오늘은 과학수사 2탄입니다.
예전 과학수사는 바로 유전자 감식법에 관한 것이었는데요.
이번 순서는 바로 디지털 과학수사~!! 즉, 사이버수사에 관해 알려드리려고 합니다.

영화 다이하드4를 보시면 FBI 사이버수사대에서 해커의 IP 추적과 휴대전화 위치 추적, 하드디스크에서 지우려고 했던 정보를 복원, 이메일 수신내용을 추적하는 장면들이 나옵니다.
이 장면들을 보면서 저런 것들이 현실적으로 가능할까? 라는 생각을 하게 되는데요.
과연 어떤 원리로 움직이는 것일까요?

디지털 포렌식 (Digital Forensics)
정보화 사회가 되면서 컴퓨터를 이용한 범죄가 나날이 늘어나고 있습니다. 일반 범죄에서도 중요 증거가 컴퓨터 등 디지털 매체에 남겨진 경우도 많고요. 이런 경우 증거를 분석하고 수집하기 위해 전문적인 디지털 포렌식 기술이 요구되는데요, 여기서 말하는 ‘디지털 포렌식’이란 ‘컴퓨터 법의학’이라고도 불리며, 디지털 매체에 대한 과학적인 수사를 의미합니다. 즉, 컴퓨터에 남아있는 여러 자료(전자증거물)를 수집하여 사법기관에 제출하기 위해 법적 효용성 있는 데이터를 수집하고 분석하는 디지털 수사과정으로, 범용 컴퓨터를 대상으로 하는 '컴퓨터 포렌식'과 모바일 기기나 디지털 카메라 같은 다양한 디바이스를 대상으로 하는 '임베디드(모바일) 포렌식', 그리고 컴퓨터, 핸드폰과 같은 통신 디바이스에서 네트워크 정보, 사용자 로그, 인터넷 사용 기록 등과 같은 정보를 수집, 분석하는 '네트워크 포렌식'으로 구분 됩니다.

디지털 포렌식의 절차는 다음과 같습니다. 첫째, 증거 수집 - 둘째, 증거 분석 - 그리고, 셋째, 증거 제출 입니다. 증거수집 절차는 손상되거나 사라지기 쉬운 디지털 증거가 저장된 저장매체에서 데이터의 무결성을 보장하면서 데이터를 읽어내야 합니다. 그리고, 이렇게 얻은 데이터로부터 유용한 정보를 찾아내는 기술이 증거분석 절차입니다. 증거분석 기술 중에서 삭제된 파일 복구 기술, 암호화 파일 해독 및 문자열 검색 기술 등이 주로 사용됩니다.
마지막으로 증거 제출 절차에서는 디지털 증거수집, 운송 및 보관, 조사-분석 단계의 모든 내용을 문서화하여 법정에 제출하게 됩니다.

디지털 포렌식의 기본 5대 원칙
1) 정당성의 원칙 : 획득학 증거 자료가 적법한 절차를 준수해야 하며, 위법한 방법으로 수집된 증거는 법적 효력을 상실한다.
2) 무결성의 원칙 : 수집 증거가 위,변조되지 않았음을 증명할 수 있어야 한다.
3) 연계 보관성의 원칙 : 증거물 획득, 이송, 분석, 보관, 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야 한다.
4) 신속성의 원칙 : 시스템의 휘발성 정보수집 여부는 신속한 조치에 의해 결정되므로 모든 과정은 지체 없이 신속하게 진행되어야 한다.
5) 재현의 원칙 : 피해 직전과 같은 조건에서 현장 검증을 실시하였다면, 피해 당시와 동일한 결과가 나와야 한다. 

