컴퓨터 하드 드라이브에서 데이터를 지웠다고 해서 완전히 사라지는 것은 아닙니다. 상당한 노력과 기술이 있다면, 삭제된 줄 알았던 문서나 사진도 복구할 수 있는 경우가 많습니다. 이러한 디지털 포렌식 기술은 법 집행에 매우 유용하게 활용되지만, 실제로 어떻게 작동하는지 자세히 알아볼 필요가 있습니다.
법적 토대 다지기
기술적인 세부 사항을 살펴보기 전에, 법 집행 환경에서 디지털 포렌식이 수행되는 절차적 및 법적 측면을 먼저 논의해 볼 필요가 있습니다.
흔히 법 집행관이 디지털 기기(예: 휴대폰, 컴퓨터)를 조사할 때는 반드시 영장이 필요하다고 생각하지만, 이는 사실과 다릅니다. 영장이 필요한 경우가 많지만, 법률 구조 내에는 여러 “허점”(적절한 표현이 생각나지 않아서)이 존재합니다.
예를 들어 영국이나 미국과 같은 많은 국가에서는 세관 및 이민국 직원이 영장 없이도 개인 소지 전자 기기를 검사할 수 있도록 허용합니다. 미국 국경 수비대는 영장 없이도 기기 내의 내용을 조사할 권한을 가지고 있습니다. 2018년 11차 순회법원의 판결을 참조하십시오.
미국 경찰과 비교했을 때 영국 경찰은 기기 내용물을 압수하는 데 있어 판사나 치안판사의 허가를 받을 필요가 없는 등 더 많은 재량권을 가지고 있습니다. 예를 들어, 그들은 경찰 및 형사 증거법(PACE)에 따라 기소 여부에 상관없이 휴대폰의 데이터를 다운로드할 수 있습니다. 그러나 경찰이 다운로드한 내용을 조사하기로 결정하면 법원의 승인이 필요합니다.
관련 법률에 따르면 영국 경찰은 테러 사건과 같은 긴급 상황이나 아동 성 학대가 의심되는 경우와 같이 특정 상황에서는 영장 없이 기기를 조사할 권한이 있습니다.
결국, “어떻게”든 압수된 컴퓨터는 단순히 랩톱이나 휴대폰을 봉인된 증거 보관 봉투에서 꺼내는 것에서 시작하여 법정에 증거로 제출되는 긴 과정의 시작일 뿐입니다.
경찰은 증거의 무결성을 보장하기 위해 일련의 규칙과 절차를 따라야 합니다. 디지털 포렌식 팀은 필요한 경우 동일한 단계를 반복하여 동일한 결과를 얻을 수 있도록 모든 과정을 꼼꼼히 기록합니다. 그들은 파일의 무결성을 유지하기 위해 특수 도구를 사용합니다. 그중 하나가 바로 “쓰기 방지기”입니다. 이 도구는 법의학 전문가가 조사 중인 증거를 실수로 수정하지 않고 데이터만 추출할 수 있도록 설계되었습니다.
결론적으로 디지털 포렌식 조사의 성공 여부를 결정하는 것은 기술적 정교함보다는 법적 근거와 절차의 엄격성입니다.
데이터 저장 방식의 차이
법적 문제와 별개로 법 집행 기관이 삭제된 파일을 얼마나 쉽게 복구할 수 있는지를 결정하는 데는 여러 요소가 작용합니다. 여기에는 사용된 디스크 유형, 데이터 암호화 여부, 드라이브의 파일 시스템 등이 포함됩니다.
예를 들어, 하드 드라이브를 살펴보겠습니다. SSD(Solid-State Drive)가 훨씬 빨라졌지만, 기계식 하드 디스크 드라이브(HDD)는 30년 넘게 주류 저장 장치로 사용되어 왔습니다.
HDD는 자기 플래터를 사용하여 데이터를 저장합니다. 하드 드라이브를 분해해 본 적이 있다면 CD처럼 보이는 원형의 은색 디스크를 보셨을 겁니다.
작동 중일 때 이 플래터는 놀라운 속도로 회전합니다. 일반적으로 5,400 또는 7,200RPM이며, 경우에 따라 15,000RPM에 달할 정도로 빠릅니다. 이 플래터에는 읽기 및 쓰기 작업을 수행하는 특수 “헤드”가 연결되어 있습니다. 파일을 드라이브에 저장하면 이 “헤드”가 플래터의 특정 위치로 이동하여 전류를 자기장으로 변환하여 플래터의 속성을 변경합니다.
그렇다면 헤드는 어디에 데이터를 저장해야 하는지 어떻게 알까요? 이는 할당 테이블이라는 디스크에 저장된 모든 파일의 기록이 있기 때문입니다. 파일이 삭제되면 어떻게 될까요?
간단히 말하면, 별로 달라지는 것이 없습니다.
