컴퓨터 포렌직을 이용한 산업보안 사고의 사후 대응 우리는 몸이 아프면 병원에 간다. 의사는 진찰을 통해 병명이 뭔지, 그 원인이 뭔지, 병의 진행 상황이 어디까지 왔는지를 파악한 후, 올바른 처방을 하게 한다. 만약 기업에 해킹 사고가 발생했다면 우리는 어떻게 대응하는가? 아직까지 주먹구구식 대응이 대부분이다. 이에 이번 호는 연재의 마지막 순서로 컴퓨터 포렌직을 이용한 산업보안 사고의 사후 대응 방안에 대해 살펴보고자 한다.  

글 싣는 순서
1. 산업보안 업무에 있어서 컴퓨터 포렌직의 필요성
2. 컴퓨터 포렌직을 이용한 산업보안 사고의 사전 예방
3. 컴퓨터 포렌직을 이용한 산업보안 사고의 사후 대응

기업에 해킹 사고가 발생했을 경우 필자가 아는 일반적인 기업은 해킹 당한 것으로 파악된 컴퓨터의 디스크를 포맷하고, 운영체제와 응용 프로그램을 다시 설치하며, 현재까지 존재하는 운영체제의 보안 패치를 모두 설치하는 수준을 마친 후에는 보안장비를 추가 도입하거나, 보안 컨설팅 업체에 의뢰하여 모의 해킹 서비스를 받은 후, 그 결과에 만족하며 자기 위안을 삼는다. 그리고 동일한 해킹 사고가 다시 발생하지 않기를 빈다. 그러나 이는 병으로 따지면 돌팔이 의사 또는 무속인 수준의 대응이라고 해도 과언이 아니다.
만약 해킹을 통해 내부 데이터가 상당수 외부로 유출되었을 수도 있다. 또한 해커가 사용한 보안 취약점이 치유되었다고 해도 이미 해커가 자신만의 백 도어를 만들어 놓았을지도 모른다. 어쩌면 외부 해킹을 가장한 내부자의 기술유출일 수도 있다. 하지만, 앞의 예와 같이 포맷하고 프로그램을 다시 설치하고, 보안 패치를 설치하는 순간에 추가적인 조사가 불가능해진다. 결국 자신이 자신의 병을 악화시키는 것이다.

초기 대응
기업의 산업정보 유출은 외부자에 의한 해킹, 내부자 또는 협력사에 의한 전산자료 유출이 대부분이다. 이때 가장 중요한 것은 유출경로와 피해규모 파악, 추가적인 유출방지를 위한 작업, 수사 및 법정에서 사용할 수 있는 증거의 확보이다. 내부적인 전문 인력을 보유하고 있는 기업의 경우에도, 대부분의 보안인력들이 사고 발생 전 예방 업무에 대해서는 경험이 풍부하지만, 사고 발생 후 대응 업무에 대해서는 경험이 부족하다.
필자가 경험한 바로는 경험이 부족한 내부 인력이 조사를 수행할 때 부주의를 행함으로써 증거가 인멸되는 경우도 상당수 있었다. 또한 제대로 증거가 확보되어도 수집 시점 이후 증거내용이 일부 변경됨으로써 증거 관련한 모든 주장이 법정에서 부인되어질 수도 있다.
경찰, 검찰 등 수사기관의 경우에도 전산 기반의 조사는 해당분야에 상당한 경험과 트레이닝을 받은 전문가가 수행하는 경우와 그렇지 않는 경우에 따라 결과가 달라지는 예가 다반사이다.
어떤 일이건 처음이 중요하다. 마찬가지로, 처음부터 경험 많은 컴퓨터 포렌직 전문가의 조력을 얻는다면, 유출경로와 피해규모 등을 신속히 파악하고 이를 통해 추가적 유출을 예방하며, 유효한 증거물을 확보할 수 있을 것이다.

