[기자수첩] 사이버 범죄와 포렌식 수사

페이지 정보

작성자 cfpa 댓글 0건 조회 59회 작성일 21-03-17 19:32

본문

출처 : 정보통신신문

http://www.koit.co.kr/news/articleView.html?idxno=81176 


사회에서는 수많은 일이 일어난다. 범죄 또한 그렇다. 사람 있는 곳에는 범죄도 있기 마련이다.

정보통신기술이 발달한 현대에는 다른 사람의 계정을 탈취해 각종 정보를 빼내는 일이 빈번하게 일어나고 있다.

범인들은 범행 이후 흔적을 삭제하고 나선 '설마 들키기야 하겠느냐?' 따위의 안일한 생각을 한다.

포렌식 수사는 이런 안일함을 파고드는 데서 시작된다.

포렌식이란 디지털기기를 통해 특정 행위의 사실 관계를 밝히는 절차·방법이라고 정의할 수 있다.

수사기관은 삭제된 범행 흔적을 여러 가지 포렌식 기술을 이용해 찾아내고 복원하는 방식으로 범죄의 실체적 진실을 밝혀 나간다.

포렌식 기술을 잘 알지 못하는 범죄자는 자신이 알고 있는 지식 한계 내에서 나름대로 시스템 정보를 삭제한 다음 "증거 인멸을 완벽하게 했다"며 스스로 뿌듯해 할 수 있을 것이다.

하지만 각종 장치의 입·출력값, 프로그램과 파일 엑세스 명세, 웹페이지 접속 기록, 네트워크 사용 이력 등이 OS에 의해 여러 방식으로, 여러 공간에 저장된다.

대표적인 게 스왑파일이다. RAM은 전원을 차단할 경우 그곳에 저장됐던 데이터가 휘발되는 게 보통이다. 하지만 OS는 업무 수행을 좀 더 빠르게 할 수 있도록 RAM이 갖고 있는 데이터를 일시적으로 보조기억장치에 보관한다. RAM의 데이터가 임시 보관되는 장소가 스왑파일(윈도 OS는 페이징파일이라고 지칭)이다. 수사기관은 사이버 범죄의 전모를 밝히는 데 있어 스왑파일 분석을 실시하고 있다.

윈도 OS는 이밖에도 프리·슈퍼패치 등을 통해 프로그램과 파일의 실행, 생성, 변경, 삭제 이력 등을 보관한다.

수사기관은 이처럼 디지털기기 곳곳에 다양한 방식으로 저장된 각종 정보를 분석해 범죄가 어떻게 일어났는지를 재구성하는 게 가능하다.

범행을 부인하는 범인들은 결국 수사기관이 제시하는 디지털 증거 앞에서 자기가 저지른 일을 실토할 수밖에 없다. 일부 범죄자들은 범행을 끝까지 부인하다가 형사 재판에서 '반성하지 않는다'는 이유로 높은 형량을 선고 받기도 한다.

이 같은 일들은 포렌식 기술이 날이 갈수록 발전하고 있기 때문에 가능한 것이다.

아울러 클라우드화 돼 가는 사회 흐름은 포렌식 수사에 있어서도 변화를 불렀다.

기존에는 단독 범행에 아닌 공모 범죄를 수사함에 있어서 범죄자 간의 공모 사실을 밝히기 어려웠다.

공모 행위는 대다수가 음성 대화로 은밀하게 이뤄지므로 공모 즉시 증거가 휘발되기 때문이다. 결국 범인들의 자백에 의존해야 하는 경우가 상당수였다.

하지만 요즘에는 사이버 범죄자들이 카카오톡 등의 메신저를 이용해 범행을 공모하거나 탈취한 정보를 전송·복제하는 일이 흔하다.

수사기관은 범죄 공모에 사용됐을 것으로 추정되는 카카오톡 대화 내용이나 클라우드 저장공간을 압수수색하는 방식으로 실체적 진실에 다가간다.

메신저·클라우드 서비스 제공 기업들은 삭제 데이터를 일정 기간 보관하므로 수사기관은 증거 확보에 큰 곤란을 겪지 않는 것으로 알려져 있다.

이 뿐만이 아니다. 각종 정보가 데이터베이스(DB)화되는 요즘, 시스템 이용자가 삭제 처리한 정보는 실제로 삭제되지 않는 게 보통이다. 단지 DB에서 '삭제 플래그' 처리돼 해당 정보가 보이지 않게 될 뿐이다.

이 같은 사실들을 알지 못하는 사이버 범죄자들이 많다. 삭제 정보가 표출되지 않으니 정보가 실제로 삭제된 것이라고 여기는 것이다. 사이버 수사를 수행하는 수사기관 입장에서는 다행이기도 하다.

결국 수사기관이 삭제 플래그 처리된 자료를 찾아내 제시하면, 범인들은 그제서야 망연자실한 모습을 보인다.

나름대로 치밀하게 증거 인멸을 했다고 생각했지만, 그것은 그저 범인들의 망상이었을 뿐이었다.

사회의 많은 업무가 온라인화되면서 범죄 또한 온라인으로 그 발생 무대가 옮겨지는 현실은 사이버 범죄 피해자에게도 시사하는 바가 크다.

사이버 범죄 피해자들도 오프라인 중심이 아닌 사이버·온라인 중심의 피해 대응이 필요하다는 것이다.

사이버 범죄 피해자는 사건을 인지한 즉시 피해 발생 기기에서 추가적인 자료 입출력이 발생하지 않도록 해야 한다. 가장 좋은 방법은 기기의 전원을 끄고 다시 켜지 않는 것이다. 그 다음 신속하게 수사기관에게 피해 발생 사실을 알리고 도움을 요청해야 한다.

사이버 범죄 피해자들은 '지연된 정의는 정의가 부정된 것'이라는 법언을 명심해야 한다.

시간이 지날수록 증거는 사라진다. 특히 사이버 범죄는 증거의 휘발 속도가 오프라인의 그것보다 빠른 경우가 많다.

빠른 데이터 입출력 성능을 가진 SSD를 예로 들자. 데이터 복구 전문가들은 SSD 저장장치의 경우 일주일 정도 작동이 계속되면 삭제된 데이터를 복구하는 게 무척 어렵다고 설명한다. TRIM 등의 SSD 관리 기능이 작동돼 삭제된 정보를 복원하는 게 힘들어진다는 이야기다.

따라서 피해자는 시간 지체로 인해 디지털 증거가 사라지지 않도록 수사기관에 신고를 서두르는 게 바람직하다.

마지막으로, 사이버 범죄를 저지른 자는 수사기관에 자수해 범행 사실을 자백하는 등 수사에 적극 협조함은 물론 피해자의 정신적·물질적 피해에 대해 배상하려는 노력을 아끼지 말아야 한다.

증거 인멸을 시도한들 결국은 수사기관의 수사 의지를 북돋게 할 뿐이다.

출처 : 정보통신신문(http://www.koit.co.kr)