본문 바로가기

신동아 로고

통합검색 전체메뉴열기

0과 1 사이 흔적 찾기 “내 안에 증거 있다”

꼼짝 마! 디지털 포렌식 수사 현장

  • 이상배 | 서울지방경찰청 사이버안전과 디지털포렌식계장 leesangbae@yahoo.com

0과 1 사이 흔적 찾기 “내 안에 증거 있다”

1/2
  • ● 형사소송법 개정, ‘디지털 증거’ 인정
  • ● 휴대전화, 컴퓨터, CCTV 흔적 복원해 증거 추적
  • ● 수사권 남용 vs 사회 안전, 무결성 vs 효율성
  • ● 포렌식 수사 모델, 현장 수사관用 도구 개발 필요
0과 1 사이 흔적 찾기 “내 안에 증거 있다”

[뉴스1]

지난 5월 19일 디지털 기기의 증거 능력을 확대하는 형사소송법 개정안이 국회를 통과하면서 ‘디지털 증거법’ 시대가 열렸다. 이전까지 형사소송법은 e메일, 문서 파일과 같은 디지털 증거물의 증거 능력을 따로 규정하지 않았다. 형사소송법 제313조는 “공판정에서 작성자 등의 ‘진술에 의하여’ 서류의 성립 진정이 증명된 때 그 서류를 증거로 할 수 있다”고 규정했다. 명백한 범행 증거가 있어도 피의자가 “내가 쓴 것이 아니다”라고 오리발을 내밀면 ‘종이 증거법’에 따라 증거로 쓸 수 없었다.

그러나 개정 형사소송법은 ‘종이 증거물’에 대한 규정을 디지털 증거에도 그대로 적용한다. 이에 따라 ‘디지털 포렌식’ 수사와 감정(鑑定) 등을 통해 로그 기록, IP 주소 등 작성 사실을 입증하면 증거로 사용할 수 있게 됐다. 법정에 증거로 제시할 목적으로 증거를 수집, 분석, 처리하는 것을 ‘포렌식(forensic, 법과학)’이라고 하는데, 이처럼 컴퓨터, 휴대전화, 폐쇄회로(CC)TV 등에 남아 있는 데이터를 사법 절차에 따라 과학적으로 분석하고 탐색해 증거를 찾아내는 것을 ‘디지털 포렌식’이라고 한다. 

디지털 포렌식은 대상에 따라 ‘모바일 포렌식’ ‘컴퓨터 포렌식’, 디지털 카메라와 CCTV 같은 멀티미디어 기기를 대상으로 하는 ‘멀티미디어 포렌식’ 등으로 나뉜다. 용어들은 생소하겠지만 TV 프로그램 ‘경찰청 사람들’이나 ‘CSI 과학수사대’를 본 시청자들은 다양한 디지털 포렌식을 수사 기법으로 활용하는 장면을 봤을 것이다.

컴퓨터 정보를 사용해 악행을 저지르는 범인 ‘팬텀’에 맞선 경찰청 사이버수사대원들의 이야기를 다룬 2012년 드라마 ‘유령’은 큰 인기를 끌었다. 이 드라마에서 사이버 요원들은 삭제된 e메일을 복구해 증거를 수집하고, 네트워크 분석을 통해 사건 실마리를 추적하며, 디도스(DDoS, 분산 서비스 거부) 공격이나 악성 코드 근원지를 역추적했다. ‘0’과 ‘1’의 조합으로 현실보다 더 폭넓은 세계를 구축한 디지털 세계에서 요리조리 증거를 추적하고 분석하는 사이버 요원들의 활약상이 눈부셨다.

모바일, 컴퓨터, 멀티미디어…


예전에는 ‘컴퓨터 포렌식’이라고 일컬을 만큼 컴퓨터가 포렌식의 기초였지만, 최근 수사에서는 스마트폰과 CCTV 활용도가 급등하면서 모바일 포렌식 및 멀티미디어 포렌식이 급부상했다.


1 사진 복원으로 들통난 사기범  
        

2015년 3월 3일 서울 삼성동의 한 은행, 점잖게 생긴 50대 남성이 문을 열고 들어섰다. 남성은 은행원에게 한화 500만 원을 싱가포르화 6000달러로 환전해달라고 했고, 은행원은 돈을 봉투에 넣어 건넸다. 남성은 유유히 은행 문을 나섰고, 은행원은 정신없이 밀려드는 다음 손님들을 응대했다. 그날 영업시간이 종료된 후 은행은 발칵 뒤집혔다. 1000달러짜리 싱가포르화 60장이 비었던 것. 은행원이 실수로 100달러짜리 60장이 아닌 1000달러짜리 60장을 건넨 것이다.

은행원은 다급히 남성에게 전화를 걸어 사정을 설명하고 돈을 돌려달라고 했지만, 남성은 자신이 받은 봉투에 6만 달러가 들어 있는지도 몰랐을뿐더러 돈도 잃어버렸다고 주장했다. 은행원은 몇 번을 더 사정하다가 결국 경찰에 신고했다. 남성은 경찰서에 와서도 돈을 분실했다며 혐의를 부인했다.

결국 서울지방경찰청 디지털포렌식팀이 나섰다. 남성의 휴대전화에서 삭제된 사진, 문자, 인터넷 접속 기록 등 모든 정보를 복원했다. 그 정보들을 하나하나 살펴보던 수사관은 거짓말을 깰 수 있는 결정적 증거인 ‘돈다발 사진’을 찾아냈다. 돈 봉투 사진과 남성이 봉투 속 1000달러 수십 장을 부채처럼 펼치는 사진이었다.

