디지털 포렌식
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
디지털 포렌식은 컴퓨터 관련 범죄 수사에 필요한 디지털 증거를 수집, 분석하는 기술 및 절차를 의미한다. 1970년대 컴퓨터 범죄 관련 법률 제정 이후, 기술 발전과 함께 디지털 포렌식의 중요성이 커졌다. 1980~90년대에는 FBI 등 수사기관에서 전문 부서를 설립하고, 디지털 포렌식 관련 용어가 학술적으로 등장하며 발전했다. 2000년대에는 표준화된 기술과 교육이 이루어졌으며, 컴퓨터, 모바일 기기, 네트워크, 데이터베이스 등 다양한 분야로 확장되었다. 디지털 포렌식은 증거 획득, 분석, 보고의 절차를 거치며, 관련 법률과 윤리적 문제도 고려된다. 다양한 도구가 사용되며, 암호화 기술의 발전은 수사의 한계로 작용하기도 한다.
더 읽어볼만한 페이지
- 디지털 포렌식 - 전자 디스커버리
전자 디스커버리는 소송 과정에서 전자 정보를 포함한 증거를 교환하는 절차를 의미하며, 데이터 수집, 정밀 조사, 상대방 제출 등의 단계를 거쳐 인공 지능과 정보 거버넌스를 활용하기도 한다. - 법과학 - 사후경직
사후경직은 사망 후 ATP 고갈로 근육이 굳어지는 현상으로, 사망 시간 추정과 육류 연화 정도에 영향을 미치며 장례 과정에서 시신 처리에 어려움을 줄 수 있다. - 법과학 - 컴퓨터 포렌식
컴퓨터 포렌식은 디지털 증거를 수집, 분석하여 법적 증거로 제시하는 과학 수사 기법으로, 사이버 범죄 수사, 민사 소송, 기업 감사 등 다양한 분야에서 활용되며 자동화, 인공지능, 머신러닝과 같은 첨단 기술을 통합하는 방향으로 발전하고 있다.
| 디지털 포렌식 |
|---|
2. 역사
1970년대 이전까지 컴퓨터와 관련된 범죄는 기존의 법률 체계 안에서 다루어졌다. 컴퓨터 범죄를 명시적으로 다룬 최초의 법률은 1978년 미국 플로리다에서 제정된 '플로리다 컴퓨터 범죄법'이다.[2] 이 법은 컴퓨터 시스템 내 데이터의 무단 수정이나 삭제 행위를 불법으로 규정했다.
이후 컴퓨터를 이용한 범죄의 유형과 범위가 점차 확대되면서, 저작권 침해, 사생활 침해 및 사이버 괴롭힘(사이버 불링, 해피 슬래핑, 사이버 스토킹, 온라인 포식자 등), 아동 포르노 유포와 같은 문제에 대응하기 위한 법률들이 여러 국가에서 마련되기 시작했다.
컴퓨터 범죄를 국가 차원의 연방법으로 규제하기 시작한 것은 1980년대에 들어서면서부터이다. 캐나다는 1983년에 관련 법률을 세계 최초로 통과시켰고, 뒤이어 미국에서는 1986년 ''컴퓨터 사기 및 남용 방지법''이 제정되었다. 호주는 1989년에 범죄 관련법을 개정했으며, 영국은 1990년에 ''컴퓨터 오용 방지법''을 제정하여 컴퓨터 범죄에 대한 법적 대응 기반을 마련했다.
'디지털 포렌식'이라는 용어는 2000년경 미국 연방수사국(FBI)에서 사용하기 시작한 것으로 알려져 있다 ( 우에하라 테츠타로 리츠메이칸 대학 교수의 주장에 따름).[24]
'포렌식(Forensic)'이라는 단어는 라틴어 'forēnsis'에서 유래했는데, 이는 '포럼(forum)', 즉 고대 로마의 공공 광장을 의미한다.[25] 로마 제국 시대에는 소송이 제기되면 포로 로마노와 같은 광장에서 대중 앞에서 공개적으로 변론을 펼쳤다. 원고와 피고는 각자의 주장을 제시했고, 더 설득력 있는 주장을 펼친 쪽이 재판에서 유리한 판결을 받았다. 이러한 역사적 배경에서 '포렌식'이라는 단어는 오늘날 '법적으로 유효한' 또는 '공개 발표에 적합한'이라는 두 가지 주요 의미를 갖게 되었다.
현대에는 법과학(Forensic science)을 단순히 '포렌식스(forensics)'라고 줄여 부르기도 하며, 두 용어는 같은 의미로 통용된다. 과학과의 밀접한 연관성 때문에 많은 사전에서는 '포렌식스'를 '법과학'의 의미로 함께 정의하고 있다. 디지털 컴퓨터 분야에서는 기존의 계산 과학 또는 컴퓨터 과학이라는 용어에 '포렌식스'를 결합하여 '디지털 포렌식스'라는 용어를 사용한다.