언제 어디로 가든 흔적이 남는 디지털 정보

보통 사이버범죄는 영화에서처럼 해커가 해킹을 해서 정보를 빼내고 시스템을 다운시키는 일이 많이 등장합니다. 하지만 현실에서는 주로 산업스파이에게 많이 이용되고 있는데요.
하지만 이러한 산업스파이가 아무래 정보를 빼내고 주고받은 흔적을 지워도 그 흔적은 결코 완벽하게 지워지지 않는답니다. 예를 들어 영화에서 주로 이용하는 정보유출에는 이메일도 있지만 USB를 많이 사용하는 것을 볼 수 있습니다. 하지만 윈도우 운영체제는 USB와 같은 이동장치를 연결하는 순간 레지스트리 파일이 기록된다고 합니다. 그 레지스트리 파일을 보면 USB가 컴퓨터에 연결된 시간과 USB메모리의 고유번호, 주고받은 파일과 제거한 시점까지 모두 알 수 있다고 하네요. 해서 요즘 범죄자들은 레지스트리를 모두 지우고 안티포렌식을 사용하여 모든 데이터를 지운다고 합니다. 하지만 삭제해도 언제나 기록이 남게 된다는 것이 문제죠.

삭제해도 파일을 복원할 수 있다?

아무리 삭제를 해도 파일은 영구삭제가 되지 않는다?
이 말은 곧 그 파일은 충분히 다시 복원할 수 있다는 말과 같습니다. 그렇다면 과연 그 원리는 무엇일까요? 보통 우리가 윈도우에서 파일을 지우고 휴지통을 비우면 영구 삭제된다고 생각하지만 실은 그렇지 않습니다. 영구 삭제 프로그램을 돌리지 않는다면 휴지통에서 삭제 했음에도 충분히 다시 복원할 수 있는데요. 윈도우 운영체제는 컴퓨터의 CPU나 램이 사용되지 않는 때를 이용해 컴퓨터를 정리한다고 합니다. 대표적으로 하드디스크를 정리하는 조각모음 같은 일을 하는 것입니다.
컴퓨터가 보통 파일을 저장할 때는 한 파일 전체를 저장하는 것이 아니라, 군데군데 남는 공간에 나눠 저장을 하게 되는데요. 이 파일을 다시 읽으려면 곳곳에 널린 파일조각을 모두 읽어야 하기 때문에 시간이 오래 걸리게 됩니다. 이런 파일을 한곳으로 모으는 일이 조각모음인 셈입니다. 하여 조각모음을 할 때는 항상 시간이 오래 걸리는 것입니다. 이 조각모음을 컴퓨터가 자동으로 하게 되면 지웠다고 생각했던 파일들의 조각이 하드디스크의 다른 곳에 남아 있기 때문에 이를 복원하여 지웠던 파일을 다시 복원할 수 있게 되는 것입니다.

범인의 위치 추적은 어떻게?
     

이글아이 자동차내비게이션 위치 추적

미션임파서블 휴대전화 GPS 위치추적

영화 ‘미션임파서블’이나 ‘이글아이’를 보시면 휴대전화 위치와 자동차 위치를 추적하는 것이 나옵니다. 휴대전화는 통화를 하지 않는다고 해도 기지국과 늘 통신을 하고 있기 때문에 기지국의 전산기록을 조사하면 기지국 근처에 있던 휴대전화의 위치를 쉽게 알 수 있다고 합니다. 물론 휴대전화를 통한 위치추적은 우리가 영화에서 보는 것과 같이 세밀하고 정확한 위치를 나타내기는 어렵고 약간의 오차를 감안해야 한다고 하네요.

또한 차량을 운전할 시 쓰는 내비게이션에도 차량을 운행한 기록이 저장되며 차량에 설치하는 블랙박스 또한 영상에 위치정보를 기록하는 GPS정보가 남는다고 합니다. 블랙박스는 1초 간격으로 위도, 경도, 시간 등의 GPS정보가 저장됩니다.

정말 컴퓨터가 발전한 디지털시대 완벽한 범죄는 정말 존재하기 힘들 것 같습니다. 삭제된 파일도 복원하고 휴대전화 통화내용과 GPS 위치 기록까지 전부 알 수 있다니 이제 범죄자들도 쉽게 범행을 저지를 수는 없을 겁니다. 


자료 참조 | '디지털 포렌식 기술 및 동향' (http://ettrends.etri.re.kr/PDFData/22-1_097_104.pdf), 전자통신동향분석 제22권 제1호 2007.2
글 | 국가과학기술위원회 블로그 기자 최 형 일

블로그 이미지

굿가이(Goodguy)

우리 생활 속 과학이야기