[논문 리뷰] 해양디지털포렌식 체계 모델과 전문성 강화에 대한 연구

*본 글의 모든 내용, 그림, 표 출처는 논문 원문에 있습니다.

논문 전문 : https://file1-earticle-net.libproxy.dankook.ac.kr/PDF/Direct?key=dqRqIWF0Py1WQywc0DTGfeVHH/bfFFEy0YUXVx29Ruz7inHnob48xiCiWY9s5c5ScynJ5evYfsiLGAEb0P5DyTQ21Dr5lHNR+z2TYOPr3D7Mcu/6u4+QtYAu464hXa6GdbPwKhtDsVbXPtsSsEscl7Qb3FoH2xqOMhCHISHBJ7mXvfFigvdYf5SOMjEGYukz2AKTJAaidBmE5MsU2E/o0YLYJajIWuWP5A0B5bDM8V4=

https://file1-earticle-net.libproxy.dankook.ac.kr/PDF/Direct?key=dqRqIWF0Py1WQywc0DTGfeVHH%2FbfFFEy0YUXVx29Ruz7inHnob48xiCiWY9s5c5ScynJ5evYfsiLGAEb0P5DyTQ21Dr5lHNR+z2TYOPr3D7Mcu%2F6u4+QtYAu464hXa6GdbPwKhtDsVbXPtsSsEscl7Qb3FoH2xqOMhCHISHBJ7mXvfFigvdYf5SOMjEGYukz2AKTJAaidBmE5MsU2E%2Fo0YLYJajIWuWP5A0B5bDM8V4%3D

[출처] 위충혁, 최정호. (2023). 해양디지털포렌식 체계 모델과 전문성 강화에 대한 연구 . 한국해양경찰학회보, 13(4), 225-250.

---

 해양에서 발생하는 사건은 해양의 특수성으로 인해, 발생한 사건이 선박 자체의 결함 때문인지 아니면 그 선박을 운영하는 사람의 실수 때문인지 구분하기 힘든 경우가 잦다. 선박의 발전은 급격하게 성장하고 있으나, 사고가 발생했을 때 이에 대응하는 방법은 아직 한계점을 가지고 있다. 

 가령 국제해사기구 등에서는 항해 기록 저장장치(VDR), 선박자동식별장치(AIS) 등을 통해 일정한 정보들을 제공받을 수 있어야한다고 규정하고 있음에도 불구하고 정확한 포맷을 제시하지 않았기에 제조사와 제품 모델 별로 각각 다른 파일 시스템으로 제작해 정형화된 디지털포렌식 기법을 적용하기 힘들다.

해양범죄의 정의

'해양과 관련된 법질서 위반행위'

"범죄의 발생지를 기준으로 하여, 

1. 지리적으로 해양에서 발생한 범죄

2. 해양에서 발생하여 육상으로 또는 육상에서 발생하여 해양으로 이어지는 범죄

3. 해양에 영향을 미치는 범죄"

디지털포렌식의 정의

정보기기에 내장된 디지털 자료를 근거로 삼아 그 정보기기를 매개체로 하여 발생한 어떤 행위의 사실 관계를 규명하고 증명하는 보안서비스 분야

-> 해양범죄의 경우 육지에서 떨어져서 발생하는 고립 및 격리성 때문에 범죄현장에 즉각적으로 출동하여 사건을 처리하는  데에 한계를 가질 수 밖에 없고 현장의 물리적인 증거물의 확보에 어려움을 겪음

해양디지털포렌식 적용 분야

GPS 플로터 

-국제적으로 표준 규격이 없는 상태라 각각의 파일 포맷을 가지고 있고, 자신의 위치정보 발신 불가

-내부 메모리  : 256 ~ 512 MB

-메모리의 일부분은 전자해도(ENC)가 차지, 실제 항적을 기록하는 영역은 작은 영역이며 이 또한 저장을 하지 않고 있음

V-Pass 

-자신의 위치 정보를 발신하는 기능을 가지고 있으나, 선박의 위치가 조업과 관련된 상황 등의 사실을 은폐한다거나 장비 자체에 고장이 생긴 경우 해양경찰 상황실에서 인지 불가하다는 특징 지님

-침수가 되어도 메모리 제거방식(Chip-Off)을 활용하여 항적 데이터를 획득 가능

ALS

-국제적인 규격이 존재해서 정형화가 가능

-파일 포맷의 형태는 정의 안 된 상황

-항적 조회는 가능하나 확인 가능한 구간이 VHF 통달 거리에만 국한된 상황

VDR

-국제적인 규격이 존재하여 정형화가 가능

-파일 포맷의 형태는 정의 안 된 상황

-원본 자료가 인코딩되어 저장되기 때문에 제조사의 PlayBack 프로그램을 이용하여 변환을 하지 않는 한 내용 확인이 불가능

ECDIS(전자해도표시시스템)

