이번 글에서는 디지털 포렌식의 기본기술인 데이터 분석기술과 증거능력에 대해 설명하고, 핵심기술로 주목받고 있는 이미지 파일 카빙에 대한 기술동향 조사결과를 설명한다. 이를 토대로 국내 기술경쟁력 분석결과를 제시하여 디지털 포렌식 기술력을 향상시킬 수 있는 기반을 마련하고자 한다.

과학수사에서 중요한 역할을 하는 디지털 증거는 저장매체에 따라 자기장이나 전기적 방식으로 기록되어 있어 증거의 획득, 보관, 분석 및 제출 과정에서 손쉽게 변조될 수 있다. 각종 범죄 수사 중 수집한 디지털 흔적이 법정에서 디지털 증거로 인정받기 위해서는 무결성(integrity), 정당성, 재현성, 연계 보관성(chain of custody) 및 원본성(originality) 등 증거능력(admissibility)이 보장되어야 한다.
수집한 디지털 데이터가 법정에서 디지털 증거로 인정받기 위한 가장 중요한 요인인 무결성은 초기 수집된 데이터가 법정에 제출될 때까지 변조되지 않아야 한다. 즉, 디지털 데이터는 위·변조 및 임의로 훼손하기 쉽기 때문에 수집 이후 변경되지 않았음을 입증할 수 있어야 하는 것이다.
이를 위해 사전 준비, 증거 수집, 포장 및 이송, 조사 분석, 정밀 검토, 보고서 작성 등의 디지털 포렌식(Digital forensics) 절차가 필수적이다. 즉 데스크 톱, 노트북, 라우터, 휴대폰, 내비게이션, 차량용 블랙박스, CCTV, 의학용 전자기기, 스마트TV, 전자시계 및 디지털 도어 등 디지털 흔적이 남을 수 있는 다양한 디지털기기를 매개체로 한 범죄행위의 사실관계를 법정에서 규명하고 증명하기 위한 절차가 필요하다. 디지털 포렌식은 사이버범죄 분석 및 강력범죄를 비롯한 사기, 명예훼손, 회계부정, 세금포탈 및 기업비밀 유출 등 거의 모든 범죄해결에 활용되고 있다.
 

디지털 포렌식 개요

디지털 데이터 분석기술
디지털 포렌식에 사용되는 데이터들을 효과적으로 분석하기 위해서는 증거수집 및 보관, 증거복구, 증거분석 등 전 과정을 통해 저장매체, 파일시스템, 데이터처리, 네트워킹 등 ICT 기술력 기반의 기초연구가 필수적이다. 특히 악성코드 등을 이용한 지능적인 사이버 범죄에 대응하기 위해서는 신속한 복구와 아울러 사고의 원인 규명을 통한 예방책을 마련할 수 있어야 한다.
아울러 디지털 데이터를 분석하여 법적 요건에 충실한 디지털 포렌식 기술을 구현하기 위해서는 이미지 파일 카빙과 같은 소프트웨어 포렌식 기술개발이 필요하다.

증거능력 및 신뢰성 검증
디지털 포렌식은 과학수사에서 범죄사실을 증명할 수 있는 디지털 증거물을 과학적으로 조사하는 과정을 의미한다. 디지털 자료가 증거로 채택되었다는 것은 진정성과 무결성이 보장되는 증거능력(admissibility)과 증명력(weight)이 인정되었다는 것이다. 디지털 증거의 요건을 충족하기 위해서는 논리적이고 체계화된 디지털 증거수집 절차, 신뢰성 있는 디지털 포렌식 도구의 이용, 증거 분석관의 자격 검증, 합리적인 표준절차가 필요하다.
아울러 디지털 포렌식 도구의 적합성을 검증하기 위해서는 각 절차마다 사용되는 도구에 대해 기능적 요구사항을 정의하고 적합성 테스트를 거쳐 신뢰성을 검증할 필요가 있다. 미국의 경우 Daubert Test와 같은 과학적 증거 판별기준을 정하여 디지털 포렌식 도구가 디지털 증거의 무결성을 보존하면서 유효한 결과물을 산출할 수 있는지 검증하고 있다. 국내에서는 2007년 TTA에서 디지털 포렌식을 위한 수집도구 검증을 위한 요구사항을 표준화한바 있다.

