Digital Forensics 글 연재 (4) - 디지털 증거의 특성

 

 아티팩트 분석글을 연재하기 전에 디지털 포렌식이란 무엇이고 어떤의미가 있는지 간단하게만 설명하고 넘어가려 했는데 생각보다 말이 길어지는 것 같다. 그래서 이번 포스팅에서 이런 이론적인 내용은 마무리하고 넘어가려고 한다. 그리고 나중에 기회가 된다면 실제 판례를 한번 가져와보는 것도 재밌지않을까 하고 생각하고 있다.

 

디지털 증거는..

 디지털 증거는 '전자증거', '전자적 증거', '전자기록', '컴퓨터 관련 증거' 라고 불리기도 한다. 다만 이제는 IOT가 너무나도 활성화된 시대에서는 '컴퓨터 관련 증거'라기 보다는(사실 전자쟁이적 관점에서는 소형 컴퓨터가 맞긴 하다) '전자 증거' 또는 '디지털 증거' 라고 부르는게 좀더 자연스럽지 않을까 한다. (* 개인적인 의견입니다.)

 자 그럼 이 '디지털 증거' 혹은 '전자 증거'를 우리가 어떻게 정의할 수 있을지를 먼저 생각해봐야 한다. 어디까지 거슬러 올라가야할까. 스토리지와 메모리부터 시작하는게 맞을것 같기도 하다.

 

우리 컴퓨터는 스토리지라고 불리는 하드 디스크 드라이브(HDD), 솔리드 스테이트 드라이브(SSD), 플래시 메모리 등 여러 가지 매체에 데이터를 기록한다. 이들을 보조 기억장치라 부흔다. 컴퓨터 성능에 관심이 많은 사람들이 '다다익램' 이라고 부르는 메모리(Random Access Memory, RAM)을 주 기억장치라 부른다. 이 주 또는 보조 라는 명칭은 다분히 컴퓨터적 관점에서 바라보았을 때의 명칭이다. 사실 사람 입장에서는 보조 저장장치가 주 저장장치인것처럼 느껴지기도 한다.

 

 아무튼, 이런 저장장치들에 데이터가 어떻게 기록되는지 생각해본적 있는가? 전자 공학 수업시간이 아니기 때문에 요점만 말하자면 0과 1의 이진수 형태로 데이터가 기록된다. 왜 그럴까? 나도 잘은 모르지만.. 현재까지는 0과 1의 상태를 기록할 수 있는 물리적 장치를 만드는게 현 인류 기술의 한계 이기 때문일 것이다. 하드디스크는 자기(magnetic)형태로 정보를 기록하고, DRAM 또는 SSD와 같은 NAND 플래시 메모리는 전기(electric) 형태로 정보를 기록한다. 하지만 정보를 기록한다는 역할은 같다.

 

 자 이와같은 특성에서 디지털 정보의 중요한 특성들을 끌어낼 수 있다. 같이 한번 생각해보자.

 

디지털 정보의 특성

 미리 말하자면 디지털 증거가 가지는 특징은 매체독립성, 비가시성, 비가독성, 취약성, 대량성, 전문성, 네트워크 관련성 등이 있다. 하나씩 살펴보자

 

1. 매체독립성

 디지털 증거는 어떤 실체를 가진 물질이 아니고, 다만 어떤 디지털 저장매체에 저장되어 있거나 네트워크 상에서 전송 중인 정보 그 자체를 말한다. 앞서 언급했지만, 이 정보들은 근본적으로 0과 1로 구성되는 이진수로 이루어져 있다. 따라서 어떤 매체에 저장 되든 동일한 가치를 가진다. 다시 말해 어디에 저장되든 내용물은 같다는 것이다. 이르 우리는 매체독립성이라 부른다.

 여기서 중요한 논의가 하나 나오는데, 디지털 정보의 이 특성 때문에 원본과 사본의 구별이 곤란하다. 다시 말하자면 원본과 사본의 차이가 없으며 무결성을 지킬 수만 있다면 언제든지 사본이 원본을 대신할 수도 있다는 의미다. 그래서 수사 및 조사 과정에서 원본은 보관하고, 원본을 이미징한 사본으로 분석을 수행한다. 그리고 이 원본과의 동일성은 우리가 잘 아는 '해시'로 증명할 수 있다.

*해시 또한 완전무결하지는 않지만.. 이에 대한 논의는 나중에 다뤄보기로 하자

2. 비가시성, 비가독성

 디지털 증거는 그 자체 전기 정보 또는 신호를 사람이 인식할 수 없다. 여러분이 SSD나 USB 장치를 열어 플래시 메모리를 보면 그 전기 신호들이 눈에 보일까? 이는 다시말하면 전기 신호를 우리가 인식할 수 있도록 어떤 변환을 거쳐야 한다는 것이다.

