그렇다면 컴퓨터 포렌직은 앞으로 한국 시장에서 어떠한 분야에서 활용될 수 있을까? 우선, 사법기관에서의 활용도는 지속적으로 높아질 것이다. 왜냐하면 각종 범죄에 컴퓨터나 디지털 자료가 연관되지 않은 경우는 거이 없기 때문이다.
한국 내 상업회사에서는 포렌직 솔루션으로 할 수 있는 일이 뭘까? 필자도 불과 몇 년 전까지만 해도 사법 기관 외의 회사에서 포렌직을 하리라는 전망을 하지 못했다. 아니 하지 못할 것이라고 생각했다. 그러나, 최근의 기업 내 정보자산에서 유출되는 고객 정보과 영업기밀 정보 등 날로 고도화되는 보안사고에 기존의 솔루션으로는 부족한 면이 없지 않고, 또한 기업의 입장에서도 보안사고 발생시의 민/형사상 책임을 물을 수 밖에 없는 상황에서 무턱대고 디스켓 또는 하드디스크 출력물을 뽑아 자문 변호사가 그 자료를 해석, 분석해서 법원에 제출 할 수 있는 상황은 아니다.
디지털 증거 그 자체로 회사 내 기밀 자료가 빠져나갔다는 것을 증명해야 할 때에 법원에서 기 판결한 판례에 따라야 적절한 증거로서의 가치를 가질 수 밖에 없는 것이다. 그런데 이러한 기업 비밀 유출 시에 보통의 기업에서는 조용히 묻어가자는 경향이 강했다. 하지만 소극적 대응은 결코 기업의 이미지에 좋은 영향을 끼칠지 몰라도 결국 빠져나간 기밀정보는 그 유출경로와 유출자를 찾지 못한다면 제2, 제3의 유출사고는 지속적으로 터질수 밖에 없을 것이고, 언젠가는 대형사고로 터질 가능성이 높다.
이러한 정보보호적 측면에서의 포렌직이 널리 활용될 수 있을 거란 생각과 함께, 얼마 전 한 회계법인에서도 Forensic LAB이 OPEN한 것을 보면 회계부정 적발 및 사내감사적 측면에서의 포렌직도 향후 지속적인 시장형성이 되지 않을까 싶다. 또한, Sarbanes-Oxley Act에 대해서는 강력한 내부통제와 감사를 목적으로 하고 있는데, 이를 위해서 방대한 량의 디지털 데이터를 효과적이고 효율적으로 분석해서 적절한 통제와 감사를 위해서, 또 이러한 통제와 감사를 통해 얻어진 산출물이 민형사상의 법적인 증명력을 갖기 위한 방안으로 포렌직이 대안이라는 의견도 가지고 있다.
얼마 전 한 업체의 경우 Email Archiving solution을 통한 금융감독원의 금융권 이메일 3개월 보관에 대한 규정를 충족하고 각종 규제 및 컴플라이언스의 요구에 기업들이 실시간으로 대응할 수 있도록 한다고 한다. 이는 E-discovery의 확산에 따라 상업회사들의 관심은 커질 것이라고 생각한다.
자, 이제 포렌직이 앞으로 어떻게 활용될 수 있을까?
논픽션을 토대로 성공한 사례를 만들어 보았다. 아래 사례는 A그룹의 악성 직원이 퇴사를 앞두고 사내 기밀 서버에 정당한 권한없이 접속하여 설계도 파일과 기밀 서류 파일, 고객정보 등을 다운로드하여 자신의 PC에 보관하고 있다는 감사팀의 보고를 받은 Forensic Examiner가 기밀서버에서 악성 직원이 접속한 흔적을 무결성 상태로 해당 파일들을 이미징하여 MD5 value를 계산하고 remote forensic을 통해 악성직원이 가지고 있는 파일 수천~수만 개 중에 기밀서버에서 보관된 파일과 동일한 파일을 찾아냈다.
