수사관 보조하는 것이 제1 목표...플랫폼 안 가리는 정보 수집
모은 정보의 필터링 노하우는 업체의 영업비밀

[보안뉴스 문가용] 디지털 포렌식 업체들마다 내세우는 기능이 있으니 바로 ‘증거 수집’이다. 이 말엔 함정이 있다. 같은 정보라도 사건의 성질이나 수사 진행 단계에 따라 증거가 될 수도 있고 아닐 수도 있기 때문이다. 날 선 영감이 가득한 수사영화에서 볼 수 있듯, 특정 정보가 ‘증거’가 되려면 엄청난 판단력과 추리력이 요구된다. 그리고 이 ‘판단’과 ‘추리’는 제 아무리 알파고가 바둑 최고수가 된 시대에라도 인간의 영역이다.



1. 증거? 오해 금물
그러므로 ‘우리 제품은 증거를 빨리 수집하는 게 장점이다’라는 설명을 들었다고 해서 탐정 콜롬보나 셜록을 기대해서는 안 된다. 이번에 Magnet AXIOM이라는 신제품을 들고 방한한 디지털 포렌식 전문기업 마그넷 포렌식스(Magnet Forensics)의 CEO 애덤 벨셔(Adam Belsher)가 순순히 인정하듯 “증거가 ‘될 가능성이 있는’ 데이터를 수집한다는 뜻”으로 이해해야 한다.

디지털 포렌식 제품을 잘 아는 사람들 사이에서는 이미 ‘익스큐즈’된 내용이기도 하지만 이를 굳이 한 번 더 짚는 건, Magnet AXIOM의 특징이 ‘초보자도 사용하기 쉬운’ 사용성이기 때문이다. 이왕 솔루션을 쉽게 만들었으면 ‘증거’처럼 오해의 소지가 있는 표현도 살짝 손볼 수 있지 않았을까, 하는 점이 아쉬웠다. “대신, 경찰청, 대검찰청, 군 수사단 등에서 이미 마그넷 포렌식스의 제품을 사용하는데, 솔루션만 설치하지 않고 교육도 병행합니다. 교육을 통해 디지털 포렌식이 무엇인지, 포렌식 솔루션들을 어디서부터 어디까지 활용할 수 있는지를 알려드립니다. 만능이라고 말하지 않습니다.”

2. 기계의 수사의 보조, 사람은 진짜 일을 할 수 있게
수사의 처음부터 끝까지 다 해결해주는 포렌식 툴은 없고, 이건 Magnet AXIOM도 마찬가지다. 그러므로 사용처가 정해져 있고, 사용 목적이라는 게 존재한다. “수사관들이 보다 쉽게 다양한 경로에서 정보를 수집할 수 있도록 돕고, 신속한 판단을 할 수 있도록 분석해주는 것이죠. 수사를 보조하고, 공조를 보다 효율적으로 하기 위한 것이 이 툴을 개발한 목적입니다.”

그래서 Magnet AXIOM은 증거를 획득하고 분석하는 데에 자동화 기술을 접목한다. “밤새 자동화가 되어서 수사관이 아침에 출근하면 사건에 대한 ‘판단’을 내릴 수 있도록, 즉 진짜 일을 할 수 있도록 하는 것이죠.” 애덤 벨셔의 설명이다. 수사관의 할 일을 도우려다보니 다양한 OS, 포맷, 네트워크 환경, 기기를 전부 아우르는 수집 기술도 따라붙었다. “PC의 하드디스크는 물론 스마트폰, 태블릿, OS 체제, 각종 애플리케이션과 기기에서도 정보를 수집합니다. 따로따로 정보 수집 명령을 내릴 필요가 없는 것이죠.”

