[디지털 포렌식 전문가 김진국 대표 인터뷰]
복원은 디지털 포렌식의 방법론 중 하나
텔레그램 통한 범죄 사실 밝힐 수는 있지만
드러나지 않은 진실들이 더 많은 게 사실
‘디지털 포렌식 기법으로 디지털 기기에 꼭꼭 숨겨진 진실들을 파헤칠 수 있을까.’
이 같은 궁금증을 해결해줄 전문가를 찾기 위해 기자가 알고 있는 국내 유명 화이트 해커 두 명에게 디지털 포렌식 자문역을 추천해달라고 했다. 하나 같이 디지털 포렌식 전문 스타트업 플레인비트의 김진국 대표(38·사진)를 꼽았다. 김 대표는 국내 대표 보안업체 안랩 출신. 디지털 포렌식 산업을 키우고자 2013년 창업을 했다. 플레인비트는 한국인터넷진흥원(KISA)로부터 침해사고 재발방지 기술지원 사업을 수주하기도 했다. 직원은 본인 포함 9명. 현재 고려대 정보보호대학원에서 박사 과정을 지내고 있다.
지난달 서울 중구 모처에서 김 대표를 만나 디지털 포렌식의 허와 실을 들었다. 김 대표는 “디지털 포렌식 기법과 데이터 복원을 혼용해 사용하는데 다른 개념”이라며 “디지털 포렌식은 디지털 데이터를 활용해 사용자의 행위를 재구성하는 기법으로 이 때 필요한 방법 중 하나가 복구일 뿐”이라며 설명을 시작했다.
Q. 텔레그램 ‘박사방’ ‘n번방’ 사건 주요 용의자들이 디지털 포렌식 수사를 통해 검거됐다. 디지털 포렌식에 활용되는 데이터 복구 기술을 통해 지우고 또 지운 PC, 스마트폰 정보들을 모두 되살릴 수 있나.
A. 기사에서 흔히 ‘디지털 포렌식으로 데이터를 복원해 사건을 해결했다’고 말하는데 여기서 디지털 포렌식은 포장용 마케팅 용어에 가깝다. 실은 데이터를 복원한 게 아니라 미처 삭제하거나 조작하지 못한 단서들이 디지털 디바이스에 남아있는데 이 디지털 정보들을 조합하고 필요에 따라서는 복원도 해나가며 문제를 해결해나가는 방식이 디지털 포렌식이다. 오히려 데이터를 복원하지 못해 묻히는 진실이 더 많다고 봐야한다.
디지털 포렌식의 방법론 중 하나인 복원의 문제로 다시 돌아가 보자. 결론부터 말하면 PC든 스마트폰이든 데이터를 삭제하면 기본적으로 복원이 어렵다. PC의 경우 운영체제(OS) 윈도7 이전 버전이거나, 윈도7 이후 버전이라 할지라도 ‘빠른 포맷’을 선택해 데이터를 삭제했을 경우에 한해 복구가 가능했다. 하지만 윈도7 이상 버전을 사용하면서 ‘일반 포맷’을 하면 복원이 어렵다. 더군다나 다른 파일로 덮어씌우게 되면 복구는 요원해진다. 주요 공공기관의 가이드 중 하나가 하드디스크 등을 파기할 때 세 번 덮어씌우라는 것도 같은 맥락이다. 최근에 출시된 디스크들은 한 번만 덮어써도 복구가 어렵다.
스마트폰도 마찬가지다. 최신 스마트폰은 기본적으로 초기화하면 복구가 안 된다고 보면 된다. 간혹 복원이 되는 스마트폰은 특정 칩을 탑재한 경우다.
Q. 그렇다면 ‘n번방’에서 복원했다는 정보들은 어떻게 가능했던 것인가.
A. n번방 용의자 검거는 수사관의 기지, 즉 수사 노하우 덕분이라 생각한다. 데이터 복구 기술은 조연 역할을 한 정도로 보인다. n번방 용의자가 지인에게 자신의 스마트폰을 노출했던 것이 결정적인 단서였다. 수사 당국에서 노출된 스마트폰 메인화면에 설치된 앱을 본 뒤 용의자를 특정해 나갔던 것이다. 이를테면 특정 시점에 A, B, C 앱을 동시에 설치한 이용자들을 해당 서비스 업체에 확인을 통해 줄여나가는 식으로 줄여나갔던 것이다.
