최근 수정 시각 : 2024-12-24 17:28:21

디지털 포렌식

포렌식에서 넘어옴

1. 개요2. 디지털 포렌식의 뜻3. 디지털 포렌식 종류4. 사용된 사례
4.1. 대한민국 사건4.2. 해외 사건
5. 관련 문서

1. 개요

Digital Forensics

디지털 증거물을 분석하여 수사에 활용하고, 디지털 증거물의 증거 능력을 향상시키기 위해 사용되는 특수한 과학 수사 기법을 총칭하는 용어이다.

디지털 기록 매체를 마치 부검하듯이 복원 프로그램을 사용하고[1] 암호 등 보안을 해제하고, 메타데이터[2]까지 활용하거나 하드디스크 내부에 삭제 로그를 저장하는 스왑 파일(스왑 폴더라고 하기도 한다)에서 삭제 로그를 복원해 디지털 기기의 사용자나 이를 통해 오간 정보를 추적, 조사한다. 원본의 손상을 봉쇄하기 위해 이미지를 뜨는 것이 일반적이라고 한다.

해킹(크래킹)과 디지털 포렌식은 언뜻 보면 비슷해 보이지만 다르다. 해킹은 불법적으로 접근 권한 등을 얻어 정보를 추출해 악이용하는 것이고,[3] 디지털 포렌식은 수사 영장이나 데이터 소유주의 동의를 받은 뒤[4] 디지털 기기에 저장된 증거를 추출하거나 추출된 증거를 분석하는 작업이다. 암호를 해제하는 작업 등은 기술적으로는 크래킹과 다를 게 없지만 포렌식은 합법적으로 이루어진다. 자신의 개인 컴퓨터를 직접 크래킹하는 것이 불법이 아닌 것과 비슷하다. 다만 영장 등의 아무런 법적 근거 없이 디지털 포렌식을 하는 것은 불법 수사이다.

한국의 디지털 포렌식은 90년대 경찰의 해킹 수사대가 수사에 활용하며 시초가 되었으며, 현재 경찰청 디지털 포렌식 센터가 전국적으로 최대의 규모를 가지고 있다. 그 외에도 검찰, 국정원, 군 등이 각 발전을 위해 노력 중이다.

디지털 포렌식이라는 말 자체는 2000년대 들어서 유명해졌지만 그 이전에도 정보 매체의 증거를 분석하는 수사기법은 널리 사용되고 있었다. 대표적으로 CCTV의 비디오 기록이나 카메라의 필름을 분석하는 일은 디지털 장치들이 상용화되기 이전에도 흔했다. CCTV 영상의 해상도, 색상, 밝기 등을 전환해가면서 분석하거나 손상된 필름이나 사진 등에 특수한 처리를 해서 복원하는 등의 작업을 했다.

2. 디지털 포렌식의 뜻

포렌식(Forensic)이라는 단어는 고대 로마 시대의 포럼(Forum)과 공공(public)이라는 라틴어에서 유래했으며 '법의학적인, 범죄 과학 수사의, 법정의, 재판에 관한'이라는 의미를 가지고 있는 형용사이다. 즉, 단순히 말해 포렌식이라는 단어는 범죄 수사와 관련한 모든 기술을 의미한다.

이러한 포렌식 분야 중 하나인 디지털 포렌식은 범죄 수사를 위해 디지털 장비의 분석 등을 하여 증거를 수집하는 행위 등을 통칭하는 용어이다.

3. 디지털 포렌식 종류

  • 컴퓨터 법과학: USB 드라이브, SD 드라이브 등등 복원
  • 모바일 장치 법과학: 내장된 GPS / 위치 추적 또는 셀 사이트 로그 범위 추적, 내장된 통신 시스템(예: GSM)
  • 네트워크 법과학: 정보 수집 및 로컬 및 WAN/인터넷의 네트워크 트래픽을 모니터링하고 분석 패킷 레벨 분석법
  • 데이터 분석 법과학: 금융 범죄로 인한 사기 행위 패턴을 발견 분석 구조화된 데이터 조사
  • 데이터베이스 법과학: 데이터베이스와 관련된 포렌식 / 인로그, 데이터베이스 내용. RAM의 타임라인 구축 및 복구

최근에는 다양한 디지털 기기들이 일상 생활 속에 자리 잡음에 따라 디지털 포렌식이 다양한 분야로 발전해 나가는 중이다. 정보 출처.

4. 사용된 사례

4.1. 대한민국 사건

4.2. 해외 사건

2000년 FBI러시아인 알렉세이 이바노프(Aleksey Ivanov)와 고르시코프(Gorshkov)를 상대로 가짜 취업 면접을 제안하여 미국으로 불러들였다. 이후 두 사람의 컴퓨터 네트워크 트래픽을 모니터링하여 암호를 식별해 내는 데 성공, 러시아에 있는 컴퓨터에서 직접 증거를 수집할 수 있게 되었다.

2007년 11월 2일 메레디스 커처(Meredith Kercher) 살인 사건에서 SMS 데이터를 이용해 패트릭 러멈바(Patrick Lumumba)의 무죄를 입증했다. #[5]

2015년 12월 FBI가 미국 샌버나디노 총기 난사 사건을 수사하는 과정에 범인 한 사람의 iPhone을 증거로 입수하였으나 잠금 해제를 할 수 없어 증거로 사용하지는 못했다.

2016년 12월 캔자스주 테러 미수 사건 조사팀이 아동 포르노 증거를 발견하였다. #

2018년 12월 19일 런던 개트윅 공항과 2019년 1월 8일 런던 히스로 공항에 드론이 침입했던 사건과 관련하여 사건 현장 부근에서 파손된 드론을 회수하여 디지털 포렌식을 진행한 사례가 있다. 포렌식 대상이 컴퓨터와 휴대전화에 국한되지 않고, 다양한 디지털 기기에 포렌식이 가능하다는 사실을 보여준다. #

5. 관련 문서


[1] 흔히 "포렌식"이라 하면 "지워진 데이터들을 다시 복구하는 것"만 생각하는 게 일반적인데 "복원"은 디지털 포렌식을 하는 과정 중 정말 일부분으로, 현재 수사 대상이 그 데이터를 지워야만 했던 이유나 평소와는 다른 특이 행적 같은 것들을 좀 더 면밀히 분석하기 위해 하는 일련의 과정 중 한 가지일 뿐이다.[2] 파일 작성 및 수정 날짜나 사용된 기기 등 파일 그 자체에 관한 정보.[3] 정확히는 해킹보다는 크래킹이 컴퓨터 정보 악이용과 완벽히 일치하는 단어다. '해킹'이 악의적인 뜻을 가진 단어가 된 이유는 '크래킹'의 낮은 인지도 때문일 가능성이 있다.[4] 원한다면 일정을 조율해서 포렌식 과정을 직접 참관할 수도 있다. 이는 사건과 관련 없는 자료가 억울하게 증거로 채택되어 죄가 더 무거워지는 불상사를 막기 위함이다. 혐의에 해당되는 부분만을 선별될 수 있게끔 하는 것이 디지털 포렌식의 가장 큰 의의다. 수사 기관이 임의로 제출 받은 피의자의 휴대전화에서 별개의 범죄 혐의가 추가로 발견됐어도 피의자 참관 없이 디지털 포렌식이 진행됐다면 증거로 채택할 수 없다는 대법원의 판례도 있다. #[5] 기사가 없는 관계로 위키 링크 첨부.[6] 리버싱에도 포렌식 기법이 많이 사용된다.