인 수사나 조사기법이 필요하다. 이러한 사건에 대해서는 회계법인의 포렌식 회계사들이 일반 수사관들보다는 더 적합하다고 할 수 있다. 포렌식 회계사들은 분쟁조정 및 법률소송지원, 분식회계, 부정조사, 기업가치평가 및 포렌식 가치평가에 대한 서비스를 제공한다. 그들은 고객이 요구하는 사실 발견 서비스(Valus Added Factual Finding Service)를 제공하여 고객의 궁극적인 판단 및 결정을 지원한다.
일반적으로 회계부정사건조사라 함은 크게 세 가지 범죄에 대한 것으로 첫째,
회사 직원, 회사 임직원 이외의 당사자에 의한 회사 자산의 유용, 횡령이다. 둘째, 내부직원 및 외부인에 의한 부정이다. 셋째, 경영자에 의한 분식회계, 자산횡령, 유용이다. 이러한 범죄에 대해서는 포렌식 회계사의 전문성 없이는 접근하기 어렵다. 그러므로 국가사법기관에서도 기업에 대한 수사를 할 때 회계사들의 지원을 받아 하고 있다. 산업보안조사 차원에서 이러한 조사를 하기 위해서는 사내 회계사들이나 외부포렌식 전문가의 도움을 받아 조사에 임하는 것이 필수적이다. 포렌식 어카운팅을 이해하기 위해서는 거기에 관련된 샤베인즈 옥슬리법(Sar banes Oxley Act), 미국해외부정방지법(FCPA: Foreign Corrupt Practices Act), SEC Final Rule, 한국 외감법 등의 법률을 잘 이해하고 있어야 한다. 회계부정사건에서 해외 은닉 자금의 추적 및 회수와 관련된 조사업무의 절차는 아래와 같다.
1단계: 대상에 대한 전반적 정보 전달 및 위치 추적
2단계: 대상에 대한 공공정보 조사
3단계: 자산회수 지원에 대한 구체적인 계획수립
4단계: 대상 자산 및 자금 흐름 분석을 통한 구체적인 증거수집
1. 회계재무기록검토
2. 자금흐름분석을 통한 원본자산의 확인
3. 확인된 자산의 동결
5단계: 확인된 자산의 회수지원
1. 몰수
2. 자산의 본국 송금
3) 지식재산권 침해조사
미국 IPR 센터에 의하면 이러한 지식재산권 침해사건 조사에는 입체적인 접근이 필요한데 첫째, “조사”의 목적은 위조품을 생산하고 유통하는 범죄조직에 대한 확인, 방해, 기소, 해체에 있다. 둘째, "통상금지”의 목적은 위조품이나 해적물들에 대한 집중 단속을 통해 그것들을 공급망과 시장, 거리에서 자취를 감추게 하는 데 있다. 셋째, "직무교육과 교류”-국내외 법집행 기관들의 긴밀한 네트워크가 중요하다. 산업보안조사 측면에서도 위의 세 가지 접근법을 응용하여 지식재산권 침해 문제에 대응할 수 있다. 특히, 민간차원의 국제적인 전문 네트워크를 통한 모니터 및 대응이 가장 중요하다.
지식재산권에 대한 내용이 너무 복잡하여 소송을 하는 검사나 변호사들 역시 특허 분야 전문변호사가 아닌 한 변리사의 도움을 받아 진행한다. 지식재산권 문제는 산업기술유출과 밀접한 관계를 갖고 있는 경우가 많고 이러한 사실을 증명하기 위해 산업보안조사 부서의 증거 확보가 손해배상청구 소송에 있어서 가장 중요한 역할을 한다.
최근에 들어 소프트웨어의 불법복제, 영화나 음악 등에 대한 불법 다운로드 등이 심각한 문제로 떠오르는 가운데 일부 지식재산권보호 관련 기관이나 회사들이 불법 다운로드 받은 인터넷 사용자들이나 불법으로 소프트웨어를 복제하여 사용하는 기업들을 적극적으로 적발하여 손해배상을 청구한다. 이러한 지식재산권에 대한 단속활동 역시 산업보안조사의 한 부분이라고 할 수 있다.
4) 자산손실 피해조사
모든 산업체는 안팎으로 절도, 사기, 조직범죄 등으로부터 자산손실 피해를 당한다. 그리고 이러한 범죄가 증가할 때 자산보호를 위주로 하는 경영방침은 아주 중요한 역할을 한다. 자산손실 피해조사에 있어서는 회사의 보안과 운송에 관련된 취약점을 회사 소유의 창고에서부터 영업장까지 파악해야 한다. 왜냐하면 자산의 손실이 주로 야간이나 운송중에 발생하는 경우가 많기 때문이다. 이러한 조사에는 평가와 조사, 감시, 위장요원 침투 등의 방법이 동원되며 여기에서 얻은 결과를 토대로 안밖으로 취약한 문제를 경영진에 보고하여 시정 조치를 취하게 하고 또 형사처벌을 위한 증거로도 사용한다.
자산손실 피해조사에서 가장 어려운 부분은 회사 외부에 대한 조사이다. 일반적으로는 외부고객에 대한 조사로 제한된다. 임직원들은 회사의 구성원으로서 조사에 협조하여야 한다. 그러나 고객은 입장이 다르다. 그러므로, 도소매점에서 체포된 현행범이 아니면 직접적인 조사가 어렵다. 그 밖에 주요 조사영역으로는 프렌차이즈 업체에서의 피해조사, 사기로 인한 피해조사, 규정과 운영감사절차에 대한 평가가 있다.
5) 컴퓨터 시스템 및 네트워크 침입조사
산업보안조사에 있어서 컴퓨터 시스템 및 네트워크 침입에 대한 조사는 다른 사건의 조사와는 달리 위에서도 언급한 것과 같이 디지털 포렌식 기법을 통해서 조사한다. 컴퓨터 시스템이나 네트워크에 대한 외부 침입이 발생한 경우, 아래와 같은 주요 사항에 대한 점검을 통해 시스템 침입을 조사할 수 있다.
① log에 의해 생성된 파일을 조사한다.
② last 및 프로세스 로그, 시스템 보안 로그 파일을 조사한다.
③ 검색명령어를 통해 주요 파일의 권한이 변경되었는지를 확인(setuid, setgid) 한다.
④ 시스템 명령어 파일이 변경되었는지 확인(Is, dir, passwd 등)한다.
⑤ 네트워크 모니터링 도구가 불법적으로 이용된 시스템이 있는지 확인(snoop, tcpdump 등)한다.
⑥ 작업스케줄 프로그램에 의해 불법적으로 실행되는 파일이 있는지 확인(cron, at)한다.
⑦ 불법적인 서비스가 없는지 확인(services.msc, /etc/ inetd.conf)한다.
⑧ 주요 패스워드 파일이 변경되었는지 확인(sam 파일, /etc/passwd,/etc/shadow) 한다.
⑨ 네트워크 configuration 파일에 불법적인 내용이 없는지 확인(rhosts, /etc/hosts. Equiv)한다.
⑩ 시스템에 침입자가 사용할 만한 프로그램이 hidden 파일로 존재하는지 확인한다.
⑪ 동일한 네트워크상에 연결되어 있는 시스템도 함께 확인(network 동유폴더, 동일 Domain controller 내 시스템)한다.