가. MFA 적극 활용

압수수색 현장에서 MFA를 적극 활용할 수 있다. MFA(Mobile Forensic Analyze)는 수사기관에서 검찰청으로 사건 송치 시 수사서 류와 함께 압수된 안드로이드 OS 기반의 스마트폰에 있는 디지털증 거물을 수집 및 분석하는 도구이다. MFA의 사용 주체는 수사팀 수 사관 및 디지털 수사관이며, 직접적으로는 디지털 수사관의 업무 중

‘이미징 추출’, ‘분석’ 업무에 사용된다.³⁹⁾ MFA는 노트북에 탑재되어 각 검찰청에 배포되었는데, 실상 수사팀에서는 해당 도구에 대해 잘 모르고, 알고 있다고 하더라도 거의 사용하지 않는다. 증거 분석에 대한 부담감이 있고, 디지털 포렌식팀에 모바일 포렌식을 의뢰하는 편이 훨씬 수월하기 때문이다. 또한 MFA의 기능적 한계 등으로 인 하여 디지털 포렌식팀에서도 MFA보다는 모바일 포렌식 도구 개발 업체에서 개발한 도구를 주로 활용하는 편이다.

이러한 MFA를 현장용 모바일포렌식 도구로 사용한다면, 모바일 포렌식 도구를 구입하기 위한 예산 부담이 경감될 수 있다. 모바일 포렌식 도구는 고가의 장비인데, MFA는 이미 개발하여 각 청마다 배포되었기 때문이다. MFA는 안드로이드 OS 기반의 스마트폰에만 활용할 수 있다는 등 한계가 있지만, 적어도 MFA가 허용하는 범위 내에서는 현장에서 적극적으로 데이터를 획득하고 선별할 수 있을 것이다. 현 상황에서는 안드로이드 OS 기반의 스마트폰 위주로 현 장 선별을 압수를 진행하고, 도구가 현장에서 데이터를 분석하지 못 하는 경우에는 기기를 디지털증거 분석실로 가져와야 할 것이다. 나 아가 안드로이드 OS와 어플리케이션의 업데이트에 따라 지속적으로 MFA를 업데이트함과 더불어 iOS 기반의 스마트폰 분석을 위한 도

39) 대검찰청, MFA3.0사용자매뉴얼(2017). 1면.

구도 연구 개발하여 압수수색 현장에서 적극 활용해야 할 것이다.

나. 도구 개발 방향

모바일 기기의 현장 선별 압수를 용이하게 하기 위해 사용하기 편리한 현장용 모바일 포렌식 도구가 개발되어야 한다. 모바일 기기 의 선별 압수에는 일반적으로 장치를 비행기 모드로 설정하고 보안 기능을 해제하는 등 여러 가지 수동 작업이 필요하다. 일관성을 유 지하고 적시에 신뢰할 수 있는 결과를 얻으려면 선별 압수를 수행 하는 자동화된 도구가 효율적이다.

1) 현장용 모바일 포렌식 도구의 기본 조건

이하에서는 현장용 모바일 포렌식 도구에 대한 최소한의 조건을 제시한다.⁴⁰⁾

가) 사용의 편리함

사용자 친화적인 디자인으로 기본적인 교육을 통해 사용할 수 있 도록 단순해야 한다. 가벼운 디자인과 터치스크린은 현장에서 작업 을 수행할 때 휴대 가능하고 관리하기 쉽게 하고, 현재 수집된 데이 터를 사용 가능한 형식으로 제공한다.

도구는 전체 프로세스를 방해해서는 안 되며 대신 정보 수집을 용이하게 해야 하므로, 전체 증거 수집 과정에 따라 명확한 메시지 를 표시해야 한다. 먼저, 잠금 장치가 활성화 되는 등 조치를 취하 기 전에 경고를 표시해야 한다. 주어진 모바일 기기에서 어떤 정보

40) Richard P.Mislan/Eoghan Casey/Gary C.Kessler, 앞의 논문, 116-117면.

를 얻을 수 있는지 또는 얻을 수 없는지에 대한 표시를 해야 한다.

특히, 데이터 추출 프로세스 중에는 특히 오류가 발생할 때 디지털 포렌식 수사관이 문제를 해결할 수 있도록 명확한 메시지가 중요하 다. 특정 모바일 기기에 액세스 할 수 없거나 장치에서 특정 데이터 를 가져올 수 없는 경우 의미 있는 오류 메시지를 제공해야 한다.

또한 사용의 단순성을 높이기 위해 포렌식 도구가 증거 기기와 통신할 수 있게 하는 다양한 모바일 기기용 드라이버의 가용성이 중요하다. 그래서 새로운 기기 출시에 따라 모바일 포렌식 도구의 소프트웨어를 업데이트해야 한다. 새로운 모바일 기기가 출시되면, 새로운 드라이버 세트가 필요하다. 모든 모바일 포렌식 도구(하드웨 어 및 소프트웨어)는 작동하는 운영 체제에 관계없이 각 새 기기에 대한 드라이버를 추가해야 할 필요가 있기 때문이다.

나) 증거 수집 과정의 기록

모든 모바일 포렌식 도구는 증거 기기에서 수행되는 모든 작업 과정을 기록하고 관리해야 한다. 증거 기기에서 가능한 적게 변경하 고 필요한 변경 사항을 문서화해야 한다. 이러한 기록은 악의적으로 모바일 기기의 원본 데이터를 변경하지 않고 선별 압수 도구가 수 집 데이터의 정확한 사본을 얻었음을 문서화하여 프로세스의 포렌 식적 건전성을 평가하는 데 사용할 수 있다.

해당 기록에는 데이터가 획득된 방법, 데이터가 어떻게 변환되었 는지, 데이터가 완전하고 정확한지 확인하기 위해 취해진 조치가 포 함되어야 한다. 또한 데이터를 검색하거나 사용 가능한 형식으로 변 환하는 데 사용되는 비정상적인 단계를 정의해야 한다. 마지막으로 획득한 데이터의 해시값을 계산하고 향후 비교를 위해 이 값을 기 록해야 디지털 포렌식 수사관이 증거를 수집한 이후 변경하지 않았 음을 확인할 수 있다.

다) 결과의 확인

정확하게 데이터를 수집하고 날짜와 내용을 그대로 나타내야 한 다. 현장용 모바일 포렌식 도구로 수집된 데이터는 본래의 형식으로 올바르게 제시되고 디지털 포렌식 수사관이 현장에서 사용할 수 있 는 형식으로 정보를 제공해야 한다. 텍스트는 모바일 기기에 표시된 그대로 나타내야 한다. 날짜-시간 스탬프는 모바일 기기 표준의 고 유한 특성을 고려하여 정확하게 변환되어야 한다. 날짜/시간 스탬프, 영어, 숫자 또는 언어의 잘못된 번역은 법적 증거로 문제가 될 수 있다. 현장용 모바일 포렌식 도구는 언어 번역을 시도해서는 안 되 며 제공된 그대로 보여줘야 한다.

2) 신속한 도구 업데이트

모바일 포렌식 수사관이 현장에서의 선별 압수를 효과적으로 수 행할 수 있도록 지속적으로 도구를 업데이트해야 한다. 디지털 포렌 식의 특성 상 선제적 대응은 어려우므로, 모바일 기술 발전에 따라 신속하게 대처해야 한다. 모바일 포렌식은 지속적으로 발전하는 모 바일 기술을 분석하고 이에 대응하는 과정이므로, 모바일 OS의 지 속적인 업데이트에도 불구하고 대비해야 함은 물론이다. 각 운영체 제 개발사는 모바일 OS 업데이트 이전에 홈페이지 등에 업데이트 일정을 공지한다. 구체적인 업데이트 내용, 기술 등은 배포가 되어 야 분석 가능하겠지만, 위 업데이트 일정 등에 대비하고 배포 즉시 업데이트된 OS를 분석하여 모바일 포렌식 도구를 신속하게 업데이 트해야 할 것이다. 업데이트 대상 기종이라면 기기를 바꾸거나 휴대 전화 매장에 가지 않아도 사용자가 직접 어플리케이션 등을 통해 쉽고 빠르게 OS를 업데이트할 수 있기 때문이다.

3) 네트워크 차단

현장에서 모바일 포렌식을 수행하는 동안 네트워크를 완벽히 차 단할 수 있도록 꾸준히 연구개발해야 한다. 현장에서는 디지털증거 분석실과 같이 차폐 시설이 구비되어 있지 않기 때문이다. 비행기 모드가 완벽한 해결책은 아니지만 우선 현 상황에서는 비행기 모드 로 전환하여 최대한 모바일 기기의 네트워크를 차단해야 한다. 이 때, 비행기 모드로의 전환과 더불어 네트워크, Wi-Fi, GPS 등 무선 통신 연결과 관련된 모든 조치를 함께 취해야 할 것이다.

4) 삭제된 전자정보의 복원

삭제된 전자정보를 복원하기 위하여 지속적으로 복원 기술 개발 에 힘써야 할 것이다. 모바일 포렌식은 삭제된 전자정보를 복원하여 증거를 찾는 데에 큰 의미가 있기 때문이다. 활성화 되어 있는 데이 터를 수색하는 것도 중요하지만, 모바일 데이터는 컴퓨터에 비해 데 이터의 삭제 주기가 짧을 수 있다는 점에서 삭제된 전자정보를 복 원할 수 있어야 한다.

5) 유관정보 선별

컴퓨터 포렌식과 같이 데이터 획득 과정에서 관련성 있는 데이터 만을 선별하여 이미징 할 수 있는 기술을 개발해야 한다. 현재는 데 이터 획득 시점부터 선별 압수가 불가능하기 때문에, 저장매체 자체 를 전체 이미징 하지 않고도 혐의사실과 관련된 정보만을 선별하여 압수할 수 있는 기술 개발이 전제가 되어야 한다.

나아가 향후에는 사건 관련성을 자동화된 프로세스로 기계적으로 판단하여 수사기관이 유관정보에만 제한적으로 접근할 수 있도록

기술적으로 해결해야 한다. 앞서 제시한 기술적 방법은 중요한 증거 를 놓칠 수 있는 등 완전한 방법은 아니기 때문이다. 단, 현 기술로 는 위와 같은 검색 방법이 최선이기 때문에 다각도로 검색하고 데 이터를 확인하는 등 유의미한 정보를 압수하고 무관한 개인정보는 압수하지 않도록 노력해야 할 것이다.