UPDATED. 2020-11-30 17:59 (월)
[기획] ‘21세기형 셜록 홈즈’ 디지털 포렌식 관심집중
[기획] ‘21세기형 셜록 홈즈’ 디지털 포렌식 관심집중
  • 차종환 기자
  • 승인 2020.07.28 11:52
  • 댓글 0
이 기사를 공유합니다

PC∙스마트폰 등 분석해 증거 확보
삭제 파일 복구∙암호화 해제 관건

데이터 ‘무결성’ 보장돼야 법적효력
메신저 흔적으로 범죄공모 판단
위∙변조 시도된 데이터는 ‘핵심증거’

10년간 디지털 포렌식 건수 10배↑
저작권 보호∙기술유출 탐지에도 확산

인터넷으로 모든 것이 가능한 시대다. 스마트폰이 더해지자 시간과 장소의 제약까지 사라졌다.

사실상 사람의 모든 일거수일투족이 데이터로 남는다. 범죄자들에겐 빠져나갈 수 없는 덫이 된다. 미궁 속에 빠질 뻔한 사건들이 이러한 데이터가 결정적인 증거로 작용해 범죄가 입증되곤 하기 때문이다.

디지털 포렌식이 있기에 가능한 일이다.

 

디지털 포렌식이란 무엇인가

포렌식(Forensic)은 공청회를 뜻하는 라틴어 ‘Forensis’에서 유래했다. 사전적 의미로 ‘법의학적인, 범죄 과학 수사의’라는 뜻을 지니고 있다.

디지털 포렌식은 포렌식의 범위를 디지털 장비의 분석으로 좁힌 것이다. 즉, 보편화된 디지털 장비인 PC, 스마트폰 등을 범죄수사의 목적으로 분석하는 수사기법을 총칭하게 됐다.

PC나 스마트폰에는 암호가 걸려있는 경우가 많기 때문에 디지털 포렌식은 이 암호를 해제하는 과정까지 거쳐야 한다. 언뜻, 해킹과 다를 바 없는 행위로 비춰지기도 하지만 그 목적상 해킹과는 정반대 지향점을 가진다.

목적에 따라 ‘정보추출 포렌식’과 ‘사고대응 포렌식’으로 구분된다.

‘정보추출 포렌식’은 범행 입증에 필요한 증거를 확보하는 것이 목적이다. 디지털 저장장치에 저장된 데이터를 복구하고 관련 수치를 분석해 증거를 찾는 과정이 이에 해당된다.

‘사고대응 포렌식’은 해킹과 같은 침해행위로 손상된 시스템의 로그, 백도어, 루트킷 등을 조사해 침입자의 신원, 피해 내용, 침입 경로 등을 알아내는 방법이다. 네트워크 기술과 서버의 로그 분석기술 등이 사용된다.

 

데이터가 증거가 되기까지

디지털 포렌식으로 확보한 증거가 실제 법적으로 효력을 갖기 위해서는 원본 데이터가 변조되지 않았다는 ‘무결성’이 보장돼야 한다. 디지털 정보의 특성상 위∙변조가 쉽기 때문에, 디지털 포렌식의 분석 과정 역시 이 무결성을 유지하는 방향으로 전개된다.

우선, 원본과 동일한 저장매체나 이미징(imaging) 기술로 사본을 생성한다. 원본은 건드리지 않고 이 사본을 분석하는 것이다.

사본을 생성했으면 그로부터 데이터를 추출한다. 이 과정에서 유용하게 사용되는 기술로는 ‘삭제된 파일 복구 기술’이나 ‘암호화된 파인 해독 및 문자열 검색 기술’ 등이 있다.

일반적으로 파일을 삭제하면 해당 기기에서 영영 사라진다고 생각하기 쉽지만 사건현장에 사람의 지문, DNA 등이 남듯 디지털 기록 역시 이러한 흔적이 남는다. 이를 역추적해 파일을 복원하는 것이다.

