디지털포렌식활용사례및발전전망 고려대학교정보보호대학원원장임종인

디지털포렌식활용사례및발전전망 고려대학교정보보호대학원원장임종인

다양한산업에서의디지털포렌식활용 문화컨텐츠산업소프트웨어산업자동차산업금융산업의료산업회계법인법무법인 ISP업체보험회사 멀티미디어포렌식, 포렌식워터마킹, IPTV 포렌식소프트웨어포렌식블랙박스포렌식금융사고분쟁해결의료사고분쟁해결포렌식어카운팅 E-Discovery 등민사소송대응기술적보호조치로서의디지털포렌식보험사고발생시증거수집 다양한산업영역에서디지털포렌식기술을실제활용하고있거나새롭게요청하고있음 2

1) 산업기밀유출탐지 2) 문서위조탐지 3) 영상분석 4) e-discovery ( 전자증거개시제도 ) 5) 지적재산권분쟁 6) 자동차블랙박스조작탐지 디지털포렌식활용사례

활용사례 1) - 산업기밀유출탐지 데이터유출방법의변화 데이터형태의변화 데이터크기증가 정보통신기술의발전 디지털데이터유출의유형분류 저장장치를이용한복사 HDD, USB 플래시드라이브, SSD, CD/DVD, 플래시카드 네트워크전송 파일공유 ( 랜케이블, Wi-Fi, Bluetooth), 웹메일서비스, 클라우드서비스, 메신저 4

활용사례 1) 산업기밀유출탐지 데이터유출흔적분석 데이터유출의유형별로다양한흔적확인가능 물리메모리, 파일시스템, 레지스트리, 기타로그파일들에대한포렌식분석을통해데이터유출의흔적파악가능 저장장치사용흔적 ( 연결장치정보, 연결시간등 ) 네트워크파일공유기록 ( 공유대상, 사용인터페이스등 ) 인터넷접속기록 ( 사이트접속시간, 로그인정보, 검색어등 ) 메신저사용기록 ( 로그인시간, 대화내역, 파일전송등 ) CD/DVD 작성기록 ( 작성파일목록, 작성시간등 ) Windows 탐색기를이용해서열람한폴더및파일목록 ( 열람시간등 ) 웹메일, 클라우드스토리지사용흔적 ( 접속시간, 첨부 / 전송파일목록등 ) 5

활용사례 2) 문서위조판별 기존의문서위조판별방법 문서의글씨, 도장의진위판별에초점을맞춤 최근다양한형식의디지털문서파일이생성되고있음 è 새로운문서위조판별방법필요 디지털문서위조판별방법 문서파일내부의시간정보 파일내부의저장형식을정확히알지못하면, 조작하기어려움 파일내부시간정보 : 2007 년 4 월 2 일 이전작업내역 이전에수정또는삭제된데이터확인가능 (Office, PDF 등 ) 문서작성순서파악 (PowerPoint 슬라이드생성순서등 ) 내용상의시간 : 2006 년 10 월 27 일 해당응용프로그램으로확인할수없으며, 내부저장형식에대한이해필요 6

활용사례 3) 영상분석 적용기술 양복위치에서의 영상대조 를변화시킴 윤곽선이뚜렷이나타나도록영상처리 7

활용사례 4) e-discovery Stage 1 Stage 2 Stage 3 Stage 4 Stage 5 Legal and Technical Consulting Data Collection Preservation Data Filtering Data Processing Review & Production Options Litigation Support Database 전자증거개시가요구되는경우, 소송에관련된전자적자료 (ESI, Electronically Stored Information) 가손실되지않고적절히증거제출의무를이행할수있도록디지털포렌식기술이용 디지털포렌식의데이터수집방법등을이용하여잠재적인연관성이있는 ESI가특정기간동안안전하게보존되며고의적인증거폐기가일어나지않도록보장할수있음 기업간소송외에도공정거래위원회에의한담합행위조사에의한사례또한증가추세 미국에진출한국내기업수가늘어남에따라전자증거개시를대비해야할필요성이점차커지고있음 8

