2013년 5월 21일 화요일
[기사] e-Discovery와 디지털 포렌식의 공통점과 차이점 살펴보기
e-Discovery와 디지털 포렌식의 공통점과 차이점 살펴보기
e-Discovery 소프트웨어, 디지털 포렌식에 비해 빅데이터에 더 특화
본지에서는 현재 우리나라에서 이슈가 되고 있는 e-Discovery에 대한 개념적인 이해를 돕고, 나아갈 방향을 제시하기 위해 현재 기업보안담당자로 근무하고 있는 유정호 씨의 기고를 6회에 걸쳐 연재합니다. 독자 여러분들의 많은 관심 부탁드립니다. [편집자주]
연재목차-----------------------------
1회 e-Discovery의 필요성과 수행환경
2회 e-Discovery의 정의와 목적
3회 e-Discovery와 Digital Forensics
4회 e-Discovery 절차
5회 우리나라에서의 e-Discovery
6회 e-Discovery를 위한 준비
------------------------------------
[보안뉴스=유정호] 디지털 포렌식(Digital Forensics)과 e-Discovery는 보안업계 뿐만 아니라 많은 기업인들에게 주목을 받고 있다. 이 두 단어는 기업과 국가기관에서 보안, 수사 분야를 경험한 사람이나 관련 분야를 공부한 사람에게는 쉽게 구분될 수 있는 용어이지만 해당 분야에 생소한 사람들은 차이점을 구분하기 어려울 수도 있다.
사실 보안업무에 종사하는 사람들도 정확한 차이점을 설명하기란 쉽지 않을 만큼 이해하는데 어려움이 따를 수도 있는 것이 e-Discovery와 디지털 포렌식이다. 그리고 많은 언론에서 이 개념을 중복하거나 혼동해 보도하기도 하고, 그만큼 유사한 점도 많아 오해를 불러일으키기도 한다. 이에 3회에서는 디지털 포렌식과 e-Discovery의 차이점에 대해서 언급하고, e-Discovery 관점에서의 디지털 포렌식 활용방안에 대해서 제시하고자 한다.
디지털 포렌식이 우리나라에 알려진 것은 e-Discovery에 비해 조금 더 이전이라고 볼 수 있다. 디지털 포렌식(Digital Forensics)은 forensic과 digital의 합성어로, ‘법정에서 사용하는데 적합한 정보의 분석’이라는 뜻을 지닌 forensic 기법으로 디지털 정보를 취급하는 것을 말한다.
여기서 말하는 디지털 정보는 법률 제11690호 ‘전자문서 및 전자거래 기본법’ 제2조에서의 ‘정보처리시스템에 의하여 전자적 형태로 작성, 송신·수신 또는 저장된 정보’로 정의된 전자문서와 같이 디지털 형태로 저장된 각종 정보들 중 법정에서 재판에 사용될 정보를 말한다. 이러한 정보는 우리가 흔히 사용하는 컴퓨터와 스마트폰, 스마트패드, 디지털 카메라, 외장형 하드디스크, 서버, USB 플래시 디스크, DVD 등의 저장매체에 저장되는데 디지털 포렌식에서는 이러한 저장매체에 저장된 정보를 최초 수집부터 보관, 분석, 제출의 단계까지 정해진 일련의 절차대로 취급한다.
최근 기업보안팀에서 퇴사자에 대한 감사나 정보 유출이 의심되는 컴퓨터 등을 대상으로 디지털 포렌식을 수행한다고 표현하는 경우가 종종 있는데 법정에서 증거로 사용하지 않고, 삭제된 데이터를 복구하거나 데이터의 정밀 검색을 하는 경우라면 해당 기업에서 수행하는 것은 디지털 포렌식의 복구기법이나 정보검색 기법을 사용했다고 하는 것이 맞는 표현이라고 본다.
