아이씨엔 리포트
www.icnweb.co.kr
모바일 매체의 확대와 포렌식(Forensic) 활용방안
2013. 01. 21.
아이씨엔 리포트
www.icnweb.co.kr
I. 도입 □ IT와 비즈니스가 융합화되고 있는 스마트 시대 ◦
하루가 다르게 변화하고 있는 환경에서 이제 모든 정보는 디지털화 되고 있다
◦
정보가 디지털화 됨에 따라 그에 따른 저장매체도 점점 더 다양해 짐
◦
정부기관이나 일반기업에서 휴대용 장비의 사용은 업무 필요상 그것이 업무의 효 율성 측면이나 시간절감 차원에서 이제 선택이 아닌 필수요소로 자리매김함
□ 핸드폰과 PDA, 태블릿 PC 등과 같은 디지털 모바일 장치들은 현대인의 개인적·비즈 니스적인 모든 측면에서 중요한 역할을 수행함 ◦
사용자들의 편리를 위해 기능적으로 엄청난 진보가 이루어졌고 이로 인해 오늘날 널리 사용되고 있는 중임
◦
그렇다 보니 이제는 좀더 빠르고 저렴한 통신 기술뿐만 아니라 프로세싱 속도 및 저장능력 면에서도 더욱 파워풀한 디지털 모바일 장치들이 요구함
◦
시간이 흐르면서 모바일 디지털 장치는 가장 기본적인 보이스 바탕의 통신장치에 서 카메라, 멀티미디어 플레이어, 다이어리, 파일저장 시스템 및 웹브라우저 기능 이 들어간 멀티 기능의 장치로 옮겨가는 추세
□ 모바일 장치는 현대인들에게 없어서는 안 될 훌륭한 도구지만, 중요한 정보가 담긴 모바일 장치에 대한 보안 측면으로서의 고려가 미흡 ◦
현재도 그러하지만 향후에는 이를 이용한 범죄가 증가하리라는 예상은 분명함
◦
러나 한 가지 다행스러운 것은 대부분의 용의자들의 모바일 장치는 범죄와 관련 해 유용한 증거를 찾을 수 있는 훌륭한 조사대상이 될 수 있다는 점
◦
이와 관련한 컨셉으로 모바일 포렌식이라는 용어가 나왔는데 이는 디지털 포렌식 분야의 하나로 모바일 장치에서 디지털 증거나 데이터를 복구하여 범죄수사의 중 요한 법적 증거자료로 사용할 수 있도록 하는 것
- 1 -
아이씨엔 리포트
www.icnweb.co.kr
II. 모바일 포렌식(Forensic) 1. 모바일 포렌식의 정의 □ 모바일(mobile)이라는 의미는 소형화·경량화를 통해 이동편의성을 극대화한 물리적 미디어를 총칭하여 나타내는 정보통신기기임 ◦
휴대폰, 스마트폰, PDA, PMP, DMB, Navigation, 전자사전, 디지털카메라, 캠 코더, 차량용 블랙박스, 각종 USB 디바이스 등 휴대가 가능한 모든 장치가 해당
◦
여기에 포렌식(forensic) 이라는 말이 더해져 만들어진 개념이 모바일 포렌식임
◦
다시 말해 모든 휴대 가능한 장치에 대하여 법정에서 증거로서의 증거능력을 갖 게 하기 위한 법률적·수사적·기술적 분석과정 및 절차를 의미함
□ 모바일 포렌식은 디지털 포렌식에 포함되는 개념 ◦
모든 모바일 포렌식 장치에서 추출되는 증거도 결국은 디지털 증거로 나타나기 때문에 모바일 포렌식은 디지털 포렌식에 포함할 수 있음
image: mashable.com
- 2 -
아이씨엔 리포트
www.icnweb.co.kr
2. 사이버 포렌식과의 차이점 □ 사이버 포렌식과 모바일 포렌식은 상위개념과 하위개념의 관계 ◦
기존 사이버 포렌식이 사이버 상에서 일어나는 모든 범죄행위에 대한 법정대응 및 처리절차라고 한다면 모바일 포렌식은 디지털 기술이 발전하면서 생긴 휴대용 물리적 미디어에 대한 법정대응 및 처리절차로 보는 것이 타당함
◦
모바일 포렌식도 결국은 컴퓨터와 연동되어 일어나는 사건이 대부분이므로 사이 버 포렌식의 영역 안에 포함된다고 보는 것이 바람직하다는 의견임
□ 조직이나 기업 환경에서 업무처리를 하는 데 있어 모바일 디바이스 특히 스마트폰의 지속적인 시장점유율 증가가 예상 ◦
스마트폰이 가지고 있는 장점을 잘 활용하면 업무처리의 효율성은 물론 시간적으 로도 많은 이득을 얻을 수 있음
◦
이를 통해 스마트 워크의 도입과 구축이 활발하게 추진될 전망임
