컴퓨터 기술과 법률 지식이 만난 ‘수사의 꽃’
지난달, 가수 승리(본명 이승현) 씨의 이른바 ‘클럽 버닝썬 사태’가 불거지면서 그의 카카오톡 단체 채팅방 대화 내용이 연일 화제가 됐다. 이 씨의 성접대 알선 발언과 경찰과의 유착 소지가 있는 대화 내용이 발견됐기 때문이다. 이와 같이 디지털 세상 속 증거를 찾는 과정에서 사건의 열쇠를 거머쥔 것은 바로 ‘디지털 포렌식 (Digital Forensic)’ 기술이다.
디지털 포렌식이란 PC‧스마트폰 등 디지털 기기에 있는 데이터를 수집 및 추출해, 이를 바탕으로 범죄의 단서와 증거를 찾아내는 수사 기법을 말한다. 강구민(성균관대학교 과학수사학과) 초빙교수는 “디지털 포렌식을 활용하기 위해서는 수사관이 컴퓨터 기술과 법률 지식 모두를 겸비해야 한다”며 “이는 삭제된 데이터를 복구하는 개념을 넘어 법적 효력을 취득해 데이터에 증거 능력을 부여하는 고도의 수사기법이다. 이 기법이야말로 수사의 꽃”이라고 설명했다.
디지털 증거는 법적 효력 확보가 ‘핵심’
디지털 포렌식으로 발견된 증거는 다음과 같은 적법한 절차를 따라야 한다. 먼저, 법원이 피의자에게 ‘디지털 저장매체를 분석하겠다’는 압수수색 영장을 발부한다. 이어 수사기관은 피의자와 관련된 모든 디지털 저장매체를 압수한다. 저장 매체 속 모든 정보는 디지털 포렌식의 분석 과정을 거치게 되고, 최종적으로 법적 효력을 갖춘 자료는 법정에 증거로 제출된다. 여기서 디지털 포렌식은 ‘증거 수집’, ‘증거 분석’, ‘증거 제출’의 세 단계를 거친다.
수사기관은 증거 수집 과정에서 얻은 데이터로부터 정보를 도출하며, 이때 이미징(Imaging) 기술이 활용된다. 이는 디지털 데이터를 복제한 후 모든 데이터를 목록 형태로 변환시키는 기술이다. 변환된 데이터는 증거 분석에 사용된다.
증거 분석 시에는 증거의 무결성을 입증하기 위해 데이터를 편집할 수 있는 ‘쓰기’ 권한이 없는 분석 도구를 이용한다. 이는 원본 훼손 및 조작을 방지하기 위함이다.
최종 증거 제출 단계에서는 증거의 정확성과 신뢰도를 높이기 위해 분석자의 전문성이 증명돼야 한다. 또 검증된 포렌식 도구를 사용해야 한다. 이 때문에 디지털 포렌식은 주로 국내외에서 공인되거나 검증된 증거 분석 프로그램을 활용해 진행한다.
한편, 이 모든 과정에서 디지털 증거의 원본성 유지는 필수적이다. 이는 압수수색 과정부터 법정에 제출되기까지 ‘해시값(Hash Value)’의 일관성으로 증명할 수 있다. 해시값이란 복사된 디지털 증거의 동일성을 입증하기 위해 파일 특성을 축약한 암호 수치로, 일반적으로 수사 과정에서 ‘디지털 증거의 전자 지문’이라고 불린다. 만약 증거 분석 도중 해시값이 바뀌어 처음과 다른 수치가 나오면 이는 법정에서 증거 효력을 얻지 못한다.
이같이 디지털 증거는 ▲증거의 원본성 및 무결성 ▲분석자의 전문성 ▲포렌식 도구의 검증성이 모두 충족돼야 비로소 법적 효력을 지니게 된다.
방패와 창, ‘안티포렌식’과 ‘안티안티포렌식’
한편, 디지털 포렌식에 맞서 ‘안티포렌식(Anti-Forensics)’ 기술이 등장했다. 이는 자신에게 불리하게 작용할 수 있는 디지털 정보를 훼손하거나 차단하는 기술이다. 이를 이용하면 데이터를 파괴·조작·은닉하거나, 쉽게 찾을 수 없도록 암호화해 디지털 포렌식으로부터 데이터 유출을 방어할 수 있다. 또 사용자의 사용 흔적을 제거하거나 시간 정보를 조작하는 등의 방법도 사용된다. 디지털 코드를 읽기 어렵게 하거나 포렌식의 분석 시간을 증가시키는 것도 안티포렌식의 예다.
이에 맞서 ‘안티안티포렌식(Anti-Anti-Forensics)’ 기술도 등장했다. 안티안티포렌식은 안티포렌식을 재공격하는 기술로, 이를 활용하면 안티포렌식에 의해 암호화됐거나 숨겨진 증거를 찾을 수 있다. 즉, 데이터를 재복구하거나 은닉된 데이터를 탐지하고, 패스워드를 추적해 안티포렌식에 의해 감춰진 정보들을 찾아내는 것이다. 이때 원론적으로 디지털 정보는 모든 데이터를 완전히 초기화하는 ‘로우 레벨 포맷 (Low Level Format)’을 했거나, 저장매체를 완전히 파쇄하지 않았다면 복구가 가능하다. 즉, 일반적인 포맷을 했더라도 안티안티포렌식 기술로 데이터를 일정 부분 복구하는 게 가능한 것이다.
그러나 디지털 포렌식과 안티안티포렌식 기술로 모든 증거를 찾을 수 있는 것은 아니다. 강 교수는 “이 기술들로 삭제된 정보를 모두 복구하는 것에는 한계가 있다”며 “제조사에서 애초에 보안성을 강화해 출시된 스마트폰의 경우 삭제된 파일을 복구하는 것은 불가능에 가깝다”고 한계점을 지적했다.
고도화된 인터넷과 IT 기술의 발달로 사회 모든 분야에서 디지털 포렌식 기술의 중요성이 확대되고 있다. 이에 강제성을 띠는 수사 분야 이외에도 디지털 포렌식 기술이 사용되고 있다. 금융위원회·금융감독원 등의 공공기관에서는 정보를 조사하기 위해 디지털 포렌식을 활용하는가 하면, 일반 기업에서는 회계·감사를 위해 디지털 포렌식을 사용한다. 강 교수는 “향후 탐정업법이 합법화되면 민간영역까지 확대돼 디지털 포렌식 수요는 점차 늘어날 것”이라고 전망했다.
하지만 아직 디지털 포렌식은 갈 길이 멀다. 민간영역의 개인 정보 악용 사례가 빈번하게 발생하고 있기 때문이다. 강 교수는 “디지털 포렌식 업체 승인에 일정한 요건을 부여하거나 분석자의 윤리 교육이 필요한 상황”이라고 덧붙였다. 또한 디지털 포렌식은 아직 전문 인력이 턱없이 부족한 실정이다. 디지털 범죄가 급증하고 있는 지금이야말로 디지털 포렌식에 더 많은 관심이 필요한 때다.
장선아 기자
