아이씨엔 리포트 www.icnweb.co.kr

모바일 매체의 확대와

포렌식(Forensic) 활용방안

2013. 01. 21.

아이씨엔 리포트 www.icnweb.co.kr

- 1 -

I. 도입

□ IT와 비즈니스가 융합화되고 있는 스마트 시대

◦ 하루가 다르게 변화하고 있는 환경에서 이제 모든 정보는 디지털화 되고 있다

◦ 정보가 디지털화 됨에 따라 그에 따른 저장매체도 점점 더 다양해 짐

◦ 정부기관이나 일반기업에서 휴대용 장비의 사용은 업무 필요상 그것이 업무의 효

율성 측면이나 시간절감 차원에서 이제 선택이 아닌 필수요소로 자리매김함

□ 핸드폰과 PDA, 태블릿 PC 등과 같은 디지털 모바일 장치들은 현대인의 개인적·비즈

니스적인 모든 측면에서 중요한 역할을 수행함

◦ 사용자들의 편리를 위해 기능적으로 엄청난 진보가 이루어졌고 이로 인해 오늘날

널리 사용되고 있는 중임

◦ 그렇다 보니 이제는 좀더 빠르고 저렴한 통신 기술뿐만 아니라 프로세싱 속도 및

저장능력 면에서도 더욱 파워풀한 디지털 모바일 장치들이 요구함

◦ 시간이 흐르면서 모바일 디지털 장치는 가장 기본적인 보이스 바탕의 통신장치에

서 카메라, 멀티미디어 플레이어, 다이어리, 파일저장 시스템 및 웹브라우저 기능

이 들어간 멀티 기능의 장치로 옮겨가는 추세

□ 모바일 장치는 현대인들에게 없어서는 안 될 훌륭한 도구지만, 중요한 정보가 담긴

모바일 장치에 대한 보안 측면으로서의 고려가 미흡

◦ 현재도 그러하지만 향후에는 이를 이용한 범죄가 증가하리라는 예상은 분명함

◦ 러나 한 가지 다행스러운 것은 대부분의 용의자들의 모바일 장치는 범죄와 관련

해 유용한 증거를 찾을 수 있는 훌륭한 조사대상이 될 수 있다는 점

◦ 이와 관련한 컨셉으로 모바일 포렌식이라는 용어가 나왔는데 이는 디지털 포렌식

분야의 하나로 모바일 장치에서 디지털 증거나 데이터를 복구하여 범죄수사의 중

요한 법적 증거자료로 사용할 수 있도록 하는 것

아이씨엔 리포트 www.icnweb.co.kr

- 2 -

II. 모바일 포렌식(Forensic)

1. 모바일 포렌식의 정의

□ 모바일(mobile)이라는 의미는 소형화·경량화를 통해 이동편의성을 극대화한 물리적

미디어를 총칭하여 나타내는 정보통신기기임

◦ 휴대폰, 스마트폰, PDA, PMP, DMB, Navigation, 전자사전, 디지털카메라, 캠

코더, 차량용 블랙박스, 각종 USB 디바이스 등 휴대가 가능한 모든 장치가 해당

◦ 여기에 포렌식(forensic) 이라는 말이 더해져 만들어진 개념이 모바일 포렌식임

◦ 다시 말해 모든 휴대 가능한 장치에 대하여 법정에서 증거로서의 증거능력을 갖

게 하기 위한 법률적·수사적·기술적 분석과정 및 절차를 의미함

□ 모바일 포렌식은 디지털 포렌식에 포함되는 개념

◦ 모든 모바일 포렌식 장치에서 추출되는 증거도 결국은 디지털 증거로 나타나기

때문에 모바일 포렌식은 디지털 포렌식에 포함할 수 있음

image: mashable.com

아이씨엔 리포트 www.icnweb.co.kr

- 3 -

2. 사이버 포렌식과의 차이점

□ 사이버 포렌식과 모바일 포렌식은 상위개념과 하위개념의 관계

◦ 기존 사이버 포렌식이 사이버 상에서 일어나는 모든 범죄행위에 대한 법정대응

및 처리절차라고 한다면 모바일 포렌식은 디지털 기술이 발전하면서 생긴 휴대용

물리적 미디어에 대한 법정대응 및 처리절차로 보는 것이 타당함

◦ 모바일 포렌식도 결국은 컴퓨터와 연동되어 일어나는 사건이 대부분이므로 사이

버 포렌식의 영역 안에 포함된다고 보는 것이 바람직하다는 의견임

□ 조직이나 기업 환경에서 업무처리를 하는 데 있어 모바일 디바이스 특히 스마트폰의

지속적인 시장점유율 증가가 예상

◦ 스마트폰이 가지고 있는 장점을 잘 활용하면 업무처리의 효율성은 물론 시간적으

로도 많은 이득을 얻을 수 있음

◦ 이를 통해 스마트 워크의 도입과 구축이 활발하게 추진될 전망임