□ 포렌식 관점에서 바라볼 때 스마트폰이
가진 취약점은 결국 범죄로 악용될 소지가
충분함 ◦
가령 스마트폰으로 업무를 보는 직원이 회사의 영업비밀이나 대외비를 경쟁업체 에 넘겨주는 경우 회사에 발생하는 막대한 금전적 손실은 물론 대외적인 신뢰도 하락으로 이어져 경제적 손실보다 더 큰 피해발생 가능함
◦
더욱이 기업의 핵심연구개발 자료나 데이터가 산업스파이에 의해 해외로 유출될 경우 그 피해는 더 심각해짐
◦
그럼에도 폭발적인 증가추세를 보이고 있는 모바일 장치의 보급에 따라 업무생산 성 향상, 탄소배출 감소, 사이버 회의, 원격진료 등과 같은 긍정적인 측면이 있는 반면에 기업비밀과 핵심연구개발기술 유출, 개인정보 탈취 등 그에 따른 부작용 및 역기능도 점차 증가할 것임
- 3 -
아이씨엔 리포트
www.icnweb.co.kr
3. 모바일 포렌식 국내외 활용현황 □ 국내 모바일 포렌식 활용 현황 ◦
국내에서 모바일 포렌식 활용현황을 보면 아직까지는 국정원, 기무사령부, 국방부 조사본부, 대검찰청, 사이버 경찰청 등과 같은 수사기관에서 수사목적상 증거를 보관 및 확보하고 데이터를 찾아내어 기소하기 위한 목적으로 사용하고 있는 실 정임
◦
국내 모바일 포렌식 분석업무만을 전문으로 하는 업체가 몇 군데 있는데 이씨플 랫폼과 모바일트랙이 대표적임
◦
이들은 주로 하드웨어적인 분석과 자체 분석 솔루션으로 소프트웨어적인 분석업 무를 수행함
□ 해외 모바일 포렌식 활용 현황 ◦
영국 정부기관과 경찰청에서 사용하는 Cellebrite 사의 UFED, 미국 연방정부 및 수사기관에서 사용하는 GSI 사의 EnCase Portable, AccessData 사의 Mobile Phone Examiner, 그 밖에 스마트폰용 Oxygen Forensic Suite가 가장 대표적 으로 사용하고 있는 제품임
◦
이들 해외제품들은 분석기능이 아주 우수하여 국내에서도 정부/수사기관이나 법 무법인에서 많이 사용함
◦
Oxygen Forensic Suite의 경우 스마트폰에 특화된 강점을 제공함
□ 모바일 장치가 진보함에 따라, 모바일 장치에서 찾을 수 있는 데이터의 양과 종류도 지속적으로 증가 ◦
모바일 장치에서 수사기관들에 의해 잠재적으로 복구될 수 있는 증거 데이터 (evidence)는 SIM 카드, 핸드셋 및 메모리 카드 등의 몇 개의 다른 소스에서 찾 을 수 있음
◦
전통적으로 모바일 폰 포렌식은 call logs, 연락처 및 핸드폰 IMEI/ESN 정보뿐만 아니라 SMS와 MMS 메시지를 복구하는것에서 출발함 - 4 -
아이씨엔 리포트
◦
www.icnweb.co.kr
새로운 스마트폰 시대에는 웹브라우징, 무선 네트워크 세팅, 이메일 및 이미지, 파일 등의 저장된 데이터 및 스마트폰 앱 관련 중요 데이터를 포함하는 다른 형 태의 인터넷 매체로부터 나오는 다양하고 넓은 범위의 정보를 포함
4. 활용 사례 연구 □ 테러방지 사건에 법정증거로 채택된 핸드폰 데이터 ◦
아일랜드 테러집단으로 알려진 IRA(Irish Republican Army)에 연루되어 있다는 혐의로 기소된 Sean Farrell(27세)이라는 이름을 가진 한 더블린 남성을 상대로 열린 재판에서 핸드폰 데이터가 증거로 채택
◦
Europol의 분석관으로 일하는 Fiona Summers 수사관은 본 사건에 대한 법정재 판에서 Farrell과 더불어 본 사건에 연관되어 체포된 또 다른 남성의 핸드폰에서 이 두 남성들이 주고받은 문자메시지 및 전화통화 내역을 포함한 모든 통신 데이 터를 추출하여 분석했다고 증언
◦
Summers 수사관의 증언이 있기 전에 이미 XRY 모바일 포렌식 장비를 사용하 여 용의자들의 핸드폰과 SIM 카드에서 추출한 송수신 문자메시지, 걸거나 받은 통화기록, 받지 못한 통화 기록, 연락처, 저장된 사진 등을 포함한 모든 통신데이 터에 대한 분석자료가 법정 증거로 제출
◦