우리나라에 ‘과학수사’라고 알려진 Forensic Sciences는 법정에서의 문제 해결에 과학적인 분석 기법을 적용한 것으로 소송절차 중에 사용된 과학적 영역을 일컫는 말이다. 이는 디지털 포렌식보다 더 큰 의미를 가진 개념으로 기존에는 물리학과 의학, 화학의 개념에서 출발했지만 오늘날에는 법정에서 소송중인 사실과 관련된 가장 전문화되고, 적절한 분야의 기법이라면 어떤 것이든지 활용될 수 있는 의미로 인식되고 있다. 결국 디지털 포렌식도 Forensic Science 분야의 한 영역이고, 그 중 디지털 정보에 대해서 특화된 것이라고 할 수 있다.
e-Discovery와 디지털 포렌식은 표현은 다르지만 취급하는 대상에 있어 많은 공통점이 있다. e-Discovery에서 취급하는 Electronically Stored Information은 디지털 포렌식에서도 증거로 동일하게 취급될 수 있다. 가끔 e-Discovery 관련 서적이나 전문가의 글에서 디지털 포렌식 기법이 필요하다는 내용을 볼 수 있는 이유도 바로 여기에 있다. e-Discovery와 디지털 포렌식에서 주로 사용되는 분석기법은 다음과 같다.
각종 범죄사건 수사에서 디지털 포렌식 절차 수행 간에 가장 많이 분석하는 정보 중의 하나가 바로 메타데이터(metadata)에 관한 정보이다. 메타데이터는 ‘데이터에 대한 정보’라고 표현할 수 있는 정보처리기기나 저장장치에 저장된 정보에 대한 속성 값을 말한다. 예를 들어, 문서파일을 분석할 경우 메타데이터를 분석하면 최초 작성된 시간과 마지막으로 수정된 시간, 최종 접속시간 등에 대한 정보를 확인할 수 있고, 사진 파일의 경우 촬영한 카메라와 위치정보(GPS와 연동된 카메라로 촬영된 사진의 경우) 등도 확인할 수 있다.
또한, 파일의 형태(사진, 문서, 음성, 영상 등 파일의 종류)가 조작된 경우 메타데이터를 분석하면 파일의 본래 형태와 조작여부를 확인할 수도 있다. 디지털 포렌식 분석을 수행하는 동안 분석자들은 이 메타데이터를 면밀히 분석하고, 이에 대한 훼손을 방지하기 위해 노력하게 되는데, 만약 메타데이터가 손상되는 경우에는 파일의 작성시기가 변경되어 사건과 관련된 증거로 사용하지 못할 수도 있다.
쉽게 말해서 문서를 2011년 11월 12일에 작성했더라도, 2013년 5월 8일에 그 문서를 열람하다가 수정하고, 저장을 하게 되면 그 문서는 최종 수정된 날짜가 2013년 5월 8일로 변경되게 된다. 문서의 내용을 수정하지 않았고, 일부 오타만 수정했다고 하더라도 해당 내용에 대해서는 입증할 수 없기 때문에 수정된 파일은 2011년 11월 12일에 작성된 기록으로서의 역할을 하지 못하게 된다.
만약 e-Discovery 준비 과정에서 회사의 검토자가 서버에 직접 접속하여 문서 파일을 열람하다가, 수정하게 된다면 해당 문서는 e-Discovery 준비기간에 수정된 문서가 되어 증거로의 활용이 불가능해질 수도 있다. 이러한 상황을 예방하기 위해 디지털 포렌식 절차에서는 증거의 원본을 포렌식 복제(forensic duplicate, bit by bit capture, mirror imaging이라고도 하며, 디스크에 저장된 데이터만 복사하는 것이 아니라 삭제된 파일과 사용하지 않는 공간을 포함한 디스크 전체의 구조와 정보를 복제하는 개념)해 원본은 보존하고, 생성된 사본을 대상으로 분석을 하게 되는데, e-Discovery 절차 수행과정에서 최초 필요한 정보 수집 시 포렌식 복제를 통해 원본의 사본을 생성하는 것도 동일한 맥락이라고 볼 수 있다.
e-Discovery의 절차에서 많은 비용과 시간을 소요하는 부분 중 하나는 삭제된 파일에 대한 복구와 검토이다. 디지털 포렌식과 마찬가지로 e-Discovery에서도 삭제된 정보를 복구해 증거로 활용할 수 있다. 또한, 상대방 당사자는 이 삭제된 정보에 대해서 복구를 요구하기도 한다. 이는 디지털 포렌식에서 삭제된 파일을 복구하여 증거로 제시하는 과정과 유사하지만 복구하고, 검토할 데이터의 양과 방법에서 차이가 있다.