2. 1. 1980년대–1990년대: 성장기
1980년대와 1990년대에 걸쳐 컴퓨터 범죄가 증가하면서 법 집행 기관들은 수사의 기술적 측면을 다루기 위해 국가 수준의 전문 그룹을 설립하기 시작했다. 예를 들어, 1984년 미국 연방 수사국(FBI)은 '컴퓨터 분석 및 대응팀'을 출범시켰고, 이듬해인 1985년에는 영국 런던 경찰청 사기 전담반 내에 컴퓨터 범죄 부서가 설립되었다. 이러한 초기 조직의 구성원 중 상당수는 법 집행 전문가이면서 동시에 컴퓨터 애호가였으며, 이들이 디지털 포렌식 분야의 초기 연구와 방향 설정을 주도했다.[32][33]디지털 포렌식이 실제로 활용된 최초의 주요 사례 중 하나는 1986년 클리퍼드 스톨이 해커 마커스 헤스를 추적한 사건이다. 스톨은 전문 수사관은 아니었지만, 컴퓨터 및 네트워크 포렌식 기술을 활용하여 성공적으로 추적을 완료했다.[34][35] 이처럼 초기에는 전문적인 훈련을 받은 분석관보다는 다양한 배경의 인물들이 포렌식 검사를 수행하는 경우가 많았다.[35]
1990년대에는 전문적인 디지털 포렌식 수사관에 대한 수요가 급증했다. 늘어나는 사건 부담을 처리하기 위해 중앙 조직 외에도 지역 및 지방 수준의 전문 그룹들이 생겨났다. 예를 들어, 영국에서는 2001년 국립 하이테크 범죄 부서가 설립되어 컴퓨터 범죄 대응을 위한 국가적 기반을 마련했으며, 런던 본부와 지역 경찰 간의 협력 체계를 구축했다 (이 부서는 2006년 중대 조직 범죄청(SOCA)으로 통합되었다).[36]
이 시기 디지털 포렌식 기술은 주로 현장의 IT 전문가나 컴퓨터 애호가들이 필요에 따라 임시로 개발한 도구와 기법들을 통해 발전했다. 이는 과학계의 체계적인 연구를 통해 발전한 다른 법과학 분야들과는 대조적인 모습이었다.[37][38] '컴퓨터 포렌식'이라는 용어가 학술 출판물에 공식적으로 등장한 것은 1992년의 일이다 (그 이전에도 비공식적으로는 사용되었다). 콜리어(Collier)와 스폴(Spaul)은 자신들의 논문을 통해 이 새로운 분야를 법과학계에 알리고자 했다.[39][40]
그러나 이러한 빠른 발전은 표준화된 절차나 체계적인 훈련 프로그램의 부재라는 문제점을 낳았다. 1995년 K. 로젠블랫(K. Rosenblatt)은 저서 『하이테크 범죄: 컴퓨터 관련 사건 수사』에서 이러한 상황을 지적하며 다음과 같이 기술했다.
: 컴퓨터에 저장된 증거를 압수, 보존 및 분석하는 것은 1990년대 법 집행 기관이 직면한 가장 큰 포렌식 과제이다. 지문 감식 및 DNA 검사와 같은 대부분의 포렌식 테스트는 특별 훈련을 받은 전문가가 수행하지만, 컴퓨터 증거를 수집하고 분석하는 작업은 종종 순찰 경찰관과 형사에게 할당된다.[78]
2. 2. 2000년대: 표준화
2000년대 이후 디지털 포렌식 기술의 표준화 필요성이 제기되면서 여러 단체와 기관에서 관련 가이드라인을 발표하기 시작했다. 디지털 증거에 관한 과학 실무 그룹(SWGDE)은 2002년에 "컴퓨터 포렌식 모범 사례"라는 논문을 발표했으며, 2005년에는 ISO에서 시험 및 교정 실험실의 자격 요건에 대한 국제 표준인 ISO/IEC 17025를 발표했다. 또한, 국가별 컴퓨터 범죄 관련 법률, 수사 기법, 국제 협력을 조율하기 위한 목적으로 유럽 주도의 사이버 범죄 협약이 2004년에 발효되었다. 이 협약에는 미국, 캐나다, 일본, 남아프리카 공화국, 영국 등 43개국이 서명하고 16개국이 비준했다.교육 문제 역시 중요한 관심사로 떠올랐다. 주로 포렌식 소프트웨어 개발사인 상업 회사들이 관련 인증 프로그램을 제공하기 시작했으며, 영국의 전문 수사관 훈련 기관인 Centrex에서도 디지털 포렌식 분석을 교육 과정에 포함시켰다.
1990년대 후반부터 모바일 기기가 단순한 통신 수단을 넘어 널리 보급되면서, 이전에 디지털 포렌식과 직접적인 관련이 없어 보였던 범죄 수사에서도 휴대 전화가 풍부한 정보의 원천이 될 수 있다는 점이 밝혀졌다. 하지만 휴대폰은 기기 자체의 독점적인 특성 때문에 디지털 분석 기술이 전통적인 컴퓨터 미디어 분석 기술에 비해 상대적으로 발전이 더딘 편이다.
한편, 사이버 전쟁이나 사이버 테러와 같은 인터넷을 이용한 범죄의 위험성에 대한 관심도 높아졌다. 2010년 2월 미국 합동군 사령부는 보고서를 통해 사이버 공간을 통한 공격이 산업, 학계, 정부, 군대 등 사회 전반을 대상으로 이루어질 것이며, 이는 국가를 보호하던 물리적 장벽을 무력화시킬 수 있다고 경고했다.
: 사이버 공간을 통해 적들은 공중, 육상, 해상 및 우주 분야에서 산업, 학계, 정부, 군대를 표적으로 삼을 것이다. 공군력이 제2차 세계 대전의 전장을 변화시킨 것과 마찬가지로, 사이버 공간은 국가의 상업 및 통신에 대한 공격으로부터 국가를 보호하는 물리적 장벽을 파괴했다.
디지털 포렌식 분야는 여전히 해결해야 할 과제들을 안고 있다. 2009년 Peterson과 Shenoi의 연구에서는 디지털 포렌식 연구가 특정 운영체제, 특히 윈도우에 편중되어 있다는 점을 지적했다. 2010년 심슨 가핀켈은 디지털 미디어 저장 용량의 급증, 암호화 기술의 광범위한 보급, 다양한 OS와 파일 형식의 증가, 한 사람이 여러 기기를 소유하는 경향, 수사관에게 가해지는 법적 제약 등을 미래 디지털 수사의 어려움으로 꼽았다. 또한, 지속적인 교육의 필요성과 이 분야에 진입하기 위한 높은 비용 문제도 여전히 과제로 남아있음을 지적했다.
2. 3. 한국의 디지털 포렌식 역사
(작성할 내용 없음 - 원본 소스에 해당 섹션 관련 정보 부재)3. 디지털 포렌식 절차
디지털 포렌식 조사는 일반적으로 다음 세 단계로 구성된다.
- '''증거 획득 (이미징)''': 원본 데이터의 무결성을 유지하며 증거가 될 수 있는 데이터를 이미징 또는 복제하는 단계이다.[59]
- '''분석''': 획득한 데이터에서 법적 증거 가치가 있는 정보를 찾아내고 복구하는 단계이다.[65]
- '''보고''': 분석 결과를 바탕으로 사건 경위를 재구성하고 보고서를 작성하는 단계이다.[60][61][22]
디지털 포렌식과 전자 증거 개시 프로세스를 결합한 '하이브리드 포렌식'[5] 또는 '분산 포렌식'[6]이라 불리는 대안적인 접근 방식도 존재한다.