이미지 파일 카빙 기술개발 동향

핵심 기술 및 파급효과
디지털 포렌식의 핵심 기술로 주목받고 있는 이미지 파일 카빙(Image file carving) 기법은 meta-data와 같은 부가정보가 전혀 없는 이미지 증거의 단편 조각들 간 인접-상관도를 측정하여 단편화 조각들을 재조합함으로써 원래의 이미지 형태로 복원하는 것이다. 이에 Base fragment와 Candidate fragment 간의 예측과 검증 기술의 핵심인 Cross-referencing을 통해 보다 정확한 이미지 복원을 가능하게 하여 사이버 과학수사를 비롯한 다양한 산업분야에 적용할 필요가 있다.
이미지 파일 카빙 기술을 구현하기 위해서는 데이터 파일 카빙 기법과 이를 토대로 한 알고리즘 설계기법 등 다음과 같은 세부적인 기술개발이 필요하다. 이미지 파일 카빙 기술트리를 표 1에 나타낸다.
이미지 파일 카빙 기법은 다양한 디지털 포렌식 기법 중에서 유력한 법적 증거가 될 수 있는 이미지 형태로 된 디지털 증거를 복원하는 기술이다. 이에 과학수사는 물론 의료, 군사 및 안보, 사회문제 해결 등의 분야에서 디지털 이미지 증거 복원기법에 적용되면서 중요한 Value chain을 형성하여 커다란 파급효과를 낳고 있다. 특히 메모리 내용을 고의로 삭제하거나 meta-data가 훼손된 아날로그 및 디지털 이미지 복원 등의 분야에서 수요니즈가 빠르게 확대되고 있다. 이에 정책적 지원과 아울러 원천기술의 조기 개발을 통해 기술보급을 확대시킬 필요가 있다.

기술개발 사례 연구

현재의 디지털 포렌식 기술은 파일의 header나 footer와 같은 signature가 없는 경우에는 이미지 복원률이 매우 낮은 편이다. 2000년대 초기부터 연구되어온 암호화되거나 압축된 이미지 파일 카빙 관련 연구사례를 간단히 요약하면 다음과 같다.

Hamiltonian Path Problem 솔루션
Shanmugasundaram 등은 2000년대 초 alpha-beta heuristic 알고리즘을 이용한 단편화된 조각 파일들 간의 재조합을 통해 이미지 파일을 복구하는 Hamiltonian Path Problem 솔루션을 개발하여 조각 파일의 복구에 대한 연구를 처음으로 시도하였다. 컴퓨터과학 분야에서 다양하게 응용되고 있는 Hamiltonian path(해밀턴 경로) 찾기 문제를 해결하기 위해서는 그림 1과 같은 절차를 따라야 한다.

표 1. 이미지 파일 카빙 기술트리

그림 1. 해밀턴 경로탐색 절차

•‌해밀턴 경로 찾기 문제를 모델과 속성(Property) 으로 표현하고 해결하고자 하는 해밀턴경로 찾기 문제에서의 정보는 다음과 같다.
     - 그래프에 존재하는 모든 점을 방문해야만 한다.
     - 한번 지난 점은 재방문해서는 안 된다.
     - 시작점과 종료점이 존재한다.
•‌위와 같은 정보를 모델과 속성으로 표현하며 모델 체커는 모델과 속성을 받아들여서 만약모델이 속성을 만족하지 않으면 반례(Counter example)를 생성하여 이를 해석해 해밀턴 경로를 얻을 수 있다.
•‌해밀턴 경로 문제를 모델과 속성으로 표현하는 데 있어서 중요한 문제는 어떤 부분에 더 많은 정보를 표현할 것인지를 선택하는 것이다.

Bit-fragment gap carving 기법
Garfinkel은 두 조각난 이미지 단편조각 파일의 header와 footer를 모두 알고 있을 경우, 파일에 대한 고속 객체 검증(FOV : Fast Object Validation) 기법을 이용한 Bit-fragment gap carving 기법을 제안하였다. Bit-fragment gap carving 알고리즘의 구조를 그림 2에 나타낸다.
•이 기법은 header와 footer정보가 포함된 cluster가 확인되었을 경우 존재할 수 있는  gap을 이용하여 단편조각의 객체검증을 실시하는 것이다.
•이 기법은 악의적인 목적으로 파일을 삭제한 경우 이를 활용하여 해당 파일을 복구하는 것이 가능하다. 특히 해킹 후 로그파일이 조작된 경우 이를 조작하여 삭제된 스크립트 파일을 복구할 수 있어 디지털 포렌식 분야에 적용할 수 있다.

기타 기술개발 사례
•‌‌Pal 등은  24비트 depth를 갖는 BMP 이미지를 이용하여 메타데이터가 없는 파일의 단편화 조각 간 정합 값(weight)을 계산하여 최적의 단편화(fragmentation) 조각쌍을 찾아내는 기법을 제안하였다.
•‌M. Dorigo 등은 greedy search(탐욕 검색법) 및 exploitation of positive feedback search(긍정적 보상에 의한 탐색법)을 이용하여 그간 여러 연구자에 의해 연구된바 있는 ACS(Ant Colony System) 알로리즘을 개발하여 단편화 조각 쌍을 찾아내는 기법을 제안하였다.    
•‌기타 Foremost 및 Scalpel 등의 기법이 있으나 파일의 조각이 연속적이면서 header, footer와 같은 signature가 존재할 때에만 파일 카빙을 구현할 수 있는 제한요인이 있다. 따라서 이러한 기법들은 이미지에 대해 특화된 특성을 사용할 수 없는 단점이 있다.

