디지털 포렌식이란 - 사례 및 조사 업체 선택 방법 설명. 부정이나 사건에 대한 디지털 데이터 조사 방법

사이버 공격, 부정 접속, 정보 유출, 데이터 변조...... 디지털 데이터와 관련된 사건-사고는 빈번하게 발생하며, 어느 기업에게나 발생할 수 있는 가능성을 내포하고 있습니다. 이러한 범죄, 부정행위에 대한 대책과 대응에 있어 필요한 프로세스가 바로 '디지털 포렌식'이다. 이 글에서는 디지털 포렌식의 기초 지식과 사례를 설명하고, 최적의 조사 벤더를 선택하는 방법을 소개합니다.

디지털 포렌식이란?

디지털 포렌식(Digital forensics: 또는 컴퓨터 포렌식)은 법과학의 한 분야로, 디지털 기기에 저장된 데이터를 수집하고 분석하여 범죄나 부정행위의 증거를 밝히는 수사를 말한다. 컴퓨터는 물론 스마트폰, 태블릿 등 모든 디지털 기기를 아우르는 포괄적인 개념으로 사용되고 있다.

디지털 포렌식의 목적과 필요한 경우는?

사회의 IT화로 인해 급증하고 있는 부정 접속, 데이터 변조, 원격 조작과 같은 사이버 범죄 피해뿐만 아니라 정보 유출, 분식회계와 같은 사내 범죄에서도 디지털 데이터가 단서가 됩니다. 이러한 디지털 데이터의 접근 흔적과 삭제된 데이터의 복원을 통해 원인과 증거를 규명하는 '디지털 포렌식'이 중요해지고 있다.

외부의 공격이든, 내부의 부정이든, 자사 시스템의 어느 부분에 취약점이 있었는지, 어떤 경위로 피해를 입었는지 원인을 규명함으로써 재발 방지책을 세울 수 있습니다. 책임 소재를 명확히 한다는 측면에서도 유익합니다.

→ [관련 기사] 포렌식이란? 의미와 필요한 상황, 조사 방법 및 주의점 등을 설명합니다.

디지털 포렌식 수행 기간 및 일반적인 흐름

디지털 포렌식 조사에 소요되는 기간은 몇 시간에서 몇 달까지 조사하는 장비의 수, 조사 항목, 조사 목적 등에 따라 크게 달라진다.

조사는 먼저 청문회부터 시작된다. 조사 목적을 명확히 한 후 데이터 보존과 수집을 시작한다. 그 다음, 수집된 데이터를 전용 분석 툴을 통해 분석하여 피해 경위와 경로를 파악한다. 그리고 얻은 정보를 바탕으로 보고서를 작성합니다.

디지털 포렌식 조사 과정

ヒアリング
먼저, 사건 내용을 청취합니다. 조사 대상, 조사 항목, 조사 기한을 확인합니다.

증거보존
피해 발생 후 데이터가 변경되면 정확한 조사 결과를 얻을 수 없으므로 신속하게 데이터를 보존, 수집하는 것이 중요합니다. 조사 대상 기기의 데이터 전체를 복제합니다. 이때 원본 데이터와 복제 데이터의 동일성을 증명하기 위해 '해시값'이라는 값을 생성한다. 데이터의 변조나 누락이 없도록 진행합니다.

조사 및 복원

보존 및 수집한 데이터를 적절한 절차에 따라 분석 및 해석하여 원인이나 증거가 될 수 있는 정보를 추출한다. 또한, 데이터가 암호화되거나 삭제된 경우 복호화 및 데이터 복원을 위한 기술도 필요합니다.

보고
조사 결과의 전체 내용을 정리하여 제3의 기관에 제출할 수 있는 보고서를 작성합니다.

→ 관련 기사] 포렌식 조사란? 필요한 사례와 주의점, 사례에 대해 설명합니다.

디지털 포렌식의 대상 예시

디지털 포렌식(컴퓨터 포렌식)은 조사 대상에 따라 다음과 같이 불리기도 합니다.

모바일 포렌식

휴대폰, 스마트폰 등 모바일 기기를 대상으로 하는 디지털 포렌식을 이렇게 부르기도 합니다. 특히 스마트폰은 PC와 유사한 기능을 갖추고 있고, 이제는 업무에 필수적인 기기로 자리 잡았기 때문에 부정사건의 중요한 증거가 저장되어 있는 경우가 많습니다. 익숙한 기기이기에 자칫 방심하기 쉽지만, 무심코 데이터를 건드려 증거능력을 훼손하지 않도록 주의해야 한다.