그룹의 법무팀과 협의를 통해 해당 사실은 영업비밀에 보호에 관한 법률 위반으로 판단하고 CIO와 CEO 보고를 거쳐 해당 직원을 사법기관에 정식 고소하기로 하고 수집된 일체의 디지털증거를 법무팀 변호사를 통해 사법기관에 제출하였다.
악성 직원은 이를 미리 감지하고 다운로드한 자료는 자신도 모르게 저장된 자료라며 부인하였으나, A그룹의 FORENSIC EXAMINER가 수집/분석한 자료에 따르면 파일의 생성시간과 기밀서버의 로그자료 등을 볼 때 의도적인 접근과 불법적 다운로드 사실이 드러나, 법원에서는 A그룹의 FORENSIC EXAMINER가 수집한 이미징 데이터를 재검증하여 무결성, 처리과정, 분석과정, 도구의 신뢰성, 조사관의 능력 등을 검증하였고 법원은 악성직원에게 유죄를 선고하였다. 이를 통해 A그룹은 기밀자료의 유출로 인한 금전적 피해와 기업 신뢰도 하락, 이미지 실추 등의 막대한 피해를 방지 하였다.
< Forensic Case >
자, 이제 반대로 실패한 사례로 구성해 보았다. 이 사례는 기업내의 FORENSIC EXAMINER가 없는 상황을 가정하였다.
악성직원은 기밀서버에 정당한 권한없이 접근하여 기밀자료와 고객정보를 탈취하여 이직할 목적으로 보관하고 있었다. 이를 감지한 정보보호팀 홍길동 과장은 기밀서버에서 로그를 다운로드 받고, 악성직원이 접속하여 해당 파일을 다운로드한 accesslog를 확보하여 cd에 저장하여 수사기관에 신고하였다. 사법기관에서 조사를 받던 악성 직원은 해당 파일은 정확한 데이터가 아니고 변조되었을 수도 있으며, 자신의 컴퓨터에는 그러한 자료가 있었는지 조차 몰랐다며 발뺌을 해버렸다.
결국 사법기관은 기밀서버와 악성직원의 컴퓨터를 압수수색을 통해 분석하였으나, A그룹에서는 기밀 서버의 외부 반출로 인한 서비스 장애의 발생으로 인해 상당기간 고생해야 했고, 홍길동 과장이 기밀 서버와 악성 직원의 컴퓨터를 별도의 장치 없이 열람 하는 과정에서 파일 시간이 변동되어 무결성을 보존하기 어려웠으며, 결국 법원은 이러한 분석절차 상의 문제점, 무결성을 증빙할 수 없는점 등을 이유로 무죄를 선고 했다.
성공한 사례와 실패한 사례는 모두 논픽션을 토대로 약간 수정해서 작성되었는데, 실제로 이러한 일들이 종종 발생하고 있으며 이러한 것들은 앞으로 포렌직 도입을 염두하고 있다면 상기 시나리오의 상황하에서의 성공한 사례가 되기 위해 다양한 준비를 거쳐야 할 것이라고 행각한다.
포렌직 분야에 관심을 가지고 있으면서 사법기관 재직시의 경험을 토대로 현재는 시큐아이닷컴에서 침해사고대응과 취약점 분석, 포렌직 업무를 하면서 포렌직의 필요성을 상당부분 체감하고 있다. 특히, 정보보호컨설팅 전문업체로서 가지고 있는 정보통신기반보호법이라는 법률적 환경, 내부감사와 통제, 정보보안 규정, 방침 등의 설계 등의 노하우와 CERT팀에서 가지고 있는 각종 애플리케이션과 시스템들의 체계적인 취약점 분석업무는 향후 정보보호컨설팅 전문업체의 포렌직 서비스 수행 시 고객사에 신뢰할 수 있는 자체 보안사고, 정보유출사고, 포렌식 분석 결과를 제공할 것이고, 이는 사전대응 개념의 컨설팅과 취약점 분석 서비스가 사후대응 개념의 포렌식 서비스와 결합할 것이라고 생각한다.
