[박용인의 JOB카툰] 디지털포렌식수사관, 디지털데이터를 활용해 범죄수사 정보를 도출하는 전문가
모도원 기자 입력 : 2022.08.24 07:00 ㅣ 수정 : 2022.08.24 07:00
IT 전반에 대한 풍부한 지식과 법률적 소양이 필요해
[뉴스투데이=모도원 기자] 디지털포렌식이란 범죄수사에서 과학적 증거수집 및 분석기법의 일종으로 각종 디지털 데이터 및 통화기록, 이메일 접속기록 등의 정보를 수집하고 분석해 DNA·지문·핏자국 등 범행과 관련된 증거를 확보하는 수사기법을 말한다. 디지털 포렌식은 그 분석 대상에 따라 디스크 포렌식, 라이브 포렌식(휘발성 데이터 대상), 네트워크 포렌식, 웹 포렌식, 모바일 및 임베디드 포렌식, 소스코드 포렌식, 데이터베이스 포렌식 등으로 나눌 수 있다.
■ 디지털포렌식수사관이 하는 일은?
디지털포렌식수사관이 하는 일은 크게 사전 준비, 증거 수집, 증거 포장 및 이송, 조사 분석, 정밀 검토, 보고서 작성 등이다. 먼저 증거수집·복구는 컴퓨터 메모리, 하드디스크드라이브, USB 메모리 등 저장 매체에 남아 있는 데이터를 무결하게 획득한다. 그리고 수집된 데이터에서 수사에 필요한 유용한 정보를 끌어낸다. 일부 데이터는 숨겨져 있을 수 있기 때문에 삭제된 파일을 복구하거나 암호화된 파일을 해독하는 등 보다 과학적인 분석기술이 활용된다.
가령 아동포르노 사진을 숨기기 위해 사진파일의 확장자인 JPG를 마치 한글문서 파일인 것처럼 HWP로 바꾸어 놓으면, 이 사실을 모르는 사람은 아동포르노 사진의 존재 여부를 알 수 없게 되지만, 포렌식 전문도구로 분석하면 위장된 한글문서 파일이 사실은 아동포르노 사진이었음을 밝힐 수 있게 된다.
분석은 복구한 데이터가 피의자의 것이 맞다는 것을 입증하는 것, 혐의사실 입증에 그 데이터가 어떤 증거능력을 가지는지 등을 명확히 제시하는 것 등이다. 확보한 자료는 디지털포렌식수사관의 면밀한 분석을 통해 법정에서 효력을 발휘하는 증거로 재탄생하게 된다. 또 법정에서 디지털 자료가 가지는 증거로서의 효력에 대해 공격이 들어오면 이를 미리 예상하고 대비할 수 있어야 한다.
마지막은 증거제출이다. 이런 과정을 통해 입수된 디지털 증거가 법정 증거로 채택되기 위해서는 증거자료의 신뢰성을 확보하는 과정이 필요하다. 법률적으로 디지털포렌식에 대한 표준절차뿐만 아니라 증거수집 및 분석에 사용된 포렌식 툴에 대한 검증 절차도 진행된다.
■ 디지털포렌식수사관이 되는 법은?
디지털포렌식은 법학과 인문학, 컴퓨터공학 등의 융합으로 탄생한 분야다. 따라서 다양한 분야의 지식과 능력이 골고루 요구된다.
기본적으로 갖춰야할 것은 원본 데이터 수집 기술(이미징 기술, 이미지 인식 기술, 네트워크 정보 수집, 메모리기반 장치 복제 기술, 휘발성 데이터 수집, 하드디스크 복구, 메모리 복구, 삭제된 파일 복구, 암호 통신 내용 해독 등), 증거 분석 기술(로그 및 레지스트리 분석, 영상 정보 분석, 데이터마이닝, 네트워크 시각화, 저장 매체 사용 흔적 분석 기술 등)이다.
이를 위해서는 컴퓨터시스템, 하드웨어, 운영체제, 정보보안 등 IT 전반에 대한 풍부한 지식이 필요하다. 이에 더해 논리력과 스피치 능력 등 법정에서 발휘할 수 있는 변론능력을 갖춰야 한다. 글쓰기 능력도 중요하다. 디지털 자료의 확보, 복구, 해석 과정과 결과를 보고서로 작성해 법정에 제출해야 한다. 자료가 증거로 채택된 후 재판과정에서 법리 싸움을 벌일 때에는 보고서 내용이 얼마나 논리적인지가 매우 중요하므로 이를 뒷받침할만한 글쓰기 능력이 필요하다.
더불어 법적 소양도 중요하다. 특히 증거 관련 규정이 포함되어 있는 형소법이나 형법에 대한 이해가 필수적이다. 앞으로는 디지털포렌식을 전문으로 하는 민간회사도 많이 나타날 것으로 보이며, 그때를 대비해 민법, 민소법에 대한 지식도 갖춰놓는 것이 좋다.
관련학과로는 정보보호 관련 학과가 있지만 아직까지는 디지털포렌식을 전문으로 배우기에는 부족한 형편이다. 하지만 최근 군산대, 고려대 등의 학부과정과 극동대학교, 동국대학교 대학원 등에서 포렌식을 전문으로 다루는 학과를 개설하고 있다. 국내 관련 자격증으로는 한국포렌식학회에서 주관하는 디지털포렌식전문가 자격증, 사이버포렌식전문가협회에서 인증하는 사이버포렌식조사전문가 자격증이 있고 국제적 전문 자격증으로는 EnCE 디지털 포렌식 수사자격, 미국 엑세스테이터의 FTK 포렌식 전문가자격증(ACE) 자격증 등이 있다.
■ 디지털포렌식수사관의 현재와 미래는?
현재 활발히 활동 중인 전문가들은 국가수사기관에 소속된 전문 수사관들이 대부분이다. 그 외에는 소수이기는 하지만 특허소송 등을 대비해 대기업의 법무팀 산하에 디지털포렌식 조직을 두고 있기도 하고, 회계법인이나 대형로펌에서 일하는 전문가들도 일부 있다. 회계 관련 자료가 데이터베이스화되어 있기 때문에 회계장부 관리를 하는 데에도 포렌식 기술을 갖춘 인력이 활동 중이다. 기업에 속해있는 경우 아직은 포렌식 도구를 이용해 디지털 자료를 수집하고 손상된 데이터를 복구하는 수준이지만 앞으로 분석 능력까지 갖추어야 더 활발한 활동을 기대할 수 있다.
사회가 점차 지식정보화 되고 이에 따라 생활 전반이 IT에 의해 움직이고 있다. 이 때문에 사이버 범죄의 발생 건수가 늘어나는 것은 물론, 수법도 다양화되고 있다. 따라서 향후 디지털 과학수사에 대한 수요는 커질 수밖에 없다. 대기업의 법무팀이나 감사실에서도 기술 유출 등에 대처하기 위해 채용에 대한 움직임이 더욱 활발해지고 있다. 지금은 대부분의 포렌식 수사를 국가기관이 주도하고 있지만 수요가 늘어나게 되면 점차 민간으로 확대될 전망이다.