Recent Posts
Recent Comments
관리 메뉴

미닉스의 작은 이야기들

김기창 교수님, 포렌식에 대한 헛소리를 중단하시기 바랍니다. 본문

글 쟁이로 가는 길/윤가?인가?

김기창 교수님, 포렌식에 대한 헛소리를 중단하시기 바랍니다.

미닉스 김인성 2019. 9. 25. 07:59

조국 교수 부인인 정경심 교수가 자기 하드디스크를 집사를 시켜서 빼돌린 행위를 변호하기 위해서

디지털 포렌식 실무도 모르면서 헛소리에 가까운 뇌피셜을 떠들고 다니는

김기창 교수님은 즉각 그 행동을 중단하시기 바랍니다.

 

여러 방송에 나온 김교수님의 모습은 뭔가에 대해 매우 분노한 모습으로

정상적인 판단을 할 수 없는 상태로 보입니다. 

 

검찰과 국정원의 디지털 증거 조작 행위를 목격해 온 제 입장에서

조국 수사에 임하는 검찰의 행태에 대한 김교수님의 분노를 이해하지 못하는 것은 아니지만

디지털 포렌식에 대한 쓸데 없는 주장은 중단하시고 가능한 빨리 전공 분야로 돌아가시기 바랍니다.

 

1. 원본 하드디스크는 압수하지 않습니다.

 

디지털 포렌식 작업자들은 원본 하드디스크를 복제(이미징)할 뿐 원본 하드디스크를 가져 가지는 않습니다.

(물론 이미징을 할 수 없는 상황이거나 하드디스크에 에러가 생겨서 이미징을 할 수 없는 특별한 경우에는

본인의 동의를 얻어 가져가는 경우가 있지만 이 때도 임의로 데이터를 건드는 등의 작업은 절차적으로 방지됩니다.)

 

최근 대법원 권고 사항은 하드디스크 전체를 복제하면 불필요한 개인 정보등이 넘어갈 수 있으므로

현장에서 필요한 파일만 찾아서 복사해 갈 것을 권고하고 있습니다.

때문에 정경심 교수가 원본 하드디스크를 검찰이 가져간 후 오랫동안 돌려 받지 못하면

연구에 지장을 받을 수 있다고 걱정한 것은 잘못된 생각입니다.

 

김교수님께서 정경심 교수의 걱정을 이해하는 발언을 할 수는 있지만

"검찰이 원본을 가져가지 않는다. 따라서 정경심 교수가 괜한 걱정을 한 것 같다"는 코멘트를 하지 않는 것으로 보아

김교수님은 디지털 포렌식 실무 작업에 대한 이해가 전혀 없는 것으로 판단됩니다.

 

2. 디지털 포렌식의 이미징은 특별한 작업이 아닙니다.

 

디지털 포렌식 실무 작업에 대한 경험이 없는 김교수님은

하드디스크를 그대로 복제하는 이미징 작업을 마치 대단한 것처럼 말씀하고 계시지만

이는 사실이 아닙니다.

 

하드디스크를 복제하는 유틸리티인 고스트 프로그램을 사용하는 것이나

하드디스크를 SSD로 바꾸는 마이그레이션 프로그램이 하는 작업도

이미징과 별 차이 없습니다.

 

김교수님은 다음과 같이 말씀하셨습니다.

"하드디스크 전체를 완벽하게 똑같이 재현하려면 하드디스크가 컴퓨터에 설치되어 있는 상태로는 불가능합니다. 하드디스크를 완전히 떼내가지고 다른 기계에 설치를 해서, 그 기계도 특별한 기계구요. 흔히 사람들이 사용하는 컴퓨터하고는 다른 거고, 다른 기계에 그 하드디스크를 장착한 다음에 특별한 소프트웨어로 그 하드디스크 전체를 그대로 복제해서 파일을 만든 다음에, 그 파일의 무결성이란게 있어요, 점하나도 다르지 않다는 거를 전자서명 기술로 그 파일 전체에 해시값을 구해서 확보해 놓는거죠."

안타깝게도 이 발언 전체가 엉터리 정보입니다.

이 발언은 김교수님이 디지털 포렌식의 이미징 작업에 대해 완전히 무지하다는 점을 드러낼 뿐입니다.

 

"하드디스크가 컴퓨터에 장착된 상태로는 이미징이 불가능하다"라고 말씀하셨지만

USB 증거 채취 프로그램으로 부팅하여 USB 하드디스크에 복제하는 것이 가능합니다.

적어도 제가 직접 작업한 세월호 진도 VTS 이미징 작업에서 이 방식으로 했습니다.

 

( IT 엔지니어를 위한 TMI : 

리눅스 우분투 USB를 VTS 서버에 꽂고 부팅함,

타켓 하드디스크를 서버 USB에 장착함.

리눅스 커멘드 라인에서 다음 명령을 입력함.

# mkdir 1 ; mount /dev/sdb2 1 ; cat /dev/sda |tee 1/sda.img | md5sum >1/sda.md5 ) 

( dd if=/dev/sda of=- 이런 폼나는 툴 안 써도 됩니다. cat을 써도 똑같이 동작하고 더 빠릅니다.) 

 

"이미징은 흔히 사람들이 사용하는 컴퓨터하고는 다른 특별한 기계에서만 가능하다"라고 하셨는데

이것도 사실이 아닙니다.

 

교수님께서 이렇게 생각하는 것은 검경,국정원에 1억원 가까운 가격에 납품되는

이미징 전용 하드웨어만을 보셨기 때문일 것입니다.