디지털 포렌식 조사는 형사 재판이나 민사 재판에서 증거를 확보하거나 반증하기 위한 목적으로 가장 흔하게 활용된다. 또한, 기업 내부 조사나 네트워크 침입 조사 등 민간 부문에서도 부정 행위를 탐지하고 그 범위를 파악하는 데 유용하게 사용된다.
3. 1. 증거 획득 (이미징)
디지털 포렌식 수사의 첫 단계는 증거물을 획득하거나 이미징하는 것이다.[59] 이 과정에서 가장 중요한 것은 원본 증거의 변경이나 손상을 막는 것이다. 이를 위해 일반적으로 쓰기 방지 장치를 사용하여 원본 저장 매체에 어떤 데이터도 쓰이지 않도록 보호한다.
전통적으로는 조사 대상 저장 매체 전체를 섹터 단위로 정확하게 복제하여 원본과 동일한 '포렌식 복제본' 또는 '이미지'를 만든다. 하지만 최근에는 하드 디스크 드라이브 등 저장 매체의 용량이 크게 늘어나고 클라우드 컴퓨팅과 같은 기술이 발전하면서[63], 전체 물리적 저장 장치를 복제하는 대신 필요한 데이터만 논리적으로 복사하는 '라이브 획득' 방식의 사용이 늘고 있다.[59]
증거 획득 과정이 끝나면, 만들어진 복제본(이미지 또는 논리적 복사본)이 원본 데이터와 완전히 동일한지 검증하는 절차를 거친다. 이를 위해 원본 데이터와 복제본 각각에 해싱 알고리즘(주로 SHA-1 또는 MD5)을 적용하여 해시 값을 계산하고, 두 값이 일치하는지 비교한다. 값이 동일하면 복제본이 원본을 정확하게 반영하고 있음을 의미한다.[64]
3. 2. 분석
분석 단계에서 수사관은 여러 가지 다른 방법론과 도구를 사용하여 증거 자료를 복구한다. 2002년 ''국제 디지털 증거 저널(International Journal of Digital Evidence)''에 실린 한 기사에서는 이 단계를 "의심되는 범죄와 관련된 증거에 대한 심층적이고 체계적인 검색"이라고 언급했다.[65] 2006년, 포렌식 연구원 브라이언 캐리어는 명백한 증거를 먼저 식별한 다음 "구멍을 메우기 위해 철저한 검색을 수행"하는 "직관적인 절차"를 설명했다.[66]분석의 실제 과정은 수사마다 다를 수 있지만, 일반적인 방법론은 다음과 같다.
- 디지털 미디어 전체(파일 내부, 할당되지 않은 공간, 슬랙 공간)에서 키워드 검색 수행
- 삭제된 파일 복구
- 레지스트리 정보 추출 (예: 사용자 계정 목록, 연결된 USB 장치 기록 등)
복구된 증거는 사건이나 행동을 재구성하고 결론을 도출하기 위해 분석된다. 이 작업은 종종 덜 전문화된 직원이 수행할 수도 있다.[67] 분석을 통해 다음과 같은 다양한 정보를 밝혀낼 수 있다.[71]
- '''귀속''': 메타데이터 및 기타 로그를 사용하여 특정 활동을 특정 개인에게 연결한다. 예를 들어, 컴퓨터 디스크 내 개인 문서 파일의 메타데이터를 통해 소유자를 식별할 수 있다.
- '''알리바이와 증언 검증''': 관계자가 제공한 정보를 디지털 증거와 대조하여 알리바이나 진술의 진위를 확인할 수 있다. 예를 들어, 용의자의 알리바이는 특정 시간에 사용된 휴대 전화 통화 기록 등으로 입증되거나 반박될 수 있다.
- '''의도 (Mens rea|멘스 레아la)''': 범죄 행위 자체(법률 용어로 Actus reus|악투스 레우스la)의 증거 외에도, 범죄의 고의를 증명하기 위한 증거를 찾는다. 예를 들어, 유죄 판결을 받은 살인자 닐 엔트위슬(Neil Entwistle)의 브라우저 기록에는 "살해 방법"을 검색한 기록이 남아 있었다.
- '''출처 확인''': 메타데이터 등을 분석하여 특정 데이터가 어디서 왔는지(예: 해당 기기에서 직접 생성되었는지, 인터넷에서 다운로드되었는지 등) 식별한다. 예를 들어, 이전 버전의 Microsoft Word 문서에는 작성된 컴퓨터를 식별하는 GUID가 포함되기도 했다.[72] 파일의 출처를 증명하는 것은 매우 중요하다.
- '''문서 인증''': 디지털 문서의 메타데이터(예: 파일 생성 날짜)는 쉽게 변경될 수 있다(예: 컴퓨터의 시간 설정을 변경하여 파일 생성일을 위장). 문서 인증은 이러한 정보의 위변조 여부를 탐지하고 식별하는 과정이다.
3. 3. 보고
분석 단계에서 회수된 증거를 바탕으로 사건을 재구성하고 분석한 후[67], 그 결과를 일반인도 이해하기 쉬운 용어로 작성하여 보고서 형태로 제시한다.[22]4. 디지털 포렌식 분야
디지털 포렌식 수사는 단순히 컴퓨터 데이터 검색에 그치지 않고, 태블릿, 스마트폰, 플래시 드라이브 등 범죄에 악용될 수 있는 다양한 소형 디지털 기기까지 포괄한다.[13] 이러한 기기의 광범위한 사용은 디지털 포렌식의 중요성을 더욱 부각시킨다.
디지털 포렌식은 형사 및 민사 소송에서의 증거 확보, 기업 내부 조사, 네트워크 침입 탐지 등 다양한 목적으로 활용된다. 또한 범죄 증거를 특정 용의자와 연결하거나[26], 복잡한 사건의 전모를 파악하는 데 중요한 역할을 한다.[27]
조사 대상 기기나 데이터 유형에 따라 디지털 포렌식은 여러 하위 분야로 나뉜다. 주요 분야로는 컴퓨터 포렌식, 네트워크 포렌식, Forensic data analysis|포렌식 데이터 분석영어, 모바일 기기 포렌식 등이 있다.[13]
4. 1. 컴퓨터 포렌식
컴퓨터 포렌식의 목표는 컴퓨터 시스템, 저장 매체 또는 전자 문서와 같은 디지털 아티팩트의 현재 상태를 설명하는 것이다.[14][92] 이 분야는 일반적으로 컴퓨터, 임베디드 시스템(기본적인 컴퓨팅 성능과 온보드 메모리를 갖춘 디지털 장치) 및 정적 메모리(USB 펜 드라이브 등)를 다룬다.