활용사례 4) e-discovery Zubulake v. UBS Warburg LLC (2005) Coleman Holdings, Inc. v. Morgan Stanley (2005) 성차별관련소송에서원고 Zubulake 는피고 USB Warburg 사가관련증거를제출하지못했다며소송제기 피고측변호사는구두로직원들에게소송관련자료들에대한 Litigation Hold 를명령했지만, 직원들에의해백업테이프상의전자메일들이삭제됨 법원은전적으로변호사의책임은아니지만, 피고측변호사가직원들에게어떻게증거를보호할지에대해적절히설명하지못해삭제된전자메일들이포함되었던백업테이프를보호하지못하였으므로결과적으로 Litigation Hold 명령에실패했다고판결 UBS 사에게소송비용을포함하여상대편변호사비용및 Deposition 비용을부담할것을판결 변호사들에게합리적수준의조치를위할것을요구하는 e-discovery 책임에관한가이드라인을제시 원고 Coleman Holdings 는 Morgan Stanley 가자사와 SunBeam 사의합병과관련된이메일을제출하지못했다며소송제기 원고측은해당이메일이 Morgan Stanley 사가 Sunbeam 사의회계부정사실을알고있음을증명하고있는증거라고주장 피고측은비록문서보존명령을내리긴했지만, SEC 규정의 2 년간보존의무를거기고 12 개월만에이메일삭제 법원은피고가증거를고의로훼손했다고판단하여 Morgan Stanley 사에 15 억달러배상판결 9

활용사례 4) e-discovery Samsung Electronics Co., Ltd. v. Rambus (2006) Qualcomm, Inc. v. Broadcom, Inc. (2008) Phillip M. Adams & Assoc. LLC v. Dell, Inc. (2009) 2006 년 2 월샌프란시스코연방법원은 Rambus 가제기한삼성전자의가격담합의혹을인정, 삼성전자에게관련서류들을모두만들어제출하라는명령을내림 Rambus 는재판과정에서삼성전자가일부중요한문건에대한고의적혹은불성실한행위가있었다며, 이는 FRCP(Federal Rules of Civil Procedure) 를위반한것이라고주장 법원은삼성이직원들에게보존할것들과관련문서들을파괴시키지말것에대한조치를충분히행하지않았다고판단하여삼성패소 삼성전자는 Rambus 와의소송끝에 5 년간 7 억달러의액수의로열티를지급하는것으로판결 2005 년시작된 Broadcom 사와의특허소송의 e-discovery 과정에서 200,000 페이지에달하는관련전자메일과전자문서제출에실패 Qualcomm 사변호사들이소송증거보존실패의책임및소송증거은닉행위에참여했다는명확한증거가밝혀짐 Qualcomm 사소송패소상대편변호사비용 850 만불지불판결 Qualcomm 사변호사들또한변호사윤리규정위반으로징계 Adams 는자사가보유한플로피디스크결함발견기술을 Asus 가도용했으며, Asus 가핵심정보를훼손했다고주장 Asus 는해당이메일자료제줄실패에대해당시이메일시스템은아카이빙기능이없었으며, 장기적보존이요구되는가치는개인임직원들이판단, 개인 PC 에저장했다고반론 법정은 Asus 가증거보존의무를다하지못한것에대해이메일증거훼손혐의인정 10

활용사례 5) 지적재산권 ( 저작권 ) 분쟁 저작권위반혐의를증명할수있는디지털증거에대해디지털포렌식의증거수집및분 석방법을이용하여증거분석결과물에대한신뢰성확보 온라인상저작권침해사범강력단속위해 2010년디지털저작권포렌식시스템구축 포렌식시스템은네트워크등의디지털소스로부터정보를수집 분석 보존하여법적증거물로활용 2010년 7월부터 12월까지저작권특별사법경찰이기획수사를전개, 저작권보호대상인영화파일등디지털콘텐츠를불법으로복제하여대량으로웹하드사이트에유통시킨헤비업로더 48명과이들의불법복제물올리기를조장한웹하드업체대표 4명을저작권법위반혐의로검찰에송치 이사건으로 39억 7천만원의범죄수익금산출 11