□ 포렌식 관점에서 바라볼 때 스마트폰이 가진 취약점은 결국 범죄로 악용될 소지가

충분함

◦ 가령 스마트폰으로 업무를 보는 직원이 회사의 영업비밀이나 대외비를 경쟁업체

에 넘겨주는 경우 회사에 발생하는 막대한 금전적 손실은 물론 대외적인 신뢰도

하락으로 이어져 경제적 손실보다 더 큰 피해발생 가능함

◦ 더욱이 기업의 핵심연구개발 자료나 데이터가 산업스파이에 의해 해외로 유출될

경우 그 피해는 더 심각해짐

◦ 그럼에도 폭발적인 증가추세를 보이고 있는 모바일 장치의 보급에 따라 업무생산

성 향상, 탄소배출 감소, 사이버 회의, 원격진료 등과 같은 긍정적인 측면이 있는

반면에 기업비밀과 핵심연구개발기술 유출, 개인정보 탈취 등 그에 따른 부작용

및 역기능도 점차 증가할 것임

아이씨엔 리포트 www.icnweb.co.kr

- 4 -

3. 모바일 포렌식 국내외 활용현황

□ 국내 모바일 포렌식 활용 현황

◦ 국내에서 모바일 포렌식 활용현황을 보면 아직까지는 국정원, 기무사령부, 국방부

조사본부, 대검찰청, 사이버 경찰청 등과 같은 수사기관에서 수사목적상 증거를

보관 및 확보하고 데이터를 찾아내어 기소하기 위한 목적으로 사용하고 있는 실

정임

◦ 국내 모바일 포렌식 분석업무만을 전문으로 하는 업체가 몇 군데 있는데 이씨플

랫폼과 모바일트랙이 대표적임

◦ 이들은 주로 하드웨어적인 분석과 자체 분석 솔루션으로 소프트웨어적인 분석업

무를 수행함

□ 해외 모바일 포렌식 활용 현황

◦ 영국 정부기관과 경찰청에서 사용하는 Cellebrite 사의 UFED, 미국 연방정부 및

수사기관에서 사용하는 GSI 사의 EnCase Portable, AccessData 사의 Mobile

Phone Examiner, 그 밖에 스마트폰용 Oxygen Forensic Suite가 가장 대표적

으로 사용하고 있는 제품임

◦ 이들 해외제품들은 분석기능이 아주 우수하여 국내에서도 정부/수사기관이나 법

무법인에서 많이 사용함

◦ Oxygen Forensic Suite의 경우 스마트폰에 특화된 강점을 제공함

□ 모바일 장치가 진보함에 따라, 모바일 장치에서 찾을 수 있는 데이터의 양과 종류도

지속적으로 증가

◦ 모바일 장치에서 수사기관들에 의해 잠재적으로 복구될 수 있는 증거 데이터

(evidence)는 SIM 카드, 핸드셋 및 메모리 카드 등의 몇 개의 다른 소스에서 찾

을 수 있음

◦ 전통적으로 모바일 폰 포렌식은 call logs, 연락처 및 핸드폰 IMEI/ESN 정보뿐만

아니라 SMS와 MMS 메시지를 복구하는것에서 출발함

아이씨엔 리포트 www.icnweb.co.kr

- 5 -

◦ 새로운 스마트폰 시대에는 웹브라우징, 무선 네트워크 세팅, 이메일 및 이미지,

파일 등의 저장된 데이터 및 스마트폰 앱 관련 중요 데이터를 포함하는 다른 형

태의 인터넷 매체로부터 나오는 다양하고 넓은 범위의 정보를 포함

4. 활용 사례 연구

□ 테러방지 사건에 법정증거로 채택된 핸드폰 데이터

◦ 아일랜드 테러집단으로 알려진 IRA(Irish Republican Army)에 연루되어 있다는

혐의로 기소된 Sean Farrell(27세)이라는 이름을 가진 한 더블린 남성을 상대로

열린 재판에서 핸드폰 데이터가 증거로 채택

◦ Europol의 분석관으로 일하는 Fiona Summers 수사관은 본 사건에 대한 법정재

판에서 Farrell과 더불어 본 사건에 연관되어 체포된 또 다른 남성의 핸드폰에서

이 두 남성들이 주고받은 문자메시지 및 전화통화 내역을 포함한 모든 통신 데이

터를 추출하여 분석했다고 증언

◦ Summers 수사관의 증언이 있기 전에 이미 XRY 모바일 포렌식 장비를 사용하

여 용의자들의 핸드폰과 SIM 카드에서 추출한 송수신 문자메시지, 걸거나 받은

통화기록, 받지 못한 통화 기록, 연락처, 저장된 사진 등을 포함한 모든 통신데이

터에 대한 분석자료가 법정 증거로 제출

