셜록홈즈는 머리로 추리해서 사건을 해결하고, 살인의 추억의 송강호는 온몸을 던져 사건을 해결하려 한다. 또 미국의 CSI는 과학수사로 명성을 떨치고 있다. 그렇다면 IT강국 코리아에서 디지털을 이용한 수사는 어떨까? 사이버 수사요원 일명 디지털 포렌식 수사관이라 불리는 그들의 일상을 추적해 봤다.

 #노트북 절도범을 체포한 경찰. 체포 후 조사해 보니 그가 훔친 노트북은 한 대가 아닌 여러대. 어디에서 훔쳤는지 물어도 묵비권을 행사할 뿐이다. 하지만 디지털 포렌식 기법으로 노트북을 조사한 결과 KORAIL 철도회원으로 온라인 티케팅을 했다가 해약한 흔적을 발견한다. 그 흔적을 분석해서 회원번호를 알아낸다. 회원번호를 이용해 노트북주인의 인적사항을 알아내고 연락을 취하자 용산 전자상가에서 KORAIL에 접속했단 사실을 알게 된다. 조사해 보니 전자상가에서 추가로 노트북을 절도당한 사실을 발견한다.

#지난 2005년 대전. 하늘의 별따기 만큼이나 어렵다는 육군 장성으로 진급하는 심사가 열리기 전. 심사대상자에 대해 악의를 품고 비난한 유인물이 발견됐다. 유인물을 제작한 것으로 추정되는 용의자를 발견했으나 혐의를 극구 부인한다. 하지만 디지털 포렌식 기법을 이용해 용의자의 컴퓨터에서 그 유인물의 원본 한글 파일을 복원해 내는데 성공한다.

#고소인이 사실 피고소인과 사기 범행의 공범관계임에도 불구하고 다른 피해자들로부터 고소를 당할 것이 우려돼 피고소인을 상대로 자신도 피해자라고 주장해 고소를 한 상태. 경찰은 둘 사이 오고간 핸드폰 문자 메시지를 입수하기 위해 피고소인의 핸드폰을 압수했으나 이미 문자 메시지는 삭제돼 있었다. 이에 경찰은 디지털 포렌식을 이용, 삭제된 문자 메시지를 복구하고 이를 근거로 고소인과 피고소인을 함께 기소한다.

 이러한 일들은 일명 디지털 포렌식 수사관이라 불리는 사이버 요원들에 의해 이뤄진다. 사건현장을 감식하고, 지문채취, 혈흔 분석 등을 하는 과학수사가 있듯이 이들 사이버 수사요원들은 디지털 매체를 분석해서 피의자의 범죄 행위 흔적을 찾아낸다.

이러한 요원들은 사이버 특채를 통해 채용되는 경우와 일선 경찰 중 전산 관련 전공자들을 재교육해서 배치하는 경우가 있다. 현재 전국 적으로 약 50여명의 요원들이 활동하고 있다. 이들이 주목받기 시작한 것은 지난 신정아/변양균 스캔들 때 부터. 당시 둘 사이 주고받았던 이메일이 복원되면서 세간의 관심이 집중됐다. 황우석 교수 사건 때도 마찬가지로 김성종 연구원의 이메일을 복원해 내기도 했었다.

                     디지털증거 물리복구실

인력 뿐 아니라 경찰 내부 설비도 디지털 포렌식 수사를 위해 바뀌어 가고 있다. 용의자들이 증거 인멸을 위하여 하드디스크, USB 등 디지털매체를 파손, 소훼하는 행위가 증가하고 있는 것이 원인이다. 경찰은 이러한 디지털 매체를 복원해 증거를 확보하고자 클린룸 환경의 디지털증거 물리 복구실을 구축했고 국내 디지털데이터 복구업체에서 1달 가량 전문교육을 이수하여 자체역량을 확보했다.

전용 차량도 존재한다. 사이버 수사요원들은 수사 현장에서 휘발성 디지털증거에 대한 신속한 수집 및 분석이 가능하도록 설계된 디지털 증거분석 전용차량을 이용한다. 이 차량에는 디지털증거 전용 소프트웨어, 대용량 저장장치(Storage), 현장출동용 디지털증거분석 장비 등이 탑재돼 있다.

