728x90
범죄를 밝혀내기 위한 수사 방법 "포렌식 [Forensic]"
포렌식 [Forensic] 이란?
범죄를 밝혀내기 위한 수사에 쓰이는 과학적 수단이나 방법, 기술 등을 포괄하는 개념입니다.
국내에선 '범죄과학'이란 용어로 번역되며, 공청회를 뜻하는 라틴어 'forensis'에서 유래한 만큼
공개적인 자리에서 누구나 인정할 수 있는 객관성 담보가 목적입니다.
범죄현장에 남은 지문·DNA 등을 분석하는 증거물 분석이 대표적인 포렌식 분야로 꼽힌답니다.
지식정보화 사회를 맞아 디지털 증거의 수집·분석은 수사에 없어서는 안 될 도구로 인식되고 있습니다.
대한민국은 2007년 서울중앙지검에 '디지털 포렌식'팀이 신설됐으며,
디지털 포렌식을 전담하는 대검찰청의 국가디지털포렌식 센터는 2008년 문을 열었습니다.
현장에서 입수한 컴퓨터와 노트북, 외장 하드 등에 저장된 자료들을 복구하고 분석하는 컴퓨터 포렌식과
스마트폰·태블릿PC의 내부 메모리로부터 데이터를 추출해 문자메시지·전화번호부·동영상·사진·통화 내역 등을
복원하는 모바일 포렌식으로 나뉩니다.
컴퓨터나 디지털 저장장치 등에
저장된 전자정보나 네트워크에서 전송된 전자정보 중 법정 증거로 가치가 있는 디지털 증거를 수집합니다.
포렌식의 정의
포렌식이란 국내에선 '범죄과학' 정도로 번역하지만 영국의 저명한 옥스퍼드 사전은
포렌식을 '범죄조사에 적용하는 과학적 방법과 기술'이라고 정의하고 있습니다.
(Relating to or denoting the application of scientific methods and techniques to the investigation of crime)
결국 포렌식은 범죄를 밝혀내기 위한 모든 과학적 수단이나 방법이라고 볼 수 있으며,
범죄현장에 남은 지문이나 DNA 등을 분석하는 '증거물 분석'(trace evidence)이
가장 대표적인 포렌식 분야로 손꼽힙니다.
국내 포렌식 수사 역사
지금부터 38년전인 1979년 8월. 검찰은 국내 최초로 '거짓말 탐지기'를 수사에 활용 했습니다.
범죄 혐의자가 진실을 말하는지, 거짓말을 하는지 가려주는 신기한 장치인 거짓말 탐지기는
당시 수사 기법 중 가장 과학적인 기법으로 통했습니다.
검찰의 과학수사는 바로 이때부터 시작됐다고 해도 과언이 아니며,
이후 검찰은 1986년 문서감정실을 설치했고, 1989년에는 형사사진실과 음성분석실도 가동합니다.
그러나 사실 이 수준을 과학수사라고 보기는 힘들었고,
전문가들은 2007년 서울중앙지검에 신설된 '디지털 포렌식'팀의 가동으로
국내 과학수사 기법이 본격적으로 꽃을 피웠다고 봅니다.
실제 포렌식 적용 사례
윤송이 엔씨소프트 사장의 부친이자 김택진 대표의 장인을 살해한 혐의로 구속된 피의자 조사에서도
디지털 포렌식 수사가 진가를 발휘했습니다.
경기 양평경찰서는 허모씨의 휴대전화를 디지털 포렌식으로 조사해
살인 전후 허씨가 범행과 관련된 단어를 검색했다는 사실을 포착했습니다.
허씨는 범행 전 휴대전화를 통해 '고급주택'과 '가스총' 같은 단어를 검색한 것으로 드러났으며,
'수갑'과 '핸드폰 위치 추적' 도 그가 범행 전 검색한 단어였습니다.
반면 범행 직후에는 '살인', '사건사고' 등을 검색했습니다.
이미 디지털 포렌식으로 그의 범행에 상당한 혐의를 찾아낸 것입니다.
또한,
국정농단 사건을 불러온 최순실의 태블릿PC도 디지털 포렌식이 아니었다면,
사상 초유의 대통령 탄핵 사태의 불쏘시개가 될 수 없었을 것입니다.
최씨는 태블릿PC가 본인 것이 아니라고 부인했지만,
검찰은 디지털포렌식을 통해 태블릿PC에 저장된 대통령 연설문 등
각종 문서가 정호성 전 청와대 부속비서관으로부터 전달된 점을 확인했고,
청와대와 각 부서의 문서가 완성도 되기 전에 최씨에게 전송된 사실을 밝혀냈습니다.
