디지털 포렌식과 e디스커버리, 차이를 말하다

일반입력 :2013/12/18 15:13

손경호 기자

범죄수사에 활용되는 디지털포렌식과 달리 기업들 간 소송이나 내부 감사에 활용되는 'e디스커버리'는 법적, 기술적으로 여러가지 관점을 고려해야 합니다.

18일 서울 역삼동 르네상스 호텔에서 열린 '제14회 디지털포렌식산업포럼 조찬세미나'에서 발표를 맡은 데이비드 세너 카탈리스트 아시아 담당 부사장은 e디스커버리를 준비하기 위해서는 훨씬 많은 제반사항들을 점검해야 한다고 강조했다.

디지털포렌식은 범죄수사에 필요한 디지털 자료들을 수집해 증거로 활용하기 위한 수사기법이다. 최근에는 증거로 사용되는 자료들이 이메일, 파일, 문서 등 디지털 파일 형태로 보관돼 있는 경우가 많다.

e디스커버리는 삼성-애플 특허 소송과 같이 기업들 간 분쟁이나 기업 내부에 정보유출 여부 등을 감시하기 위해 활용되는 기술이다. 주로 민간영역에서 이뤄지는 만큼 충분한 법적, 기술적 검토가 필요하다.

세너 부사장은 디지털포렌식은 수사기관에서 컴퓨터를 활용해 사건 관련 PC를 증거물로 압수해 처리한 뒤 보고서를 생성하는 식으로 단방향으로 진행돼 왔다고 말했다. 그러나 e디스커버리는 다자 간 이해관계에 따라 의견이 대립되기 때문에 양방향, 다방향적으로 관련 자료를 탐지, 수집, 분석해 산출물을 내야 하며 서로 이견이 없도록 수집한 내용을 교환해 확인하는 과정을 거쳐야 한다고 말했다.

국내에서 대표적인 e디스커버리 활용 사례로 꼽을 수 있는 것은 최근까지 이어져 온 삼성-애플 간 특허 침해 소송이다. 당시 두 기업은 상대방에게 자사에 유리한 정보를 파악하기 위해 e디스커버리를 활용한 바 있다.

세너 부사장은 e디스커버리 표준화 그룹인 'edrm.net'이 제시한 e디스커버리 모델을 근거로 기업들이 준비해야하는 사항에 대해 설명했다.

먼저 사내 IT 담당 부서는 자사 데이터가 어디에 있는지, 누가 소유하고 있는지를 명확히 파악해야 한다. 그 뒤 사고나 소송 등의 이슈가 발생했을 때 내부 IT 담당 직원이나 변호인 등이 관련 데이터가 어디에 어떻게 저장돼 있는지를 파악하는 단계가 필요하다.

파악한 데이터는 '보존명령'을 통해 더이상 추가적인 삭제나 변경이 불가능하도록 한다. 유관 데이터에 대한 백업을 생성해 인덱싱을 거친 뒤에는 회사 법무팀 등이 지정한 키워드를 이용해 빠르게 검색할 수 있도록 정리해야 한다.

이 과정에서 세너 부사장은 수집된 데이터를 인덱싱하고, 중복된 데이터를 삭제하고, 애플리케이션, 실행파일 등 사건과 무관한 데이터를 삭제하는 필터링 작업이 중요하다고 말했다. 필터링 작업을 전체 e디스커버리에 소모되는 비용을 획기적으로 줄일 수 있다는 것이다.

세너 부사장에 따르면 미국에서는 e디스커버리 관련 전체 비용 중 변호인단에게 투입되는 것만 70%에 달한다. 필터링 과정을 정교하게 할수록 변호인단이 검토해야 하는 자료는 줄어들게 되고 이에 따라 관련 비용도 줄일 수 있다.

관련기사

미국법에서는 이러한 과정을 '리티게이션 홀드(Litigation Hold)'라는 작업을 통해 증거를 보존하도록 하는 조치를 취하고 있다. 소송이 제기됐을 때 리티게이션 홀드 조치가 이뤄진 상황에서 증거 대상 데이터를 조작하거나 수정을 가하면 소송에서 상당히 불리한 입장에 처하게 된다. 삼성과 같이 국내 기업들이 미국 기업과 소송에 걸렸을 때 고려해야할 사항이다.

이밖에도 세너 부사장은 미국법 상 연방민사소송규칙(FRCP), 법원명령 등을 유의해야하며 한국에 있는 개인정보보호법, 산업기술유출방지법 등을 염두에 둬야한다고 조언했다.