네트워크 포렌식

네트워크 상의 로그와 통신 데이터를 대상으로 하는 디지털 포렌식입니다. 네트워크 로그를 조사하여 정보 유출 및 공격 발생 경위를 파악합니다. 일상적인 데이터 거동을 확인함으로써 내부 범죄자에 의한 정보 유출이나 부정행위를 억제하는 효과도 기대할 수 있습니다.

→ 포렌식 조사 상담 및 문의는 여기

디지털 포렌식의 중요성과 대책이 없는 경우의 위험성

사내, 사외를 막론하고 언제 발생할지 모르는 디지털 데이터 범죄. 의식 있는 기업들은 항상 대비하고 있다. 만약 디지털 포렌식 대책이 미흡하다면 어떤 위험에 노출될 수 있을까?

2차 피해 발생

당연히 부정행위와 관련된 데이터와 증거를 신속하게 파악해 대응하지 않으면 피해는 점점 더 커질 수밖에 없다. 부주의하게 대처하면 중요한 증거 데이터를 덮어쓰거나, 의도치 않게 악성 프로그램을 실행하는 등 2차 피해도 발생할 수 있으므로 주의해야 한다.

대응 비용 증가

디지털 포렌식 중에는 대량의 데이터 처리로 인해 작업 시간도 엄청나게 소요되는 경우도 있습니다. 전망 없이 시작하면 같은 작업을 반복하거나 2차 피해가 늘어나는 등 대응 비용도 증가하게 됩니다.

기업 가치 훼손

가장 큰 위험은 기업 가치가 훼손되는 것입니다. 원인이 사내, 외부를 막론하고 경제활동을 하는 기업이라면 디지털 데이터 관련 사고는 사회적 책임을 수반합니다. 적절한 대책과 대응이 필수적입니다.

디지털 포렌식으로 할 수 있는 일

어떤 경우에 디지털 포렌식이 효과적인지 대표적인 조사 목적의 사례를 소개합니다.

부정 접속 및 정보 유출 등의 조사

부정 접속이나 악성코드 감염 등의 사이버 공격이 발생했을 때, 디지털 포렌식을 통해 원인을 규명합니다. 사이버 공격의 종류는 무엇인지, 어디에 취약점이 있었는지, 감염 경위 및 경로는 무엇인지. 재발 방지책 마련에 도움이 될 뿐만 아니라, 경우에 따라서는 소송 등 법적 조치로 이어질 수 있습니다.

소송을 위한 증거 수집

보안 사고 발생 시 디지털 포렌식은 증거를 보존하고 분석하는 것뿐만 아니라 책임 소재를 규명하는 데에도 도움이 된다. 사고 경위를 면밀히 조사하여 누구의 과실로 인한 사고인지 파악하면, 책임 추궁 시 소송에 대비할 수 있다.

조직의 보안 체계 평가

네트워크 포렌식을 통해 보안 체계에 문제가 없는지 조사할 수도 있습니다. 네트워크나 시스템의 취약점을 파악할 수 있다면 오래된 소프트웨어 업그레이드, 방화벽 설정 변경 등 보안 대책을 강화해 무단 접근이나 데이터 유출에 대비할 수 있다.

내부 부정행위 방지

디지털 포렌식은 내부 부정행위를 미연에 방지하는 효과도 기대할 수 있다. 부정행위가 발생했을 때 기업이 디지털 포렌식 조사를 통해 원인을 철저히 규명하려는 자세를 보인다면, 향후 부정행위를 시도하는 행위를 억제하는 효과도 기대할 수 있다.

디지털 포렌식이 수행된 대표적인 사례들

실제로 디지털 포렌식을 활용하여 문제 해결에 성공한 구체적인 대응 사례를 소개합니다.

제3자 위원회 대응

조직이나 기업에서 검사 데이터 위조에 의한 품질 부정 등 세간을 떠들썩하게 하는 대규모 비리가 발생했을 경우, 신속하게 '제3자 위원회'를 구성하여 비리 조사를 진행하는 것이 필수적으로 요구되고 있습니다. 제 3자 위원회 조사에는 이메일, SNS, 문자 등의 전자 데이터 분석이 필요하기 때문에 포렌식 업체가 제 3자 위원회 또는 제 3자 위원회의 지원으로 조사에 참여하는 경우가 늘고 있다. 제3자 위원회에 참여한 경험이 있는 포렌식 업체는 포렌식의 정확성, 속도에 있어 일정한 평가를 받고 있다고 볼 수 있습니다.

