디지털 포렌식이란? 원리, 휴대폰 포렌식 비용, 안티 포렌식, 증거 감정서

영화를 보면 수사기관에서 휴대폰 포렌식을 해서 삭제된 문자 메시지를 복원하고, 컴퓨터 하드디스크에서 범인이 삭제한 파일들을 복원하여 범인을 잡는 장면이 종종 나옵니다. 이렇게 데이터들을 복원하는 활동을 디지털 포렌식이라고 합니다. 이번 포스팅에서는 디지털 포렌식 원리, 비용, 안티 포렌식까지 자세히 알려드리겠습니다.

디지털 포렌식 : 원리, 비용 등
디지털 포렌식 : 원리, 비용 등

디지털 포렌식이란? 법적 효력을 위해서는 포렌식 증거 감정서가 있어야!

디지털 포렌식이란 컴퓨터 하드디스크나, 이동식 저장 디스크(USB), 휴대폰, CCTV 등 정보를 저장하는 장치에서 데이터가 삭제되었을 때, 삭제된 데이터를 복구 분석하여 범죄단서를 찾는 수사기법을 말합니다. 큰 의미에서 ‘과학수사’인 포렌식에서, 디지털 기술을 기반으로 하는 포렌식을 특정하여 말합니다.

요즘에는 데이터 복구에도 휴대폰 포렌식, 하드디스크 포렌식이라고 용어를 혼용하고 있지만, 진정한 의미의 디지털 포렌식은 단순히 데이터 복구로 끝나는 것이 아니고 복구한 데이터를 민형사 사건의 증거자료로 사용할 수 있어야 합니다.

증거자료로 사용하려면 마구잡이로 복구해서는 안 되고 데이터 무결성의 원칙을 지켜서 복구해야 합니다. 이때 포렌식 업체에서는 무결성을 지키기 위해서 디스크 이미징 기술을 사용하는데, 데이터의 위변조가 일어나지 않았다는 것을 입증하는 포렌식 증거 감정서를 발행합니다. 이 포렌식 증거 감정서가 있어야 법적 효력을 갖는 증거물로 사용할 수 있습니다.

※ 디스크 이미징 기술 : 원본과 완벽하게 동일한 사본 파일을 만든 후에 그 사본 파일을 이용하여 분석하는 기술. 따라서 원본에는 아무 작업도 하지 않음.

디지털 포렌식 비용

디지털 포렌식은 업체마다 비용이 다 다르고 어떤 데이터를 얼마나 복구할지에 따라서 비용이 많이 달라집니다.

여러 업체 사이트를 보다가 가격이 쓰여 있는 곳을 찾아보니, 모바일 1대 기준으로 기본적인 포렌식인 단순 data를 추출하는 데는 25만원, 특정 data를 추출하는 데는 40만원, 전체 data 추출을 하고 증거 감정서 발급하는 비용까지는 120만원 정도가 책정되어 있었습니다.

데이터를 복구하는 대상이 모바일인지, 하드디스크인지, SSD인지, 복구할 용량이 얼마나 되는지에 따라서 가격도 다 달라집니다. 따라서 이 가격은 대략적인 느낌만 아시면 될 것 같고 나중에 진짜 휴대폰 포렌식이나 컴퓨터 포렌식을 진행하실 때는 업체에 상세견적을 받아보셔야 합니다.

디지털 포렌식 원리 : 휴대폰 포렌식, 컴퓨터 하드디스크 포렌식

우리가 휴대폰이나 컴퓨터를 사용하면 데이터가 저장소에 다 저장됩니다. 휴대폰에는 사진, 연락처, 통화내역, 문자메시지, 카카오톡 대화 내용, 카카오톡 사진 등이 저장되어 있고 컴퓨터에는 동영상 파일이나 사진 파일, 문서 작업한 파일들이 저장되어 있습니다.

만약 우리가 저장해 놓은 파일을 삭제하면 어떻게 될까요? 과연 데이터까지 다 사라지는 것일까요? 아닙니다.

예를 들어 우리가 지우고 싶은 사진이 있어서 삭제 버튼을 눌러서 삭제를 하면 그 사진에 대한 정보는 삭제되지 않고 저장소에 그대로 남아있고 저장소에 있는 사진 데이터와 우리를 연결해 주는 연결고리만 사라집니다. 따라서 우리 눈에는 사진이 보이지 않아서 사진이 삭제되었다고 생각을 하겠지만 실제로는 남아 있는 것입니다.