이후 최씨 변호인 측이
"태블릿PC의 포렌식 분석이 검찰에서 이뤄져 믿을 수 없다"며
서울대나 카이스트, 국립과학수사연구소 중 1곳에서 다시 포렌식 분석을 해달라고 요청해
포렌식이 또 한번 화제가 됐었습니다.
포렌식 조직과 수사 범위
이처럼 방대한 개념의 디지털 포렌식은 대검의 국가디지털포렌식 센터가 전담하고 있습니다.
이 센터에서 크게 과학수사1·2과, 디지털수사과, 사이버수사과 등 4개 과를 운영하고 있습니다.
과학수사1과는 ▷문서감정 ▷심리분석 ▷멀티미디어(영상, 음성) 분석 ▷화재수사 등을 맡으며,
과학수사2과는 법화학 감정과 DNA 감정, DNA데이터 관리가 주업무입니다.
그중에서도 디지털 포렌식은 디지털 수사과과 전담합니다.
디지털 수사과는 컴퓨터나 디지털 저장장치 등에 저장된 전자정보나 네트워크에서 전송된 전자정보 중
법정 증거로 가치가 있는 '디지털 증거'를 수집하는데 총력을 기울이고 있습니다.
대검 디지털 수사과는 서울고검과 부산고검, 대구고검, 광주고검, 대전고검 등
5개 고검 관내의 지검들에 설치된 디지털포렌식팀을 총 지휘합니다.
특히 지식정보화 사회를 맞아 디지털 증거의 수집과 분석은
수사에 없어서는 안될 도구로 인식되고 있습니다.
위에서도 언급했지만,
디지털 수사과는 압수 현장에서 입수한 컴퓨터와 노트북, 외장 하드 등에 저장된 자료들을 복구하고 분석하는
'컴퓨터 포렌식'과 스마트폰이나 태블릿PC의 내부 메모리로부터 데이터를 추출해 문자메시지와 전화번호부,
동영상, 사진, 통화내역 등을 복원하는 '모바일 포렌식'으로 나쥡니다.
여기에 컴퓨터 emd 디지털 증거물의 암호 해제도 디지털 수사과의 핵심 기능입니다.
총기 사고가 잦은 미국 등에서는 탄피의 운동궤적이나 탄피가 긁힌 흔적 등을 분석하는
탄도학(ballistics) 또한 포렌식에서 중요한 분야를 차지합니다.
디지털 포렌식 적용 사례
그렇다면 이런 포렌식은 실제 범죄 수사에 어떻게 적용될까요?
희대의 사기꾼 조희팔 사건에서
검찰은 이메일 1만5000건과 예금계좌 140만건, 통화 13만건, 삭제 파일 65GB를 정밀 분석해
조희팔의 차명 휴대전화를 확인하고 도피처를 파악했습니다.
검찰은 이와 함께 2000만건의 금융거래내역도 샅샅이 뒤져, 조희팔이 운영하던 기업의 매출 규모가 5조원에
달한다는 것을 적발하고, 차명계좌에 은닉한 자금도 색출했습니다.
근로시간 조작 등 기업의 노동법 위반 혐의를 밝혀내는데도 디지털 포렌식이 결정적인 역할을 하고 있습니다.
서울지방고용노동청 포렌식팀은 넷마블 계열사 12곳에서 전체 노동자 3250명 가운데 2057명의 법정노동시간
초과와 연장근로수당 44억원 체불을 적발했다. 건물 출입 기록과 컴퓨터 사용 기록, 야근 교통비 및 식대 지급
내역 등을 찾아내 분석한 결과입니다.
이밖에 파리바게뜨가 협력업체 제빵기사들의 퇴근 시간을 전산 조작해
연장근로수당을 축소 지급한 혐의도 디지털포렌식을 통해 밝혀졌습니다.