독점금지법 조사 대응

사업자 간 경쟁을 회피할 목적으로 가격 등을 합의하는 행위를 '카르텔'이라고 하는데, 큰 점유율을 차지하는 사업자가 이를 행하면 구매자가 불이익을 받기 때문에 카르텔은 독점금지법(독과점법)에서 금지하고 있습니다. 공정거래위원회로부터 카르텔 혐의를 지적받으면 기업은 즉시 카르텔 조사를 진행해야 하는데, 이 때에도 디지털 포렌식은 중요한 역할을 한다. 관련 직원의 이메일, 문장의 보존, 복원을 통해 증거를 확보하여 사실관계 규명 및 재발 방지에 힘쓰는 것은 물론, 조속히 양질의 증거를 확보하여 공정위 조사에 협조함으로써 과징금 감면제도(리니언시 제도)의 적용을 받아 과징금이 면제 또는 대폭 감면될 수 있습니다. 가능성도 있습니다.

회계부정 조사 대응

매출 조작, 원가 계상 시기 조작, 가공 매출 등 회계 부정 관련 조사에서도 디지털 포렌식은 필수적입니다. 관련 직원의 이메일, 문장을 신속하게 분석하여 회계 부정의 실체를 밝혀내야 합니다. 중대한 회계 부정이 적발된 경우 제3자 위원회가 구성되는 경우도 늘고 있는데, 앞서 언급했듯이 이 경우에도 디지털 포렌식은 깊숙이 관여하게 됩니다. 또한, 해외 자회사에 의한 회계 부정의 경우도 많은데, 이 경우 정보 유출의 위험이 적은 해외 지점을 가지고 있는 포렌식 업체에 의뢰하는 것이 이상적입니다.

정보유출 관련 영향조사 대응

사이버 공격에 의한 무단 침입, 직원에 의한 정보 반출, 인적 오류 등으로 기업 기밀이 유출된 경우에도 디지털 포렌식을 통한 조사는 필수적입니다. USB 등 외부 연결 기기를 통해 반출된 것인지, 아니면 이메일로 제3자에게 전송된 것인지? 포렌식을 통해 유출 경로와 범위를 파악하여 정보 유출의 원인 규명 및 재발 방지책 설계를 수행합니다.

디지털 포렌식 사례

어떤 경우에 디지털 포렌식이 필요한지 구체적인 사례를 소개합니다.

사례 1] 기밀정보 무단 반출에 대한 사내 조사

전 직원 A가 경쟁사로 이직한 지 2년 후, 자사 제품과 유사한 제품이 무단으로 제조되어 해외에 판매되고 있는 것이 발견되었다. A가 사용하던 컴퓨터의 로그를 확인한 결과, 퇴직일 며칠 전에 대량의 데이터를 복사한 것을 확인할 수 있었으나, 데이터 용량이 너무 커서 해당 정보의 반출과 관련이 있는지는 확인하지 못했습니다.

법원의 견해에 따르면, 범행을 특정하기 위해서는 '본인과 영업비밀의 동작을 특정하는 것이 필요하다'고 하는데, 사내 담당자가 100만 개가 넘는 대량의 기록 정보 중에서 부정한 복사나 삭제를 정확하게 추출하는 것이 어렵고, 또한 제3자성이 결여되어 있다는 점이 우려되는 점으로 꼽혔습니다. 그래서 제3자성을 확보하기 위해 전문 지원 서비스 업체에 조사를 의뢰했다. 자체 데이터베이스를 구축하여 대량의 로그 데이터를 조사했다.

그 결과, 전 직원 A가 USB 메모리에 약 30만 건의 데이터를 복사한 후 며칠 후 외장형 HDD의 네트워크 케이블을 뽑은 후 삭제한 것을 확인했다. 또한 관련 없는 프로그램 파일을 수차례에 걸쳐 약 120시간에 걸쳐 쓰기와 삭제를 반복한 사실을 확인하게 되었습니다.

사례 2] 악성코드 감염으로 인한 개인정보 유출 조사

한 기업의 PC가 악성코드에 감염된 것이 발견되었다. 개인정보 유출도 의심되어 지원 서비스 업체에 감염 경로 파악과 감염된 단말기에서 정보 유출된 흔적을 추적하는 조사를 의뢰했다. 감염원을 알 수 없었기 때문에 조사 대상 단말기는 수백 대에 달했다.