컴퓨터 포렌식은 인터넷 기록과 같은 로그에서 드라이브의 실제 파일에 이르기까지 광범위한 정보를 다룰 수 있다. 예를 들어, 2007년 검찰은 조셉 에드워드 던컨의 컴퓨터에서 복구한 스프레드시트를 사용하여 계획 살인 및 사형을 입증했다.[93] 또한 샤론 로파트카의 살인자는 고문과 죽음에 대한 환상을 자세히 설명하는 이메일 메시지가 그녀의 컴퓨터에서 발견된 후 2006년에 신원이 확인되기도 했다.[94]
디지털 포렌식 조사는 다양한 용도로 활용될 수 있다. 가장 일반적인 것은 형사 재판 또는 민사 재판에서 입증하거나 반증하기 위한 증거를 확보하는 것이다. 형사 사건에는 경찰에 체포되어 검찰 등에 기소되는 절도, 폭력 사건 등 법률 위반이 포함된다. 민사 소송은 개인의 권리와 재산을 보호하기 위해 수행되는 경우가 많으며(가족 간의 분쟁 등), 기업 간 계약 분쟁 해결에도 디지털 포렌식이 사용된다.
법정 밖의 민간 부문에서도 디지털 포렌식은 유용하게 활용된다. 기업 내부 조사나 침입 조사(부정 네트워크 침입 탐지 및 그 정도를 전문적으로 조사하는 것 등)가 대표적인 예이다.
조사의 기술적 측면에서는 관련 디지털 기기 종류에 따라 컴퓨터 포렌식, 네트워크 포렌식, Forensic data analysis|포렌식 데이터 분석eng, 및 모바일 기기 포렌식 등 몇 가지 하위 분야로 나뉜다. 전형적인 법과학적 프로세스는 장치 압수, 원본 데이터를 변경하지 않고 수행하는 데이터 추출, 분석, 그리고 수집된 증거에 대한 보고서 작성 순서로 진행된다.
디지털 포렌식은 범죄의 직접적인 증거를 특정하는 것 외에도, 증거를 특정 용의자에게 귀속시키는 역할도 한다. 예를 들어, 용의자의 알리바이나 과거 발언을 확인하고, 그 의도를 판단하며, 출처를 특정하는 것(저작권 침해의 경우 등)이 가능하다.[26] 조사는 복잡한 시계열과 가설을 동반하는 경우가 많으며, 일반적으로 간단한 질문에 답하는 다른 법과학 분석보다 훨씬 넓은 범위에 걸쳐 이루어지는 경향이 있다.[27]
4. 2. 모바일 기기 포렌식
모바일 기기 포렌식은 디지털 포렌식의 하위 분야로, 휴대 전화, 태블릿 컴퓨터 등 모바일 기기에서 디지털 증거나 데이터를 복구하는 과정과 관련이 있다. 이는 컴퓨터 포렌식과는 다른 특징을 가지는데, 모바일 기기에는 GSM과 같은 내장 통신 시스템이 있고, 일반적으로 제조사 고유의 독점적인 저장 메커니즘을 사용하기 때문이다.[95][96]
모바일 기기 포렌식 조사에서는 일반적으로 삭제된 데이터의 심층 복구보다는 통화 기록이나 SMS, 이메일과 같은 통신 내역 등 비교적 단순한 데이터를 확보하는 데 중점을 둔다.[95][96] 실제로 모바일 기기에서 복구된 SMS 데이터는 페루자 영국인 유학생 살해 사건 당시 용의자였던 패트릭 루뭄바(Patrick Lumumba)의 무죄를 입증하는 데 결정적인 역할을 하기도 했다.[97]
또한, 모바일 기기는 내장된 GPS나 위치 추적 기능, 또는 통신을 위해 접속하는 기지국의 로그 기록을 통해 기기의 위치 정보를 파악하는 데 유용하게 활용될 수 있다. 이러한 위치 정보는 2006년 이탈리아에서 발생한 토마스 오노프리(Thomas Onofri) 어린이 납치 사건의 범인을 추적하는 데 사용된 바 있다.[98]
4. 3. 네트워크 포렌식
네트워크 포렌식은 정보 수집, 증거 수집 또는 침입 탐지를 목적으로 컴퓨터 네트워크 트래픽(LAN, WAN/인터넷)을 모니터링하고 분석하는 분야이다.[15][99] 트래픽은 일반적으로 패킷 수준에서 가로채어 나중에 분석하거나 실시간으로 필터링한다. 패킷을 저장하고 분석하는 도구로는 와이어샤크 등이 사용된다.[100] 다른 디지털 포렌식 분야와 달리 네트워크 데이터는 종종 휘발성이 있고 기록되지 않는 경우가 많아 사후 대응적인 성격이 강하다.2000년, FBI는 컴퓨터 해커 알렉세이 이바노프(Aleksey Ivanov)와 고르시코프(Gorshkov)를 가짜 면접을 빌미로 미국으로 유인했다. FBI는 이들의 컴퓨터에서 오가는 네트워크 트래픽을 감시하여 비밀번호를 식별했고, 이를 통해 러시아에 있는 컴퓨터에서 직접 증거를 수집하는 데 성공했다.[101][102]
4. 4. 데이터베이스 포렌식
데이터베이스 포렌식은 데이터베이스와 해당 메타데이터에 대한 포렌식 조사를 수행하는 디지털 포렌식의 한 분야이다. 조사는 데이터베이스 내용, 로그 파일, 램(RAM) 내 데이터를 사용하여 타임라인을 생성하거나 관련 정보를 복구하는 방식으로 이루어진다.4. 5. 기타 분야
디지털 이미지 포렌식은 이미지의 진위 여부와 내용을 검사하고 확인하는 디지털 포렌식의 한 분야이다.[16] 이는 스탈린 시대의 수정된 사진부터 정교한 딥페이크 영상에 이르기까지 광범위하게 적용된다.[17][18] 다양한 범죄, 민사 및 형사 재판에서 제시된 정보의 유효성을 결정하고, 뉴스 및 소셜 미디어를 통해 유포되는 이미지와 정보의 진위를 검증하는 데 중요한 역할을 한다.[17][19][20][18]데이터베이스 포렌식은 데이터베이스와 그 메타데이터에 대한 포렌식 연구와 관련된 디지털 포렌식의 한 분야이다. 조사는 데이터베이스 내용, 로그 파일 및 RAM 데이터를 사용하여 사건의 타임라인을 구축하거나 관련 정보를 복구하는 방식으로 이루어진다.
