[잇츠IT] 디지털포렌식, 감추려는 자 vs 밝히려는 자

우리나라가 사이버범죄의 중요성을 인식하고 관련 부서를 설립한 것은 20년이 채 안됐다. 경찰청 수사과정에 처음으로 디지털포렌식 기법을 도입한 것도 2000년대 들어서다. 디지털포렌식을 본격적으로 연구하기 시작한 것도 지난 2008년 대검찰청 소속기관 ‘국가디지털포렌식센터’(NDFC)를 설립하면서부터다.

◆찾으려는 자, 디지털포렌식

디지털포렌식의 범위는 전통적으로는 컴퓨터에 한정돼 있었으나 근래에는 데이터베이스, 네트워크, 스마트폰, 이동식저장장치를 거쳐 클라우드까지 그 범위가 계속 확대되는 추세다. 늘어나는 수요에 발 맞춰 경찰청은 지난 19일 ‘디지털포렌식 전용회선 구축사업’에 67억5500만원을 투자키로 했다.


디지털포렌식은 ▲저장매체 이미징 기술 ▲디지털 무결성 확보 기술 ▲네트워크 정보수집 기술 ▲은닉정보 탐색 기술 ▲네트워크 분석・역추적 기술 등 수많은 기술을 요하는 고도의 작업이다. 최근 디지털포렌식은 증거수집, 분석, 리포팅 등 필요한 기능을 하나로 합친 분석도구로 수행한다.

가장 대표적인 디지털포렌식 도구로는 포렌식 익스플로러, 엔케이스(EnCase), FTK 등이 있다. 전문가들은 이 도구들이 모든 정보를 완벽하게 복원하는 것은 아니기 때문에 2개 이상의 도구로 상호 검증을 거쳐야 한다고 조언한다. 국내 수사기관들은 자체 개발한 디지털포렌식 도구를 사용하는데 그 종류에 대해서는 보안상 밝힐 수 없다는 입장이다. 

◆감추려는 자, 안티포렌식

디지털포렌식의 기법이 발전하면서 그에 맞서는 ‘안티포렌식’(Anti-Forensics)도 다양한 방향으로 발전하고 있다. 디지털 증거물을 훼손하거나 차단하는 행위인 안티포렌식은 2010년대 들어 디지털포렌식에 대응하는 과정에서 발전했다.

안티포렌식에는 대표적으로 크게 5가지 기법이 있다. ▲분석을 방해하기 위해 중요데이터를 삭제하거나 훼손하는 ‘데이터 파괴’ ▲데이터를 암호화해 증거수집을 방해하는 ‘데이터 암호화’ ▲특정 파일에 중요한 데이터를 숨기는 ‘데이터 은닉’ ▲데이터를 수정하거나 조작해 분석을 어렵게 만드는 ‘데이터 조작’ ▲사용한 기록이나 도구를 바꿔 수사에 혼선을 초래하는 ‘흔적 최소화’ 등이다. 

가장 널리 알려진 안티포렌식 기법으로는 ‘스테가노그래피’가 있다. 과거 문서의 저작권을 보호하기 위해 사용됐던 스테가노그래피는 특정 파일 안에 메시지를 은닉하는 방식을 취한다. 최근에는 BMP나 WAV 같은 미디어 파일을 사용하는 추세다.

검찰 관계자는 “일반적인 암호화의 경우 포렌식 도구를 활용할 수 있다”면서 “스테가노그래피의 경우 일반파일과 구별할 수 없기 때문에 데이터 획득조차 쉽지 않다”고 말했다.

디지털포렌식을 피하기 위해 발달한 안티포렌식 덕분에 최근에는 이에 대응하는 ‘안티-안티포렌식’(Anti-anti Forensics)에 관한 연구가 활발히 진행 중이다. 안티안티포렌식 기법은 안티포렌식 기법에 직접적으로 대응하는 형태를 취한다. ▲데이터 파괴와 조작에 대응하는 데이터 복구 ▲데이터 암호화에 대응하는 패스워드 크래킹 ▲숨겨진 데이터를 찾아내는 은닉 데이터탐지 ▲기타 휘발성 메모리 분석 등이 대표적인 안티안티포렌식 기법이다. 

얼핏 보면 선악의 대결로 비춰질 수 있는 구도지만 일각에서는 넓은 시각으로 봤을 때 이 무한랠리에 긍정적인 측면이 더 많다고 말한다. 디지털포렌식과 안티포렌식에서 안티안티포렌식에 이르기까지 쫓고 쫓기는 행동을 통해 보안기술이 발전하고 있어서다.

한 보안업체연구원은 “디지털포렌식, 안티포렌식 그리고 안티안티포렌식까지 이어지는 일련의 과정은 앞으로도 계속 이어질 것”이라며 “감추려는 자와 밝히려는 자의 싸움이 결국 새로운 기술의 발전을 불러올 것”이라고 말했다.