2019-03-24 22:07 (일)
변조되기 쉬운 디지털 증거, '0'과 '1' 사이의 외줄타기
변조되기 쉬운 디지털 증거, '0'과 '1' 사이의 외줄타기
  • 박재욱 기자
  • 승인 2012.07.24 01:24
  • 댓글 0
이 기사를 공유합니다

디지털 포렌식 단계

최근 ‘디지털 포렌식’을 소재로 한 드라마 <유령>의 인기가 높아지면서 그에 대한 관심도 늘어나고 있다. 현대인의 생활 전반에 자리한 디지털 기기는 범죄와 수사 환경에도 변화를 불러왔다. 인터넷 불법 도박, 사이버 테러와 같은 사이버 범죄는 물론 폭행, 사기 등 기존 범죄도 디지털 매체와 결합돼 발생한다. 특히 2011년 검찰이 발표한 이른바 ‘왕재산 사건’은 대부분의 심리가 디지털 포렌식 증거를 중심으로 진행됐다. 증거 수집에서 증거 제출까지, 디지털 포렌식의 과정을 왕재산 사건을 부분적으로 각색해 살펴봤다.
      
증거 수집


국내 IT업체 대표인 K씨가 간첩 활동을 행한 정황을 포착한 국가정보원은 K씨를 구속했다. 그러나 묵비권을 행사하고 있는 K씨에게서 추가적인 정보를 얻기를 기대할 수 없는 국정원은 사건의 전모를 파악하기 위해 K씨의 컴퓨터를 압수 수색했다.

현장에 들어선 수사관은 해당 분야의 전문 지식을 보유한 입회인의 참관 하에 증거 수집을 시작한다. 디지털 증거물은 취득시점에 즉시 원본의 해쉬 값을 확인한다. 해쉬 값이란 파일마다 생성되는 32자리의 고유번호로 ‘전자지문’이라고도 불린다. 파일 내용이 조금이라도 변경되면 해쉬 값이 모두 바뀌기 때문에 증거 취득 시점에서 산출된 해쉬 값은 이후 원본의 위·변조 여부를 확인하는 단서가 된다.

해쉬 값 산출이 끝나면 ‘이미징(Imaging)’ 작업을 한다. 이미징은 ‘로드마스터’와 같은 포렌식 툴을 이용해 원본 디스크와 동일한 내용을 대용량 저장장치에 복제하는 기술이다. 일반적인 디스크 복사가 개별 파일을 하나씩 복사하는 방식이라면 이미징은 원본의 정상파일과, 삭제파일, 시스템 파일, 미할당 공간 등을 사진을 찍듯이 사본에 옮겨담는 방식이다. 이미징 작업 시에는 원본의 데이터 변화를 막기 위해 대표적인 ‘쓰기 방지 장치’인 Fastbloc을 원본에 설치한다.

 

증거 분석


‘원본 절대 보전의 원칙’에 따라 원본 디스크를 봉인한 수사관은 사본을 분석실로 전달했다. 분석관은 사본 분석으로 K씨와 함께 지하혁명조직을 결성한 4명의 추가 혐의자를 밝히고 스테가노그래피(steganography)로 위장된 북한 노동당의 구체적인 지령을 확인했으며 이를 분석보고서로 작성했다.

증거 분석은 이미징을 통해 얻은 사본을 대상으로 실시된다. 분석에 사용되는 대표적인 도구는 엔케이스(Encase)로 디스크에 저장된 프로그램 사용 흔적, 위·변조된 데이터 추출 등 다양한 분석을 수행하는 소프트웨어다. 분석 기술은 타임라인 분석, 삭제된 파일 복구, 비정상적 파일 찾기, 이메일 분석, 로그 분석 등 다양하며 디지털 매체의 특성에 따라 적용되는 분석 기술도 바뀐다.

K씨의 디스크에서 확인된 스테가노그래피는 전달하려는 정보를 다른 확장자를 가진 파일에 암호화해 숨기는 기술이다. <유령>에서 신효정(이솜 분)이 문제의 동영상 파일을 감추기 위해 사용한 방식이기도 하다. 피의자가 고의적으로 은닉한 데이터이기 때문에 분석을 통해 유용한 정보를 취득할 가능성이 높다. 보통 하나의 파일 형식은 하나의 파일 확장자를 가지며 식별자(Identifier)라 불리는 유일한 값을 가진다. 식별자는 파일 생성시 헤더에 자동으로 저장되므로 확장자를 바꿀 경우 파일 확장자와 식별자가 맞지 않으므로 확장자가 바뀐 파일들을 찾을 수 있다.

 

증거 제출

 

 


분석 결과를 바탕으로 서울중앙지검 공안 1부는 K씨를 비롯한 피의자 5명을 기소했으며 관련 증거의 법원 제출을 앞두고 있다. 대부분의 증거가 디지털 증거이기 때문에 증거 능력을 확보하기 위해선 진정성, 무결성, 신뢰성을 재판에서 증명할 수 있어야 한다.

디지털 증거는 위·변조가 쉽다는 특성으로 인해 증거 능력 확보를 위해 진정성, 무결성, 신뢰성이라는 기본 요건을 갖춰야 한다.

진정성이란 증거를 저장, 수집하는 과정에서 오류가 없었으며 적법한 과정을 거쳐 확보된 것임을 뜻한다. 증거 취득 현장 촬영 등이 진정성을 확보하기 위한 방법이다. 무결성이란 원본이 취득 시점에서 현재에 이르기까지 위·변조가 없었으며 분석에 사용된 사본이 원본과 완벽히 동일하다는 것을 의미한다. 무결성을 증명하기 위해 일반적으로 취득 시점의 원본에서 얻은 해쉬 값과 법원 제출 시점의 원본에서 얻은 해쉬 값을 비교하는 방식을 택하는데 특히 정확성과 안정성이 높은 암호학적 해쉬 알고리즘을 사용한다. 신뢰성이란 증거 데이터의 분석 등의 처리 과정에서 디지털 증거가 의도하지 않은 오류를 포함하지 않았음을 의미하며, 디지털 증거를 취급하는 인력, 도구, 절차의 적합성을 검증한다. 보통 디지털 포렌식 과정 전반엔 검증받은 전문가와 엔케이스, 로드마스터 등의 법원에서도 인정받는 도구가 사용된다.

피고 측은 디지털 증거물의 증거 능력에 대해 재판 과정상에서 지속적으로 의문을 제기했지만 서울중앙지법 형사합의부는 검찰이 제시한 디지털 증거의 진정성, 무결성, 신뢰성을 인정했다. K씨를 비롯한 5명은 간첩 행위가 인정돼 최대 9년의 징역형을 선고받았다.

사진출처| SBS


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.