[ Chapter 1 ] 소개

포렌식 스터디&교육을 동계 때 할 겸, 공부를 하면서 정리를 해 보려고 한다.

공부할 책: www.kyobobook.co.kr/product/detailViewKor.laf?ejkGb=KOR&mallGb=KOR&barcode=9788994774206&orderClick=LEa&Kc=

이제 시작이야 디지털 포렌식 - 교보문고

 

먼저 Chapter 1의 소 주제로는 법과학, 디지털 포렌식, 디지털 포렌식의 사용, 사법 제도에서의 포렌식 조사관의 역할에 대해 다루고 있다.

 

[ 1. 법과학 ]

- 포렌식이나 법과학은 법적 문제를 해결하기 위해 과학의 힘을 빌리는 것이다. 포렌식에서 법과 과학은 항상 혼합되어 있고, 이 말은 다른 하나를 고려하지 않고서는 다른 것을 적용할 수 없다는 것이다.

 

[ 2. 디지털 포렌식 ]

- 디지털 포렌식을 정의하는 방법은 많지만, 이 책에 나온 포렌식 매거진(Forensic Magazine)에서 켄 자티코(Ken Zatyko)가 정의한 디지털 포렌식의 정의를 인용해 왔다.

"정식 수색 기관, 연계보관성, 수학을 통한 검증, 검증된 툴의 사용, 반복 가능성, 보고 그리고 가능하다면 전문가의 설명 등을 통해 디지털 증거와 관련해 컴퓨터 공학과 수사 절차를 법적인 목적에 적용하는 것"
(Zatyko, 2007)

디지털 포렌식은 디지털 증거를 수집하는 것이라고 할 수 있다. 따라서 디지털 포렌식의 범위는 광범위하다고 할 수 있다. 단순히 노트북이나 데스크톱만이 아닌 휴대기기, 네트워크, 클라우드 시스템 등을 모두 포함한다. 또한, 디지털 증거를 수집하기 때문에 사진, 비디오 및 음성 분석(아날로그/디지털 모두) 역시 포함한다. 이러한 분석은 진위여부, 비교, 질의 향상 등에 목적을 두고 있다.

 

[ 3. 디지털 포렌식의 사용 ]

: 범죄 수사, 민사소송, 첩보, 행정소송 등을 포함해 다양한 상황에서 사용될 수 있다.

< 범죄 수사 >

사이버 범죄 수사 과정에서 찾아볼 수도 있지만, "아날로그" 범죄 중에서 디지털 증거를 남길 경우에도 디지털 포렌식이 사용될 수 있다.

 

- 대표 예시 : BTK 사건

 

먼저, BTK는 데니스 레이더의 살인 특징을 따 온 것이다. (Bind, Torture, Kill, 묶어놓고 고문하고 살해한다.) 결론부터 말하자면, 이 사건은 디지털 포렌식에 의해 30년만에 해결된다. 그는 1974년부터 1991년까지 미국 칸사스 주에서 열 명을 살해한 후 2005년 2월에 경찰에 중요한 단서를 내주고 체포당했다. 

 

그가 체포당했던 결정적 증거를 얘기해 보려고 한다. 2004년, 레이더는 자신이 1986년에 어린아이의 엄마를 살인했다고 자신의 범인행각을 위치타 이글(Wichita Eagle) 신문사에 편지를 보내 알린다. 경찰은 FBI 행동분석팀과 논의해 방송매체를 통해 BTK와 연락을 시도하기로 했다.

 

2005년 레이더는 아래와 같은 메모를 숨겨서 경찰에게 넘기게 된다.

"컴퓨터로 추적할 수 없는 플로피 디스크로 연락하고 싶다. TV 방송에 '렉스 이젠 괜찮아.'라고 메시지를 보내라. 혹시 TV를 못 볼 수도 있으니 며칠 동안 방송을 내보내라. 가까운 시일(2월이나 3월쯤)에 시험 삼아 플로피 디스크를 보낼 것이다."

경찰은 내용대로 방송에 메시지를 남겼다. 하지만 플로피 디스크는 충분히 추적할 수 있는 증거였다. 경찰이 BTK로부터 받은 보라색 플로피 디스크 내부의 "TestA.rtf"라는 파일은 충분한 증거가 되었다. 디지털 포렌식으로 파일을 분석해 얻은 파일의 메타데이터(데이터에 대한 데이터)에는 "만든 날짜", "수정한 날짜" 정보 외에도 "제목", "마지막으로 저장한 사람(데니스)"도 저장되어 있었다.

 

이 정보를 토대로 경찰은 데니스가 교회의 집회장이라는 정보를 알아냈고, 그 딸의 DNA와 BTK의 DNA를 비교해 BTK가 데니스라는 것을 알아내 성공적으로 체포할 수 있었다.