활용사례 5) 지적재산권 ( 저작권 ) 분쟁 소프트웨어지적재산권의침해여부및정도를판단하기위해사용 소프트웨어관련증거자료의분석을통해프로소스코드와실행코드의복제여부및복제율산정 프로그램원시코드의작성자확인 소프트웨어소스코드및복제코드의확인 소프트웨어저작자및저작물의식별 코드블럭의위치변경, 변수및함수이름의변경과같은소스코드의조작등에원본과동일또는유사한소스코드를탐지 동영상학습프로그램저작권침해사건 (2008) 피고소인이고소인의회사를퇴사한이후, 동종의사업체를설립하고사업을영위 고소인은피고소인이등록, 사용하고있는동영상교육프로그램이자신의회사에서개발한프로그램을무단으로절취하여사용한것이라고주장하여위원회에감정을의뢰 고소인프로그램중피고인등록프로그램과중복되는부분의정도를소스코드및사용자인터페이스의유사도로확인 소스코드유사도는원본기준 96.9%, 인터페이스유사도는원본기준 79.5% 으로법원은고소인의승낙없이프로그램의상당부분을복제하거나개작한것으로보고저작권침해에있어서고의를인정하여유죄로판단 12

활용사례 5) 지적재산권 ( 저작권 ) 분쟁 콘텐츠보안프로그램 (2006) 피고소인은고소인회사의이사겸프로그램개발자로근무중회사내부의경영권분쟁으로인하여퇴사한후피고소인회사를설립 고소인측콘텐츠보안프로그램 M1 과유사한프로그램인 M2 를피고소인회사가개발 판매함에따라, 고소인회사는영업이익침해를이유로피고소인을컴퓨터프로그램보호법위반주장 감정결과, 전체적인프로그램구현방식에있어서원고의 M1 프로그램은일반응용프로그램방식을사용하고있는반면, 피고의 M2 프로그램은컴포넌트기반방식을사용하며각구성부분별기본기능은유사하나이는디지털콘텐츠보안프로그램의특성이며기능별구현방식이다르므로전체유사도는 11.5% 로판결 원 피고의각프로그램사이에실질적유사성은없음으로판결 웹어플리케이션개발솔루션 (2007) 피고회사의 K 는원고회사의개발자로근무하던중원고회사를퇴사하여피고회사로이직후, 피고회사가원고의프로그램인 A 와동종의프로그램인 B 등을개발하여영업. 이에원고는피고를상대로법원에컴퓨터프로그램저작권침해정지의소를제기 감정결과 A 와 B 그리고 B 의전체소스유사도는각각 5.65% 와 0.38% 로나타났으며, 6 개컴포넌트간의유사도는 B 와 B 에서각각 1.37% 와 0.25% 인것으로나타남 법원은원 피고각프로그램사이의실질적유사성이있다고볼수없기때문에원고의청구기각 13

활용사례 6) 자동차블랙박스 자동차블랙박스포렌식기술 (Event Data Recorder 기반 ) Event Data Recorder ㅁ 사고발생전 (Pre-Crash) 자동차주행데이터, 시스템상태정보 속도, 엔진회전수, 브레이크상태, 안전벨트여부 사고순간 (During a Crash) 속도, 탑승자안전장치 (SRS) 데이터 운전자제어입력값 교통사고 재구성 사고발생후 (Post-Crash) 자동충돌경보 (Automatic Crash Notification) 미국내에서는도요타리콜사태로인해 EDR 또는블랙박스탑재를의무화할움직임을보이고있음 국내에는 2~3 년전부터일부고급차량내에탑재되어출시된다고알려짐 ( 현대자동차의경우국내차량에도 블루링크 탑재예정 ) à EDR 수집및분석기술을확보하여법적효력이있는디지털증거를확보할수있음 14

활용사례 6) 자동차블랙박스 실시간블랙박스무결성 (Integrity) 보장기술 블랙박스에저장되는데이터는악의적인목적에의해데이터가위 / 변조될수있음 사고의가해자와피해자가뒤바뀔수있음 블랙박스에저장된데이터가원본인지아닌지구분하기위한방법무결성보장기술개발필요성 고속으로생성되는데이터의무결성을실시간으로보장하는기술개발필요 15

향후디지털포렌식과제와전망

디지털포렌식활용에대한법적 / 기술적도전 정치적인사유나불법적인목적으로자국내서버에서의자유로운인터넷이용에제한을받는사용자가이메일, 블로그등인터넷서비스의주사용무대를국내법의효력이미치지못하는해외서버로옮기는행위 위키리크스 (Wikileaks) 가접속차단을피해스위스로서버를이전한것처럼특정국가에서금지된데이터제공서비스를지속하기위해법적규제를피해데이터서버를해당규제로부터안전한곳으로이전하는행위 Strauss v. Credit Lyonnais (2007) ( 미국 - 프랑스 ) Columbia Pictures, Inc. v. Bunnell (2007) ( 미국 - 네덜란드 ) 17

