클라우드 스토리지의 효율적인 압수.수색을 위한 방안 - MAC Address Log Forensic

Abstract

클라우드 컴퓨팅 환경이 빠르게 확산되고 있다. 현대인은 개인 문서, 사무용 문서, 사진 등 디지털 자료를 클라우드 스토리지에 저장하여 언제, 어디서든 접근함으로써 활용성을 증대시키고 있다. 클라우드 스토리지의 이러한 편리함은 디지털 포렌식 수사관에게 있어서는 새로운 도전 과제를 안겨주고 있다. 클라우드 스토리지를 대상으로 한 디지털 증거의 압수·수색은 새로운 접근법을 요구한다. 국내·외에 산재되어 있는 데이터 센터에 있는 디지털 자료를 수색하고 압수하기 위해서는 사전에 철저한 준비가 필요하다. 기존의 물리적 접근에 의한 압수·수색 방식으로는 가상화 기술이 적용되고 동시-다중 접속에 의한 실시간 동기화가 이루어지는 클라우드 스토리지에 저장된 디지털 증거에 대한 압수·수색은 불가능하다. 클라우드 스토리지 서비스는 네트워크를 통해서 제공되기 때문에 네트워크와 클라우드 스토리지 서비스 시스템에 대한 지식과 기술을 갖추고 접근해야 한다. 네트워크를 통해 압수·수색 대상 디지털 증거에 접근하기 위해서는 먼저 클라우드 스토리지 서비스의 계정 정보를 획득해야 한다. 계정 정보 획득을 위한 방법에는 여러 가지가 있을 수 있지만 오늘날 개인정보보호가 중요한 트렌드가 되면서 가입자의 주민등록번호로는 계정 정보를 획득할 수가 없게 되었다. 이에 본 논문에서는 피압수자의 인적사항이 아닌 피압수자가 사용하는 NIC(Network Interface Card)의 GUID인 MAC Address를 통해 압수·수색 대상 클라우드 스토리지 서비스의 계정 정보를 확인할 수 있음을 알아본다. 수사기관은 계정 정보를 확인한 후 클라우드 스토리지에 있는 피압수자의 디지털 자료를 대상으로 직접 수색을 할 수도 있고 클라우드 서비스 제공자의 협조를 얻어 수색을 할 수도 있다. 수색을 누가 실행하든 압수할 디지털 증거를 네트워크를 통해 로컬 컴퓨터에 download 하고 다시 기존의 압수․수색 방식에 따라 이미징을 하여 해쉬값을 생성하는 것은 디지털 증거의 오염 가능성을 더욱 크게 한다. 디지털 증거의 동일성과 무결성의 문제를 해결하기 위한 새로운 방안으로서 수사기관과 법원의 협력에 의한 디지털 압수물 데이터 센터를 구축하고 압수 대상 클라우드 스토리지에서 디지털 압수물 센터로 직접 다운로드할 수 있는 시스템을 제안한다. 다운로드 과정에서 절차의 투명성, 네트워크 안정성, 디지털 압수물 센터의 안전성을 보장함으로써 디지털 증거의 신뢰성을 인정할 수 있도록 해야 한다. 법원은 영장에 기재된 범죄사실 관련 디지털 증거를 압수·수색함에 있어서 관련성 없는 증거를 우연히 발견한 경우, 기존의 압수․수색을 즉시 중단하고 별도의 범죄혐의에 대한 압수·수색영장을 발부받은 경우에 한하여 적법한 압수·수색이 가능하다고 하고 있다. 그러나 영장에 기재된 범죄사실과 관련성 없는 별도의 사건에 관한 증거라 하더라도 수사기관의 수사 개시 의무와 수사의 역동성이라는 관점에서, 관련성 없는 별도의 사건에 관한 디지털 증거를 압수할 필요성이 있다. 이를 위해서 긴급 압수제도를 조속히 실행하여야 한다. 수사기관은 압수·수색 과정에서 피압수자가 불법적으로 취득하였거나 불법적인 내용을 포함하는 디지털 자료를 발견한 경우, 피압수자에 의한 후속 범죄의 실행 및 제2의 범죄를 예방하기 위해 해당 디지털 자료를 압수·수색 현장에서 완전 삭제할 수 있어야 한다. 이를 위해 불법 디지털 자료에 대한 수사기관의 삭제권 입법을 제안한다. 참고로, 본 논문에서는 Public Cloud 환경에서의 압수․수색을 주요 대상으로 하였다.