<글,문의:시큐아이닷컴㈜ CERT팀 조용현 대리>그렇다면 컴퓨터 포렌직은 앞으로 한국 시장에서 어떠한 분야에서 활용될 수 있을까? 우선, 사법기관에서의 활용도는 지속적으로 높아질 것이다. 왜냐하면 각종 범죄에 컴퓨터나 디지털 자료가 연관되지 않은 경우는 거이 없기 때문이다.
한국 내 상업회사에서는 포렌직 솔루션으로 할 수 있는 일이 뭘까? 필자도 불과 몇 년 전까지만 해도 사법 기관 외의 회사에서 포렌직을 하리라는 전망을 하지 못했다. 아니 하지 못할 것이라고 생각했다. 그러나, 최근의 기업 내 정보자산에서 유출되는 고객 정보과 영업기밀 정보 등 날로 고도화되는 보안사고에 기존의 솔루션으로는 부족한 면이 없지 않고, 또한 기업의 입장에서도 보안사고 발생시의 민/형사상 책임을 물을 수 밖에 없는 상황에서 무턱대고 디스켓 또는 하드디스크 출력물을 뽑아 자문 변호사가 그 자료를 해석, 분석해서 법원에 제출 할 수 있는 상황은 아니다.
디지털 증거 그 자체로 회사 내 기밀 자료가 빠져나갔다는 것을 증명해야 할 때에 법원에서 기 판결한 판례에 따라야 적절한 증거로서의 가치를 가질 수 밖에 없는 것이다. 그런데 이러한 기업 비밀 유출 시에 보통의 기업에서는 조용히 묻어가자는 경향이 강했다. 하지만 소극적 대응은 결코 기업의 이미지에 좋은 영향을 끼칠지 몰라도 결국 빠져나간 기밀정보는 그 유출경로와 유출자를 찾지 못한다면 제2, 제3의 유출사고는 지속적으로 터질수 밖에 없을 것이고, 언젠가는 대형사고로 터질 가능성이 높다.
이러한 정보보호적 측면에서의 포렌직이 널리 활용될 수 있을 거란 생각과 함께, 얼마 전 한 회계법인에서도 Forensic LAB이 OPEN한 것을 보면 회계부정 적발 및 사내감사적 측면에서의 포렌직도 향후 지속적인 시장형성이 되지 않을까 싶다. 또한, Sarbanes-Oxley Act에 대해서는 강력한 내부통제와 감사를 목적으로 하고 있는데, 이를 위해서 방대한 량의 디지털 데이터를 효과적이고 효율적으로 분석해서 적절한 통제와 감사를 위해서, 또 이러한 통제와 감사를 통해 얻어진 산출물이 민형사상의 법적인 증명력을 갖기 위한 방안으로 포렌직이 대안이라는 의견도 가지고 있다.
얼마 전 한 업체의 경우 Email Archiving solution을 통한 금융감독원의 금융권 이메일 3개월 보관에 대한 규정를 충족하고 각종 규제 및 컴플라이언스의 요구에 기업들이 실시간으로 대응할 수 있도록 한다고 한다. 이는 E-discovery의 확산에 따라 상업회사들의 관심은 커질 것이라고 생각한다.
자, 이제 포렌직이 앞으로 어떻게 활용될 수 있을까?
논픽션을 토대로 성공한 사례를 만들어 보았다. 아래 사례는 A그룹의 악성 직원이 퇴사를 앞두고 사내 기밀 서버에 정당한 권한없이 접속하여 설계도 파일과 기밀 서류 파일, 고객정보 등을 다운로드하여 자신의 PC에 보관하고 있다는 감사팀의 보고를 받은 Forensic Examiner가 기밀서버에서 악성 직원이 접속한 흔적을 무결성 상태로 해당 파일들을 이미징하여 MD5 value를 계산하고 remote forensic을 통해 악성직원이 가지고 있는 파일 수천~수만 개 중에 기밀서버에서 보관된 파일과 동일한 파일을 찾아냈다.