컴퓨터 포렌직 조사
초기 대응을 통해 확보된 증거물은 과학적 기법을 통해 분석되고, 보고서가 작성되어야 한다. 판례에 의하면, 컴퓨터 기록의 증거능력을 인정받기 위한 요건으로 먼저 법원의 검증절차를 통해 저장매체에 수록된 컴퓨터 기록의 내용을 확인해야 하고, 컴퓨터 기록이 변경되지 않았음이 인정되기 위해 보관상황에 대한 신뢰성이 담보되어야 한다. 또한, 하드디스크 등 저장매체의 사본을 통해 조사를 수행했다면 저장매체 원본과 사본 사이의 데이터 동일성이 증명되어야 하며, 법원의 검증과정에 이용된 컴퓨터의 기계적 정확성과 프로그램의 신뢰성이 보장되어야 한다. 이와 함께 증거 조사시 입력·처리·출력의 각 단계에서 컴퓨터 처리과정의 정확성이 보장되어야 하며, 마지막으로 증거 조사자의 전문적 기술능력이 인정되어야 한다.
이 때문에 딜로이트 포렌직 팀의 경우도 증거물 수집 시점부터 분석 및 보고서 작성, 마지막으로 법정 전문가 진술까지 각 업무에 대한 세부절차가 마련되어 있으며, 증거 분석을 위한 컴퓨터 포렌직 랩과 증거보관의 신뢰성 확보를 위한 증거보관 시설을 별도로 운영하고 있으며, 각 분야의 전문성 및 자격을 보유하고 있는 컴퓨터 포렌직 전문가를 확보하고 있다.

손실 산정
비록 컴퓨터 포렌직 업무는 아니나 언급해야 할 것이 바로, 민형사 소송을 통한 피해액 회수를 위해서는 유무형의 손실액에 대한 산정이 필요하다는 것이다. 최근의 손실액 산정에 대한 판례에서 손실액 평가기준이 객관적이지 못하다고 해서 법정에서 불인정된 경우가 있다. 즉, 피해기업은 피해액을 객관적인 기준에서 산정하지 않고, 예를 들어 단순히 기존 매출액을 기반으로 산정한다면 법정에서 인정받지 못할 수 있다. 그렇기 때문에 손실액 산정도 평가 전문가의 조력이 필요하다.

소송 지원
지금까지 대부분의 기업은 민사소송 이전에 형사소송을 수행하면서 경찰 또는 검찰의 조사 결과가 나오기까지 기다리고만 있는 경우가 대부분이다. 그러나 이는 전혀 엉뚱한 결과를 낳을 때도 있다. 필자의 경험으로는 담당 검사의 컴퓨터 증거에 대한 지식 부족으로 인해 협력사에 의한 산업정보 유출사건 피고인이 형사소송에서 무죄를 선고받게 되었고, 이로 인해 피해 기업이 민사소송을 통한 손실 회수를 하지 못한 경우가 있었다.
민·형사 소송이 발생하면 기업은 변호사를 선임한다. 변호사는 법률전문가이지, 컴퓨터 증거 전문가가 아니다. 해킹에 의한 유출의 경우이던, 전현직 직원에 의한 유출의 경우이던, 협력사에 의한 유출의 경우이던 산업정보 유출의 대부분이 전산자료 유출이라면, 당연히 소송 시점에도 컴퓨터 포렌직 전문가의 조력이 필요하다. 만약 그랬다면 앞에서 언급한 예의 결과가 달라지지 않았을까?

지금까지 3회에 걸쳐 산업정보 유출사고에 대한 예방과 대응을 위한 컴퓨터 포렌직 기술에 대해서 소개했다. 이번 연재가 독자들에게 조금이라도 도움이 되었기를 바란다. 
<글 : 윤 오 영 | 딜로이트 안진회계법인 포렌직 서비스 이사(oyun@deloitte.com)>

[월간 시큐리티월드 통권 제147호 (info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지>