디지털포렌식활용에대한법적 / 기술적도전 아이폰앱스토어서버는미국에위치하여본사에서직접관리하고있으며, 국내의경우앱스토어관련부서도없는상황임 저작권침해나모바일악성코드관련문제가발생하더라도법적대응이어렵고신속한침해대응과복구가어려우며, 관련증거확보시에도어려움이예상됨 사이버공간의초국적성격과디지털신기술의등장에따라재판관할권문제등디지털증거확보와관련한법적문제가증가하고있음 18

디지털포렌식활용에대한법적 / 기술적도전 장소독립적인특성을갖는클라우드서비스는데이터의저장위치를특정하기어렵고, 해외에산재되어있을가능성도존재하므로, 디지털수사나이디스커버리업무수행시법적문제등어려움을겪을수있음 스마트폰블랙베리의 End-to-End 보안기능은블랙베리에서전송되는메시지가이통사서버를거치지않고캐나다 RIM 사의자체서버를통해암호화된후전송되므로디지털수사및감청수행시어려움이예상됨 실제아랍에미리트와사우디아라비아정부는국가보안상이유로블랙베리스마트폰을퇴출시킴 19

디지털포렌식거버넌스 (Governance) 디지털포렌식수행환경의적절성을보증하기위한 경영진의의지와리더쉽, 조직구조, 절차, 프로세스, 그리고기술들의집합 단순히기업내에자체포렌식팀을설치하는것을넘어기업자체적으로내 / 외부보안사고와 E-Discovery 요구사항, 회계부정및재무위험등에적극적, 능동적으로대처하기위해디지털포렌식조직과디지털포렌식준비도개념을포괄하는디지털포렌식거버넌스구축요구가많아지고있음 20

기업정보보호거버넌스와디지털포렌식 디지털포렌식은기업거버넌스의주요구성요소로기업자산보호와신뢰성강화의핵심적인기능을수행함 21

디지털포렌식준비도 (Readiness) 한조직이사이버보안사고대응등을위해정책, 절차, 체크리스트, 로그관리, 시간동기화된서버와각종장비, 인프라스트럭쳐, 포렌식도구와교육훈련과관련된자원이사전에얼마나잘갖추어졌는지그정도를가리키는개념 경쟁기업, 해커등악의적인외부인들에의한사이버공격과내부자들에의한기술정보유출등다양한위험들에일상적으로노출되어있는기업과조직들이전사적위험관리차원에서이러한위협들에대비하기위해서는미리디지털포렌식준비도 (Digital Forensic Readiness) 를갖출것이요구됨 22

개별기업및기관차원의대응방향 23

국가적차원의대응방향 24

사례 : 영국정부의디지털포렌식준비도정책사례 2009 년영국정부의자국민 400 만명개인정보유출사고이후사이버범죄에대한적극적대응을위한사회적요구를기반으로새로운 it 컴플라이언스로등장 영국정부는정부기구보안강화를위해발표한 2009 년 5 월 <HMG Security Policy Framework> 에서디지털증거확보및보존능력으로서의디지털포렌식준비도계획을의무요건으로포함시키고있음 (Mandatory Requirement 37) 2009 년, IAAC(Information Assurance Advisory Council) 가 <Directors and Corporate Advisors Guide to Digital Investigations and Evidence> 라는가이던스를발표함으로써공공기관과기업들이포렌식준비도계획수립을위해구체적으로갖추어야할요소들에대한참조가이던스를제공하고있음 25

사례 : 영국정부의디지털포렌식준비도정책사례 개인정보등중요정보들을취급하고있는정부기관과기업들이조직내정보자산의보호와관련된디지털포렌식준비도정책을확립할것을권고하고있음 정부기관의경우기관정보보호정책프레임워크에의무적으로포렌식준비도정책 (Policy) 이나포렌식준비도계획 (Plan) 을포함시킬것이의무화되었음 정부기관의경우기관의정보보호수준평가시에디지털포렌식준비도계획의존재유무와실제준수여부를반영하고있음 본정책에따라대부분의정부기관들과많은기업들이디지털포렌식준비도정책을마련하고그에따른디지털포렌식조치들을취하고있음 26

감사합니다. jilim@korea.ac.kr