추출된 데이터가 결정적인 증거로서 가치가 높다는 판단이 서면 상세분석 과정에 돌입한다. 이 과정에는 △파일 분석 △인터넷 사용 흔적 분석 △레지스트리 분석 △위∙변조 데이터 분석이 사용된다.

파일 분석은 사용자가 범죄에 이용했거나 작업한 데이터 자체를 확보하는 것이다. 사건 해결에 결정적 단서가 되는 경우가 많다.

인터넷 사용 흔적 분석은 사용자의 최근 관심사, 취미, 생활습관 등 행동패턴을 짐작하게 한다. 용의자의 범죄 행위에 대한 정황 증거가 되는 것이다. 이메일, 메신저 사용 흔적은 타인과의 범죄 공모에 대한 단서가 되기도 한다.

레지스트리 분석은 사용자의 프로필, 컴퓨터에 설치된 응용프로그램, 최근 작성 문서, 사용한 저장장치 등에 대한 정보를 획득할 수 있다. 레지스트리란, 윈도의 시스템 정보를 저장하는 일종의 데이터베이스로, 포렌식 관점에서 유용한 정보를 담고 있는 경우가 많다.

위∙변조 데이터 분석은 사용자가 고의적으로 데이터를 은닉하려고 했다는 판단의 근거가 된다. 즉, 그 은닉하려는 데이터가 핵심정보가 될 가능성이 높다. 위∙변조 데이터는 파일 확장자가 해당 응용프로그램과 불일치할 때, 패스워드로 접근이 제어되거나 암호화된 파일이 있을 경우 위∙변조가 시도됐다고 본다.

이러한 디지털 포렌식 분석 결과는 이후 동일한 실험 조건에서 다시 재현했을 경우에도 완벽히 일치하는 결과가 나온다면 법적 효력을 가지는 증거로 인정된다.

사안에 따라 분석 책임자가 법정에 출두해 분석 결과를 얻기까지 과정 및 결과가 의미하는 바 등을 증언하는 경우도 있다.

 

공공 분야 전방위 확산

우리나라는 정보통신 인프라가 잘 갖춰져 있고 국민들의 사용빈도도 높은 수준이기 때문에 디지털 포렌식 수사가 상당한 효과를 발휘한다. 수사기관이 이를 적극 활용하지 않을 이유가 없다.

2007년 서울중앙지방검찰청이 디지털 포렌식 수사팀을 만들었고, 2008년 대검찰청 산하에 국가디지털포렌식센터가 가동됐다. 2016년에는 디지털 포렌식으로 확보한 자료를 ‘디지털 증거’로 인정하도록 법안이 개정돼 디지털 포렌식 수사가 날개를 달았다.

디지털 포렌식 증거분석 건수는 2009년 검찰이 1252건, 경찰이 5493건을 보이던 것이 2019년 검찰 9021건, 경찰 5만6440건으로 10년 사이에 약 10배가 증가했다.

최근에는 검찰, 경찰 등 수사기관에 국한되지 않고 공공 분야에 전방위 확산되고 있는 추세다.

국립농산물품질관리원 경북지원은 영남권 디지털포렌식센터를 구축했다. 날로 지능화·조직화하는 원산지 거짓 표시 등 농식품 위반 사범에 대응하기 위해서다.

문화체육관광부는 '저작권 특화 디지털 포렌식 대학원' 과정을 지원 중이다. 지난 2월에는 한국저작권보호원에 저작권 디지털포렌식센터를 구축했고, 국내 기관 최초로 국제표준 인정을 획득한 바 있다.

중소벤처기업부는 기술 유출 피해를 입은 중소기업에게 디지털 포렌식을 지원한다. 기술 유출 사고는 대부분 퇴직자나 내부직원에 의한 것임을 감안해 자사 소유의 업무용 디지털기기에 대한 포렌식을 적용, 고소나 신고에 앞서 결정적인 증거를 확보할 수 있도록 돕는다는 취지다.