 모니터를 연결해 이를 출력 시키거나, 또는 프린트 장치를 이용해 종이로 인쇄하는 등 처리를 거쳐야만이 가시성과 가독성이 주어진다. 그런데 이러한 변환 과정을 거쳐 제출된 자료를 과연 원본으로 인정할 수 있는가 하는 원본성의 문제가 제기될 수 있다.

3. 취약성

 디지털 증거는 물리적 정보보다 조작이 쉽고 용이하다. 쉽게 생각해보면 한글과 같은 워드프로세서에서 '찾아 바꾸기' 기능을 사용해 모두 바꾸기를 해버리면 단숨에 수많은 데이터가 변경된다. 아마 리눅스 시스템에 익숙한 사용자라면 "sudo rm -rf /*" 명령의 위력을 잘 알것이라 생각된다. 이처럼 디지털 증거는 위·변조와 데이터 삭제가 용이하다. 이러한 특성은 증거 능력 측면에서 위·변조 및 증거인멸의 가능성이 존재한다.

 그래서 앞서 우리가 논의했던 연계보관성(Chain of Custody)와 무결성이 중요하게 다뤄지는 것이다. 디지털 데이터를 다룰때에는 이 데이터가 위·변조 되지 않았다는 것을 입증할 수 있는 절차와 무결성을 확보할 수 있는 기술이 필요하다.

4. 대량성

 필자가 처음 컴퓨터를 접했을때 우리 아버지께서 사오신 컴퓨터는 윈도우 98 운영체제를 사용했다. 그때 기억나는 건 나름 고급 사양이었고 HDD 용량을 큰 것으로 달아 16GB 정도 했다는 것이다. 사실 실제 데이터를 분석하면 16GB가 절대 작은 용량은 아니지만 요즘시대에는 그렇게 큰 용량도 아니다. IDC에서는 제타, 페타 바이트 단위로 데이터를 핸들링하고 개인도 테라바이트는 우습게 아는 시대가 이미 도래했다. 대학시절 교재로 쓰던 책의 PDF 사본이 30~50MB 정도 했다. 이 PDF 책에는 약 300~400 페이지 정도가 기록되어 있었다. 1TB를 위의 PDF 책으로 환산한다면 간단하게 계산해봐도 20,000권이 넘는 분량이다.

 이런 상황에서 과연 이러한 대용량의 데이터를 몇 명의 조사관이 단기간내에 분석해낼 수 있을까? 하는 문제를 생각해볼 수 있다. 그래서 전문적인 지식과 긴 시간이 소요될 수 있다.

5. 전문성

  우리 컴퓨터는 수많은 실시간으로 많은 프로세스들을 실행하며 다양한 프로토콜로 통신이 이루어지고있다. 내가 글을 쓰고있는 지금 이순간에도 백그라운드에서는 수 많은 프로세스가 돌고 패킷이 오가고 있다. 이러한 상황에서 디지털 데이터를 분석할 때 어떤프로그램은 어떤 역할을 하고 어떤 데이터를 읽고 또 어떤 데이터를 남기는지 이에대한 전문적이 지식이 없다면 분명 많은 시간이 소요될 뿐만 아니라 접근방법조차 몰라 헤맬 가능성이 다분하다.

 따라서 디지털 증거의 수집과 분석(디지털 포렌식 분석)에서는 전문적인 기술이 필요할 수도 있으며 때문에 전문가가 개입될 여지가 항상 존재한다. 그렇다면 이런 상황에서 디지털 데이터에 대해 전문가가 분석 후 내놓은 분석 보고서는 어떻게 취급될까? 아마 전문 증거로써 취급될 것이다. 어떤 정보가 전문가라는 화자를 한번 거쳐왔기 때문이다. 아닐수도 있지만 만약 전문 증거로써 취급된다면 또다시 우리는 전문법칙에 얽매이게 될 것이다.

6. 네트워크 관련성

정보통신 기술의 폭발적인 성장 - 거기다 요즘은 클라우드환경이 부상했다 - 으로 우리는 컴퓨터, TV, 공유기, 방화벽, 프린트, 심지어 에어컨과 냉장고까지 모든 것이 네트워크에 연결된 환경에서 살아가고있다. 이런 네트워크의 특징이라면 장소의 구애를 받지 않는다는 것인데 쉽게 생각하면 우리 집에서 원격 클라우드 저장소인 네이버 mybox, 구글 드라이브와 같은 클라우드 서비스 뿐만 아니라 어떤 불법적인 행위가 이루어지는 웹사이트까지 모두 연결될 수 있다는 말이다.

 압수수색은 장소 개념을 전제로 하고 있는데, 네트워크가 연결된 상황에서는 이 장소의 개념이 무의미해 질 수 있다. 어떤 업무는 국내에서 이루어 지고 있지만 데이터는 클라우드 환경에 저장되어 해외에 존재할 수도 있는상황인 것이다. 이럴 때 법의 집행은 어디까지 이루어져야 하는지에 대한 문제가 발생할 수 있다.