디지털 포렌식이란?

1. 정의

위키백과에 따르면 디지털 포렌식은 전자적 증거물 등 사법기관에 제출하기 위한 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업을 말한다. 과거에 얻을 수 없었던 증거나 단서들을 제공하는 방법이다. 이 포렌식은 사이버 해킹공격, 사이버 범죄시 범죄자의 컴퓨터, 이메일, IT기기, 스마트폰 등의 운영체제, 애플리케이션, 메모리 등에 다양한 전자적 증거를 남기게 되는데 이를 분석하여 사이버 범죄에 대한 조사나 예방을 하게 된다.

 

2. 포렌식의 6가지 절차

포렌식에는 로카르드 교환법칙이라는 아주 유명한 원칙이 있다. 로카르드 교환법칙은 '접촉하는 두 물체 간에는 반드시 흔적이 남는다'이다. 이 법칙은 디지털 포렌식에도 그대로 적용된다.

이러한 법칙과 수사원칙 그리고 절차를 통하여 포렌식 수사관들은 사건 현장에서 일반인이 미처 생각하지 못한 증거를 찾아내 그것을 실마리로 사건을 해결한다. 미국 범죄드라마 CSI에서 사건의 실마리가 되는 것은 지문, 혈흔, 발자국, 탄알 흔적 등 매우 다양하다. 이런 흔적을 분석해내는 활동을 포렌식이라고 한다. 국내에서 포렌식 연구를 하는 대표 적인 기관으로 국립과학수사연구원이 있다.

디지털포렌식의 대상은 데스크탑 컴퓨터, 노트북, 라우터, 휴대폰, 자동차 네비게이터를 비롯하여 차량용 블랙박스, CCTV, 의학용 전자기기, 스마트TV, 전자시계, 디지털 도어 등 디지털 흔적이 남을 수 있는 어떤 디지털기기도 포함한다. 디지털포렌식은 초기에는 사이버범죄를 분석하는데 많이 사용되었지만 최근에는 살인, 강도, 강간, 폭행과 같은 강력범죄를 비롯하여 사기, 명예훼손, 회계부정, 세금포탈, 기업비밀유출 등 거의 모든 사건에 활용되고 있다.

디지털포렌식 절차는 크게 사전 준비, 증거 수집, 포장 및 이송, 조사 분석, 정밀 검토, 보고서 작성, 이렇게 6단계로 나눌 수 있다.

각 단계에서 무결성을 유지하기 위해 다양한 디지털포렌식 기술이 사용되지만 간단히 각 단계의 역할만 살펴보도록 하겠다.

 

(1) 사전 준비 단계는 사건이 일어나기 전에 행해지는 활동으로 도구의 준비, 검증, 분석 교육 등의 활동이다.

(2) 증거 수집 단계는 사건과 관련된 디지털기기에서 디지털 데이터를 수집하는 과정으로 수집 과정에서 데이터가 변조되지 않아야 한다.

(3) 포장 및 이송 단계는 수집된 데이터를 포장하여 분석실로 이송하는 과정으로 외부의 요인에 의해 변조되지 않도록 해야 한다.

(4) 조사 분석 단계는 수집한 디지털 데이터를 분석하는 과정으로 다양한 디지털포렌식 분석 기술이 사용된다. 흔히, 디지털포렌식은 이 분야의 연구를 지칭하기도 한다.

(5) 정밀 검토 단계는 분석되기까지의 각 단계의 검증을 비롯하여 분석 결과가 정확한지 검토하는 단계이다.

(6) 보고서 작성 단계는 정밀 검토를 마친 결과를 바탕으로 분석된 결과를 법정에 제출하기 위해 객관적인 보고서를 작성하는 단계이다.

디지털포렌식과 관련한 많은 기관에서 이 6단계의 기본 절차를 바탕으로 해당 기관에 맞게 재구성한 절차를 사용하고 있다.