-여러 장비들을 연결하여 한 화면에서 확인할 수 있는 장점

-조작상의 어려움으로 인해 실제 항해 종사자들이 직접적으로 사용하기엔 어려움이 있음

-디지털 증거자료 채증, 분석, 활용하는 입장에선 유용

Radar(전파탐지기)

-물표를 확인하는 기능 가짐

 

해양디지털포렌식 체계(MDFS:Maritime Digital Forensic System) 모델

목적 : 무결성 보장, 공신력 존재, 쉬운 사용 -> 일반 함정 요원도 손쉽게 사용할 수 있도록 개발 및 보급함으로써 사법 환경에 적극적으로 대응할 수 있고, 객관적이고 과학적인 증거자료 채증 및 실체적 진실을 발견하는 것

1. MDFS 1단계 : 수집

우선 장비의 상태별로 분류를 한다면,

1) 활성 상태 : 장비 자체가 침수되지 않고 작동이 되는 상태

2) 침수 상태 : 장비에 물이 들어간 상태

장비의 추출방법별 분류를 한다면, 

1) 직접 추출 

-장비별로 1:1 추출하는 기법

2) 간접 추출

-중간에 완충지대(DMZ)를 만들어서 자료 획득

-기존 혐의 선박들이 "GPS 플로터 전원이 꺼져서 항적 기록을 확인할 수 없다"는 방어권 행사를 무력화시킬 수 있다는 장점 존재

2. MDFS 2단계 : 분석

우선 분석방법별 분류를 하자면

1) 자체 분석 : 단속함정의 이동형 MDFS에서 이미지 추출 및 분석, 보고서 생성까지 모두 실행하는 것을 말함

2) 지방청 분석

최신의 항해용 정보통신 장비인 경우 또는 분석 여건이 여의치 않아 지방청의 도움이 필요한 경우

함정에 있는 위성통신을 이용하여 이미지 파일을 지방청 분석실에 송부 -> 이를 지방청 디지털 증거분석실에서 분석 -> 분석된 결과를 다시 위성통신을 이용하여 단속 함정에 송부

그 이후에 분석 절차는 다음과 같다.

변환 -> 분석(복구 포함) -> 정형화 -> 입력 

1) 변환 : 인코딩 -> 디코딩 

2) 분석 : 삭제된 항적기록 등의 복구

항적 복원 : 삭제된 항적기록을 복원 및 복구하는 기능으로 각 장비별 저장되는 파일 형태에 대한 리버싱을 적용하여, 항해 데이터의 저장구조를 분석하고, 삭제된 항적 기록을 복구하는 것을 의미

3) 정형화 : 통합 데이터베이스에 입력하기 위한 작업으로 각 장비들의 필드 및 레코드 형식을 통일

4) 자료저장 : 레코드 자료를 테이블에 저장

3. MDFS 3단계: 구현

분석된 자료를 바탕으로 선박충돌재현시스템 등 전자해도가 내장된 장비와의 연동을 통하여 3차원 입체 영상을 자동으로 제작할 수 있게 하며, 해당 시간대의 관련 선박 이동 상황 등을 제 3자 입장에서 볼 수 있는 단계 의미

1) 전자해도 기반 항적 재현

기존 ) 해양경찰청 상황시스템인 V-Pass 시스템을 통해 획득 가능한 AIS기록과 V-Pass기록이 전부

-> 극복 ) MDFS에서는 수기 입력 제안

임의적인 조작의 형태 등을 배제하기 위한 기술적 요소들의 충족, 분석을 통해 실현되는 결과물은 어느 한 선박이 아닌 디지털 증거물을 수집한 모든 자료를 종합하여 입체적이고 체계적인 형태로 사용자들에게 시현 및 구현되어야 함.

2) 항적기록 증거 신뢰성

디지털 증거 수집 과정에서 증거 조작 방지에 댜한 해쉬값 생성 및 확인은 이제 필수적인 과정으로 보여짐

-> 원본 데이터 인증을 위한 기존 국립과학수사연구원 DAS 시스템과의 연동도 고려할 것

-> 디지털 증거의 무결성을 보장할 수 있도록 디지털 증거물의 패키지화를 제공하는 등의 절차도 중요

해양디지털포렌식의 전문성 확보 방안

1. 해양디지털포렌식센터 등 조직적 전문기구 구성

2. 해양디지털포렌식 적용 전문기술 연구

3. 해양경찰 기본교육 과정에 해양디지털포렌식 반영

4. 이동형 해양디지털포렌식 장비 활용 -> 현장에서의 해양 경찰관들이 사용하기 용이해야함

결론

항해용 정보통신 장비들의 정형화된 자료 저장 포맷을 제시하여 국제 해사 기구 회원국을 설득하기 위한 정부 차원의 노력도 기울여야 할 것.

해양디지털포렌식 체계 구축이 시급한 사안임.