엄격하게 표현하면 디지털 포렌식에서의 ‘삭제된 정보의 복구’라고 표현되는 기법은 디스크에 기록된 영역의 전체가 삭제된 정보를 복구하는 것은 아니다. 만약 문서 파일 1개가 2,000개의 퍼즐로 이루어진 그림이라고 한다면 일반적으로 컴퓨터가 파일을 삭제한다는 개념은 2,000개의 퍼즐 조각 모두를 삭제하는 것이 아니라 퍼즐이 조립된 그림판을 퍼즐이 보이지 않게 하얀 천으로 덮어놓고 “이 그림판에는 퍼즐이 채워져 있지 않으니 다른 퍼즐로 채워도 됨”이라고 적어 놓은 것이라고 볼 수 있다.
컴퓨터의 일반적인 기능을 사용하는 사용자는 하얀 천 밑에 있는 퍼즐을 보지 못하고, 컴퓨터는 다른 파일을 생성할 때 기존의 퍼즐이 있던 그림판을 저장장소로 사용할 수 있다. 디지털 포렌식에서의 복구는 이 퍼즐 위에 있던 천을 제거하여 퍼즐의 내용을 보여 주는 작업이라고 볼 수 있고, 때로는 퍼즐 조각의 일부가 분실된 것을 확인하여 전체 그림은 아니더라도 부분적인 그림을 완성하여 주는 역할을 한다.
e-Discovery를 수행하기 위해서 필요한 정보를 수집·분석·생성해 제출하는 과정에서는 디지털 포렌식 기법의 적용이 반드시 필요하다. 굳이 디지털 포렌식 기법이 아니더라도 컴퓨터 공학적인 기법과 그와 관련된 법률적 검토가 필요하다고 표현할 수도 있으나 디지털 포렌식이 필요하다고 하는 이유는 오랜 시간 동안 디지털 정보를 수집·분석하며, 법정에서의 증거능력을 유지하기 위한 조건을 판단하고, 보관하는 절차를 정립해온 디지털 포렌식 만큼 e-Discovery의 정보 취급 절차에 부합되는 절차는 없다고 생각하기 때문이다.
하지만 모든 e-Discovery 절차를 디지털 포렌식 기술로만 해결하지는 못한다. e-Discovery에서 필요한 정보의 식별과 분석을 하는 과정에서 디지털 포렌식 소프트웨어가 사용되는 경우도 있지만 별도의 e-Discovery 소프트웨어가 사용되는 것을 볼 수도 있다. 이 두 가지 소프트웨어의 차이점은 e-Discovery에서 요구하는 기능과 수행환경을 알면 쉽게 이해할 수 있다.
e-Discovery의 정보수집과 분석대상은 1, 2대의 컴퓨터가 아니다. e-Discovery의 취급 정보를 저장한 매체들 중에는 디지털 포렌식의 주요 분석대상이 되는 개인 컴퓨터나 모바일 단말기 같은 장비도 있지만, 기업의 주요 정보들을 종합하여 저장하거나 e-mail 등을 저장하는 대용량 서버들이 대량으로 있을 수도 있다. e-Discovery에서는 이러한 대상에서 필요한 정보들을 식별하고, 수집해서 분석해야 한다. 이는 디지털 포렌식에서 수행하는 것처럼 소수의 전문가가 장비를 복제하고, 데이터를 복구하여 분석하는 것이 아니다. 각기 다른 형태를 하고, 상이한 내용을 저장한 장비를 복제한 다음 삭제된 데이터를 복구하여 다수의 인원이 분석을 해야 한다.
또한, e-Discovery의 분석과정에서 이루어지는 문서 검토는 디지털 포렌식에서의 분석과는 상이한 조건에서 수행된다. 기업의 대용량 정보에서 수집된 정보들을 자체 변호사와 국내 및 미국의 e-Discovery 전문 법무법인 등에 소속된 검토자가 중복해서 검토를 해야 하는데, 정밀검토 대상이 되는 정보의 양이 수백 GB를 넘어설 수도 있다. 또한, 이러한 정보들은 워드나 엑셀, 파워포인트, 한글, 사진, 음성 등 다양한 형태로 구성되어 있고, 검토자들의 원활한 검토와 보안을 유지하기 위해 별도로 구성된 온라인상에서 정보를 공유해야 할 때도 있다.
