디지털 포렌식이 범죄수사 뿐 아니라 일반 기업에서도 침해사고 예방과 대응을 위해 활용되고 있다. 이에 따라 보안 기업들이 포렌식 기술을 탑재한 제품을 발표하면서 경쟁사와의 차별점을 강조하고자 한다. 그러나 현재 유행처럼 퍼지고 있는 포렌식 기술은 로그분석의 수준에 그치고 있다는 비판이 높다.
김진국 플레인비트 대표이사는 “포렌식 기술에 대한 이해가 높아지고 있는 것은 환영할만한 일이지만, 로그분석 수준의 기술을 포렌식이라고 부르는 것은 실제 기술에 대한 오해가 생길 수 있어 바람직하지 않다”고 지적했다.
플레인비트는 포렌식 기술을 가진 전문가로 구성된 기업으로, 정보유출사고 및 침해사고 분석, 수사기관의 디지털 증거분석 등의 서비스를 제공하고 있다. 포렌식 전문가로 구성된 커뮤니티 ‘포렌식 인사이트’를 운영하면서 최신 포렌식 기술을 공부하고 있으며, 실제 조직이나 사고에서 발생한 이슈를 토론하면서 기술을 현장에 적용하는 방법을 연구한다.
“포렌식, 만병통치약은 아니다”
포렌식 전문가의 입장에서 현재 시장에서 불고 있는 포렌식 열풍이 반가운 일이지만 한편으로는 우려되는 부분도 있다. 포렌식 기술을 확보하지 않고 있는 기업들이 마케팅용으로 포렌식 기술을 활용해 시장에 혼란을 주고 있기 때문이다.
특히 포렌식 기술만 적용하면 모든 사고를 다 막을 수 있다거나, 사고의 원인을 정확하게 파악할 수 있다고 강조하는 것은 위험하다. 포렌식은 범죄 수사 기법을 그대로 따르고 있으며, 디지털 정보를 수집해 사고의 경로를 추적해가면서 과정과 원인을 밝혀낸다. 포렌식으로 밝혀내지 못하는 경우도 많다.
예를 들어 삭제된 디지털 정보도 포렌식 기술로 복구할 수 있다고 알고 있지만, 덮어쓰기를 한 영역의 정보는 복구될 수 없다. 포맷한 디스크도 100% 완벽하게 복구할 수 있는 것은 아니다. 침해사고가 발생했을 때 악성코드에 감염된 PC를 포맷한 후 해당 사고의 원인을 분석해달라고 요청하는 경우, 포맷된 디스크에서 사고의 증거를 찾지 못하는 상황도 자주 발생한다.
침해사고가 발생했을 경우 사고에 이용된 시스템은 네트워크에서 분리시킨 후 저장된 정보가 훼손되지 않도록 주의해야 한다. 범죄가 발생했을 때 현장을 보존하는 것과 마찬가지로 생각해야 한다.
김진국 대표이사는 “포렌식은 다양한 시스템에서 정보를 수집해 정밀한 분석을 거쳐 사고의 원인과 과정을 밝혀내는 기법으로, 기술 그 자체보다 많은 경험을 축적한 고도의 전문성이 중요하다”고 강조했다.
퇴사자·입사자 정보유출·유용 막기 위한 정책 필요
수사기관에서 요구하는 디지털 포렌식은 수집된 증거의 법적인 효력을 확보할 수 있도록 정당한 절차를 거쳐야 한다. 그러나 민간에서는 절차보다는 공격의 원인과 과정을 빠르게 분석해 공격이 확산되는 것을 막아야 한다. 또한 공격을 통해 어떤 정보가 유출됐는지 확인하고 대응책을 마련해야 한다.
악성코드를 이용한 APT 공격의 경우, 공격에 이용된 악성코드는 몇 개월에 걸쳐 시스템 내부에 침투해 조용히 확산되고 정보를 빼내가지만, IT 시스템에서는 보통 1개월, 길어야 3개월 동안의 로그만을 저장하기 때문에 오래된 로그는 확보할 수 없다. 따라서 공격이 언제부터 발생했으며, 어떤 시스템에 영향을 미쳤는지, 다른 시스템이나 기관 혹은 다른 기업으로도 확산됐는지 파악하기 어렵다.
퇴사자의 경우, 퇴사를 알린 후 인수인계를 위해 한달여간 회사에 근무하게 되는데, 그 동안 가장 많은 정보를 빼가게 된다. 고의로 기밀정보를 유출하는 경우도 있고, 보안정책에 위배된다는 사실을 인지하지 못한 채 가져가는 경우도 있다. 퇴사자로 인한 정보유출을 밝혀내기 위해서는 퇴사자 PC를 그대로 보관해야 하는데 대부분의 기업들은 PC를 포맷한 후 다른 직원이 사용하도록 하기 때문에 퇴사자가 사용한 정보가 무엇인지, 어떤 정보에 접근했는지 밝혀내기 어렵다.
일부 기업에서는 입사자에 대한 관리도 시행하고 있으며, 이러한 과정도 필요하다고 김 대표는 조언했다. 다른 기업에서 이직해 온 직원이 이전 직장에서 가져온 정보를 새로운 업무에 적용했다가 법적인 분쟁이 발생할 수도 있기 때문이다. 정기적인 감사를 통해 외부 정보를 불법적으로 이용하지 않도록 하는 정책도 필요하다.
김 대표는 “사고를 방지하기 위해서는 효과적인 정책 설정이 가장 중요하다. 모든 로그 데이터를 보관할 수는 없지만, 핵심 임원이나 중요 고객을 관리하는 영업직원, 핵심기술을 연구하는 연구소 직원 등 중요한 인력이 어떤 데이터에 접근했는지, 이를 어떻게 이용했는지는 장기간에 걸친 로그 저장과 관리, 분석이 이뤄져야 한다”고 조언했다.
그는 이어 “교통법규가 정해져 있고, 신호등과 교통경찰이 있어도 교통사고를 막을 수 없듯 보안사고 보안정책을 위반하거나 우회하는 사람이 나타나고 보안홀을 찾아내는 외부 공격자가 있기 때문에 보안사고를 완벽하게 막을 수는 없다”며 “시스템으로 보안을 강화할 수는 없다. 보안홀을 없앨 수 있도록 기업 환경에 맞는 정책을 수립하고, 준수할 수 있도록 경영진이 강력한 의지를 갖고 수행해야 한다”고 덧붙였다.