좀 더 자세히 설명하면, 해당 파일의 기록만 삭제되어 나중에 하드 드라이브의 해당 공간을 덮어쓸 수 있게 되는 것입니다. 하지만 데이터 자체는 자기 플래터에 물리적으로 남아 있으며, 플래터의 특정 위치에 새 데이터가 추가될 때만 실제로 삭제됩니다.
결국 데이터를 실제로 삭제하려면 자기 헤드가 플래터의 해당 위치로 물리적으로 이동하여 덮어써야 합니다. 이는 다른 응용 프로그램에 영향을 주고 컴퓨터 성능을 저하시킬 수 있습니다. 하드 드라이브 관점에서 보면 삭제된 파일이 없는 것처럼 처리하는 것이 더 간단합니다.
이러한 이유로 법 집행 기관에서 삭제된 파일을 쉽게 복구할 수 있는 것입니다. 할당 테이블 내에서 누락된 부분을 다시 생성하기만 하면 되며, 이는 Recuva와 같은 무료 도구를 사용하여 수행할 수 있습니다.
SSD의 등장
물론 SSD는 다릅니다. 움직이는 부품이 없습니다. 대신 파일은 수십억 개의 미세한 플로팅 게이트 트랜지스터에 저장된 전자로 표시됩니다. 이러한 트랜지스터가 모여 NAND 플래시 칩을 형성합니다.
SSD는 파일을 덮어쓸 때만 실제로 삭제된다는 점에서 HDD와 일부 유사점이 있습니다. 그러나 몇 가지 주요 차이점으로 인해 디지털 포렌식 전문가의 작업이 더욱 복잡해집니다. HDD와 마찬가지로 SSD는 데이터를 블록 단위로 구성하지만, 블록 크기는 제조업체마다 크게 다릅니다.
여기서 주요 차이점은 SSD가 데이터를 쓰려면 블록에 내용물이 완전히 비어 있어야 한다는 것입니다. SSD에서 사용 가능한 블록이 항상 존재하도록 하기 위해 컴퓨터는 더 이상 필요하지 않은 블록을 SSD에 알려주는 “TRIM 명령”이라는 명령을 보냅니다.
수사관의 입장에서 이는 SSD에서 삭제된 파일을 찾으려고 할 때 드라이브가 파일을 손이 닿지 않는 곳으로 옮겨버릴 수 있다는 것을 의미합니다.
SSD는 또한 드라이브의 여러 블록에 파일을 분산시켜 일상적인 사용으로 인한 마모를 줄입니다. SSD는 제한된 횟수의 쓰기만 견딜 수 있으므로 특정 위치가 아닌 드라이브 전체에 분산시키는 것이 중요합니다. 이러한 기술을 웨어 레벨링이라고 하며 디지털 포렌식 전문가의 삶을 더 힘들게 만드는 요인 중 하나입니다.
또한 SSD는 장치에서 물리적으로 제거하기 어려운 경우가 많아 이미지화하는 것이 더 어렵다는 점도 문제입니다.
하드 드라이브는 거의 항상 교체가 가능하고 IDE 또는 SATA와 같은 표준 인터페이스를 통해 연결되지만, 일부 랩톱 제조업체는 스토리지 장치를 기기의 마더보드에 직접 납땜하는 방식을 선택합니다. 이렇게 되면 법 집행 전문가가 법의학적으로 안전한 방식으로 데이터를 추출하기가 훨씬 더 어려워집니다.
실제적인 어려움
결론적으로, 법 집행 기관은 삭제된 파일을 복구할 수 있습니다. 하지만 저장 기술의 발전과 암호화 확산으로 인해 복잡성이 더해졌습니다.
그러나 기술적인 어려움은 종종 극복 가능합니다. 디지털 수사와 관련하여 법 집행 기관이 직면한 가장 큰 문제는 SSD 드라이브의 메커니즘이 아니라 자원 부족입니다.
작업을 수행할 수 있는 충분한 교육을 받은 전문가가 부족합니다. 그 결과로 전 세계의 많은 경찰서에서 처리되지 않은 휴대폰, 랩톱, 서버가 엄청나게 쌓여 있습니다.
영국 신문 The Times의 정보 공개 요청에 따르면 잉글랜드와 웨일스 전역의 32개 경찰서에서 12,000개가 넘는 기기가 검사를 기다리고 있습니다. 처리하는 데 걸리는 시간은 한 달에서 1년 이상까지 다양합니다.
이는 심각한 결과를 초래합니다. 모든 공정한 형사 사법 시스템의 근간은 피고인이 신속한 재판을 받을 수 있어야 한다는 것입니다. 정의가 지연되는 것은 정의가 부정되는 것과 마찬가지입니다. 이 원칙은 매우 중요하기 때문에 미국 수정헌법 제6조에도 명시되어 있습니다.
슬프게도 이러한 문제는 단순히 더 많은 돈을 들여 인력을 충원하고 교육한다고 해서 쉽게 해결되는 것이 아닙니다. 단순히 더 많은 기술로 해결될 수 있는 문제도 아닙니다.