3. 한국어 지원은 아직
다만 한국어로 된 애플리케이션들은 라인 외에는 아직 지원을 하지 않는다. 마그넷 포렌식스의 한국 총판인 인섹시큐리티에서 한글 지원 요청을 강력하게 해둔 상태고, 연말까지는 카카오톡과 아래한글에 대한 지원이 이뤄질 예정이다. 위 언급한 수사기관 외에도 지방검찰청, KISA, 국세청, 공정거래위원회와 같은 정부기관들이 이미 Magnet AXIOM을 사용하고 있다고 하는데, 한글 지원이 아직 안 된다는 건 무슨 상황일까?

“현대의 사이버 범죄라는 것이 국경과 상관없이 일어난다는 걸 기억할 필요가 있습니다. 지구 반대편에서도 타국의 정부기관들을 공격할 수 있는 게 현실이지요. 한글을 지원하는 게 대단히 중요한 일이고, 서서히 지원을 해나갈 계획이긴 하지만, 한국의 주요 단체나 기관을 공격하기 위해 반드시 아래한글 파일이나 카카오만을 사용해야 하는 건 아닙니다.” 실제로 해외에서 유행한 공격들이 돌고 돌아 한국으로 그대로 들어오는 예가 많다.

4. 경계를 허무는 건 범죄자들의 주특기
“실제 한국의 수사기관들은 대부분 국내 사건 현장에서 압수가 가능한 하드드라이브 등을 검사할 때는 한글이 지원이 되는 포렌식 툴을 사용합니다. 대신 그런 툴들은 하드드라이브에 특화되어 있는 게 보통이죠. 하지만 현대의 사이버 범죄는 SNS, 이메일, 클라우드 등 다양한 미디어를 통해 일어납니다. 그런 다양한 미디어에 대한 스캐닝 및 증거 수집/분석 능력이 중요하게 여겨지는 이유죠. 한글화가 중요하지만 지금 당장 Magnet AXIOM을 사용하지 않기에는 지금 사이버 공간의 상황이 심상치 않기도 합니다.” 인섹시큐리티의 김종광 대표가 설명한다.

Magnet AXIOM의 경우 지원하는 클라우드 포맷이 7개, SNS가 26개, 이메일이 11개, OS가 21개다. 이렇게 다양한 플랫폼 및 포맷을 지원할 수 있는 건 리버스엔지니어링에 능한 인력을 다수 보유하고 있기 때문이다. “캐나다 본사에 뿐만 아니라 여러 나라의 지사에도 리버스엔지니어들을 고용하여 애플리케이션 분석을 진행합니다.” 단순히 새로운 애플리케이션에 대한 리버스엔지니어링만 하는 게 아니라 이미 지원하는 애플리케이션들에 대한 지속적인 업데이트까지도 진행한다. 이 역시 증거 수집을 보다 원활히 하기 위함이다.

5. 결국 ‘손 맛’은 영업비밀
이렇게 환경이나 출처 가릴 것 없이 거의 모든 곳에서 데이터를 수집한다 해도 적절한 필터링 기능이 없다면 수사관에게 도움을 주지 못한다. 결국 모든 포렌식 툴 및 수사기관의 ‘능력’이란 수집한 정보의 필터링을 얼마나 잘 하느냐로 귀결될 수 있는데 김종광 대표는 “그건 기업이나 기관마다 가지고 있는 고유의 노하우”라고 설명한다. 실제 Magnet AXIOM의 소개자료에도 이 필터링 부분만 유독 설명이 짧다.

애덤 벨셔 CEO는 “포렌식 툴을 개발하는 곳마다 결국 어느 시점에서는 자신만의 독특한 기법을 도입하게 되어 있다”며 “그걸 공개하는 순간 범죄자들에 의해 우리 툴과 방식은 무용지물이 된다”고 설명한다. “FBI가 애플의 암호화를 뚫어낸 방법을 끝까지 공개하지 않는 것도 비슷한 이유입니다.” 그런 이유로 마그넷만의 ‘원조 손 맛’은 현재 전 세계 92개국의 법 집행, 정부, 군사 기관이 즐기고 있다는 것으로 가늠되고 있는 상태다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>