                     디지털 증거분석 차량

 디지털포렌식 형사사건까지 확대

그렇다면 디지털 포렌식이란 무엇일까? 디지털 증거의 압수에서 분석, 그리고 법정 제출까지 아우르는 모든 제반 행위를 디지털 포렌식이라고 부른다.

사이버 수사요원 김기범 반장은 “디지털 포렌식은 처음에 해킹이나 악성코드등의 사이버 범죄에서 출발해서 현재는 산업기밀 유출이나 일반 형사 사건 등 전분야로 확대 되고 있다”고 말했다.

김기범 반장은 “최근엔 길거리나 지하철의 도둑촬영이나 성범죄 후 동영상을 촬영하는 등의 범죄에 포렌식 기법이 많이 이용되고 있다”고 말했다.

"지하철에서 치맛속을 촬영하다가 적발된 남성이 있었는데, 사진을 재빨리 지워버리 더군요. 휴대폰에 저장된 내용을 인위적으로 삭제하면 해당 정보를 복구할 수 없을 것이라고 잘못 생각한 거죠"

김 반장은 "용의자의 휴대폰을 압수해서 해당되는 사진을 복구하고 자백을 받아냈다"며 당시를 회상했다.

디지털 포렌식을 말할 때 대표적으로 이야기 되는 것은 일심회 사건이다. 이 사건은 압수물인 디지털 저장매체로부터 출력된 문건의 증거능력 인정여부로 관심을 모았었다.

결국 1심, 2심을 거치면서 절차가 정당하다면 디지털 저장매체에 저장된 컴퓨터 기록의 증거도 신뢰가능하다는 판례가 나온 바 있다.

압수한 디지털 증거, 혹은 복원한 디지털 증거를 법원에서 제대로 신뢰받기 위해서 벌이는 사이버 수사요원들의 노력은 대단하다.

일단 압수수색영장을 통해 압수한 디지털 저장매체는 그 자리에서 봉인한다. 피고인들은 압수물을 복사하거나 이미징 작업을 하기 위해 봉인을 해제하는 과정과 작업 후 재봉이 과정에 직접 참여하고, 수사기관은 피고인들에게 확인서를 받는다. 압수물을 포장한 밀봉 봉투 개폐 부분에도 피고인들의 서명무인을 받아야 한다. 또한 봉인 및 봉인해체, 재봉인의 전 과정을 캠코더로 녹화해야 데이터 보관의 신뢰성을 입증 받을 수 있다.

이뿐 만이 아니다. 원본의 변화를 막기 위해 원본에 쓰기방지장치는 필수다. 또한 검증작업엔 신뢰할 수 있는 프로그램을 이용해야한다. 현재 인케이스란 프로그램을 주로 이용한다.

이런 일련의 노력들이 있어야 힘들게 복원한 증거가 무용지물이 되지 않는다.

올해 말경에 디지털 포렌식 센터를 구축할 예정인 더존정보보호서비스의 포렌식 관련 연구원은 “프리즌브레이크 시즌2의 마지막회가 가장 기억에 남는다. 죽을 고생해서 결정적 증거로 채택될 수 있는 음성녹음파일 구했는데도 불구하고 메타데이터가 변경돼서 법원에서 인정이 되지 않았다”고 말했다. 그는 “그런 결정적인 디지털 증거를 법정에서 인정할 수 있도록 제대로 보존 하는 것도 중요하다”고 말했다.

디지털 포렌식을 국내에 처음 도입한 임종인 고려대학교 정보경영대학원 임종인 원장은 “디지털 포렌식 수사만으로는 한계가 있다”며 “그 증거가 법정에서 제대로 채택될 수 있도록 법원과의 원활한 협조가 필요하다”고 말했다.

또 임종인 원장은 “현직 판검사는 물론 일선 경찰에 이르기 까지 직접 대학원을 찾아 디지털 포렌식을 배워 간다”며 "점점 첨단화돼 가는 범죄에 대해 법을 집행하는 사람들도 이러한 지식을 갖춰나가야 할 필요성을 느끼고 있는 것"이라고 말했다.

사이버 수사 요원인 김기범 반장은 “과거 경찰 수사만으론 한계가 있다며 현재 많은 디지털 기계들이 등장했고 융합되고 있는 추세에서 디지털 포렌식 수사는 핵심키워드가 될 것이다”라고 말했다.

송영록 기자 syr@ittoday.co.kr