Q. 텔레그램에서 주고받는 메시지는 완전 복원이 안 되나.
A. 스마트폰 텔레그램 앱에는 상대방이 메시지를 확인한 뒤 일정 시간(1초~1주일)이 지나면 해당 메시지를 자동으로 삭제하는 기능이 담긴 ‘비밀 대화방’을 열 수 있다. (PC에서는 비밀 대화방을 열 수 없다.) 메시지가 이렇게 주기적으로 삭제되면 복구나 추적이 어렵다.
물론 스마트폰 텔레그램 앱이라도 단기적으로는 복구가 가능할 수도 있다. 채팅하는 순간 메모리에서 처리를 하면서 저장하기 때문이다. 하지만 운 나쁘게도 그 순간 메모리가 처리하는 것들이 많으면 저장되지 않을 수도 있다. 운 좋게 메모리에 저장됐다고 해도 재부팅하면 이내 사라져버린다. 그래서 스마트폰 텔레그램 앱에서는 복원 가능성이 현저히 낮다고 말할 수 있다.
더군다나 텔레그램 비밀 대화방이든 일반 대화방이든 원본 메시지는 해외 서버에 저장된다. 우리 수사 당국이 정보제공 요청을 해도 응하지 않는다는 뜻이다.
국내 메신저는 국내 서버에 저장되기는 하지만 국내 한 메신저의 경우 과거 프라이버시문제로 현재는 3일만 서버에 저장한다. 이로 인해 해당 메신저를 디지털 포렌식에 활용하기 위해 카카오 서버보다 개인이 소유한 PC나 스마트폰에 초점을 맞추고 있다.
Q. iOS, 안드로이드 중 어떤 OS가 더 보안에 강한가.
A. 보안업계에 종사하는 주변 사람들을 보면 아이폰 이용 비율이 안드로이드폰에 비해 높다. 그 이유는 물리적인 보안 측면에서 안드로이드폰보다 아이폰의 보안 수준이 월등히 높기 때문이다.
안드로이드폰은 물리적으로 잃어버렸을 때 누군가 줍게 되면 비밀번호를 쉽게 풀어 데이터 전체를 볼 수 있다. 암호를 풀 수 있는 취약점들이 많이 공개되어 있기 때문이다. 하지만 아이폰은 패스워드 푸는 것 자체가 매우 까다롭다.
물론 이스라엘 셀레브라이트, 미국 그레이키 등 암호 해독 전문기업이 제공하는 솔루션을 통해 암호를 풀 수 있다. 하지만 그 방법은 패스워드를 하나씩 넣는 방식이다. 아이폰은 비밀번호 입력 오류가 여러 차례 발생하면 다음에 입력할 수 있도록 한 대기시간이 1분, 55분 등으로 계속 늘어난다. 이들 암호 해독 전문기업은 이 과정에서 이 대기시간을 줄이는 iOS의 몇 없는 취약점을 이용한다. 과거 아이폰의 패스워드는 4자리였는데 현재 6자리로 늘어 더 시간이 걸린다. 그러다보니 패스워드 하나 푸는 데만 수개월씩 걸린다는 이야기가 나오는 것이다.
Q. 스마트폰이 점점 비싸지면서 중고폰 거래가 많아지고 있다. 데이터를 삭제해도 복원할 수 있다는 불안감에 판매를 못하는 사람들도 있는데.
A. 중고폰 판매 전 초기화 설정을 하면 데이터가 삭제돼 복원이 어려워진다. 여러 번 초기화 할수록 복구는 더욱 까다롭다. 물론 범죄자들이 수단과 방법을 가리지 않고 데이터를 복구하려고 하면 수차례 초기화된 폰에서도 일부 정보를 살펴낼 수는 있을 것이다. 하지만 개인들이 가지고 있는 무수한 정보 중 범죄자들이 필요한 건 금융 정보나 아이디, 패스워드 등이 담긴 사진, 동영상 파일 정도일 것이다. 여러 번 초기화한 스마트폰에서 이 돈 되는 정보들이 살아남을 가능성은 희박하다. 결국 초기화된 스마트폰에서 주요 정보를 추출하기 위해서는 시간과 비용이 많이 들어간다. 범죄자들도 가성비가 나오지 않으면 이런 노고를 들여 데이터를 가져가려 하지 않을 것이다.
댓글 0