(기조연설) 마커스 로저스 美 인디애나 퍼듀대 컴퓨터학과 교수

서울 코엑스 컨퍼런스센터에서 나흘째 열린 '세계 컴퓨터과학자 서울대회'에서 일반인에게 생소한 '디지털 포렌식(Digital Forensic)'이 소개됐다.

디지털 포렌식은 컴퓨터 범죄 법의학을 말한다. 살인사건의 경우 현장에서 채취한 증거와 사체를 과학적으로 분석해 사망원인 등을 파헤치는 법의학이 사용된다.

컴퓨터 범죄에서도 마찬가지다. 해킹,온라인 금융사기 등에 사용된 각종 디지털 기기에서 증거를 채집해 범인을 밝히는 것이 디지털 포렌식이다.범인이 망가뜨린 하드웨어를 복구하는 것도 디지털 포렌식이다.

마커스 로저스 미국 인디애나 퍼듀대 컴퓨터학과 교수는 '범죄과학 수사의 진화'란 주제의 기조연설에서 "기업과 형사 검사 판사들이 디지털 포렌식을 공부해야 한다"고 강조했다.

그는 "기업들은 아직도 화재보험에는 기꺼이 돈을 쓰지만 디지털 범죄 예방에는 돈을 쓰길 꺼린다"며 "포렌식 분야 투자는 돈 값을 할 것"이라고 말했다. 그는 대학교수가 되기 전에 13년간 경찰관으로 근무한 적이 있는 독특한 컴퓨터 사이언티스트다.

그의 기조연설을 요약한다.

포렌식은 해커나 산업스파이 혹은 조직원에 의한 기밀 유출 등 컴퓨터 범죄가 일어났을 때 하드웨어와 소프트웨어를 면밀히 검사해 범인을 추적하는 것을 말한다.

포렌식의 첫 단계는 디지털 증거를 수집하는 것이다.

컴퓨터 범죄가 증가하면서 증거를 수집하고 분석하는 일이 각광받고 있다.

미국에서는 범죄과학수사그룹(SWGDE:Scientific Working Group Digital Evidence)이 폭넓게 활동하고 있다.

포렌식의 출발점은 증거가 범죄에 관련이 있는지 식별(identification)하는 것이다.

식별된 디지털 증거는 수집,보존 과정을 거친다.

디지털 증거는 시스템에 대한 로그인 정보,하드나 메모리 등에 저장된 내용,네트워크 로그인 정보 등을 모두 포괄한다.

포렌식은 주로 군대의 정보수집이나 경찰의 범인검거 활동에 사용된다.

디지털 증거는 무결성(integrity)을 유지하면서 연구센터로 이송돼야 한다.

무결성이란 증거를 오염시키지 않는 것을 말한다.

범죄자들이 현장에 발자국을 남기거나 지문을 묻혔을 때 발자국 모양이나 지문의 형태가 손상되지 않도록 세심한 주의를 기울이는 것과 마찬가지다.

무결성을 유지한 증거는 분석과정을 거쳐 수사기관에 보고된다.

무결성은 해시함수라는 특수 프로그램을 통해 유지할 수 있다.

처음에 증거를 포착했을 때 해시함수를 설정해 놓으면 자물쇠를 채우는 것과 동일한 효과를 볼 수 있다.

누가 손을 대는 순간 해시함수 값이 엄청나게 달라지기 때문에 조작을 했다는 것이 금방 들통난다.

디지털 증거는 램 등에 저장돼 있는 휘발성 증거와 하드,스토리지 등에 저장돼 있는 비휘발성 증거로 나뉜다.

이 증거들을 확보하면 범죄자가 어떤 경로로 칩입,어느 부분을 뚫고 들어와 어떤 공격을 가했는지 알아낼 수 있다.

비휘발성 증거는 하드나 스토리지 사본을 뜨면 쉽게 얻을 수 있다.