그룹의 법무팀과 협의를 통해 해당 사실은 영업비밀에 보호에 관한 법률 위반으로 판단하고 CIO와 CEO 보고를 거쳐 해당 직원을 사법기관에 정식 고소하기로 하고 수집된 일체의 디지털증거를 법무팀 변호사를 통해 사법기관에 제출하였다.
악성 직원은 이를 미리 감지하고 다운로드한 자료는 자신도 모르게 저장된 자료라며 부인하였으나, A그룹의 FORENSIC EXAMINER가 수집/분석한 자료에 따르면 파일의 생성시간과 기밀서버의 로그자료 등을 볼 때 의도적인 접근과 불법적 다운로드 사실이 드러나, 법원에서는 A그룹의 FORENSIC EXAMINER가 수집한 이미징 데이터를 재검증하여 무결성, 처리과정, 분석과정, 도구의 신뢰성, 조사관의 능력 등을 검증하였고 법원은 악성직원에게 유죄를 선고하였다. 이를 통해 A그룹은 기밀자료의 유출로 인한 금전적 피해와 기업 신뢰도 하락, 이미지 실추 등의 막대한 피해를 방지 하였다.
< Forensic Case >
자, 이제 반대로 실패한 사례로 구성해 보았다. 이 사례는 기업내의 FORENSIC EXAMINER가 없는 상황을 가정하였다.
악성직원은 기밀서버에 정당한 권한없이 접근하여 기밀자료와 고객정보를 탈취하여 이직할 목적으로 보관하고 있었다. 이를 감지한 정보보호팀 홍길동 과장은 기밀서버에서 로그를 다운로드 받고, 악성직원이 접속하여 해당 파일을 다운로드한 accesslog를 확보하여 cd에 저장하여 수사기관에 신고하였다. 사법기관에서 조사를 받던 악성 직원은 해당 파일은 정확한 데이터가 아니고 변조되었을 수도 있으며, 자신의 컴퓨터에는 그러한 자료가 있었는지 조차 몰랐다며 발뺌을 해버렸다.
결국 사법기관은 기밀서버와 악성직원의 컴퓨터를 압수수색을 통해 분석하였으나, A그룹에서는 기밀 서버의 외부 반출로 인한 서비스 장애의 발생으로 인해 상당기간 고생해야 했고, 홍길동 과장이 기밀 서버와 악성 직원의 컴퓨터를 별도의 장치 없이 열람 하는 과정에서 파일 시간이 변동되어 무결성을 보존하기 어려웠으며, 결국 법원은 이러한 분석절차 상의 문제점, 무결성을 증빙할 수 없는점 등을 이유로 무죄를 선고 했다.
성공한 사례와 실패한 사례는 모두 논픽션을 토대로 약간 수정해서 작성되었는데, 실제로 이러한 일들이 종종 발생하고 있으며 이러한 것들은 앞으로 포렌직 도입을 염두하고 있다면 상기 시나리오의 상황하에서의 성공한 사례가 되기 위해 다양한 준비를 거쳐야 할 것이라고 행각한다.
포렌직 분야에 관심을 가지고 있으면서 사법기관 재직시의 경험을 토대로 현재는 시큐아이닷컴에서 침해사고대응과 취약점 분석, 포렌직 업무를 하면서 포렌직의 필요성을 상당부분 체감하고 있다. 특히, 정보보호컨설팅 전문업체로서 가지고 있는 정보통신기반보호법이라는 법률적 환경, 내부감사와 통제, 정보보안 규정, 방침 등의 설계 등의 노하우와 CERT팀에서 가지고 있는 각종 애플리케이션과 시스템들의 체계적인 취약점 분석업무는 향후 정보보호컨설팅 전문업체의 포렌직 서비스 수행 시 고객사에 신뢰할 수 있는 자체 보안사고, 정보유출사고, 포렌식 분석 결과를 제공할 것이고, 이는 사전대응 개념의 컨설팅과 취약점 분석 서비스가 사후대응 개념의 포렌식 서비스와 결합할 것이라고 생각한다.
<글,문의:시큐아이닷컴㈜ CERT팀 조용현 대리>