 

<디지털 포렌식이 활약한 사건일지>

2016년 최순실 국정농단 사건

사상 초유의 대통령 탄핵을 야기한 국정농단 사건은 디지털 포렌식이 활약한 가장 대표적인 사례다.

종편 채널 JTBC가 입수한 최순실의 태블릿PC가 디지털 포렌식 분석 결과, 대통령 연설문 등 각종 기밀 문서가 저장된 것으로 확인됐다. 민간인인 최순실이 미리 연설문을 받아 자기 입맛대로 고치면 대통령이 이를 그대로 연설했다는 사실에 국민적 공분이 들끓었다.

이를 시작으로 최순실이 얽힌 각종 비리들이 꼬리에 꼬리를 물고 이어지자, 대통령 탄핵을 외치는 전국민적 촛불 시위가 전개됐다.

결국 2017년 3월 10일, 헌법재판소의 대통령 파면 결정에 따라 박근혜는 대통령으로서의 자격을 완전히 상실한다.

 

2017년 엔씨소프트 윤송이 사장 부친 피살 사건

윤송이 엔씨소프트 사장의 부친이자 김택진 대표의 장인인 윤 모씨가 경기 양평군 자택에서 5km 떨어진 곳에서 숨진 채 발견된 사건이다.

유력한 용의자로 허 모씨가 지목됐다. 검거 당시 허씨가 타고 있던 차량에서 피해자 윤씨의 DNA가 나왔다.

허 모씨의 휴대폰을 디지털 포렌식한 결과 '고급빌라', '가스총', '수갑', '핸드폰 위치 추적' 같은 단어를 검색한 것으로 드러났다. 범행 직후에는 '살인', '사건사고' 등을 검색했다.

 

2018년 숙명여고 쌍둥이 자매 시험지 유출 사건

숙명여자고등학교의 2학년 1학기 기말고사에서 쌍둥이 자매가 각각 문∙이과 내신 성적 전교 1등을 차지하면서 시험지가 유출된 것이 아니냐는 의혹이 제기됐다. 해당 학교의 교무부장이 쌍둥이의 아버지였기 때문이다.

정황 증거만으로 논란이 가중되고 있는 상황에서, 교무부장의 스마트폰과 노트북을 디지털 포렌식 분석한 결과 결정적인 증거가 나왔다. 시험 정답을 확인하고 딸들에게 미리 전해준 단서가 남아있었던 것.

결국 2020년 3월 12일 대법원은 교무부장에 징역3년형을 최종 확정했다.

 

2019년 버닝썬 게이트

클럽 버닝썬에서 발생한 단순폭행 사건이 조사 과정에서 클럽과 경찰의 유착, 마약 투약, 탈세 의혹 등으로 확대된 사건이다. 인기 아이돌 그룹 빅뱅의 멤버 승리가 버닝썬의 실소유주로 확인되면서 관련 의혹의 핵심인물로 지목됐다.

승리는 표면적으로 성매매 알선 및 성접대 혐의를 받고 있지만 버닝썬과 관련된 모든 의혹에 직간접적 영향을 미친 정황이 드러났다.

이 과정에서 정준영의 불법촬영 동영상 공유 사건이 불거졌으며 관련된 7명의 연예인이 동시에 은퇴 또는 퇴출, 입건되는 수순을 밟게 된다.

모든 수사는 경찰이 관련자들의 휴대폰 수십대를 디지털 포렌식 작업한 결과를 근거로 진행됐다.

 

2020년 n번방 성착취물 제작∙유포 사건

수십여명의 여성을 성착취 영상물을 찍게 하고, 이를 ‘n번방’이라는 텔레그램 대화방을 통해 거래한 사건이다.

핵심 운영자인 조주빈이 지난 3월 검거됐다. 압수된 그의 휴대폰이 디지털 포렌식으로 잠금해제 되면서 가담자들에 대한 수사가 속도를 내고 있다.

서울지방경찰청은 사안의 심각성을 고려해 핵심 공범 대부분의 신상정보를 공개하는 중이다.

 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.