2016년 10월호

0과 1 사이 흔적 찾기 “내 안에 증거 있다”

꼼짝 마! 디지털 포렌식 수사 현장

  • 이상배 | 서울지방경찰청 사이버안전과 디지털포렌식계장 leesangbae@yahoo.com

    입력2016-09-22 17:03:04

  • 글자크기 설정 닫기
    • 형사소송법 개정, ‘디지털 증거’ 인정
    • 휴대전화, 컴퓨터, CCTV 흔적 복원해 증거 추적
    • 수사권 남용 vs 사회 안전, 무결성 vs 효율성
    • 포렌식 수사 모델, 현장 수사관用 도구 개발 필요
    지난 5월 19일 디지털 기기의 증거 능력을 확대하는 형사소송법 개정안이 국회를 통과하면서 ‘디지털 증거법’ 시대가 열렸다. 이전까지 형사소송법은 e메일, 문서 파일과 같은 디지털 증거물의 증거 능력을 따로 규정하지 않았다. 형사소송법 제313조는 “공판정에서 작성자 등의 ‘진술에 의하여’ 서류의 성립 진정이 증명된 때 그 서류를 증거로 할 수 있다”고 규정했다. 명백한 범행 증거가 있어도 피의자가 “내가 쓴 것이 아니다”라고 오리발을 내밀면 ‘종이 증거법’에 따라 증거로 쓸 수 없었다.

    그러나 개정 형사소송법은 ‘종이 증거물’에 대한 규정을 디지털 증거에도 그대로 적용한다. 이에 따라 ‘디지털 포렌식’ 수사와 감정(鑑定) 등을 통해 로그 기록, IP 주소 등 작성 사실을 입증하면 증거로 사용할 수 있게 됐다. 법정에 증거로 제시할 목적으로 증거를 수집, 분석, 처리하는 것을 ‘포렌식(forensic, 법과학)’이라고 하는데, 이처럼 컴퓨터, 휴대전화, 폐쇄회로(CC)TV 등에 남아 있는 데이터를 사법 절차에 따라 과학적으로 분석하고 탐색해 증거를 찾아내는 것을 ‘디지털 포렌식’이라고 한다. 

    디지털 포렌식은 대상에 따라 ‘모바일 포렌식’ ‘컴퓨터 포렌식’, 디지털 카메라와 CCTV 같은 멀티미디어 기기를 대상으로 하는 ‘멀티미디어 포렌식’ 등으로 나뉜다. 용어들은 생소하겠지만 TV 프로그램 ‘경찰청 사람들’이나 ‘CSI 과학수사대’를 본 시청자들은 다양한 디지털 포렌식을 수사 기법으로 활용하는 장면을 봤을 것이다.

    컴퓨터 정보를 사용해 악행을 저지르는 범인 ‘팬텀’에 맞선 경찰청 사이버수사대원들의 이야기를 다룬 2012년 드라마 ‘유령’은 큰 인기를 끌었다. 이 드라마에서 사이버 요원들은 삭제된 e메일을 복구해 증거를 수집하고, 네트워크 분석을 통해 사건 실마리를 추적하며, 디도스(DDoS, 분산 서비스 거부) 공격이나 악성 코드 근원지를 역추적했다. ‘0’과 ‘1’의 조합으로 현실보다 더 폭넓은 세계를 구축한 디지털 세계에서 요리조리 증거를 추적하고 분석하는 사이버 요원들의 활약상이 눈부셨다.





    모바일, 컴퓨터, 멀티미디어…


    예전에는 ‘컴퓨터 포렌식’이라고 일컬을 만큼 컴퓨터가 포렌식의 기초였지만, 최근 수사에서는 스마트폰과 CCTV 활용도가 급등하면서 모바일 포렌식 및 멀티미디어 포렌식이 급부상했다.