그런데 이것이 사건 발생일 이전에 찍힌 사진이라면 무용지물이었다. 휴대전화의 경우 원본 사진과 동영상 리스트를 보여주기 위해 원본에 대한 작은 이미지를 만들어 저장하는데, 복원된 사진은 이처럼 작은 이미지 파일이어서 날짜와 생성 정보가 없었다.

하지만 분석관이 사진의 저장 경로, 생성 일시 등 관련 정보를 담은 데이터를 면밀하게 다시 분석한 결과 사진은 3월 19일 촬영된 것이었다. 사건 발생일이 3월 3일이었으니 2주가량 지난 시점이었다. 결국 이 남성은 사기죄로 기소돼 징역 6월에 집행유예 1년을 선고받았다. 물론 피해 금액은 모두 갚았다.

부수고, 강물에 던지고…

지난 7월 현재 서울경찰청 디지털포렌식계에 의뢰된 분석물 중 77%가 휴대전화다. 대다수 국민이 휴대전화를 사용하는 요즘, 수사 증거로서 휴대전화의 가치는 상상하기 어려울 정도로 크다. 휴대전화의 이런 가치를 알고 있는 건 수사기관뿐이 아니다. 범죄자들도 범행이 발각되면 휴대전화 안의 증거부터 신속히 삭제하고 ‘모르쇠’로 일관한다. 삭제된 데이터가 복구된다는 것을 아는 범죄자는 휴대전화를 두 동강 내거나 강물에 던져버리기도 한다.

그래도 사람들 대부분은 자기 몸이 부서져도, 증거가 될 만한 데이터를 고이 간직한다. 모든 범죄는 흔적을 남긴다. 디지털 시대에도 그 단순한 명제는 변하지 않는다.

2 “주한 미국대사 독살하겠다”    
          

2015년 7월 어느 평온한 날. 백악관 홈페이지에는 평소와 마찬가지로 각종 게시글이 올랐다. 느긋하게 마우스 스크롤을 내리며 내용을 훑어보던 담당 직원의 표정이 굳어졌다.

“마크 리퍼트 주한 미국대사를 다시 공격할 것이다. 잘 훈련된 암살자를 준비시켰고 핵이 있는 독으로 대사를 죽이겠다.”

서울 세종문화회관에서 마크 리퍼트 대사가 피습당한 지 불과 4개월이 지난 시점이었다. 주한 미대사관으로부터 수사 의뢰를 받은 서울경찰청 사이버수사대는 즉시 IP 추적 등에 나섰다. 해당 글을 게시했을 것으로 의심되는 장소와 피의자를 특정했고, 그의 주거지를 압수수색했다. 피의자의 노트북에서 암살 게시글 작성 화면을 캡처한 파일이 발견됐다. 수사관들은 눈앞의 피의자가 진범임을 직감했다. 그러나 피의자는 줄곧 “내가 한 게 아니다. 파일은 인터넷에서 내려받은 것”이라고 강변했다.

수사는 신중해야 했다. 수사관들은 섣불리 결론을 내리지 않고, 피의자 주장의 신빙성을 확인하기 위해 디지털포렌식팀에 증거물을 분석을 의뢰했다. 압수물 분석을 의뢰받은 분석관은 일단 화면 캡처 파일 정보를 차근차근 확인했다. 그 과정에서 캡처 파일에 대한 정보를 기록한 다른 파일들을 찾을 수 있었다. 화면 캡처 당시 접속한 사이트의 주소와 시간값을 일정 형태로 기록하고 있는 파일이었다. 파일들을 정밀하게 비교해 기록 방식의 규칙성을 파악한 분석관은 확인한 파일들을 시간 순으로 나열했다.

그런데 뭔가가 이상했다. 문제가 된 게시글 관련 파일들이 분명한데, 모든 파일의 생성 일시가 범행 시간보다 7시간씩 앞서 있었다. 분석관은 노트북의 설정 정보를 다시 한 번 확인하고는 무릎을 쳤다. 시간값 설정이 한국 표준 시간이 아닌 프랑스 파리 표준 시간으로 돼 있었던 것. 분석 프로그램에서 시간값을 재설정하고 모든 파일에 적용해 확인하니 비로소 시간이 딱 맞아떨어졌다.

시간에 따라 사건을 재구성해봤다. 피의자는 일단 백악관 사이트에서 글을 작성한 뒤 글을 올리기 전에 먼저 그 화면을 ‘캡처’했고, 화면을 한 번 열어서 내용을 확인한 뒤 사이트에 글을 올렸다. 추가 분석 결과 피의자의 노트북에서는 인터넷 공유기 관리자 페이지에 수차례 접속한 흔적도 확인됐다. 인터넷 공유기에 노트북이 접속한 기록이 저장되지 않도록 설정을 변경하기 위해서였다. 그러나 이런 치밀한 노력에도 불구하고 피의자는 결국 구속 기소를 피할 수 없었다.

1/2
이상배 | 서울지방경찰청 사이버안전과 디지털포렌식계장 leesangbae@yahoo.com
목록 닫기

0과 1 사이 흔적 찾기 “내 안에 증거 있다”

댓글 창 닫기

2017/10Opinion Leader Magazine

오피니언 리더 매거진 표지

오피니언 리더를 위한
시사월간지. 분석, 정보,
교양, 재미의 보물창고

목차보기구독신청이번 호 구입하기

지면보기 서비스는 유료 서비스입니다.