사물 인터넷 (IoT) 포렌식은 디지털 포렌식의 한 분야로, 사물 인터넷 환경에 속하는 장치에서 디지털 정보를 식별하고 추출하여 포렌식 조사에 증거로 사용할 수 있도록 하는 것을 목표로 한다.[21]
포렌식 데이터 분석은 디지털 포렌식의 한 분야로, 주로 금융 범죄로 인한 부정 행위의 패턴을 발견하고 분석하기 위해 구조화된 데이터를 조사하는 데 중점을 둔다.
5. 법적 고려 사항
디지털 미디어의 검사는 국내 및 국제 법률의 적용을 받는다. 특히 민사 소송이나 기업 내부 조사와 같은 민간 수사의 경우, 법률은 분석가가 검사를 수행하는 능력에 제한을 둘 수 있다. 예를 들어, 네트워크 모니터링이나 개인 간의 통신 내용을 열람하는 행위는 법적 제약을 받는 경우가 많다. 형사 수사 중에는 국가별 법률이 증거로 압수할 수 있는 정보의 양과 종류를 제한한다. 예를 들어, 영국에서는 법 집행기관의 증거 압수 절차가 PACE 법의 규제를 받는다. 디지털 포렌식 분야 초기에는 "국제 컴퓨터 증거 기구"(IOCE, International Organization on Computer Evidence)와 같은 단체들이 증거 압수에 관한 국제적으로 호환되는 표준을 마련하기 위해 노력하기도 했다.
유럽에서는 2004년에 발효된 사이버 범죄 협약이 중요한 역할을 한다. 이 협약은 각국의 컴퓨터 범죄 관련 법률, 수사 기법, 국제 공조 방안 등을 조화시키는 것을 목표로 한다. 미국, 캐나다, 일본, 남아프리카 공화국, 영국 등 여러 유럽 국가를 포함한 43개국이 서명했으며, 이 중 16개국이 비준했다.
영국에서는 컴퓨터 범죄를 다루는 1990년 컴퓨터 오용 방지법이 포렌식 수사관의 활동에도 영향을 미칠 수 있다. 이 법은 컴퓨터 자료에 대한 무단 접근을 금지하는데, 이는 법 집행 기관보다 상대적으로 제약이 많은 민간 수사관에게 더욱 중요한 고려 사항이 될 수 있다.
개인의 사생활 보호 권리는 디지털 포렌식 분야에서 여전히 법적 논쟁이 많은 영역이다. 미국의 전자 통신 프라이버시 법(ECPA, Electronic Communications Privacy Act)은 법 집행 기관이나 민간 수사관이 통신 내용을 가로채거나 저장된 데이터에 접근하는 것을 제한한다. ECPA는 저장된 통신(예: 이메일 보관함)과 실시간으로 전송되는 통신(예: VoIP)을 구분하는데, 후자는 사생활 침해 가능성이 더 크다고 보아 영장 발부가 더 까다롭다. 또한 ECPA는 기업이 직원의 컴퓨터 사용이나 통신 내용을 모니터링하는 행위에도 영향을 미치며, 허용되는 감시 범위에 대해서는 여전히 논쟁이 진행 중이다.
유럽 인권 협약 제5조 역시 ECPA와 유사하게 사생활 보호에 관한 제한을 명시하며, 유럽 연합(EU) 내외에서 개인 데이터의 처리 및 공유를 규제한다. 영국의 경우, 법 집행 기관의 디지털 포렌식 수사 권한은 2000년 수사 권한 규제법(RIPA, Regulation of Investigatory Powers Act 2000)에 의해 규율된다.
법원에서 디지털 증거는 일반적으로 다른 형태의 증거와 동일한 법적 기준과 지침을 따른다. 미국에서는 연방 증거 규칙(Federal Rules of Evidence)이 디지털 증거의 증거 능력 여부를 판단하는 기준으로 사용된다. 영국에서는 PACE 법과 민사 증거법(Civil Evidence Act 1995)이 유사한 지침을 제공하며, 다른 많은 국가들도 자체적인 관련 법률을 가지고 있다. 미국 연방법은 압수 대상을 명백한 증거 가치가 있는 항목으로 제한하지만, 디지털 매체의 특성상 검사 전에 증거 가치를 항상 명확히 확립하기는 어렵다는 점을 인정하고 있다.
디지털 증거를 다루는 법률은 주로 두 가지 핵심 요소를 중시한다.
- 무결성 (Integrity): 디지털 매체를 압수하고 분석하는 과정에서 원본 증거나 그 사본이 변경되지 않았음을 보장하는 것이다.
- 진본성 (Authenticity): 해당 정보가 위변조되지 않았으며 원본과 동일하다는 것을 확인할 수 있는 능력이다. 예를 들어, 이미징(복제)된 매체가 원본 증거와 정확히 일치하는지 증명하는 것이다.
디지털 데이터는 상대적으로 쉽게 수정될 수 있기 때문에, 증거의 진본성을 확립하기 위해서는 범죄 현장에서 증거를 확보하는 순간부터 분석 과정을 거쳐 법원에 제출되기까지의 모든 단계를 철저히 문서화하는 증거 수집 및 관리(Chain of Custody) 절차가 매우 중요하다. 이는 일종의 감사 추적(Audit Trail) 역할을 한다.