휘발성 증거는 요즘 메모리 용량이 커지면서 확보하기가 어려워져 이만저만 골치 아픈 게 아니다.

요즘 디지털 증거수집의 가장 큰 과제는 휘발성 증거를 적절히 포착하는 것이다.

증거수집 후에는 어떤 방식으로 증거를 수집했고 그 증거가 왜 의미가 있는지 검사와 판사에게 납득시켜야 한다.

포렌식의 마지막은 '결정(decision)' 단계다.

판검사들은 대개 디지털 증거에 대해 충분히 이해하지 못하기 때문에 변호사협회 등 법조계에 강의를 나가면서 포렌식에 대한 지식을 알리기 위해 노력하고 있다.

수사관들에 대한 지속적인 교육을 통해 전문성도 높여야 한다.

포렌식을 하려면 범죄학,법,심리학,컴퓨터공학,수학 등 폭넓은 지식이 필요하다.

이를 테면 임시파일,접근한 웹페이지 등을 저장해 놓은'피처 스냅샷'은 법정 증언을 할 때 매우 유용해 이에 대한 사전 교육이 필요할 때가 많다.

컴퓨터 범죄를 수사하는 사람들은 첨단기술을 끊임없이 습득해야 하는 고급 인력이다.

나는 20명 정도의 대학원 학생들을 가르치는데 이들은 모두 취직이 보장돼 있다.

대개 연봉 7만달러를 받는다.

디지털 정보가 작년에만 161엑사(10의 15제곱) 바이트가 생겨났기 때문에 이를 포착할 수 있는 컴퓨팅 모델이 절실하다.

암호화 기법,스테가노그라피 등 디지털 정보를 숨기는 방법이 얼마든지 있기 때문이다.

포렌식과 관련된 컴퓨팅 모델을 발전시키는 데 이번 대회에서 소개된 응용 컴퓨팅 기술들이 매우 유용했다.

데이터마이닝,비주얼 기법,P2P 네트워크에 관련된 논문들은 디지털 포렌식의 기술과 정교함을 한 단계 높이는 데 중요한 역할을 한다.

제일 좋은 상황은 나 같은 컴퓨터 범죄 수사인력이 활동할 일이 없을 정도로 미리 보안을 강화하는 것이다.

기업은 비용 대비 효과가 눈에 금방 보이지 않는다고 보안을 등한시하는 경향이 있다.

하지만 일이 터지고 나면 비용은 몇 천 배를 더 지불하게 된다.

기업의 정보 데이터베이스 등에 대한 범죄가 한번 일어나면 그 피해액은 상상을 초월한다.

보험은 잘 챙기면서 보안 조치에 소홀한 기업들이 의외로 많다.

보험을 든다는 생각으로 안티바이러스,방화벽뿐 아니라 각자 사업에 적절한 보안조치를 추가로 확보해야 한다.

중요한 점은 범죄과학수사에 대한 국제적 표준이 하루빨리 확산돼야 한다는 점이다. 디지털 증거 수집에 대한 법이나 증거 인정능력,증거의 규격 등의 국제화가 이뤄져야 한다.

최근 국제 표준을 통합하기 위해 관련 연구소와 저널이 활성화되고 있어 다행이다.

미국 캐나다 유럽연합(EU) 중국 등은 최근 사이버 범죄 협정(cyber crime treaty)을 맺고 컴퓨터 관련 범죄에 대한 공조체제를 강화해 나가고 있다.

한국 기업과 사법기관들도 포렌식에 대한 투자와 교육을 늘려야 한다.

이렇게 하지 않으면 디지털 범죄 수준을 따라갈 수 없다.


[ 용어풀이 ]

스테가노그라피:전달하려는 기밀 정보를 이미지 파일이나 MP3 파일 등에 암호화해서 숨기는 심층 암호화 기법.
스냅샷:시스템 메모리 상의 여러 프로세스와 모듈에 대한 읽기 전용 복사본. 휘발성 증거를 포착할 때 사용된다.