본문 바로가기

신동아 로고

통합검색 전체메뉴열기

0과 1 사이 흔적 찾기 “내 안에 증거 있다”

꼼짝 마! 디지털 포렌식 수사 현장

  • 이상배 | 서울지방경찰청 사이버안전과 디지털포렌식계장 leesangbae@yahoo.com

0과 1 사이 흔적 찾기 “내 안에 증거 있다”

2/2

3 ‘암호’ 풀어내 어린이 학대 입증      

최근 몇 년 동안 어린이집의 아동 학대 소식이 많았다. 지난해 5월 18일에는 ‘영유아보육법’이 개정돼 어린이집 내 CCTV 설치가 의무화됐다. 따라서 요즘 경찰이 어린이집 학대 사건을 수사할 때는 대부분 CCTV를 조사한다. 시간이 오래돼 CCTV 자료가 삭제된 경우 디지털포렌식계에 영상 복구를 의뢰한다.

최근 서울의 한 어린이집 학부모들은 충격적인 소식을 들었다. 원장이 원생들에게 폭언을 일삼고 아이들을 거칠게 다루거나 방치하는 등 지속적으로 학대한다는 것. 격분한 부모들은 원장을 경찰에 신고했고, 경찰은 즉각 수사에 착수했다. 원장의 아동 학대 장면이 CCTV에 찍혀 있을 가능성이 높아 주된 증거 자료로 확보했는데, 삭제된 부분이 있어 영상 복구 신청이 접수됐다.

CCTV처럼 영상을 저장하는 멀티미디어 기기의 경우 저장된 자료도 원래 영상 그대로 저장돼 있을 것이라고 생각하기 쉽다. 그러나 기계는 사람과 같은 방식으로 물질을 인식할 수 없다. 자신만이 이해할 수 있는 숫자 및 알파벳 조합으로 영상 데이터를 저장한다. 저장하는 방식은 CCTV의 기종에 따라 다 다르다. 데이터가 반드시 시간 순서대로 저장돼 있는 것도 아니다. 뒤죽박죽 섞여 있어 사람의 눈에는 흡사 암호와도 같다. 분석관은 저장된 데이터를 일일이 살펴보고 그 구조를 파악해 암호를 해독할 수밖에 없다.



쫓고 쫓기는 ‘무한 랠리’

0과 1 사이 흔적 찾기 “내 안에 증거 있다”

디지털 포렌식 수사 기법을 소재로 한 드라마 ‘CIS’(왼쪽)와 ‘유령’ [CBS] [사진제공·SBS]

이 사건에서도 분석관은 샘플 영상 데이터를 추출한 뒤 저장된 양식의 규칙성을 파악했다. 그리고 확인된 규칙성대로 데이터를 나눈 뒤 영상으로 변환하는 작업을 하기 위해 CCTV 내 모든 데이터를 분석관이 작업하는 컴퓨터에 ‘업로드’했다. 용량이 매우 커 그 작업에만 꼬박 일주일이 걸렸다. 이윽고 변환 작업을 마친 복원 영상은 믿기 어려울 정도로 깨끗하고 정밀했다. 담당 수사관은 원장 등을 아동복지법 위반 혐의 등으로 기소 의견 송치했다.

경찰은 2004년부터 경찰청 디지털 증거분석센터를 열고, 포렌식 기법 개발에 꾸준히 힘써왔다. 하지만 수사기관의 포렌식 발전에 대응한 ‘안티 포렌식’ 기술 개발도 눈부시다. 안티 포렌식이란 포렌식을 못하도록 데이터를 파괴하거나 암호화하거나 조작하는 일련의 방해 기술을 일컫는다. 이 때문에 큰 어려움을 겪고 있지만, 최근에는 그에 대처하기 위한 ‘안티-안티 포렌식’ 기법에 대한 연구가 활발히 진행돼 상당한 성과를 보고 있다. 이렇듯 수사기관은 범죄자와 기술적으로 쫓고 쫓기는 ‘무한 랠리’를 계속하고 있다.

포렌식의 기술적 어려움은 분명 존재하지만 연구 개발로 극복할 수 있다. 더 중요한 것은 디지털 포렌식에 대한 사회적, 법적 제약을 극복하고 합리적인 방향을 설정해 그에 부합하는 기법과 기술을 개발해나가는 것이다. 미국 연방수사국(FBI)과 애플의 대립이 그런 논쟁점을 제시한다.

FBI는 지난해 12월 미국 캘리포니아 주 샌버너디노에서 14명을 사살하고 붙잡힌 총기 테러범의 아이폰을 확보했다. 그러나 10회 이상 비밀번호 입력 오류가 발생하면 데이터가 초기화하는 아이폰의 보안 조치 때문에 내부 데이터에 접근할 수 없었다. FBI는 아이폰 제조사 애플 측에 보안조치를 해제해달라고 요청했지만, 애플은 거절했을 뿐 아니라 FBI에 협조하라는 법원 명령도 거부했다.

