대량 유포해 이득을 챙기는 사람을 일컫는 말)’ 수사가 대표적인 사례다.
저작권 분쟁 분야 전문가인 이주형 변호사는 말한다. “저작권 위반 여부를 파악하는 수사기법을 일컬어 ‘디지털 저작권 포렌식’ 수사라고 합니다. 일반인들은 파악하기 어렵지만 디지털 콘텐츠 내부에는 저마다 고유의 ‘마크’가 심어져 있습니다. 이를 기반으로 포렌식 전문가들은 콘텐츠의 불법 복사 시점뿐 아니라 유출 경로를 파악할 수 있어요. 실제로 지난 2010년경 진행된 헤비업로더 수사에서는 이를 활용해 헤비업로더 50여명과 이를 방조한 웹하드 관리자들을 저작권법 위반 혐의로 기소했습니다. 당시 이들은 약 40억 원의 부당수익을 올렸다고 해요. 여기서 명심해야 할 부분은 불법 콘텐츠를 유통한 것도 범죄지만 이를 다운로드한 유저들 역시 수사 대상이 될 수 있다는 점입니다. 괜한 오해의 소지를 만들지 않도록 정식 콘텐츠만 사용하는 게 바람직합니다. 이와 관련해 하소연하는 사람들이 꽤 많거든요.”
디지털 포렌식은 일반 기업 간 거래 과정에서 불거지는 각종 사고에서도 활용된다. 특히 몇몇 기업 간 분쟁 사례에서는 디지털 포렌식이 사건을 해결하는 결정적인 요소로 작용하기도 했다. 이 변호사는 이와 관련해 하나의 사례를 소개했다. “몇 년 전 해외에서 국내 기업 A사와 현지 기업 B사 간의 충돌이 있었습니다. A사에 부품을 납품해 온 B사가 A사의 가격 담합 의혹을 제기한 거였죠. 현지 법원에서는 이를 파악하기 위해 A사에 관련 서류를 제출하도록 명령했습니다. 이 과정에서 법원 측은 디지털 포렌식 기법을 통해 A사가 제출한 서류 중 일부 전자문서에서 고의적으로 조작·은폐한 흔적이 있다고 파악했습니다. 결국 A사는 패소했고 벌금을 내게 됐죠.”
이처럼 디지털 포렌식 기법의 활용도가 점차 커지면서 기술력 향상을 위한 노력도 이어지고 있다. 선진국에 비해 다소 늦은 출발을 했지만 국내의 디지털 포렌식 기술력 역시 글로벌 수준에 근접했다는 것이 대다수 업계 관계자들의 공통된 의견이다.
공공-민간기업 협력이 경쟁력 강화의 열쇠
디지털 포렌식 기법에 활용되는 솔루션은 대부분 외국산이다. 실제로 대검찰청이 발표한 지난 2012년 디지털 포렌식 관련 분석 도구 및 장비의 국산화율은 불과 10% 남짓이었다. 당시 주로 사용되던 제품은 미국 가이던스사(社)의 소프트웨어 ‘엔케이스(EnCace)’였다. 엔케이스는 과거 미국 엔론 회계부정 사건 당시 인위적으로 파기된 막대한 분량의 회계자료와 이메일을 추출·분석한 프로그램으로 유명세를 떨치고 있었다. 하지만 미국산이었던 탓에 국내 환경과의 연동이 매우 어려웠다고 전해진다.
보안업계 관계자 B씨는 말한다. “디지털 포렌식 도구와 장비가 개발·제작되는 과정에서 반드시 고려되는 사항이 있습니다. 바로 수사와 관련된 법체계죠. 정보의 추출 과정과 범위는 반드시 현행법의 기준에 맞춰 정해져야 하기 때문입니다. 그런데 미국과 한국의 법체계가 다르다 보니 수사 과정에서 이를 수정하는 데 꽤 많은 시간이 소요되곤 했습니다. 더구나 애프터서비스(AS)도 문제였어요. 미국 제품이다 보니 구매 후 제품에 문제가 발생하면 이를 해결하기 위해 현지 관계자와 접촉해야 했고, 그 과정에서 자칫 수사 내용이 노출될 위험도 있었기 때문이죠.”
보안업계 관계자들에 따르면 지금도 디지털 포렌식 기법에 활용되는 장비는 대부분 외국산 제품이다. 워낙 글로벌 보안기업들의 장벽이 높은 데다 이 장비가 일종의 ‘글로벌 표준’ 형태로 자리잡았기 때문이다. 현재도 대다수 주요 수사기관과 민간기업에서는 엔케이스를 포함해 약 4~5종의 장비를 병행해 쓰고 있는 것으로 알려졌다.
하지만 이전에 없던 새로운 디지털 범죄 대응을 위한 장비의 경우, 국산 제품의 경쟁력은 글로벌 수준에 근접했다는 것이 공통된 의견이다. 특히 스마트폰, 태블릿PC 등을 대상으로 하는 ‘모바일 포렌식’ 분야에서는 국내 기업들의 공략이 적극적으로 진행되고 있다.
디지털 포렌식 시장의 규모는 매년 점진적인 성장세를 보이고 있다. 미국 시장조사기관 TMR(Transparency Market Research)에 따르면 지난 2014년 20억 달러 규모였던 글로벌 디지털 포렌식 시장은 매년 약 12%가량 성장해 오는 2020년에는 40억 달러 수준에 도달할 것으로 예상된다. 이에 비해 국내 시장의 규모는 글로벌 시장의 불과 1%(2014년 기준 200억 원) 남짓에 불과하다. 하지만 전문가들은 국내 기업들이 모바일 포렌식 시장에서의 경쟁력을 바탕으로 향후에는 충분히 글로벌 시장 선점효과를 누릴 수 있다고 입을 모은다.
임정선 한국과학기술정보연구원(KISTI) 산업정보분석실 박사는 말한다. “스마트폰, 클라우드 컴퓨팅, 사물인터넷(IoT) 등 기술 발전에 따라 디지털 포렌식 기술 역시 전산업 분야에 걸쳐 지속적으로 발전할 것으로 예상됩니다. 문제는 국내 시장이 정부와 공공기관 주도로 성장하고 있다는 점이에요. 민간 시장의 활성화는 곧 전반적인 디지털 포렌식 서비스의 질적 개선으로 이어질 수 있다고 생각합니다. 정부와 민간업체 간의 상호 협력 인프라 구축이 시급한 시점이죠. 특히 민간업체들은 글로벌 경쟁력 확보 차원에서 독자적인 특허권 확보에 적극 뛰어들어야 합니다. 정부와 유관기관들의 적극적인 자금 및 기술 지원이 수반된다면 현재 연평균 15건 수준인 디지털 포렌식 특허출원 건수 역시 더욱 증가할 것으로 기대하고 있습니다.”
서울경제포춘코리아 편집부 / 김병주 기자 bjh1127@hmgp.co.kr
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >