포렌식 증거 보존부터 디스크 이미징까지 실무 핵심

지식 넥서스

A man and woman doing laundry together in a modern home setting.

회사 PC 한 대에서 이상 징후가 발견됐다고 해볼게요. 누군가 자료를 빼갔는지, 랜섬웨어가 언제 들어왔는지, 내부자가 어떤 파일을 만졌는지… 이런 질문에 “감”이 아니라 “증거”로 답하는 일이 바로 포렌식의 역할입니다. 그런데 현장에서는 의외로 단순한 실수 하나가 전체 조사를 망치기도 해요. 전원을 그냥 꺼버린다거나, 원본 디스크에 바로 접속해 파일을 열어본다거나, 증거물 라벨을 대충 붙인다거나요. 이 글에서는 실무에서 자주 부딪히는 함정들을 피하면서, 증거 보존부터 디스크 이미징까지 흐름을 한 번에 잡을 수 있도록 핵심만 친근하게 정리해볼게요.

1) 포렌식의 출발점: “증거는 살아있다”는 관점

포렌식은 단순히 데이터를 복사하는 작업이 아니라, 법적·기술적으로 방어 가능한 형태로 증거를 확보하고 해석하는 과정이에요. 즉 “누가 봐도 조작되지 않았고, 재현 가능하며, 설명 가능한 절차”가 핵심입니다. 디지털 증거는 종이 문서와 달리 정말 쉽게 바뀝니다. 파일을 열기만 해도 접근 시간이 바뀌고, 시스템을 재부팅만 해도 로그가 덮여요.

현장에서 자주 발생하는 3대 실수

  • 원본 디스크를 PC에 연결해 탐색기로 직접 열어봄(메타데이터 변경 가능)
  • 증거 수집 전후 기록(누가, 언제, 무엇을) 누락
  • 시간 정보(타임존, NTP 동기 여부) 확인 없이 로그를 해석

“증거 능력”을 좌우하는 체인 오브 커스터디

실무에서 가장 많이 듣는 단어 중 하나가 체인 오브 커스터디(Chain of Custody)예요. 간단히 말하면 “증거물이 누구 손을 거쳐 어떻게 보관·이송·분석됐는지”를 문서로 남기는 겁니다. 이게 허술하면 분석이 아무리 정확해도, 법정이나 감사에서 “그 사이에 조작된 거 아닌가요?”라는 한 방에 흔들릴 수 있어요.

  • 증거물 식별 정보(모델/시리얼/용량/라벨 ID)
  • 수집 일시, 수집자, 장소, 수집 사유
  • 보관 위치, 봉인 여부, 이송 기록
  • 분석 장비/도구/버전, 해시값, 작업 내역

2) 현장 대응(First Response): 전원부터 건드리면 안 되는 이유

사고 현장에서 가장 먼저 하는 선택이 “전원을 끌까, 유지할까”예요. 정답은 상황에 따라 달라요. 다만, 무작정 전원부터 끄는 건 위험할 때가 많습니다. 메모리(RAM)에는 실행 중인 프로세스, 네트워크 연결, 암호화 키, 악성코드 흔적 같은 휘발성 데이터가 남아있을 수 있거든요.

라이브 수집 vs 데드박스 수집, 언제 무엇을 택할까

라이브 수집은 전원이 켜진 상태에서 메모리·네트워크·실행 정보 등을 확보하는 방식이고, 데드박스 수집은 시스템을 종료한 뒤 디스크를 분리해 이미징하는 방식이에요.

  • 라이브 수집이 유리한 경우: 암호화(예: BitLocker)로 디스크 접근이 어려운 상황, 침해가 진행 중인 상황, 메모리 기반 악성코드 의심
  • 데드박스 수집이 유리한 경우: 시스템 변화를 최소화해야 할 때, 장비 안정성이 떨어질 때, 법적 절차상 원본 보존이 최우선일 때

실무 팁: “무엇을 했는지”를 먼저 기록하자

현장에서는 긴장감 때문에 손이 먼저 움직이기 쉬워요. 하지만 포렌식에서는 기록이 곧 증거의 신뢰도입니다. 최소한 아래는 습관처럼 남겨두는 게 좋아요.

  • 현장 도착 시간, 장비 상태(전원/로그인 여부/열려 있는 프로그램)
  • 화면 사진(가능하면 시계 포함), 케이블 연결 상태 사진
  • 실행한 명령어/도구/버전/출력 저장 위치

3) 증거 보존의 기본기: 원본 보호, 해시, 봉인

포렌식에서 “원본은 건드리지 않는다”는 원칙이 자주 나와요. 이유는 단순해요. 원본을 건드리는 순간, 변조 논란이 생길 수 있고 재현성이 깨질 수 있거든요. 그래서 실무에서는 원본 디스크를 바로 분석하지 않고, 포렌식 이미지(복제본)를 만든 뒤 그 복제본을 대상으로 분석합니다.

해시(Hash)가 왜 이렇게 중요할까

해시는 데이터의 “지문”이에요. 이미지 파일을 만들고 나서 MD5, SHA-1, SHA-256 같은 해시를 계산해두면, 나중에 파일이 조금이라도 바뀌었는지 바로 검증할 수 있어요. 특히 감사나 분쟁 상황에서는 “수집 당시와 동일한 데이터”임을 설명하는 데 결정적입니다.

  • 수집 전 원본 디스크 해시(가능한 경우)
  • 이미징 후 이미지 파일 해시
  • 분석용 복제본 생성 시 해시 재검증

쓰기 방지(Write Blocker)의 실무 가치

원본 디스크를 연결할 때 하드웨어/소프트웨어 쓰기 방지를 걸어두면, 운영체제가 자동으로 수행하는 쓰기 작업(예: 인덱싱, 휴지통, 로그 기록 등)을 차단할 수 있어요. “나는 아무것도 안 썼는데요?”라고 말해도 시스템은 종종 무언가를 씁니다. 그래서 쓰기 방지는 보험 같은 존재예요.

4) 디스크 이미징 핵심: 어떤 방식으로, 무엇을, 어떻게 복제할까

디스크 이미징은 말 그대로 저장매체를 통째로 복제하는 과정인데, 중요한 포인트는 “파일만 복사”가 아니라 섹터 단위로 복제한다는 점이에요. 그래야 삭제 파일, 슬랙 공간, 파티션 구조, 파일시스템 메타데이터까지 분석할 수 있습니다.

이미징 방식: RAW(dd) vs E01(EnCase) 계열

이미징 포맷은 대표적으로 RAW(dd)와 E01 같은 컨테이너 기반 포맷이 많이 쓰여요. 각자 장단점이 있어요.

  • RAW(dd): 단순하고 호환성이 좋음, 다만 메타데이터/압축/분할 관리가 상대적으로 불편할 수 있음
  • E01: 압축/분할/검증 정보/케이스 메타데이터 포함에 유리, 도구 생태계가 풍부

속도와 무결성의 균형: 압축·분할·검증 전략

실무에서는 저장 공간, 이송 방법, 분석 장비 성능에 따라 전략이 달라집니다. 예를 들어 원격 전달이 필요하면 분할 이미지가 편하고, 저장 공간이 부족하면 압축을 고려해볼 수 있어요. 다만 압축은 시간이 늘어날 수 있고, 일부 환경에서는 호환성 점검이 필요합니다.

  • 대용량(예: 2TB 이상) 디스크는 2GB~4GB 단위 분할을 선호하는 조직이 많음
  • 이미징 직후 해시 검증(Verify)을 반드시 수행
  • 전송 후에도 수신 측에서 해시 재검증(수집자-분석자 간 신뢰 확보)

사례로 보는 이미징 선택

예를 들어 내부자 정보 유출 의심으로 노트북을 확보했다고 해볼게요. 디스크가 BitLocker로 암호화돼 있는데 전원이 켜져 있고 로그인도 되어 있다면, 라이브 상태에서 키/상태를 확인하고 필요한 휘발성 증거를 확보한 뒤 이미징 전략을 세우는 편이 유리할 수 있어요. 반대로 단순 규정 위반 조사로 법무팀 제출 가능성이 높다면, 원본 봉인과 체인 오브 커스터디를 더 보수적으로 가져가는 게 안전합니다.

5) 분석 단계에서 실무자가 자주 보는 포인트: 타임라인, 아티팩트, 로그

이미징이 끝나면 “이제 분석만 하면 되겠네”라고 생각하기 쉬운데, 사실 여기서부터가 진짜 포렌식이에요. 흔히 사건의 뼈대를 세우는 방법이 타임라인 분석입니다. 언제 어떤 파일이 생성/수정/실행됐는지, 어떤 외부 저장장치가 연결됐는지, 어떤 계정이 로그인했는지를 시간축으로 정리해요.

자주 활용되는 아티팩트(Windows 예시)

운영체제마다 다르지만, Windows 환경에서는 아래 흔적들이 자주 활용돼요. (조직 보안 정책과 수사 범위에 따라 접근 권한과 절차는 꼭 준수해야 합니다.)

  • 이벤트 로그(Event Logs): 로그인, 서비스 실행, 오류, 정책 변경 흔적
  • 프리페치(Prefetch): 실행된 프로그램 흔적(환경/버전에 따라 차이)
  • 점프 리스트(Jump Lists): 최근 실행/열람한 파일 단서
  • 레지스트리 하이브: 사용자 활동, USB 연결 흔적, 프로그램 설치 단서
  • 브라우저 기록: 접속 URL, 다운로드 기록(보관 정책에 따라 상이)

통계로 보는 “로그의 유통기한”

여기서 현실적인 문제가 하나 있어요. 로그는 영원히 남지 않습니다. 저장 용량 제한이나 롤오버 정책 때문에 덮어쓰기 되죠. 여러 보안 연구 및 현장 보고서에서 공통적으로 강조하는 포인트는 “초동 대응이 늦을수록 수집 가능한 증거가 급격히 줄어든다”는 겁니다. 특히 침해사고의 평균 탐지 지연(dwell time)은 산업·연도마다 차이가 있지만, ‘수 주~수 개월’ 수준으로 길게 보고되는 경우가 많았어요. 그래서 사고를 “빨리 알아차리고, 빨리 보존”하는 체계가 결국 비용을 줄입니다.

6) 문서화와 보고서: 기술을 ‘설명 가능’하게 만드는 마지막 단계

포렌식 결과는 기술자만 알아보면 끝이 아니에요. 의사결정자, 법무, 인사, 감사, 때로는 외부기관까지 이해할 수 있어야 합니다. 그래서 보고서는 “기술 디테일”과 “비기술 요약”을 함께 갖추는 게 좋아요.

좋은 포렌식 보고서에 꼭 들어가는 구성

  • 요약(Executive Summary): 결론과 근거를 짧고 명확하게
  • 범위(Scope)와 제한사항: 무엇을 했고 무엇은 못 했는지
  • 증거 목록과 체인 오브 커스터디: 식별 정보/보관/해시
  • 방법론: 사용 도구, 버전, 절차, 검증 방식
  • 사실(Facts)과 해석(Interpretation) 분리: “관측된 사실”과 “추정”을 구분
  • 타임라인: 핵심 이벤트를 시간순으로
  • 재현 가능성: 동일 결과를 얻기 위한 조건/경로

실무 팁: “의심” 대신 “관측”의 언어를 쓰자

예를 들어 “사용자가 파일을 삭제한 것으로 보인다”보다 “해당 경로에서 삭제 이벤트와 휴지통 아티팩트가 확인되며, 삭제 시각은 X로 기록돼 있다”처럼 쓰는 편이 방어력이 높아요. 포렌식은 추리 소설이 아니라, 관측과 검증의 기록이니까요.

결론) 실무 핵심 요약: 흔들리지 않는 포렌식 흐름 만들기

포렌식은 멋진 도구 이름보다 절차의 일관성이 더 중요합니다. 현장에서는 당황하기 쉽지만, 결국 성패를 가르는 건 “원본 보호 → 무결성 검증 → 재현 가능한 분석 → 설명 가능한 보고”의 흐름을 지켰는지예요.

  • 초동 대응에서는 전원/휘발성 증거 여부를 먼저 판단
  • 체인 오브 커스터디와 기록은 처음부터 끝까지 유지
  • 원본은 쓰기 방지와 봉인으로 보호, 분석은 이미지로 수행
  • 이미징 후 해시 검증은 필수(전송 후 재검증까지)
  • 타임라인과 핵심 아티팩트로 사건의 뼈대를 세우고, 보고서는 사실/해석을 분리

중요한 자료가 사라졌다면, 빠르고 안전한 카카오톡 복구가 답입니다.

이 기본기만 탄탄해도 현장에서 “이거 증거로 쓸 수 있나요?”라는 질문에 훨씬 자신 있게 답할 수 있어요. 다음 단계로는 메모리 포렌식, 클라우드/모바일 포렌식, 그리고 조직 차원의 증거 보존 정책까지 확장해보면 실무 대응력이 더 단단해집니다.