이후 FBI가 결국 애플의 도움을 받지 않고 보안 조치를 뚫으면서 사건은 일단락됐지만, 이로 인해 시작된 논란은 세계적으로 확산됐다. 중대한 범죄 수사를 위한 국가기관의 요청을 무시한 애플을 비판하는 여론, 그리고 ‘고객 정보 보호’를 최우선 가치로 삼는 애플의 태도를 옹호하는 여론이 함께 일었다. 수사기관의 디지털 포렌식을 사회적으로 어느 수준까지 용인해야 하는지에 대한 논란이었다.

한국에서도 비슷한 논란이 있었다. 수사기관이 다음카카오 서버에 대해 영장을 발부받아 카카오톡 대화 내용을 제공받는 것에 대해 국민들의 반발이 거세지자 다음카카오는 사용자 정보 보호를 위해 대화 내용 저장기간을 2~3일로 대폭 단축했다. 기술적 문제가 아닌 사회적 문제로 인해 수사기관의 디지털 포렌식이 크게 제한된 사례다.

수사기관은 국민이 과도한 수사권 남용과 불필요한 정보 침해에 대한 우려로 국가로부터의 정보 보호에 대해 민감해진 것을 자각해야 한다. 따라서 스스로 적정한 범위에서 수사권을 행사할 수 있도록 노력을 거듭하는 것이 긴요하다. 또한 국민도 개인의 프라이버시 보호뿐 아니라, 사회 안전의 구현과 실체적 진실 발견 역시 중요한 가치임을 염두에 두고, 성숙한 사회적 합의를 도출해야 한다.

포렌식은 법정에 제출할 목적으로 증거를 확보하는 과정인 만큼 전 과정에 걸쳐 증거 능력을 유지하는 것이 필수다. 설사 기술적으로 가능할지라도 타인의 컴퓨터를 훔쳐오거나 위법하게 해킹해 증거를 확보할 수는 없다. 이는 경찰관이 범인의 칼을 훔쳐오거나 그의 집에 무단 침입해 증거를 확보할 수 없는 것과 마찬가지다.



조화와 중용

더구나 디지털 포렌식에서는 디지털 증거의 취약성으로 인한 제약이 더해진다. 여느 물적 증거물에 비해 디지털 증거물은 손쉽게 숨기거나 삭제할 수 있고 심지어 위·변조도 매우 쉽다. 법원은 이에 따른 수사기관의 조작·편집 가능성을 염려해 법정에 제출된 증거와 원본의 동일성 입증 요건을 까다롭게 설정하고 증거 능력을 엄격하게 판단한다.

가령 피압수자에게 압수·수색 전 과정에 참여할 수 있음을 고지하지 않고 진행한 압수 절차는 무효이며, 원본 CCTV 영상을 촬영한 파일의 복사본이라도 해시값(복사된 디지털 증거의 동일성을 입증하기 위해 파일 특성을 축약한 암호 수치) 기록·저장장치 봉인 등의 조치를 거치지 않았으면 증거 능력을 부정한다. 또한 디지털 증거는 수사기관에 의한 개인 정보 침해 가능성이 높아 반드시 관련성 있는 정보에 한해 ‘선별 수사’하도록 하고 있다.

그러나 실무자들 사이에서는, 법원이 디지털 증거 요건을 너무 까다롭게 설정해 원활한 수사에 지장을 초래한다는 비판도 나온다. 일부 수사관들은 “증거를 조작하고 싶어도 조작할 능력이 없어 꿈도 못 꾼다”며 자조 섞인 한탄을 쏟아낸다.

그렇다 하더라도 고의적으로, 또는 실수로라도 디지털 증거에 대한 변형과 훼손이 매우 쉽다는 점을 고려할 때, 법정에서 제출된 증거가 원본과 동일하고 무결한 것임을 명백히 입증해야 한다는 것은 피할 수 없는 대전제다. 중요한 것은 위·변조 가능성을 완전히 배제하면서도 수사 효율성을 살릴 수 있는 디지털 포렌식 절차 모델을 구축하고, 일선 수사관들이 편하게 사용할 수 있는 ‘현장 수사관용 포렌식 도구’를 개발하는 일이다. 더불어 디지털 증거에 관한 법 체계를 보다 공고히 해나가는 작업이 필요하다.

디지털 포렌식은 이제 막 걸음마를 시작한 어린아이와 같다. 자라날 길을 잘 닦아줘야 한다. 그 길은 수사의 무결성과 효율성, 어느 한쪽으로도 치우치지 않은 조화와 중용의 길이어야 할 것이다.




신동아 2016년 10월 호

2/2
이상배 | 서울지방경찰청 사이버안전과 디지털포렌식계장 leesangbae@yahoo.com
목록 닫기

0과 1 사이 흔적 찾기 “내 안에 증거 있다”

댓글 창 닫기

2018/11Opinion Leader Magazine

오피니언 리더 매거진 표지

오피니언 리더를 위한
시사월간지. 분석, 정보,
교양, 재미의 보물창고

목차보기구독신청이번 호 구입하기

지면보기 서비스는 유료 서비스입니다.