사이버포렌식전문가협회(www.cfpa.or.kr)

출처 : http://www.mediawatch.kr/news/article.html?no=252673


‘단 한 번의 기회’ 태블릿PC 검증·감정, 체크리스트는?

시리얼번호와 IMEI를 통한 ‘신분증 확인’부터...철저한 디지털 포렌식 이뤄져야


1년여 만에 처음 실물을 드러낼 ‘JTBC 태블릿PC’를 검증·감정할 때 반드시 체크해야할 사항들은 무엇이 있을까. 

서울중앙지법 형사합의22부(김세윤 부장판사)는 최근 박근혜 전 대통령 탄핵의 도화선이었던 태블릿에 대한 공개적인 검증·감정을 받아들였다. 최순실 씨 측은 태블릿의 내외부 조작 가능성에 모두 대비해야하는 상황이다. 

본지는 IT전문가들의 조언을 얻어 태블릿PC 필수 검증·감정사항들을 정리해봤다. 전문가들은 기기의 ‘신분증 확인’부터, 혹시라도 있을 물리적인 부품 폐기나 교체 가능성까지 대비해야 한다고 조언했다.

우선, 최순실 씨 변호인 측은 검찰이 제출한 태블릿이 김한수 전 행정관이 개통한 그 태블릿이 틀림없는지부터 판별해야 한다. 외관 점검과 부품확인이 필요한 이유다. 혹시 기기를 수리한 흔적이 없는지 외관을 꼼꼼히 살펴보고, 필요하다면 현장에서 기기를 분리해 안을 들여다보고 부품의 교체 여부까지도 점검해야 한다. 

검찰이 제출한 태블릿이 김한수가 개통한 바로 그 태블릿인지 확인하려면, IMEI를 확인해야 한다. 사진=삼성전자 홈페이지 설명 캡쳐.
▲ 검찰이 제출한 태블릿이 김한수가 개통한 바로 그 태블릿인지 확인하려면, IMEI를 확인해야 한다. 사진=삼성전자 홈페이지 설명 캡쳐.


IMEI라벨. 사진=삼성전자 홈페이지 캡쳐.
▲ IMEI라벨. 사진=삼성전자 홈페이지 캡쳐.


시리얼번호와 IMEI 확인도 필수적이다. 놀랍게도 검찰이 제출한 포렌식 보고서에는 이들 사항이 누락돼 있다. 

시리얼번호는 디지털 기기의 ‘주민등록증’과 같다. 제조사가 제품을 생산하면서 외형에 고유번호를 부여한 것이다. 제조사는 고객에게 AS를 제공할 때도 가장 먼저 시리얼번호부터 확인한다. 

IMEI는 이동통신기기의 내부 부품에 기록된 ‘신분증’이다. IMEI는 International Mobile Equipment Identity 의 약자로, 이동전화 단말기를 출고 할 때 제조사가 부여하는 단말기 국제고유 식별번호로 총 15자리로 구성된다. IMEI를 통해 국적, 제조사, 모델, 단말 번호 등의 정보를 확인할 수 있다.(삼성전자 홈페이지 설명 바로가기)

무엇보다 시리얼번호는 제품 외형에 있는 고유번호지만 IMEI는 내부 통신부품에 있어, 조작이나 교체가 더 어렵다. IMEI는 통신사에도 등록되는 번호이므로, 제조사와 통신사까지 협조하지 않으면 조작이 불가능하기 때문이다. 게다가 등록기기의 IMEI 값은 해당통신사만 보유하는 것이 아니라 유관기관들도 전산상에 공유하고 있는 정보다. 

신분증 확인이 끝나면, 본격적으로 내용물의 무결성을 감정해야 한다. 누군가 인위적으로 기기 안에 정보를 심었거나 누락했는지, 또는 수정했는지 여부를 확인해야 한다는 것이다. 