◦ Summers 수사관은 체포된 남성의 핸드폰에서 Farrell의 핸드폰으로 2011년 6

월 24일 오전 10시 53분에 보낸 문자메시지에 “Sean, 가방 하나에 모두 담았

나?”라는 내용이 담겨있었다고 증언

◦ 이 재판이 있기 일주일 전에 열렸던 재판에서는 기소된 남자의 지문이 엽총이 든

플라스틱 가방에서 채취되었다는 내용이 증언

◦ 이 플라스틱 가방은 Dublin 8 지역의 Bride Road에 위치한 원룸 아파트를 수색

하던 중에 발견한 두 점의 다른 무기와 함께 발견

◦ Farrell은 기소된 남자와 어떤 관계인지를 묻는 여러 차례의 질문에 “no

comment”라는 답변으로 일관

아이씨엔 리포트 www.icnweb.co.kr

- 6 -

□ 핸드폰 증거로 살인사건 해결

◦ 2008년 카리브해의 아름다운 섬인 안티구아에서 신혼여행을 즐기던 중 살해된

영국인 Ben과 Catherine Mullany를 살해한 혐의로 기소된 두 명의 남성인

Avie Howell과 Kaniel Martin에 대한 재판이 안티구아의 수도 St. John’s에서

열림

◦ 기소된 용의자들은 본 살인사건과 관련된 증거가 명백함에도 불구하고 재판 내내

한결같이 자신들의 무죄를 주장

◦ 그러나 그들의 주장에도 불구하고 2개월에 걸친 재판 끝에 이들은 유죄가 선고

◦ 이 사건은 살해된 부부의 살인사건이 국가의 관광산업에 악영향을 미칠 것을 우

려한 안티구아 수상의 특별 요청에 따라 영국의 포렌식 전문 수사관들이 안티구

아로 파견되어 사건 조사를 도움으로써 극적으로 해결된 케이스

◦ 이 살인사건에 가장 핵심적인 증거는 두 개의 핸드폰이었으며, 그 중 하나는 희

생된 부부의 것이었고 또 다른 하나는 기소된 용의자들 중 한 명의 것이었음

◦ 살해된 Mullany의 핸드폰이 용의자 Martin의 집에서 발견되었으며 핸드폰 데이

터 분석결과, 살인사건이 발생된 지 12시간 후에 Howell이 자신의 SIM 카드를

Ben Mullany의 핸드폰에 끼웠었다는 것이 밝혀짐

◦ 이 두 용의자는 희생된 부부가 머물렀던 호텔 방 근처에는 전혀 간 적이 없다고

주장했지만, 핸드폰 기록에 따르면 총기가 발사된 시각 전에 Martin이 그 근처에

있었다는 것이 증명됨

III. 향후 과제

□ 사이버 범죄 증가와 함께 스마트폰을 포함한 모바일 장치의 범위 이용도 급증하는 추

세임

◦ 특히 스마트폰을 이용한 범죄는 점점 더 다양해지며 컴퓨터와 연동한 범죄로 진

화되고 있는 추세

아이씨엔 리포트 www.icnweb.co.kr

- 7 -

◦ 더욱이 스마트폰을 이용하는 산업스파이는 국가의 기간산업은 물론이고 기업의

핵심기술 유출을 통하여 한 나라 및 기업의 근간을 흔들 수 있는 심각한 상황을

초래할 수 있음

◦ 그럼에도 불구하고 현실은 아직까지 표준과 절차의 부재라는 당면과제에 직면함

□ 스마트폰은 법 집행, 표준, 절차가 아직 미흡하여 하이테크 범죄 및 일반 범죄에 악

용될 소지가 다른 모바일 장치보다 훨씬 크다고 봄

◦ 이에 대응한 법 집행, 표준과 절차 마련에 적극 나서야 하고, 그에 필요한 전문

인력 양성교육을 통해 전문가집단을 만들어 오피니언 리더로서 활동할 수 있도록

함으로써 지속적으로 증가하고 있는 스마트폰을 이용한 범죄 및 사고에 대응해야

할 필요가 있음

◦ 기업 차원에서는 보안부서 내에 내부감사와 포렌식 분석 업무를 수행할 수 있는

전문인력을 적극적으로 채용하여 기업 내외부에서 발생하는 사건 및 사고에 대하

여 처리할 수 있도록 하는 것이 차후에 발생할 수 있는 큰 손실을 최소화할 수

있는 대안임

□ 특히 모바일 포렌식 전문가들은 모바일 폰의 출시 사이클, 기능 추가 및 변화된 환경

에 발 빠르게 대응해 나가야 할 것임

[참고 자료]

* 모바일 및 스마트폰 포렌식의 고찰, 시큐리티월드

* 모바일 포렌식 수요증가에 따른 향후 숙제는? 보안뉴스

* 한국경제신문 보도* 디지털데일리 보도