 국내 기술경쟁력 분석

그림2 Bit-fragment gap carving 알고리즘의 구조

이미지 파일 카빙 기술은 디지털 포렌식에서 시그니쳐(signature)가 없는 파일조각들을 재조합하여 원래 이미지를 복원할 수 있는 특징이 있다. 특히 가장 중요한 단서가 되는 파일의 단편 조각들을 읽어내는 기술의 경우 대부분 하드웨어 구조 기반의 포렌식 기법으로 개발되어 왔다.
이미지 파일 카빙 기술을 구현하는 데 필수적인 데이터 파일 카빙 및 알고리즘 설계 등의 기술 분야에서 2000년대 초기부터 연구되어온 사례를 토대로 국내 디지털 포렌식 기술경쟁력에 대한 분석결과를 요약하면 다음과 같다.
•‌파일 시스템 구조 및 meta-data를 기반으로 파일을 복원하는 하드웨어 개발에 주력해왔으나, 보다 더 중요한 이미지 단편 조각 간의 상관성을 계산하는 기술은 아직 개발되지 않았다. 이에 파일 조각의 signature와 contents를 기반으로 이를 계산하는 파일 카빙 기법을 통해 디지털 파일을 복구할 수 있는 소프트웨어적인 알고리즘 설계기술이 필요하다.
•‌동영상 및 오디오 파일 복구 등 시간적인 연속성이 있는 멀티미디어 파일 카빙에 대한 연구에 주력하고 있다. 정지영상의 파일 카빙 연구는 조각난 파일이 연속적으로 위치해 있을 경우 파일의 시그너쳐를 이용하여 이미지를 복구하는 기초적인 수준을 벗어나지 못하고 있다.
•‌국내 디지털 포렌식 기술은 사용흔적 추적 및 파일 복구 등에 주력하고 있으며, 글로벌 선도 기술력에 비해 매우 뒤쳐져 있는 상황이다. 따라서 국내 산업 환경에는 하드웨어 포렌식 기술보다 이미지 파일 카빙과 같은 소프트웨어 포렌식 기술개발이 유리한 측면이 있다.

결론

메타데이터와 같은 부가정보가 소실되었거나 악의적으로 위조된 이미지의 단편 조각들 간의 인접-상관도를 측정하여 원래 이미지 형태로 단편화 조각들을 재조합하는 이미지 파일카빙 기술은 훼손된 아날로그 사진의 복원, 메모리 삭제 및 메타데이터 훼손으로 인한 디지털 영상의 증거 복원 등의 분야에 유용하게 응용될 수 있다.
국내 디지털 포렌식 기술력은 하드웨어 포렌식 중심의 글로벌 선도 기술력에 비해 매우 뒤쳐져 있는 상황이다. 이에 소프트웨어 알고리즘 기반의 파일카빙 같은 응용연구를 통해 선진국 수준의 기술개발이 절실하다. 이를 통해 사이버 과학수사, 의료, 군사 및 안보, 사회문제 해결 등 다양한 분야에서 수익을 창출할 수 있을 것이다.
국내 디지털 포렌식 관련 하드웨어적인 기술수준은 글로벌 기술력을 주도하고 있으나, 파일 카빙을 위한 소프트웨어적인 알고리즘 설계와 관련된 기술개발은 매우 취약한 편이다. 이에 파일 조각의 signature와 contents를 기반으로 이미지 단편 조각 간의 상관성을 계산할 수 있는 파일 카빙 기법에 대한 연구에 주력할 필요가 있다. 아울러 이미지 파일 카빙 기술은 글로벌 기술시장 선점을 통한 매우 큰 국가 경제적 효과를 얻을 수 있어 국내 산업 환경에 맞는 핵심(원천) 기술을 조기에 개발할 필요가 있다. 2011년 기준으로 미국의 디지털 포렌식 관련 전후방 기술시장은 15억 달러의 시장규모를 기록하였다.
이를 감안한다면 향후 국내에도 대규모 시장형성이 예상되는 유망기술이다. 현재 국내에서는 일부 벤처기업들이 보유한 디지털 포렌식 기술을 이용하여 공공기관 등의 업무에 적용되고 있다. 향후에는 사이버 과학수사 및 범죄예방은 물론 주거생활 안정형 감시체제 구축 등 민간시장의 수요도 크게 증가할 것으로 예상된다. 이에 공공과 민간부문의 수요니즈를 모두 수용할 수 있는 파일 카빙 기술을 개발하고 조기 제품화를 추진할 필요가 있다. 아울러 디지털 포렌식 기법을 효과적으로 구현하기 위해서는 다양한 디지털기기 및 저장매체의 특성과 동작원리를 이해하는 학습이 선행되어야 할 것이다.   

박세환  박사(한국과학기술정보연구원 ReSEAT프로그램 전문연구위원)