이를 위해 포렌식 보고서 상에 나타난 5개의 파티션이 무엇을 의미하는지 밝혀야 한다. 디지털 기기의 ‘파티션’은 정보를 구분해서 담아두는 방이라고 할 수 있다. 포렌식 보고서에는 태블릿에 5개의 파티션이 있다고 나와 있다. 문제는 포렌식 보고서 상으로는 어떤 파티션이 기기 초기화로 새로 만들어진 것이고, 어떤 파티션이 기기 외부에서 삽입한 저장장치에 의한 것이지를 전혀 알아볼 수 없다는 점이다. 각 파티션의 생성 이유를 확인하는 일은, 외부 저장장치의 유무를 판별하기 위해 필요하다. 

모든 디지털 정보는 발자국을 남긴다. 그 중에는 절대로 지우거나 조작할 수 없는 발자국이 있다. 기존의 포렌식 보고서는 이러한 발자국 정보를 누락했거나, 의미 분석이 전혀 이뤄지지 않은 것으로 보인다. 디지털 포렌식 수사에서는 정보 추출만큼이나 중요한 것이 정보의 의미를 분석하는 작업이다.

IT전문가는 Hash와 MD5 교차검증을 통한 디스크 무결성 확인하는 것이 중요하다고 지적했다. 그는 “포렌식 보고서에는 Hash 를 비교할 수 있는 MD5 정보가 없다”고 지적했다. 

또한 커널(Kernel) 정보도 분석이 필요하다. 커널은 디지털 기기의 뇌나 척수에 비유된다. 해커들을 침입을 확인할 때도 가장 먼저 분석하는 것이 커널이 스스로 기록한 정보(Kernel log)다.

GPS와 시간대(Timezone), 와이파이 등 각종 로그분석도 필요하다. 검찰은 태블릿PC의 사용자가 독일에서 영사콜을 받았다는 식의 일부 동선만을 언론에 공개했다. 이는 태블릿의 문자나 이메일 등으로 확인 가능할 사항에 불과하다. 통신기기에 남아있는 GPS와 시간대, 와이파이 정보 등을 모두 확인하면, 사용자의 동선은 보다 철저하게 규명될 수 있다.

기타 사용자를 식별할 수 있는 애플리케이션 사용정보 등에 관한 추가 검증이 필요하다. 기기의 정보는 동일해도 디지털 포렌식 소프트웨어마다 추출할 수 있는 정보의 양은 다르다. 검찰의 포렌식 보고서는 카카오톡, 페이스북, 구글톡 등 SNS 애플리케이션에 대한 분석이 누락됐거나 극히 제한적이다.

대선SNS팀 사용시기와 팀 해산 이후부터 JTBC가 태블릿을 입수한 시점까지, 그리고 그 이후에 어떤 행위가 이뤄졌는지 여부는 철저하게 규명해야 한다. 따라서 전문가는 2016년 10월을 전후로 기록된 데이터의 무결성 검증이 추가로 이뤄져야 한다고 지적했다. 해당 시점 이후 얼마나 많은 어떤 내용의 정보가 어떤 경로를 통해 기기 안에 기록·삭제·수정됐는지 검증해야 한다는 것이다. 

마지막으로 SQLite 데이터베이스의 무결성 검증 및 데이터 감정도 진행해야 한다. SQLite는데이터베이스 관리 시스템인데, 서버가 아니라 응용 프로그램에 넣어 사용하는 비교적 가벼운 데이터베이스를 의미한다. 영어권에서는 ‘에스큐엘라이트’ 또는 ‘시퀄라이트’라고 읽는다. JTBC 태블릿과 같은 안드로이드 운영체제 기기는 SQLite를 사용한다. 

물론, 위와 같은 기술적인 감정을 모두 떠나 반드시 검증되어야 할 내용은 ▶드레스덴 연설문(_.hwp) 유입경로 및 오염여부, 수신시각 등 ▶대선캠프 SNS팀 사용여부와 이후의 사용경로 추적 ▶대통령 관련 문서의 수신 및 유입경로 확인이 매우 중요하다. 

오염되지 않은 태블릿PC 실물을 대상으로 공개적인 디지털포렌식을 진행하면, 실제 사용자가 누구인지는 명백하게 밝혀질 것이다.