즉, 디지털 포렌식의 원리는 이렇게 남아있는 데이터의 연결고리를 다시 찾아서 우리 눈에 보이게끔 복원하는 것이라고 보시면 됩니다. 없어진 것을 다시 만드는 것이 아닙니다. 따라서 저장소에 데이터가 많이 쌓여서 덮어쓰기가 되거나 저장소 자체가 파괴된다면 디지털 포렌식이 불가능합니다.

아이폰이나 갤럭시 같은 휴대폰 포렌식도 동일한 원리로 진행되지만 컴퓨터 하드디스크보다 좀 더 어려운 부분이 있습니다. 휴대폰에 파일들은 전부 내부 저장소에서 암호화되어 저장되는데, 포렌식을 할 때는 이 암호화된 문자들을 해석해서 추출해야 하기 때문입니다.

해석하는 방법이 보안이기 때문에 애플이나 삼성 같은 제조사에서 알려줄 리가 없습니다. 그 때문에 포렌식 업체마다 가지고 있는 역량이 달라서 추출할 수 있는 포렌식 데이터에 차이가 발생할 수 있습니다.

안티 포렌식 방법 : 데이터, 저장소 포맷, 공장 초기화, 디가우징

디지털 포렌식을 통해서 자신의 흔적이 의도치 않게 저장소에 남는다는 것을 알게 되셨을 겁니다. 남에게 휴대폰이나 컴퓨터를 팔 때 이런 흔적들이 남아있으면 불안하겠죠? 그래서 자신이 저장소에 남긴 흔적을 없애는 방법을 찾게 되는데 그것을 안티 포렌식이라고 합니다. 

디지털 포렌식의 원리를 설명드렸었는데, 어떻게 하면 안티 포렌식을 할 수 있을지 감이 오시나요? 그럼 안티 포렌식 하는 방법을 아래 몇 가지 소개 드리겠습니다.

저장소의 저장공간을 꽉 채웠다 지우는 방법

저장소의 저장 원리 상 저장소가 꽉 차기 전에는 내가 사용했던 공간에 남아있는 파일들은 건드리지 않습니다. 즉, 내가 사진을 삭제했더라도 저장소에 공간이 남아있으면 새로 저장되는 파일은 내가 삭제한 사진 파일에 덮어씌워지지 않고 빈 공간에 저장되어, 포렌식을 하면 내 사진 파일들이 그대로 추출될 수 있습니다.

따라서 물리적으로 어렵지만 방법적으로 가장 단순한 방법은 저장소를 가득 채우고 지우는 것을 계속 반복하는 것입니다. 99%를 채우는 것이 아닌 거의 100%를 채워야 기존 파일에 덮어씌워집니다. 

이것을 해주는 프로그램도 있다고 하니 찾아보시면 될 것 같습니다.

데이터 저장소 포맷 : 빠른 포맷, 일반 포맷, 로우 레벨 포맷

포맷에는 하이레벨 포맷(빠른 포맷), 하이레벨 포맷(일반 포맷), 로우 레벨 포맷이 있습니다. 빠른 포맷을 하게 되면 데이터와 우리의 연결고리만 끊는 거라 누가 와도 다 포렌식이 가능하고 일반 포맷으로 저장소를 포맷하면 전문 업체에서도 하기가 좀 버겁다고 합니다.

마지막 로우 레벨 포맷은 진짜 소수만 포렌식이 가능하다고 합니다. 따라서 포맷을 하실 거면 로우 레벨 포맷을 추천드립니다.

공장 초기화 : 가장 쉬운 안티 포렌식 방법

휴대폰은 공장 초기화를 하게 되면 소수의 전문가들은 디지털 포렌식을 할 수 있으나, 일반적인 업체를 통해서는 포렌식이 불가능합니다. 따라서 휴대폰 파실 때는 꼭 공장초기화를 하시기 바랍니다.

디가우징 : 자기장을 이용한 안티 포렌식 방법, 누가 와도 못 살림

디가우징은 디가우저라는 강력하 자기장을 이용한 박스형 장치를 이용하여 저장소의 데이터를 물리적으로 완전히 삭제해버리는 기술입니다. 물리적으로 완벽하게 삭제하는 것이기 때문에 누가 와도 데이터 복구가 불가능합니다.

이번 포스팅에서는 디지털 포렌식이 무엇인지, 휴대폰과 컴퓨터 저장소는 어떻게 복원하는지, 복원을 막는 안티 포렌식이 무엇인지 설명드렸습니다. 도움이 되셨으면 좋겠습니다.

Related Posts