과거 변호사들은 디지털 증거가 이론적으로 변경될 가능성이 있다는 점을 들어 증거의 신뢰성에 의문을 제기하기도 했다. 그러나 미국 법원은 이러한 주장을 점차 받아들이지 않는 추세이다. 예를 들어, ''미국 대 보날로''(United States v. Bonallo) 사건에서 법원은 "컴퓨터에 저장된 데이터를 변경하는 것이 가능하다는 사실만으로는 그 데이터가 신뢰할 수 없음을 입증하기에 충분하지 않다"고 판시했다. 영국에서는 경찰청장 협회(ACPO, Association of Chief Police Officers)에서 발행한 지침 등이 증거의 진본성과 무결성을 문서화하는 데 도움을 준다.
특히 형사 수사에서 디지털 포렌식 수사관은 자신의 결론이 객관적인 사실 증거와 전문가적 지식에 근거해야 한다는 점을 명심해야 한다. 예를 들어, 미국 연방 증거 규칙(Rule 702)에 따르면 자격을 갖춘 전문가는 다음과 같은 조건을 충족할 경우 "의견 또는 다른 형태"로 증언할 수 있다.
> (1) 증언이 충분한 사실 또는 데이터에 근거하고, (2) 증언이 신뢰할 수 있는 원칙과 방법의 산물이며, (3) 증인이 해당 사건의 사실관계에 원칙과 방법을 신뢰성 있게 적용했을 때
디지털 포렌식의 각 하위 분야는 수사 수행 및 증거 처리에 관한 자체적인 특정 지침을 가질 수 있다. 예를 들어, 휴대폰과 같은 모바일 기기는 압수하거나 데이터를 획득할 때 외부로부터의 무선 통신을 차단하기 위해 페러데이 케이지 또는 차폐 주머니에 보관해야 할 수 있다. 영국에서 형사 사건의 컴퓨터 포렌식 검사는 ACPO 지침의 적용을 받는다. 또한, 전자 증거를 다루는 방법에 대한 국제적인 지침 마련 노력도 있다. 유럽 평의회(Council of Europe)의 "전자 증거 가이드"(Electronic Evidence Guide)는 각국 법 집행 기관 및 사법 당국이 전자 증거의 식별 및 처리에 대한 자체 지침을 수립하거나 강화하는 데 참고할 수 있는 프레임워크를 제공한다.
6. 디지털 포렌식 도구
1980년대에는 전문적인 디지털 포렌식 도구가 거의 없었다. 이 때문에 수사관들은 주로 라이브 분석 방식을 사용했는데, 이는 운영 체제 내에서 기존 시스템 관리 도구를 이용해 증거를 추출하는 방식이었다.[3][54] 하지만 이 방식은 원본 디스크의 데이터를 의도치 않게 변경할 위험이 있었고, 증거 조작 논란을 일으킬 수 있었다.
이러한 문제를 해결하기 위해 1990년대 초 여러 도구가 개발되었다. 1989년 연방 법 집행 훈련 센터(FLETC)에서 필요성이 제기되어 IMDUMP[3][54] (마이클 화이트 개발)와 1990년 SafeBack[4][55] (시덱스 개발) 등이 만들어졌다. 영국에서는 1991년 DIBS (하드웨어 및 소프트웨어 솔루션)가 상용화되었고, 호주에서는 롭 맥케미시가 'Fixed Disk Image'를 개발하여 법 집행 기관에 무료로 배포했다.[56] 이러한 도구들은 디지털 매체의 정확한 사본(이미지)을 생성하여 분석 작업을 진행하고, 원본 디스크는 훼손되지 않은 상태로 보존하여 검증에 사용할 수 있게 했다.
1990년대 말, 디지털 증거에 대한 수요가 증가하면서 EnCase나 FTK와 같은 더 발전된 상용 도구들이 개발되었다.[57] 이를 통해 분석가들은 라이브 분석 대신 미디어의 사본을 이용하여 안전하게 증거 분석을 수행할 수 있게 되었다. 최근에는 '라이브 메모리 포렌식'에 대한 관심이 높아지면서 WindowsSCOPE와 같은 도구들이 활용되고 있다.
모바일 기기 포렌식 분야에서도 유사한 발전이 있었다. 초기에는 수사관들이 기기 데이터에 직접 접근했지만, 곧 XRY나 Radio Tactics Aceso와 같은 전문 도구들이 등장했다.[58]
디지털 증거가 법정에서 증거 능력을 인정받기 위해서는 증거 추출에 사용된 도구의 신뢰성이 중요하다. 미국에서는 다우버트 기준(Daubert standard)에 따라 판사가 포렌식 절차와 사용된 소프트웨어의 타당성을 검토해야 한다.[90] 2003년 브라이언 캐리어(Brian Carrier)는 다우버트 기준을 충족하려면 포렌식 도구의 소스 코드를 공개하고 동료 검토를 거쳐야 한다고 주장하며, 오픈 소스 도구가 폐쇄형 소스 도구보다 이러한 요구 사항을 더 명확하고 포괄적으로 충족시킬 수 있다고 보았다.[90] 2011년 조쉬 브런티(Josh Brunty)는 포렌식 도구와 기술의 과학적 검증이 모든 실험실 프로세스에 매우 중요하며, 재현 가능한 프로세스와 양질의 증거 원칙에 기반한 검증 프로세스 설계 및 유지가 필수적이라고 강조했다.[91]
포렌식 도구의 기능을 검증하기 위한 노력도 이루어지고 있다. 미국 국립표준기술연구소(NIST)에서 개발한 컴퓨터 포렌식 도구 테스트(CFTT) 프로그램이 대표적이다.[8] 다양한 운영 환경에 맞는 테스트 환경을 사용자 정의하기 위한 프레임워크를 만들려는 시도[9][10][11]도 있었으나, 대규모 네트워크나 클라우드 환경과 같이 조사에서 점차 보편화되는 환경을 대상으로 하는 도구 테스트에는 확장성 문제가 있었다. 2024년 현재, 분산 처리/수집을 위해 포렌식 도구에서 원격 에이전트 사용을 다루는 유일한 프레임워크는 아담스(Adams)가 개발한 것이다.[12]
7. 한계점
디지털 포렌식 수사에서 주요한 제약 중 하나는 암호화 기술의 사용이다. 암호화는 키워드 검색을 통한 초기 증거 수집 단계를 방해하는 요소로 작용한다. 개인에게 암호화 키 공개를 강제하는 법률의 도입은 비교적 최근의 일이며 여전히 논란의 대상이 되고 있다.[73] 암호화된 정보에 접근하기 위해 무차별 대입 공격으로 비밀번호를 알아내거나, 스마트폰이나 PC의 부트로더 기술을 이용해 기기 내용을 먼저 확보한 뒤 암호를 해독하려는 시도 등 암호화를 우회하려는 기술적 해결책들이 등장하고 있다. 그럼에도 불구하고, 암호화된 기기가 관련된 사건 중 약 60%는 증거에 접근할 방법을 찾지 못해 해결되지 못하는 것으로 추정된다.[7]
또한 디지털 포렌식 분야는 여러 가지 해결되지 않은 문제들에 직면해 있다. 2009년 피터슨(Peterson)과 셰노이(Shenoi)는 디지털 포렌식 연구가 윈도우 환경에 편중되어 있다는 점을 지적하며 우려를 표했다. 2010년 심슨 가핑클(Simson Garfinkel)은 미래 디지털 수사가 직면할 문제점들을 제시했는데, 여기에는 계속해서 증가하는 디지털 미디어의 저장 용량, 일반 사용자에게까지 확산된 암호화 기술의 보편화, 운영체제(OS)와 파일 형식의 다양화, 한 사람이 여러 디지털 기기를 소유하는 경향 증가, 그리고 관련된 법적 제한 문제 등이 포함된다.