Summers 수사관은 체포된 남성의 핸드폰에서 Farrell의 핸드폰으로 2011년 6 월 24일 오전 10시 53분에 보낸 문자메시지에 “Sean, 가방 하나에 모두 담았 나?”라는 내용이 담겨있었다고 증언
◦
이 재판이 있기 일주일 전에 열렸던 재판에서는 기소된 남자의 지문이 엽총이 든 플라스틱 가방에서 채취되었다는 내용이 증언
◦
이 플라스틱 가방은 Dublin 8 지역의 Bride Road에 위치한 원룸 아파트를 수색 하던 중에 발견한 두 점의 다른 무기와 함께 발견
◦
Farrell은 기소된 남자와 어떤 관계인지를 묻는 여러 차례의 질문에 “no comment”라는 답변으로 일관
- 5 -
아이씨엔 리포트
www.icnweb.co.kr
□ 핸드폰 증거로 살인사건 해결 ◦
2008년 카리브해의 아름다운 섬인 안티구아에서 신혼여행을 즐기던 중 살해된 영국인 Ben과 Catherine Mullany를 살해한 혐의로 기소된 두 명의 남성인 Avie Howell과 Kaniel Martin에 대한 재판이 안티구아의 수도 St. John’s에서 열림
◦
기소된 용의자들은 본 살인사건과 관련된 증거가 명백함에도 불구하고 재판 내내 한결같이 자신들의 무죄를 주장
◦
그러나 그들의 주장에도 불구하고 2개월에 걸친 재판 끝에 이들은 유죄가 선고
◦
이 사건은 살해된 부부의 살인사건이 국가의 관광산업에 악영향을 미칠 것을 우 려한 안티구아 수상의 특별 요청에 따라 영국의 포렌식 전문 수사관들이 안티구 아로 파견되어 사건 조사를 도움으로써 극적으로 해결된 케이스
◦
이 살인사건에 가장 핵심적인 증거는 두 개의 핸드폰이었으며, 그 중 하나는 희 생된 부부의 것이었고 또 다른 하나는 기소된 용의자들 중 한 명의 것이었음
◦
살해된 Mullany의 핸드폰이 용의자 Martin의 집에서 발견되었으며 핸드폰 데이 터 분석결과, 살인사건이 발생된 지 12시간 후에 Howell이 자신의 SIM 카드를 Ben Mullany의 핸드폰에 끼웠었다는 것이 밝혀짐
◦
이 두 용의자는 희생된 부부가 머물렀던 호텔 방 근처에는 전혀 간 적이 없다고 주장했지만, 핸드폰 기록에 따르면 총기가 발사된 시각 전에 Martin이 그 근처에 있었다는 것이 증명됨
III. 향후 과제 □ 사이버 범죄 증가와 함께 스마트폰을 포함한 모바일 장치의 범위 이용도 급증하는 추 세임 ◦
특히 스마트폰을 이용한 범죄는 점점 더 다양해지며 컴퓨터와 연동한 범죄로 진 화되고 있는 추세
- 6 -
아이씨엔 리포트
◦
www.icnweb.co.kr
더욱이 스마트폰을 이용하는 산업스파이는 국가의 기간산업은 물론이고 기업의 핵심기술 유출을 통하여 한 나라 및 기업의 근간을 흔들 수 있는 심각한 상황을 초래할 수 있음
◦
그럼에도 불구하고 현실은 아직까지 표준과 절차의 부재라는 당면과제에 직면함
□ 스마트폰은 법 집행, 표준, 절차가 아직 미흡하여 하이테크 범죄 및 일반 범죄에 악 용될 소지가 다른 모바일 장치보다 훨씬 크다고 봄 ◦
이에 대응한 법 집행, 표준과 절차 마련에 적극 나서야 하고, 그에 필요한 전문 인력 양성교육을 통해 전문가집단을 만들어 오피니언 리더로서 활동할 수 있도록 함으로써 지속적으로 증가하고 있는 스마트폰을 이용한 범죄 및 사고에 대응해야 할 필요가 있음
◦
기업 차원에서는 보안부서 내에 내부감사와 포렌식 분석 업무를 수행할 수 있는 전문인력을 적극적으로 채용하여 기업 내외부에서 발생하는 사건 및 사고에 대하 여 처리할 수 있도록 하는 것이 차후에 발생할 수 있는 큰 손실을 최소화할 수 있는 대안임
□ 특히 모바일 포렌식 전문가들은 모바일 폰의 출시 사이클, 기능 추가 및 변화된 환경 에 발 빠르게 대응해 나가야 할 것임
[참고 자료] * 모바일 및 스마트폰 포렌식의 고찰, 시큐리티월드 * 모바일 포렌식 수요증가에 따른 향후 숙제는? 보안뉴스 * 한국경제신문 보도 * 디지털데일리 보도
- 7 -