침해 대응과 포렌식 요약
침해 사고 대응 절차 | ||||
사전 대응 | 침해 사고가 발생하기 이전에 대응을 준비하는 단계로 실질적인 침해 사고 대응 체계를 갖춘다. | |||
사고 탐지 | 정상적인 운영 상태인지 침해 사고 발생 상태인지 확인한다. | |||
대응 | 침해 사고로 인한 손상을 최소화하고 추가적인 손상을 막는다. | |||
• 단기 대응 : 손상을 최소화하기 위한 단계로 침해 사고가 발생한 시스템이나 네트워크를 탐지하고 통제할 수 있는 경우 해당 시스템이나 네트워크의 연결을 해제하거나 차단한다. • 백업 및 증거 확보 : 후속 처리를 위해 침해 사고 발생 시스템을 초기화하기 전에 백업하고, 포렌식 절차에 따라 시스템의 이미지를 획득한다. • 시스템 복구 : 시스템에 백도어 등의 악성코드를 제거하고, 시스템 계정 및 패스워드를 재설정하고 보안 패치 적용 뒤, 다시 서비스 서비스가 가능하도록 네트워크에 연결한다. |
||||
제거 및 복구 | 최초 침해 사고 발생을 탐지한 시스템 및 네트워크 이외에 추가적으로 침해 사고가 발생한 곳이 있는지 모두 확인하고 조치한다. |
|||
후속 조치 및 보고 | 침해 사고에 대한 보고서를 작성하고 침해 사고의 원인을 확인하며 장기적인 대응책을 마련한다. | |||
정상적인 운영 상태인지 침해 사고 발생 상태인지 확인한다. |
포렌식을 통해 획득한 증거는 법적으로 전문 증거(Hearsay Evidence)에 해당하며,
다음과 같은 원칙에 따라 수집되어야 합니다.
• 정당성의 원칙 :
모든 증거는 적법한 절차를 거쳐서 획득한 것이어야 한다.
• 재현의 원칙 :
똑같은 환경에서 같은 결과가 나오도록 재현이 가능해야 한다.
• 신속성의 원칙 :
정보는 휘발성을 가진 것이 많기 때문에 비교적 신속하게 이루어져야 한다.
• 연계 보관성의 원칙 :
증거는 획득되고, 이송/분석/보관/법정 제출 등의 과정들이 명확해야 한다.
• 무결성의 원칙 :
증거는 위조/변조되어서는 안된다.
포렌식의 수행 절차
• 수사 준비 :
수사를 위해 장비와 툴을 확보하고, 적절한 법적 절차를 거쳐 피의자 또는 수사 대상에 접근한다.
• 증거물 획득(증거수집) :
증거물을 획득할 때는 증거를 획득한 사람과 이를 감독한 사람,
그리고 이를 인증해주는 사람의 참관하에 수행한다.
• 보관 및 이송 :
획득된 증거는 앞서 언급한 연계 보관성을 만족시키며 보관되고 이송되어야 한다.
• 분석 및 조사 :
최량 증거 원칙(The Best Evidence Rule)에 따라 법원에 제출하는 원본 또는
최초의 복제물은 기본적으로 보관하고, 이를 다시 복사한 것을 가지고 조사 및 분석한다.
• 보고서 작성 :
증거 데이터, 분석 및 조사 과정에서 증거 수집을 위해 수행하면서 문서화한 무결성과 관련된 정보,
스크립트 수행 결과를 보고서화하여 증거와 함께 제출한다.
네트워크 증거수집
• 보안 솔루션 이용 :
침입탐지시스템, 침입 차단 시스템, 방화벽, MRTG 등에 남아있는 로그를 증거로 확보한다.
• 네트워크 로그 서버 이용 :
네트워크 로그 서버가 설치되어 있으면 해당 로그를 증거로 확보한다.
• 스니퍼 운용 :
백도어 또는 웜/바이러스에 대한 탐지 활동 및 증거 수집 활동으로 증거를 확보한다.
시스템(PC)에서의 증거 수집
• 활성 데이터 수집(Live Data Collection) :
시간이 지나면 쉽게 사라지는 네트워크 세션 데이터와 메모리에 존재하는 정보를 얻는다.
• 시스템 로그 분석 :
시스템에 동작되도록 설정된 로그를 분석하여 침해 사고 관련 증거를 확보한다.
• 저장 장치 분석 :
시스템의 하드 디스크에 저장된 정보 외에 삭제된 정보를 획득한다.
데이터 및 응용 프로그램에서의 증거 수집
• 이메일 분석 :
피의자 간 송수신 이메일을 분석해 공모 증거를 확보한다.
• 인터넷 분석 :
시스템에 저장되어 있는 인터넷 브라우저의 쿠키나 index.dat 파일을 이용한다.
방문 사이트의 정보를 획득하고 작업 내용 파악한다.
• CAATs :
숫자로 확보된 증거의 무결성 및 위조된 부분을 찾아내기 위한 데이터를 분석한다.
728x90
반응형
LIST
'자기계발 > 사소한 궁금증' 카테고리의 다른 글
"군함도"라 불리는 일본의 섬 "하시마 탄광" (0) | 2021.05.20 |
---|---|
코로나 백신 비교 (0) | 2021.05.15 |
존 폰 노이만 (0) | 2021.05.09 |
과민성대장증후군이란? (0) | 2021.05.07 |
미닝(Meaning)과 커밍아웃(Coming out)의 합성된 "미닝아웃" (0) | 2021.05.06 |