휴대 기기의 확산 역시 새로운 과제를 안겨주었다. 1990년대 후반부터 모바일 기기는 단순 통신 수단을 넘어 막대한 정보를 담는 장치로 발전했지만, 기기 제조사별 기술적 특수성 때문에 모바일 기기에 대한 디지털 분석 기술은 기존 PC 기반 분석 기술에 비해 뒤처져 있는 실정이다.
이 외에도 디지털 포렌식 전문가가 되기 위한 지속적인 교육의 필요성과 해당 분야에 진입하기 위한 높은 비용 역시 해결해야 할 과제로 남아 있다.
참조
[1]
웹사이트
The Different Branches of Digital Forensics
https://www.bluevoya[...]
2023-09-09
[2]
웹사이트
The Florida Computer Crimes Act, Probably the First U. S. Legislation against Computer Crimes, Becomes Law
https://historyofinf[...]
[3]
서적
Computer and Intrusion Forensics
https://books.google[...]
Artech House
2020-10-25
[4]
서적
Forensic Laboratories: Handbook for Facility Planning, Design, Construction and Moving
https://books.google[...]
DIANE Publishing
2020-10-25
[5]
학술대회
ISEEK, a tool for high speed, concurrent, distributed forensic data acquisition
https://www.research[...]
2020-06-16
[6]
서적
Proceedings of the 2009 ACM symposium on Applied Computing
null
ACM
[7]
학술지
Do encrypted disks spell the end of forensics?
https://doi.org/10.1[...]
2024-06-22
[8]
웹사이트
Computer Forensics Tool Testing Program (CFTT)
https://www.nist.gov[...]
NIST Information Technology Laboratory
2024-01-30
[9]
웹사이트
On-scene Triage open source forensic tool chests Are they effective
https://www.research[...]
[10]
웹사이트
Archived copy
https://research.tee[...]
2024-01-30
[11]
서적
2011 Sixth International Conference on IT Security Incident Management and IT Forensics
https://ieeexplore.i[...]
2024-05-12
[12]
웹사이트
Archived copy
https://espace.curti[...]
2024-01-30
[13]
학술지
null
http://csrc.nist.gov[...]
NIST
2006-02-26
[14]
학술지
Computer forensics education
[15]
간행물
A Road Map for Digital Forensic Research
DFRWS
[16]
웹사이트
A quick guide to digital image forensics
https://www.camerafo[...]
2022-12-21
[17]
학술지
Image Forensics
https://doi.org/10.1[...]
2022-12-21
[18]
학술지
Synthetic media: The real trouble with deepfakes
https://knowablemaga[...]
Annual Reviews
2022-12-19
[19]
학술지
Deepfakes and Democracy (Theory): How Synthetic Audio-Visual Media for Disinformation and Hate Speech Threaten Core Democratic Functions.
[20]
학술지
The Emergence of Deepfake Technology: A Review
https://timreview.ca[...]
2022-12-21
[21]
학술지
A Survey on the Internet of Things (IoT) Forensics: Challenges, Approaches, and Open Issues
[22]
학술지
An examination of digital forensic models
[23]
학술지
Defining digital forensic examination and analysis tools
[24]
뉴스
데이터消しても悪事は消せず
読売新聞
[25]
서적
Shorter Oxford English Dictionary
Oxford University Press
[26]
서적
Handbook of Digital Forensics and Investigation
Academic Press
[27]
웹사이트
Basic Digital Forensic Investigation Concepts
http://www.digital-e[...]
[28]
웹사이트
Florida Computer Crimes Act
http://www.clas.ufl.[...]
2010-08-31
[29]
서적
Digital Evidence and Computer Crime, Second Edition
https://books.google[...]
Elsevier
[30]
서적
Hacking Exposed: Computer Forensics
https://books.google[...]
McGraw Hill Professional
2010-08-27
[31]
웹사이트
A Brief History of Computer Crime: A
http://www.mekabay.c[...]
Norwich University
2010-08-30
[32]
서적
Computer and intrusion forensics
Artechhouse
[33]
학술지
The future for the policing of cybercrime
[34]
학술지
Digital forensics research: The next 10 years
[35]
서적
Computer forensics for dummies
For Dummies
[36]
논문
The future for the policing of cybercrime
[37]
논문
An examination of digital forensic models
[38]
논문
Forensic analysis in the digital world
https://utica.edu/ac[...]
2010-08-02
[39]
서적
Computer Evidence: a Forensic Investigations Handbook
Sweet & Maxwell
[40]
논문
A forensic methodology for countering computer crime
[41]
서적
Digital Evidence and Computer Crime, Second Edition
https://books.google[...]
Elsevier
[42]
웹사이트
Best practices for Computer Forensics
https://web.archive.[...]
SWGDE
2010-08-04
[43]
웹사이트
ISO/IEC 17025:2005
http://www.iso.org/i[...]
ISO
2010-08-20
[44]
서적
Digital Evidence and Computer Crime, Second Edition
https://books.google[...]
Elsevier
[45]
논문
The future for the policing of cybercrime
[46]
논문
Mobile device analysis
https://web.archive.[...]