< 민사소송 >

: 미국의 민사소송에서는 일반적으로 법정에 가기 전에 양측에서 서로의 증거를 살펴볼 수 있는 "증거제시제(discovery)"를 할 수 있다. 예전에는 종이 기반으로 증거제시제가 진행되었지만, 현재는 디지털 포렌식과 디지털 증거제시제로 인해 이런 관행에 큰 변화가 생겼다. 아래 접힌 내용은 디지털 증거제시제에 대한 정의 내용이다. 

디지털 증거제시제는 "민사 또는 형사소송에서 증거로 사용하기 위한 의도로 디지털 데이터를 조사, 위치 확인, 수집 및 검색하는 모든 프로세스를 의미한다"(TechTarget, 2005).

 

증거의 패러다임이 빠르게 변화하며 법정에서도 증거에 대한 규정을 수정했다. 증거에 대한 규정은 민사소송에서 어떻게 디지털 증거가 법정에서 채용될 수 있는지 결정한다. 2006년 미국의 민사절차에 대한 규정은 민사소송에서 디지털 정보를 어떻게 처리해야 하는지에 대한 문제를 다루기 위해 수정되었다.

 

모든 법정에서 디지털 증거는 사건의 핵심 요소로 작용할 수 있다. 또한, 디지털 증거제시제의 프로세스 일부인 디지털 포렌식은 고비용 소송의 주요 구성요소가 되었다. 법조계와 관련된 분야에서 일하는 사람들 역시 이런 새로운 혁신을 직시하고 많은 노력을 하고 있다.

< 첩보 >

: 테러리스트와 외국 정부, 첩보 기관들도 디지털 시대에 합류했다. 테러리스트들이 정보기술을 활용하는 것, 미군이 전장에서 직접 수집한 디지털 기기들에 있는 정보를 활용하는 등과 같은 프로세스를 DOMEX(Document and Media Exploitation, 문서 및 매체 활용)라고 부른다. DOMEX는 많은 성과를 내고 있고, 지상에 있는 병사들을 지원하기 위해 바로 사용이 가능한 첩보를 제공한다.

 

- 대표 예시: 무싸위 사건

  디지털 포렌식은 9-11 테러범들의 테러 공격 측면을 조사하는 데 있어서 큰 역할을 했다.

 

2001년 8월 16일 자카리아스 무싸위(Moussaoui)는 미국 미네소타의 이간(Eagan)에서 불법체류로 INS에 체포되었다. INS는 그로부터 노트북과 플로피 디스켓을 압수했다. 그의 수색 영장이 발부된 후에 FBI가 노트북과 플로피 디스켓을 조사하던 중 그의 핫메일(Hotmail) 계정을 발견했다. 그는 이 계정으로 비행교육 학교와 다른 비행 관련 기관에 이메일을 보냈다. 아래는 핫메일에 대한 부가 설명이다. 열어보고 싶으신 분들만 열어보세요.

핫메일은 지메일(Gmail)이나 야후(Yahoo) 이메일처럼 마이크로소프트에서 제공하는 무료 이메일 서비스다. 핫메일은 가입하기도 쉽고 매우 기초적인 정보만 입력하면 된다. 사실 마이크로소프트가 이 정보를 확인하지 않아 이 정보들은 아무 의미도 없다.

 

무싸위 이메일 조사 중 IP 주소 중 하나는 오클라호마 주립대학의 컴퓨터 랩에 있는 "PC11"의 주소라는 것이 식별되었다. 조사 결과, 무싸위와 다른 19명의 테러범들이 다른 도시에서 컴퓨터를 다량으로 사용한 것으로 나타났다. FBI 요원들이 그곳을 방문했지만, 컴퓨터의 하드 드라이브를 매일 삭제한다는 규정 때문에 증거 확보에 실패했다. 빠르면 24시간 안에 늦어도 30일 안에는 모든 데이터를 삭제했는데, 이는 컴퓨터의 성능과 안정성 확보, 고객의 사생활 보호의 목적이었다.

< 관리적 사항 >

: 디지털 증거는 민사소송, 형사소송, 국가 안보 외의 영역에서도 매우 중요한 역할을 한다. 정책이나 절차를 위반하는 것은 보통 전자적으로 저장되어 있는 특정 정보와 연관되어 있는 경우가 많다.

 

- 대표 예시: 미국 증권거래위원회

 

2007년 8월 미국 증권거래위원회의 감찰실은 공식적으로 정부 컴퓨터의 잠재적인 오용에 대한 조사를 실시했다. 이 과정에서 방화벽 로그에 여러 명의 사용자가 인터넷 포르노 사이트를 접근하려다 거부된 것을 식별했다. 증권거래위원회의 방화벽은 이런 종류의 트래픽을 차단하고 로그에 기록하도록 설정되어 있었다.