    1 사진 복원으로 들통난 사기범  
            

    2015년 3월 3일 서울 삼성동의 한 은행, 점잖게 생긴 50대 남성이 문을 열고 들어섰다. 남성은 은행원에게 한화 500만 원을 싱가포르화 6000달러로 환전해달라고 했고, 은행원은 돈을 봉투에 넣어 건넸다. 남성은 유유히 은행 문을 나섰고, 은행원은 정신없이 밀려드는 다음 손님들을 응대했다. 그날 영업시간이 종료된 후 은행은 발칵 뒤집혔다. 1000달러짜리 싱가포르화 60장이 비었던 것. 은행원이 실수로 100달러짜리 60장이 아닌 1000달러짜리 60장을 건넨 것이다.

    은행원은 다급히 남성에게 전화를 걸어 사정을 설명하고 돈을 돌려달라고 했지만, 남성은 자신이 받은 봉투에 6만 달러가 들어 있는지도 몰랐을뿐더러 돈도 잃어버렸다고 주장했다. 은행원은 몇 번을 더 사정하다가 결국 경찰에 신고했다. 남성은 경찰서에 와서도 돈을 분실했다며 혐의를 부인했다.

    결국 서울지방경찰청 디지털포렌식팀이 나섰다. 남성의 휴대전화에서 삭제된 사진, 문자, 인터넷 접속 기록 등 모든 정보를 복원했다. 그 정보들을 하나하나 살펴보던 수사관은 거짓말을 깰 수 있는 결정적 증거인 ‘돈다발 사진’을 찾아냈다. 돈 봉투 사진과 남성이 봉투 속 1000달러 수십 장을 부채처럼 펼치는 사진이었다.

    그런데 이것이 사건 발생일 이전에 찍힌 사진이라면 무용지물이었다. 휴대전화의 경우 원본 사진과 동영상 리스트를 보여주기 위해 원본에 대한 작은 이미지를 만들어 저장하는데, 복원된 사진은 이처럼 작은 이미지 파일이어서 날짜와 생성 정보가 없었다.

    하지만 분석관이 사진의 저장 경로, 생성 일시 등 관련 정보를 담은 데이터를 면밀하게 다시 분석한 결과 사진은 3월 19일 촬영된 것이었다. 사건 발생일이 3월 3일이었으니 2주가량 지난 시점이었다. 결국 이 남성은 사기죄로 기소돼 징역 6월에 집행유예 1년을 선고받았다. 물론 피해 금액은 모두 갚았다.



    부수고, 강물에 던지고…

    지난 7월 현재 서울경찰청 디지털포렌식계에 의뢰된 분석물 중 77%가 휴대전화다. 대다수 국민이 휴대전화를 사용하는 요즘, 수사 증거로서 휴대전화의 가치는 상상하기 어려울 정도로 크다. 휴대전화의 이런 가치를 알고 있는 건 수사기관뿐이 아니다. 범죄자들도 범행이 발각되면 휴대전화 안의 증거부터 신속히 삭제하고 ‘모르쇠’로 일관한다. 삭제된 데이터가 복구된다는 것을 아는 범죄자는 휴대전화를 두 동강 내거나 강물에 던져버리기도 한다.

    그래도 사람들 대부분은 자기 몸이 부서져도, 증거가 될 만한 데이터를 고이 간직한다. 모든 범죄는 흔적을 남긴다. 디지털 시대에도 그 단순한 명제는 변하지 않는다.

    2 “주한 미국대사 독살하겠다”    
              

    2015년 7월 어느 평온한 날. 백악관 홈페이지에는 평소와 마찬가지로 각종 게시글이 올랐다. 느긋하게 마우스 스크롤을 내리며 내용을 훑어보던 담당 직원의 표정이 굳어졌다.

    “마크 리퍼트 주한 미국대사를 다시 공격할 것이다. 잘 훈련된 암살자를 준비시켰고 핵이 있는 독으로 대사를 죽이겠다.”

    서울 세종문화회관에서 마크 리퍼트 대사가 피습당한 지 불과 4개월이 지난 시점이었다. 주한 미대사관으로부터 수사 의뢰를 받은 서울경찰청 사이버수사대는 즉시 IP 추적 등에 나섰다. 해당 글을 게시했을 것으로 의심되는 장소와 피의자를 특정했고, 그의 주거지를 압수수색했다. 피의자의 노트북에서 암살 게시글 작성 화면을 캡처한 파일이 발견됐다. 수사관들은 눈앞의 피의자가 진범임을 직감했다. 그러나 피의자는 줄곧 “내가 한 게 아니다. 파일은 인터넷에서 내려받은 것”이라고 강변했다.

    수사는 신중해야 했다. 수사관들은 섣불리 결론을 내리지 않고, 피의자 주장의 신빙성을 확인하기 위해 디지털포렌식팀에 증거물을 분석을 의뢰했다. 압수물 분석을 의뢰받은 분석관은 일단 화면 캡처 파일 정보를 차근차근 확인했다. 그 과정에서 캡처 파일에 대한 정보를 기록한 다른 파일들을 찾을 수 있었다. 화면 캡처 당시 접속한 사이트의 주소와 시간값을 일정 형태로 기록하고 있는 파일이었다. 파일들을 정밀하게 비교해 기록 방식의 규칙성을 파악한 분석관은 확인한 파일들을 시간 순으로 나열했다.

    그런데 뭔가가 이상했다. 문제가 된 게시글 관련 파일들이 분명한데, 모든 파일의 생성 일시가 범행 시간보다 7시간씩 앞서 있었다. 분석관은 노트북의 설정 정보를 다시 한 번 확인하고는 무릎을 쳤다. 시간값 설정이 한국 표준 시간이 아닌 프랑스 파리 표준 시간으로 돼 있었던 것. 분석 프로그램에서 시간값을 재설정하고 모든 파일에 적용해 확인하니 비로소 시간이 딱 맞아떨어졌다.

    시간에 따라 사건을 재구성해봤다. 피의자는 일단 백악관 사이트에서 글을 작성한 뒤 글을 올리기 전에 먼저 그 화면을 ‘캡처’했고, 화면을 한 번 열어서 내용을 확인한 뒤 사이트에 글을 올렸다. 추가 분석 결과 피의자의 노트북에서는 인터넷 공유기 관리자 페이지에 수차례 접속한 흔적도 확인됐다. 인터넷 공유기에 노트북이 접속한 기록이 저장되지 않도록 설정을 변경하기 위해서였다. 그러나 이런 치밀한 노력에도 불구하고 피의자는 결국 구속 기소를 피할 수 없었다.



    3 ‘암호’ 풀어내 어린이 학대 입증      

    최근 몇 년 동안 어린이집의 아동 학대 소식이 많았다. 지난해 5월 18일에는 ‘영유아보육법’이 개정돼 어린이집 내 CCTV 설치가 의무화됐다. 따라서 요즘 경찰이 어린이집 학대 사건을 수사할 때는 대부분 CCTV를 조사한다. 시간이 오래돼 CCTV 자료가 삭제된 경우 디지털포렌식계에 영상 복구를 의뢰한다.

    최근 서울의 한 어린이집 학부모들은 충격적인 소식을 들었다. 원장이 원생들에게 폭언을 일삼고 아이들을 거칠게 다루거나 방치하는 등 지속적으로 학대한다는 것. 격분한 부모들은 원장을 경찰에 신고했고, 경찰은 즉각 수사에 착수했다. 원장의 아동 학대 장면이 CCTV에 찍혀 있을 가능성이 높아 주된 증거 자료로 확보했는데, 삭제된 부분이 있어 영상 복구 신청이 접수됐다.

    CCTV처럼 영상을 저장하는 멀티미디어 기기의 경우 저장된 자료도 원래 영상 그대로 저장돼 있을 것이라고 생각하기 쉽다. 그러나 기계는 사람과 같은 방식으로 물질을 인식할 수 없다. 자신만이 이해할 수 있는 숫자 및 알파벳 조합으로 영상 데이터를 저장한다. 저장하는 방식은 CCTV의 기종에 따라 다 다르다. 데이터가 반드시 시간 순서대로 저장돼 있는 것도 아니다. 뒤죽박죽 섞여 있어 사람의 눈에는 흡사 암호와도 같다. 분석관은 저장된 데이터를 일일이 살펴보고 그 구조를 파악해 암호를 해독할 수밖에 없다.



    쫓고 쫓기는 ‘무한 랠리’

    이 사건에서도 분석관은 샘플 영상 데이터를 추출한 뒤 저장된 양식의 규칙성을 파악했다. 그리고 확인된 규칙성대로 데이터를 나눈 뒤 영상으로 변환하는 작업을 하기 위해 CCTV 내 모든 데이터를 분석관이 작업하는 컴퓨터에 ‘업로드’했다. 용량이 매우 커 그 작업에만 꼬박 일주일이 걸렸다. 이윽고 변환 작업을 마친 복원 영상은 믿기 어려울 정도로 깨끗하고 정밀했다. 담당 수사관은 원장 등을 아동복지법 위반 혐의 등으로 기소 의견 송치했다.

    경찰은 2004년부터 경찰청 디지털 증거분석센터를 열고, 포렌식 기법 개발에 꾸준히 힘써왔다. 하지만 수사기관의 포렌식 발전에 대응한 ‘안티 포렌식’ 기술 개발도 눈부시다. 안티 포렌식이란 포렌식을 못하도록 데이터를 파괴하거나 암호화하거나 조작하는 일련의 방해 기술을 일컫는다. 이 때문에 큰 어려움을 겪고 있지만, 최근에는 그에 대처하기 위한 ‘안티-안티 포렌식’ 기법에 대한 연구가 활발히 진행돼 상당한 성과를 보고 있다. 이렇듯 수사기관은 범죄자와 기술적으로 쫓고 쫓기는 ‘무한 랠리’를 계속하고 있다.

    포렌식의 기술적 어려움은 분명 존재하지만 연구 개발로 극복할 수 있다. 더 중요한 것은 디지털 포렌식에 대한 사회적, 법적 제약을 극복하고 합리적인 방향을 설정해 그에 부합하는 기법과 기술을 개발해나가는 것이다. 미국 연방수사국(FBI)과 애플의 대립이 그런 논쟁점을 제시한다.

    FBI는 지난해 12월 미국 캘리포니아 주 샌버너디노에서 14명을 사살하고 붙잡힌 총기 테러범의 아이폰을 확보했다. 그러나 10회 이상 비밀번호 입력 오류가 발생하면 데이터가 초기화하는 아이폰의 보안 조치 때문에 내부 데이터에 접근할 수 없었다. FBI는 아이폰 제조사 애플 측에 보안조치를 해제해달라고 요청했지만, 애플은 거절했을 뿐 아니라 FBI에 협조하라는 법원 명령도 거부했다.

    이후 FBI가 결국 애플의 도움을 받지 않고 보안 조치를 뚫으면서 사건은 일단락됐지만, 이로 인해 시작된 논란은 세계적으로 확산됐다. 중대한 범죄 수사를 위한 국가기관의 요청을 무시한 애플을 비판하는 여론, 그리고 ‘고객 정보 보호’를 최우선 가치로 삼는 애플의 태도를 옹호하는 여론이 함께 일었다. 수사기관의 디지털 포렌식을 사회적으로 어느 수준까지 용인해야 하는지에 대한 논란이었다.

    한국에서도 비슷한 논란이 있었다. 수사기관이 다음카카오 서버에 대해 영장을 발부받아 카카오톡 대화 내용을 제공받는 것에 대해 국민들의 반발이 거세지자 다음카카오는 사용자 정보 보호를 위해 대화 내용 저장기간을 2~3일로 대폭 단축했다. 기술적 문제가 아닌 사회적 문제로 인해 수사기관의 디지털 포렌식이 크게 제한된 사례다.

    수사기관은 국민이 과도한 수사권 남용과 불필요한 정보 침해에 대한 우려로 국가로부터의 정보 보호에 대해 민감해진 것을 자각해야 한다. 따라서 스스로 적정한 범위에서 수사권을 행사할 수 있도록 노력을 거듭하는 것이 긴요하다. 또한 국민도 개인의 프라이버시 보호뿐 아니라, 사회 안전의 구현과 실체적 진실 발견 역시 중요한 가치임을 염두에 두고, 성숙한 사회적 합의를 도출해야 한다.

    포렌식은 법정에 제출할 목적으로 증거를 확보하는 과정인 만큼 전 과정에 걸쳐 증거 능력을 유지하는 것이 필수다. 설사 기술적으로 가능할지라도 타인의 컴퓨터를 훔쳐오거나 위법하게 해킹해 증거를 확보할 수는 없다. 이는 경찰관이 범인의 칼을 훔쳐오거나 그의 집에 무단 침입해 증거를 확보할 수 없는 것과 마찬가지다.



    조화와 중용

    더구나 디지털 포렌식에서는 디지털 증거의 취약성으로 인한 제약이 더해진다. 여느 물적 증거물에 비해 디지털 증거물은 손쉽게 숨기거나 삭제할 수 있고 심지어 위·변조도 매우 쉽다. 법원은 이에 따른 수사기관의 조작·편집 가능성을 염려해 법정에 제출된 증거와 원본의 동일성 입증 요건을 까다롭게 설정하고 증거 능력을 엄격하게 판단한다.

    가령 피압수자에게 압수·수색 전 과정에 참여할 수 있음을 고지하지 않고 진행한 압수 절차는 무효이며, 원본 CCTV 영상을 촬영한 파일의 복사본이라도 해시값(복사된 디지털 증거의 동일성을 입증하기 위해 파일 특성을 축약한 암호 수치) 기록·저장장치 봉인 등의 조치를 거치지 않았으면 증거 능력을 부정한다. 또한 디지털 증거는 수사기관에 의한 개인 정보 침해 가능성이 높아 반드시 관련성 있는 정보에 한해 ‘선별 수사’하도록 하고 있다.

    그러나 실무자들 사이에서는, 법원이 디지털 증거 요건을 너무 까다롭게 설정해 원활한 수사에 지장을 초래한다는 비판도 나온다. 일부 수사관들은 “증거를 조작하고 싶어도 조작할 능력이 없어 꿈도 못 꾼다”며 자조 섞인 한탄을 쏟아낸다.

    그렇다 하더라도 고의적으로, 또는 실수로라도 디지털 증거에 대한 변형과 훼손이 매우 쉽다는 점을 고려할 때, 법정에서 제출된 증거가 원본과 동일하고 무결한 것임을 명백히 입증해야 한다는 것은 피할 수 없는 대전제다. 중요한 것은 위·변조 가능성을 완전히 배제하면서도 수사 효율성을 살릴 수 있는 디지털 포렌식 절차 모델을 구축하고, 일선 수사관들이 편하게 사용할 수 있는 ‘현장 수사관용 포렌식 도구’를 개발하는 일이다. 더불어 디지털 증거에 관한 법 체계를 보다 공고히 해나가는 작업이 필요하다.

    디지털 포렌식은 이제 막 걸음마를 시작한 어린아이와 같다. 자라날 길을 잘 닦아줘야 한다. 그 길은 수사의 무결성과 효율성, 어느 한쪽으로도 치우치지 않은 조화와 중용의 길이어야 할 것이다.






    댓글 0
    닫기

    매거진동아

    • youtube
    • youtube
    • youtube

    에디터 추천기사