분석 툴을 통한 분석을 통해 공격 경로를 가시화하여 피해 단말기를 파악했습니다. 또한 다크웹에서 유출된 정보가 거래되고 있는지 30여개 사이버 암시장을 대상으로 조사했다. 그 결과, 정보 유출이 발생한 PC를 특정할 수 있었을 뿐만 아니라, 다크웹에도 정보가 유출되고 있다는 사실까지 확인할 수 있었습니다.

디지털 포렌식 비용 및 시세와 조사 기간

소개한 사례와 같이 전문 지원 서비스 업체에 의뢰할 경우의 비용감각과 조사에 필요한 기간의 시세를 소개합니다.

＞ 자세히 보기] 포렌식 조사 비용 시세 - 요금 및 기간의 기준, 주의 사항과 조사 업체 선택 방법

조사 업체에 의뢰할 경우, 비용은 얼마나 들까?

포렌식 조사에 소요되는 비용은 일반적으로 장비 1대당 수십만 엔 정도 소요되는 것이 일반적입니다. 단, 조사 내용이나 규모 등 다양한 요인에 따라 달라지기 때문에 수만 엔으로 끝나는 경우도 있고 수백만 엔이 드는 경우도 있습니다.

디지털 포렌식 조사에 필요한 기간은 얼마나 걸리나요?

포렌식 조사에 소요되는 기간은 몇 시간에서 몇 달까지 다양하다. 조사하는 기기의 수와 조사 항목, 조사 목적 등에 따라 달라질 수 있습니다. 재판 기일이나 조사 결과 발표 기한이 정해져 있는 경우에는 빨리 상담하는 것이 좋습니다.

→ 관련 기사] 포렌식 조사의 비용 시세 - 요금과 기간의 기준, 주의점 및 조사 업체 선택 방법

디지털 포렌식은 조사 회사에 의뢰하는 것을 추천합니다. 그 선택 방법

디지털 포렌식은 전문 지원 서비스 회사에 의뢰하는 것을 추천합니다. 그 이유를 소개합니다.

수사기관에 의뢰하는 것이 좋은 4가지 이유

이유 1] 고도의 전문 지식과 노하우가 필요하다.
단순히 데이터를 복사하는 것만으로는 증거성 유지가 보장되지 않을 뿐만 아니라 삭제된 데이터를 복원할 수 없습니다. 소송에서 유효한 증거로 활용하기 위해서는 확실한 데이터 추출과 기록 관리가 필수적이기 때문에 전문 지식과 노하우를 갖춘 조사 업체를 이용하는 것이 효과적이다. 특히 정보 유출의 감염 경로 파악 등으로 조사 대상 단말기가 수백 대에 달하는 경우 등 대량의 처리와 리소스가 필요한 경우라면 더욱 그렇습니다.

이유 2] 증거의 보존과 중립성 보장
데이터 수집뿐만 아니라 복원이 필요한 경우, 자사 IT 부서에서만 디지털 포렌식을 진행하게 되면 보존 및 수집할 수 있었던 데이터를 훼손할 가능성도 있다. 또한, 사내 인력의 고의적인 정보 유출이 의심되는 경우 등에는 중립성을 확보하기 위해서라도 외부 전문 서비스를 이용하는 것이 결과적으로 소송에서 불리한 요소를 줄일 수 있습니다.

이유 3] 최신 툴을 이용한 조사 가능
사이버 공격을 조사하기 위해서는 최신 툴을 사용하는 것이 필요합니다. 악성코드는 나날이 증가하고 있다. 전문 지원 서비스 업체라면 이러한 최신 지식과 해당 툴에 대한 업데이트에 대응할 수 있다.

이유 4】최적의 비용으로 조사할 수 있다.
전문적인 지식과 도구가 필요하다면 자체적으로 인력을 채용하고 필요한 도구를 구매하면 된다고 생각할 수 있지만, 사건은 언제 어떤 규모로 발생할지 알 수 없다. 전문 지원 서비스라면 규모에 맞는 비용을 지불하고 조사할 수 있다. 결과적으로 서비스 업체에 의뢰하는 것이 더 경제적이다.

디지털 포렌식 조사 업체를 선택할 때 살펴봐야 할 사항들

조사 업체의 경험과 전문성
다수의 조사 실적을 보유한 업체일수록 높은 기술력과 데이터 복구에 대한 노하우가 축적되어 있기 때문에 사례별로 적절한 방법을 선택하여 적정 비용으로 대응할 수 있을 것이다. 대규모 조사나 특수한 조사라면 대응할 수 있는 업체도 한정적이기 때문에 상장기업이나 경찰, 관공서 등의 의뢰 실적이 있는지 여부가 신뢰성을 판단하는 데 중요한 포인트가 됩니다.