 

감찰실은 컴퓨터를 사적인 용도로 사용하는 것에 대해 조사를 하고 있었고, 특정 직원에 대해 중점수사를 하고 있었다. 포렌식으로 이 직원의 망가진 하드 드라이브를 분석했고, 결과 임시 인터넷 파일 폴더에서 많은 양의 포르노 사진 및 인터넷 필터 우회 증거를 확보했다.

 

조사를 더 진행했고, 추가적으로 포르노 사이트 접근 시도를 한 사람들과 포르노 사진, 포르노 다운 기록 등  업무시간에 컴퓨터를 사적인 용도로 사용하는 직원들을 적발할 수 있었다. 이런 행동들을 방지하기 위해 여러 정책을 내놓았고, 이 행동들은 범죄는 아니므로 이 모든 사항은 처분을 위해 증권거래위원회의 행정부서에 회부되었다.

 

[ 로카로드의 교환 법칙 ]

: 물리적 세계에서 범죄자가 범죄현장을 드나들 때 범죄자는 흔적을 남기고 나갈 때 무엇인가 가지고 간다.

Ex) DNA, 숨은 지문, 머리카락, 섬유 등

 

로카로드의 교환 법칙을 통해 기기나 사건을 바라보면 물리적 증거뿐만 아니라 디지털 증거의 위치도 식별하고 해석하는 데 큰 도움이 된다. 디지털 포렌식에서 레지스트리 키나 로그 파일은 머리카락이나 섬유와 같은 역할을 한다.

 

[ 주요 기관 ]

: 디지털 포렌식 조사관들은 디지털 포렌식 분야에 수많은 기여를 하는 기관에 대해 알 필요가 있다. 그들의 역할, 기여에 대해 잘 알고 있어야 하고, 이런 기관 한 두 곳에 참여하는 것은 전문가의 책임이기도 하다.

 

- Scientific Working Group on Digital Evidence: 디지털 증거에 관한 과학실무그룹

: 디지털 및 멀티미디어 증거 분야에 적극적으로 활동하고 있는 기관을 하나로 통합해 연락과 협력을 조장하고 포렌식 업계에서의 품질과 일관성을 보장하는 것.

http://www.swgde.org/ 

 

- Amerucan Academy of Forensic Sciences: 미 법과학회

: 세계 최초의 포렌식 기관. 포렌식 업계를 위해 표준을 개발하는 데 있어 핵심적인 역할을 한다.

http://www.aafs.org/ 

 

- American Society of Crime Laboratory Directors/Laboratory Accreditation Board, ASCLD/LAB

: 미국범죄감정과학연구소 소장협회의 연구소 인증보드. 포렌식 업계의 보험업자 연구소와 같은 곳이다. 세계에서 가장 역사 깊고 잘 알려진 범죄 및 포렌식 랩 인가기관이다. 

http://www.ascld-lab.org/index.htm 

 

- National Institute of Standards and Technology (NIST)

: 미국 국립표준기술연구소. 미국 상무부의 일부이고, 디지털 포렌식과 깊게 관련되어 있다. 디지털 포렌식과 관련된 프로그램과 프로젝트들을 진행하고 있다.

http://www.nist.gov/itl/ssd/computerforensics.cfm 

 

- American Society for Testing and Materials (ASTM)

: 미국재료시험협회. 국제 기관으로, "제품 품질을 개선하고 안전을 향상하고 시장 접근과 무역을 촉진하며 소비자의 신뢰를 구축하는 것"에 사용되는 약 12,000개의 표준을 개발했다.

 

[ 사법 제도에서의 포렌식 조사관의 역할 ]

- 법정에서의 전문가: 법적으로는 판사가 잘 알지 못하는 증거를 이해하거나 해석을 하는 데 있어 도움을 줄 수 있는 사람이다. 효과적인 전문가가 되기 위해서는 판사와의 의사소통이 중요하다. 디지털 포렌식 조사관은 반드시 선입관을 버리고 증거를 바라봐야 한다.

 

- CSI 효과: CSI와 같은 드라마에서는 모든 사건이 법과학으로 해결될 수 있다고 배심원들을 설득할 때가 있다. 즉, 배심원들은 법과학이 실제로 모든 사건을 해결할 수 있다고 생각하게 되는 비합리적인 판단을 할 수 있다. 죄가 있는 가해자라고 하더라도, 단순히 과학적 증거가 제시되지 않았다는 이유 하나만으로 무제 판정을 할 수 있는 것이다.