디지털 포렌식
1. 개요
Digital Forensics
디지털 증거물을 분석하여 수사에 활용하는 과학수사 기법의 총칭. 마치 부검하듯이 디지털 기록매체에 복원 프로그램을 사용하고, 암호 등 보안을 해제하고, 메타데이터[1] 까지 활용하거나 하드디스크 내부에 삭제로그를 저장하는 스왑파일(스왑폴더라고 하기도 한다)에서 삭제로그를 복원해 디지털 기기의 사용자나 이를 통해 오간 정보를 추적, 조사한다. 원본의 손상을 봉쇄하기 위해 이미지를 뜨는 것이 일반적이라고 한다.
해킹(크래킹)과 디지털 포렌식은 언뜻보면 비슷해보이지만 다르다. 해킹은 불법적으로 접근 권한 등을 얻어 정보를 추출해 악이용하는 것이고[2] 디지털 포렌식은 수사 영장이나 데이터 소유주의 동의를 받은 뒤 디지털 기기에 저장된 증거를 추출하거나 추출된 증거를 분석하는 작업이다. 암호를 해제하는 작업 등은 기술적으로는 크래킹과 다를게 없지만 포렌식은 합법적으로 이루어진다. 자신의 개인 컴퓨터를 직접 크래킹 하는것이 불법이 아닌것과 바슷하다. 다만 영장 등의 아무런 법적 근거 없이 디지털 포렌식을 하는 것은 불법 수사이다.
형사소송법 개정안으로 인하여 디지털 기기의 증거 능력이 확대 되었다.[3]
우리나라의 디지털포렌식은 90년대 경찰의 해킹수사대가 수사에 활용하며 시초가 되었으며, 현재 경찰청 디지털포렌식센터가 전국적으로 최대의 규모를 가지고있다. 그외에도 검찰, 국정원, 군 등이 각 발전을 위해 노력중이다.
2. 디지털 포렌식의 뜻
포렌식(Forensic)이라는 단어는 고대 로마시대의 포럼(Forum)과 공공(public)이라는 라틴어에서 유래했으며 '법의학적인, 범죄 과학 수사의, 법정의, 재판에 관한'이라는 의미를 가지고 있는 형용사이다. 즉, 단순히 말해 포렌식이라는 단어는 범죄수사와 관련한 모든 기술을 의미한다.
이러한 포렌식 분야 중 하나인 디지털 포렌식은 범죄 수사를 위해 디지털 장비의 분석등을 하여 증거를 수집하는 행위 등을 통칭하는 용어이다.
3. 디지털 포렌식 종류
- 컴퓨터 법과학: USB 드라이브, SD 드라이브 등등 복원
- 모바일 장치 법과학: 내장 된 GPS/ 위치추적 또는 셀 사이트로그 범위 추적, 내장된 통신 시스템(예:GSM)
- 네트워크 법과학: 정보수집 및 로컬 및 WAN/인터넷의 네트워크 트래픽을 모니터링 하고 분석 패킷레벨 분석법
- 데이터 분석 법과학: 금융 범죄로 인한 사기 행위 패턴을 발견 분석 구조화 된 데이터 조사
- 데이터베이스 법과학: 데이터베이스와 관련 된 포렌식 / 인로그, 데이터베이스 내용. RAM의 타임라인 구축 및 복구
4. 사례
4.1. 대한민국 사건
- 2013년
- 2014년
- 2015년
- 4월 12일 성완종 리스트 의혹 수사
- 2016년
- 국정농단 박근혜-최순실 게이트 태블릿 PC 복원
- 2018년
- 워마드 홍익대 누드 크로키 수업 도촬 사건
- 연합뉴스 "민생사범 꼼짝마"…서울시 디지털포렌식센터 신설 : #
- 이데일리 '모든 흔적디지털에 남아..디지털 포렌식은 수사 일등공신': #
- 보안뉴스 디지털 포렌식으로 풀어본 최순실 '태블릿 PC' 의혹들: #
- 숙명여자고등학교 쌍둥이 시험지 유출 사건에서도 디지털포렌식으로 물증을 잡아냈다.: #
- 김태우 전 청와대 특별감찰반 수사관의 청와대 민간인 사찰 의혹(관련자료: 청와대 특별감찰반 비위 논란)에서도 디지털 포렌식이 큰 화두로 떠올랐다.: #
- 2019년
- 버닝썬 게이트 (승리 게이트)와 관련하여 디지털포렌식으로 큰 내용들이 공개되었다.