조사 회사의 툴과 기술
회사가 보유한 장비와 엔지니어의 숙련도 등에 따라 조사 결과가 달라집니다. 실적 등에 비추어 꼼꼼히 체크해 보시기 바랍니다. 특히 데이터 복원은 전문적인 툴과 고도의 기술력이 필요합니다. 복원 작업에 정통한 업체를 선택해야 한다.

조사 업체의 가격 책정
디지털 포렌식 비용은 조사에 소요되는 엔지니어의 가동량, 데이터 양 등에 따라 크게 달라진다. 이 경우 추가 비용이 어떻게 발생하는지, 비용 항목이 명확하게 명시된 업체를 선택하는 것이 좋습니다.

조사 회사의 평판
후보 조사 업체를 활용했던 기업 등의 레퍼런스를 통해 평판을 확인할 수 있습니다. 조사회사에 레퍼런스가 되는 기업이나 변호사에게 문의하고, 그 기업이나 변호사로부터 조사회사의 실제 평판을 듣습니다. 번거롭지만, 자사와 안건에 맞는 최적의 회사를 선택하기 위해 추천하는 방법입니다.

디지털 포렌식에서의 AI 활용

방대한 양의 데이터를 다루는 현대의 디지털 포렌식에서는 AI(인공지능)를 활용하면 정확도와 속도가 비약적으로 향상됩니다. 소수의 샘플 파일에 소수의 전문가가 눈을 통해 AI가 판단 기준을 학습하게 함으로써 대량의 데이터에서 관련성 있는 것만 추출할 수 있다. 조사 초기에 해야 하는 단순 데이터 분류 작업을 소수의 인원이 단시간에 할 수 있어 조사의 효율성이 높아질 뿐만 아니라, 전문가가 리소스를 집중할 수 있어 정확도가 높아진다.

디지털 포렌식 벤더의 선구자 '프론테오'가 선택받는 이유

프론테오는 포렌식 지원 서비스의 선구자로서 2003년 창업 이래로 부정수사에 힘써왔으며, 2004년에는 국내 최초로 경찰을 대상으로 한 디지털 포렌식 세미나를 개최한 바 있다. 일본 포렌식의 선두 기업으로서 '디지털 포렌식 연구회'의 설립에도 기여했습니다.

2006년 '라이브도어 사건'의 수사에 사용되면서 디지털 포렌식의 인지도가 단번에 높아졌지만, 프론테오는 그 3년 전부터 포렌식 조사를 해왔으며, 20년의 역사와 2,000건 이상의 부정 조사 건수 실적을 바탕으로 세간을 떠들썩하게 한 불미스러운 사건에 대한 '제3자 위원회'의 사건의 '제3자 위원회'에서도 프론테오의 디지털 포렌식을 많이 채택하고 있다. 높은 신뢰성으로 많은 기업의 문제 해결에 기여하고 있습니다.

프론테오는 미국, 한국, 대만에 지사를 두고 있어 해외 자회사를 둔 엔터프라이즈 기업과의 거래도 많다. 자회사의 회계 부정, 해외 소송에 휘말렸을 때 포렌식 조사 등으로 일본 기업의 이익을 보호하기 위해 프론테오의 디지털 포렌식 기술이 중요하게 활용되고 있다. 또한 최근에는 대기업의 카르텔 조사에 관여하는 경우가 많아 과징금 감면제도(리니언시 제도)에 대한 대응에서도 높은 평가를 받고 있다.

데이터 보존-수집부터 분석-해석, 보고 보고서 작성에 이르기까지 논스톱으로 서비스를 제공하는 것도 프론테오의 특징이다. 자체 개발한 AI 엔진 'KIBIT(키빗)'은 단순하면서도 고성능 알고리즘으로 타 제품과 달리 소량의 교사용 데이터, 단기간의 도입, 가벼운 계산 처리로 빠른 구현이 가능하다는 특징이 있다. 기업에서 자체 개발한 시스템이나 특수한 데이터에 대해서도 유연하게 커스터마이징이 가능하다.

20년 동안 쌓아온 선도 기업으로서의 책임과 실적, 그리고 자체 개발한 AI 엔진의 기술이 융합된 프론테오의 디지털 포렌식. 포렌식 조사를 고려하고 있는 기업이라면, 프론테오와 상담해 보시기 바랍니다.

→포렌식 조사 상담 및 문의는 여기

→ 「FRONTEO」의 포렌식 조사 서비스 페이지