[47]
논문
Mobile forensics: an overview, tools, future trends and challenges from law enforcement perspective
http://www.csi-sigeg[...]
[48]
간행물
The Joint Operating Environment
http://www.jfcom.mil[...]
2010-02-18
[49]
서적
Digital Forensic Research: The Good, the Bad and the Unaddressed
Springer Boston
[50]
논문
Digital forensics research: The next 10 years
[51]
서적
暴力団捜査 極秘ファイル 初めて明かされる工藤會捜査の内幕 kindle版
彩図社
2023-06-27
[52]
웹사이트
警察庁HP - サイバー警察局とは
https://www.npa.go.j[...]
[53]
웹사이트
警察庁HP - サイバー空間をめぐる脅威の情勢等
https://www.npa.go.j[...]
[54]
서적
Computer and Intrusion Forensics
https://books.google[...]
Artech House
[55]
서적
Forensic Laboratories: Handbook for Facility Planning, Design, Construction and Moving
https://books.google[...]
DIANE Publishing
[56]
서적
Computer and intrusion forensics
Artechhouse
[57]
서적
Digital Evidence and Computer Crime, Second Edition
https://books.google[...]
Elsevier
[58]
서적
Digital Evidence and Computer Crime, Second Edition
https://books.google[...]
Elsevier
[59]
웹사이트
The Advanced Data Acquisition Model (ADAM): A process model for digital forensic practice
http://researchrepos[...]
Murdoch University
[60]
서적
Digital Evidence and Computer Crime, Second Edition
https://books.google[...]
Elsevier
[61]
웹사이트
Electronic Crime Scene Investigation Guide: A Guide for First Responders
http://www.ncjrs.gov[...]
National Institute of Justice
[62]
웹사이트
Catching the ghost: how to discover ephemeral evidence with Live RAM analysis
http://forensic.belk[...]
Belkasoft Research
[63]
웹사이트
The emergence of cloud storage and the need for a new digital forensic process model
http://researchrepos[...]
Murdoch University
[64]
웹사이트
Technology Crime Investigation
https://web.archive.[...]
2010-08-17
[65]
논문
An examination of digital forensic models
[66]
웹사이트
Basic Digital Forensic Investigation Concepts
http://www.digital-e[...]
2006-06-07
[67]
논문
An examination of digital forensic models
[68]
서적
Computer forensics: incident response essentials
Addison-Wesley
[69]
서적
Handbook of Digital Forensics and Investigation
https://books.google[...]
Academic Press
[70]
웹사이트
Basic Digital Forensic Investigation Concepts
http://www.digital-e[...]
2006-06-07
[71]
서적
Handbook of Digital Forensics and Investigation
https://books.google[...]
Academic Press
[72]
서적
Handbook of Digital Forensics and Investigation
https://books.google[...]
Academic Press
[73]
논문
Digital forensics research: The next 10 years
2010-08-00
[74]
논문
Building theoretical underpinnings for digital forensics research
2004-02-00
[75]
서적
Digital Evidence and Computer Crime, Second Edition
https://books.google[...]
Elsevier
[76]
서적
Digital crime and forensic science in cyberspace
Idea Group Inc (IGI)
[77]
서적
Digital Evidence and Computer Crime, Second Edition
https://books.google[...]
Elsevier
[78]
서적
High-Technology Crime: Investigating Cases Involving Computers
http://www.ncjrs.gov[...]
KSK Publications
2010-08-04
[79]
서적
Digital Evidence and Computer Crime, Second Edition
https://books.google[...]
Elsevier
[80]
서적
Digital Evidence and Computer Crime, Second Edition
https://books.google[...]
Elsevier
[81]
웹사이트
Legal Aspects of Digital Forensics
http://euro.ecom.cmu[...]
2010-08-31
[82]
논문
Building theoretical underpinnings for digital forensics research
2004-02-00
[83]
논문
Building theoretical underpinnings for digital forensics research
2004-02-00
[84]
서적
Digital Evidence and Computer Crime, Second Edition
https://books.google[...]
Elsevier
[85]
서적
Digital Evidence and Computer Crime, Second Edition
https://books.google[...]
Elsevier
[86]
판례
US v. Bonallo
https://scholar.goog[...]
1988-00-00
[87]
서적
Digital Evidence and Computer Crime, Second Edition
https://books.google[...]
Elsevier
[88]
웹사이트
Federal Rules of Evidence #702
http://federaleviden[...]
2010-08-23
[89]
웹사이트
Electronic Evidence Guide
http://www.coe.int/t[...]
Council of Europe
2013-04-00
[90]
웹사이트
Open Source Digital Forensic Tools: The Legal Argument
http://www.digital-e[...]
2002-10-00
[91]
웹사이트
Validation of Forensic Tools and Software: A Quick Guide for the Digital Forensic Examiner
http://www.forensicm[...]
2011-03-00
[92]
웹사이트
Computer forensics education
http://ieeexplore.ie[...]
IEEE Security & Privacy
2010-07-26
[93]
서적
Handbook of Digital Forensics and Investigation
https://books.google[...]
Academic Press
[94]
서적
Digital Evidence and Computer Crime, Second Edition
https://books.google[...]
Elsevier
[95]
서적
Digital Evidence and Computer Crime, Second Edition
https://books.google[...]
Elsevier
[96]
웹사이트
Technology Crime Investigation :: Mobile forensics
http://www.daemon.be[...]
2010-08-18
[97]
서적
Handbook of Digital Forensics and Investigation
https://books.google[...]
Academic Press
[98]
서적
Handbook of Digital Forensics and Investigation
https://books.google[...]
Academic Press
[99]
간행물
A Road Map for Digital Forensic Research
DFRWS
2001-08-07
[100]
서적
Digital Forensics and Incident Response: Incident response techniques and procedures to respond to modern cyber threats, 2nd Edition
Packt Publishing
2020-01-29
[101]
서적
Digital Evidence and Computer Crime, Second Edition
https://books.google[...]
Elsevier
[102]
뉴스
2 Russians Face Hacking Charges
http://www.themoscow[...]
Moscow Times
2001-04-24
[103]
논문
On metadata context in Database Forensics
http://www.sciencedi[...]
2009-03-00
[104]
논문
An examination of digital forensic models
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com