- 승리 게이트와 연계되어 정준영 성관계 영상 불법 촬영 및 유포 사건에서도 디지털포렌식이 큰 화두가 되었다.
- 구혜선-안재현 이혼 논란에서 논란이 거세지자 안재현 측은 디스패치를 통해 디지털포렌식으로 2년치 문자 내역을 공개했다.#
- 2020년
- 신천지 대구교회 코로나바이러스감염증-19 집단 감염 사건: 검찰에서 신천지 행정조사를 위해 중앙재난안전대책본부에 포렌식 요원을 파견함으로써 명단 대조를 도왔다. #
- n번방 성착취물 제작 및 유포 사건: 조주빈이 소파 옆에 숨긴 휴대전화 1대를 압수수색중에 발견했으나, 조사 중 비밀번호를 거짓으로 말해 잠금을 해제할 수 없었다. 그러나 경찰은 디지털포렌식 장비를 활용해 약 두 달 만에 이 휴대전화를 풀었다고 밝혔다. #
- 문재인 정부의 월성원전 경제성 조작: 감사원 감사 결과에 따르면 산업부 공무원들이 444개의 자료를 삭제했는데, 검찰의 디지털 포렌식 결과 86건의 자료도 삭제된 사실이 추가로 밝혀졌다.
4.2. 해외 사건
2000년에 FBI는 가짜 취업 면접을 위해 컴퓨터 해커 Aleksey Ivanov와 Gorshkov를 미국에 유혹했다. 쌍의 컴퓨터에서 네트워크 트래픽을 모니터링함으로써 FBI는 암호를 식별하여 러시아 기반 컴퓨터에서 직접 증거를 수집 할 수 있게 했다
2007년 11월 2일 Meredith Kercher 의 살인 사건에서 SMS데이터를 사용해 Patrick Lumumba를 무죄화하였다.: https://en.wikipedia.org/wiki/Murder_of_Meredith_Kercher (기사가 없는 관계로 사용함)
2015년 12월 미국 샌버나디노 총격 사건에 대해 미연방수사국(FBI)이 범인 한 명의 iPhone을 증거로 입수 하였으나 잠금해제를 할 수 없었음.
2016년 12월 캔사스 테러리스트 수산은 아동 포르노의 증거를 발견하였다.: #
2018년 12월 크리스마스 전인 12월 19일, 런던 개트윅 공항 및 2019년 1월 8일 런던 히스로 공항 드론 침입사건과 관련, 사건 현장 부근에서 파손된 드론을 회수하여 디지털포렌식을 진행하였다. 단순히 PC와 스마트폰이 아닌 다양한 디지털기기에 포렌식이 가능한 사례이가.: #
5. 관련 문서
[1] 파일 작성 및 수정 날짜나 사용된 기기 등 파일 그 자체에 관한 정보이다.[2] 정확히는 해킹의 원래 뜻은 악이용이 아니다. 해킹문서 참조.[3] 여담으로 이 개정안을 만든 사람은 촛불은 바람 불면 꺼진다라는 말로 유명한 김진태 의원인데, 당시 자신의 트위터에 "이번 법 개정으로 앞으로의 간첩 수사에 도움이 될 것"이라며 자화자찬하기도 했는데 박근혜-최순실 게이트가 터지고 이때 최순실의 태블릿에 들어 있던 문서 파일들을 최순실이 부정할 때, 김진태가 개정한 법률 덕분에 증거로 인정받게 되면서(...) 본의아니게 수사에 큰 도움을 주게 되었다.