이것은 디지털 포렌식 업체들이 엄청나게 부풀려진 가격으로 납품하는 하드웨어로,

관변에서 이권을 노리는 포렌식 업체들의 주요한 매출 수단일 뿐입니다.

 

이것은 포렌식 작업을 위해 제가 들고 다니는 리눅스 우분투 USB와 일반 PC

그리고 제가 위에 제시한 한 줄 짜리 명령어로 완벽하게 대체될 수 있습니다. 

 

"이미징을 할 때 필요한 전자서명 소프트웨어"도 전혀 특별하지 않습니다.

물론 검경에서 쓰는 것은 소프트웨어 한 카피에 천만원이 넘는 비싼 것이지만

제가 위에서 제시한 명령어 라인의 md5sum 이라는

무료이며 소스까지 공개된 GNU 소프트웨어로도 훌륭히 해시값을 낼 수 있습니다. 

 

결론적으로 정경심교수님께서 방어수단으로서 이미징을 하기 위해 저에게 연락 주셨으면

특별한 하드웨어나 소프트웨어 없이,

하드디스크를 컴퓨터에서 분리하지도 않고, 그 상태 그대로

간단히 USB를 사용하여 세 시간 이내에 완벽한 이미징을 해드릴 수 있었을 것입니다.

 

정경심 교수를 변호하기 위해 포렌식 실무도 제대로 알지 못하면서 

포렌식 과정을 마음대로 상상하여 주장을 하는 김교수님의 행위가 오히려 

포렌식을 모르는 일반인들을 상대로 가짜뉴스를 생산하고 계시다는 것을 아시기 바랍니다. 

 

이 글을 읽는 포렌식 전문가, IT 전문가, 시스템 엔지니어, 서버 관리자들은

아마 김기창 교수님을 속으로 비웃고 있을 것입니다.

만약 제 말이 틀렸다고 생각하는 전문가분이 계시면 댓글을 달아 주시기 바랍니다.

 

3. 컴퓨터 파일은 간단히 삭제할 수 있습니다. 

 

김교수님께서는 또 다음과 같이 말씀하셨습니다.

"컴퓨터 파일을 그냥 지운다해서 그냥 없어지는 게 아니에요. 그 데이터까지 없애려면 다른 기술이 필요해요 디가우징이라고 있는데 기억하실지 모르겠지만 양승태 전대법관 이런분들은 디가우징이란걸 했어요. 뭔가 진짜 숨길게 있는 사람은 그런 짓을 하거든요. 아니면 소프트웨어적으로 파일을 지운 다음에 그 자리에 다른 데이터를 인위적으로 덮어쓰는 행위를 하면 데이터가 지워질 수 있어요."

컴퓨터 파일은 그냥 지우면 지워집니다.

(엔지니어를 위한 TMI :

예를 들어 리눅스로 부팅한 후 cat /dev/zero >/dev/sdb 라는 명령어 한 줄로

완벽하게 하드디스크를 초기화 시킬 수 있습니다.

또는 윈도우 재설치와 빈영역 삭제로도 데이터 완전 삭제가 가능합니다.)

 

디가우징은 상업적인 이유로 만들어진 상품일 뿐입니다.

디가우징은 절대 데이터를 복구할 수 없도록 만들어야 한다는 공포 마케팅으로 나온 제품입니다.

 

데이터를 완전 삭제하고 싶으면 그냥 윈도우 무료 프로그램 Ccleaner 같은 것으로

하드디스크 전체 0으로 한 번만 덮어 쓰면 됩니다.

 

0으로 한 번 쓰기만 했을 때는 정밀한 자성 획득 방법으로 데이터를 읽어낼 가능성이 있다는 주장도 있지만

세월호 CCTV 하드디스크 복구 당시 전세계 하드디스크 복구 업체와 하드디스크 제조사 연구소에까지 문의한 결과

하드디스크 영역을 정밀한 방법으로 일일이 읽어서 데이터를 복구해내는 실제 기술은 존재하지 않는다는 것을 확인했습니다.

 

사실 김교수님의 이런 주장은 혼란스럽기만 할 뿐

왜 이런 주장을 하고 있는지 이해하기 어려울 뿐입니다.

 

아마 김교수님께서 데이터 삭제, 디가우징 이런 복잡한 이야기를 꺼내는 이유는,

정경심 교수는 데이터 삭제 따위를 할 사람이 아니고

데이터 완전 삭제 자체가 일반인이 하기 어려운 작업이고

만약 그랬다면 검찰이 쉽게 찾아낼 수 있을테니까

검찰이 이상한 의혹만 흘리고 데이터 삭제 이야기는 하지 않는 것으로 보아

정경심 교수가 데이터 삭제 따위는 안 했음을 역으로 증명하고 있다

라고 주장하고 싶은 것으로 보입니다.

 

김교수님의 이런 주장은 정경심 교수를 변호할 목적으로

복잡한 서술로 일반인들에게 혼란을 일으키는 쓸데 없는 행위일 뿐이라는 것이 제 판단입니다.

 

결론적으로 김기창 교수님은

디지털 포렌식 실무도, 이미징 원리도, 데이터 삭제에 대한 실제 상황도 모르면서

정경심 교수를 변호하기 위해 쓸데 없는 헛소리를 하고 다니는 행위를 즉각 중단할 것을 강하게 권고 드립니다.

김인성.

Comments