이렇게 공유된 문서들을 중복해서 검토하게 되면 검토할 대상의 양과 복잡성에 따라 검토시간이 증가하게 되고, 이는 비용 증가로 연결된다. 그래서 e-Discovery 소프트웨어는 소송 당사자 기업에서 사용하고 있는 저장공간을 분석하여 소송에 필요한 데이터를 추출 및 종합하고, 이를 다시 분석해서 검토자들에 의해서 검토될 수 있도록 공유기능을 제공해야 한다.
또한, 다양한 종류의 형태를 가지고 있는 파일들을 pdf파일이나 tiff파일 등 간단한 구동 및 검색이 용이한 파일 형태로 변형할 수 있어야 하고, 기존에 출력된 종이문서를 스캔하여 보관 중인 정보들에서 문자를 인식하여 검색할 수 있는 OCR(Optical Character Reader, 광학 문자 판독기)과 같은 기능도 제공해야 한다. 더불어 다양한 저장공간에서 추출된 정보들의 위치를 기록한 후, 소송에 필요한 데이터의 위치정보 지도를 구현할 수 있는 데이터 도표화(Data Mapping) 기능도 구현할 수 있어야 한다. 그리고 이러한 기능에 보안 기능은 필수적으로 적용되어야 한다.
위와 같은 e-Discovery의 요구조건과 수행환경은 1명 또는 소수인원이 독립된 특정 매체를 대상으로 데이터를 복구하고, 필요한 정보를 검색하여 증거로 활용하는 디지털 포렌식과는 다소 상이하다. 물론 e-Discovery 수행 중에도 특정 장비에 대한 정밀 복구와 분석이 필요한 경우와 ESI가 저장된 단말기의 포렌식 복제를 하는 경우에 디지털 포렌식 기법이 사용된다. 하지만 디지털 포렌식 기법만으로는 e-Discovery에서 취급되는 빅데이터(Big Data)에 대한 검색과 추출이 어렵고, 해당 정보들을 수집하여 공유하는 기능을 수행하는 것이 제한된다. 이런 이유에서 e-Discovery 소프트웨어들은 디지털 포렌식 소프트웨어에 비해 빅데이터에 더 특화된 소프트웨어라고 볼 수 있다.
e-Discovery와 디지털 포렌식은 디지털 정보를 법정에서 요구하는 조건을 반영한 절차대로 취급하는 만큼 공통점이 많다. 그렇기 때문에 e-Discovery에 디지털 포렌식 기법은 많이 활용되어야 하고, 최초 e-Discovery에 대한 정책과 대응방안을 수립할 때 디지털 포렌식에서 정립된 정보에 대한 취급 기술이 충분히 반영되어야 할 필요가 있다.
우리나라의 경우 수사기관과 학계를 중심으로 디지털 포렌식이 발전한 반면에 e-Discovery는 기업과 법무법인을 중심으로 발전하다 보니 아직 많은 면에서 활발한 교류가 이루어지지 않고 있는 것으로 보인다. 하지만 e-Discovery와 디지털 포렌식의 목적, 개념, 환경을 이해한다면 두 가지 분야에서 서로 활용 가능한 지식들을 이해할 수 있을 것이고, 이는 양쪽 분야의 동반 발전으로 이어질 수 있다.
아직까지 대중적인 관심과 역사 면에서 e-Discovery에 대한 더 많은 연구가 필요하지만, 국내법과 미국법, 디지털 포렌식 기법, 기업의 보안과 정보관리 환경 등에 대해서 조금 더 활발한 연구와 노력이 지속된다면 우리나라에서 이룩한 디지털 포렌식의 높은 수준과 같이 e-Discovery의 수준도 향상될 것이라고 본다.
[글_유 정 호(griphis77@me.com) 기업보안담당자]
필자는-----------------------------------
유 정 호(griphis77@me.com)
다년간 군 수사기관에서 디지털 포렌식과 사이버 수사교관 등을 지내면서 경찰수사 연수원, 지방경찰청 사이버수사대 등 국가기관의 강사로 활동했고, 디지털 포렌식 관련 매뉴얼 집 등 다수 서적을 집필했으며, 각종 번역작업에 참여한 바 있다. 현재는 기업에서 e-Discovery, 디지털 포렌식, 개인정보보호 등의 업무를 담당하고 있다.
라벨:
관련기사,
관련뉴스,
포렌식,
e-Discovery
피드 구독하기:
댓글 (Atom)
댓글 없음:
댓글 쓰기