`디지털 포렌식`의 힘…변양균ㆍ신정아 연서 찾는데 결정적 역할

렛츠웹 + 게임/IT News 2009. 1. 6. 10:20

삭제된 이메일을 복원하는 기술이 변양균 전 청와대 정책실장과 신정아 전 동국대 교수 간의 '부적절한 관계'를 밝히는 데 결정적 단서를 제공하면서 '디지털 포렌식'(digital forensic)이 주목받고 있다. 완벽하게 없앴다고 생각하는 디지털 정보를 살려내는 디지털 포렌식은 과연 뭘까.


디지털 포렌식이란 '디지털 기기에 적용하는 법의학(forensic)'이다. 시신을 해부해 사인(死因)을 밝히는 것이 법의학이라면 디지털 포렌식은 컴퓨터 휴대폰 등 압수된 디지털 기기를 파헤쳐 은밀히 숨겨둔 정보를 찾아내거나 지워버린 정보를 복구해 범죄 단서를 찾아내는 첨단 수사기법을 말한다.

시신이 훼손되었어도 단서를 찾아내는 포렌식과 마찬가지로 디지털 포렌식 역시 훼손된 디지털 기기 속에서 증거를 찾아낸다. 외국의 디지털 포렌식은 구멍나거나 깨진 CD를 복구하는 수준까지 와 있다.

삭제한 이메일을 복구하는 것은 디지털 포렌식의 기본 중에 기본이다. 이메일 뿐 아니라 문서 등 PC에서 삭제한 파일도 순식간에 잡아낸다. 하드디스크에 기록이 고스란히 남기 때문에 운영시스템(OS)에서 문제의 파일을 인식하는 연결고리(인덱스)만 찾으면 복구할 수 있다. 분식회계와 관련된 떳떳하지 못한 파일을 지워도 수사 과정에서 드러나는 것은 디지털 포렌식 때문이다.

어떻게 이것이 가능할까. 하드디스크에 파일을 저장하는 원리 때문이다. 컴퓨터에서 '저장'을 누르면 하드디스크의 여러 개 조각난 공간에 파일을 순차적으로 저장한다. 가령 10킬로바이트(KB),20KB,30KB,40KB,50KB짜리 파일이 하드디스크의 A,B,C,D,E라는 공간에 저장된다고 하자. 물론 파일과 공간 사이엔 인덱스가 존재한다.

이 가운데 30KB와 50KB 두 파일을 지운다면 C와 E 공간이 비게 된다. 여기에 80KB짜리 새 파일이 들어온다면 C와 E 공간에 걸쳐서 저장된다. 80KB짜리 새 파일과 C,E 간의 인덱스도 새로 생겨난다. 그러나 30KB 파일과 C,50KB 파일과 E 간의 기존 인덱스는 지워지지 않고 그대로 남아 있다. 물론 파일을 지우고 덧씌우는 과정을 반복하면 인덱스를 찾아내기가 힘들어진다. 그렇다고 불가능한 것은 아니다.

이메일 보안 전문업체인 소만사의 김대환 사장은 "아웃룩에 저장해 둔 이메일은 별도의 조치를 취하지 않으면 100% 복구할 수 있다"며 "이메일 삭제는 마치 마을은 그대로 두고 지도에서 지명만 지우는 것과 유사하다"고 설명했다.

하드디스크 포맷도 마찬가지다. 인덱스와 파일 내용 자체를 백지화하는 '원천포맷(Raw Level Format)'을 하지 않으면 내용을 그대로 복구할 수 있다. 실제로는 원천포맷도 복구 가능성이 존재한다. 이같이 하드디스크에 저장돼 복구하기 쉬운 정보를 '비휘발성 증거'라고 한다. 비휘발성 증거의 복구 가능성을 완전히 없애는 유일한 방법은 하드디스크를 망치로 깨부수는 것 말고는 없다고 해도 과언이 아니다.

다만 인터넷 포털에서 제공하는 웹메일이나 메신저 등은 예외다. 데이터베이스(DB) 용량이 제한돼 있는 탓에 사용자들의 이메일 내역을 모두 저장해 둘 수 없다. 메신저는 서버를 거치지 않기 때문에 기록이 남지 않는다. 디지털 포렌식 전문가들은 이런 정보를 '휘발성 증거'라고 한다. 날아가버려 확보하기 어렵다는 뜻이다.

현재 대검찰청과 서울중앙지방검찰청 디지털수사팀은 포렌식 장비를 사용하고 있다

 

2007/09/13 

posted by 망차니

설정

트랙백

댓글