"분명히 삭제했는데"…디지털 포렌식 하니 메시지 우르르[르포]
by송승현 기자
2024.10.17 05:50:00
대검, 모바일 디지털 포렌식 시연 설명회
삭제했던 카톡 내용 포함해 관련 정보 보여
"전체 이미징, 동일성·무결성 검증 위한 목적"
"포렌식 문제제기 알아…깊이있는 토론해야"
[이데일리 송승현 기자] ‘상태, 채팅방, 메시지, 날짜, 본문, 첨부파일, 수신자, 발신자’
휴대전화를 대검찰청의 디지털 포렌식 프로그램에 연결해 ‘분석’한 뒤 카카오톡 분류창을 클릭하니 이같은 창이 열렸다. 이 중에는 현재 남아 있는 사진뿐만 아니라 예전에 삭제했던 사진과 메시지까지 표출됐다.
| 수사관이 압수수색을 통해 획득한 뒤 봉인된 압수물을 해제하고 있다. 오른쪽 사진처럼 특수한 스티커를 통해 압수물 봉인이 해제되면 이를 식별할 수 있다. (사진= 대검찰청) |
|
대검은 지난 16일 오후 대검 국가디지털포렌식센터(NDFC)에서 출입기자단을 상대로 디지털 포렌식 시연 및 간담회를 진행했다. 이날 시연회에서는 모바일 포렌식 절차와 특징을 설명하고, 포렌식 시연 및 질의응답 시간을 가졌다.
기술의 진보로 휴대전화로 대표되는 모바일 기기는 더 이상 전자제품이 아닌 주민등록 그 이상의 지위를 지니게 됐다. 이에 따라 검찰·경찰과 같은 수사기관에서 증거를 수집할 때 가장 중요한 물건이 휴대전화다. 동시에 피의자가 혐의를 부인하거나 수사를 회피할 때 가장 먼저 시도하는 것도 모바일 기기 정보를 삭제하는 것이다. 이때 수사기관이 혐의 입증을 위한 증거 수집을 위해 필요한 기술이 바로 디지털 포렌식이다.
이날 시연용 휴대전화에는 정보가 많이 담겨 있지 않았지만, 막상 디지털 포렌식을 하니 다양한 정보가 복원돼 눈앞에 펼쳐졌다.
포렌식 절차는 △피압수자에게 안내문을 제시 △압수수색 영장에 따른 압수물 봉인 △압수물 봉인 해제 △압수물 획득 △디지털 포렌식 기기를 통한 분석 △선별 △보고서 작성 △피압수자에게 전자정보 상세목록 교부 △압수물 반환 순으로 이뤄진다.
시연회에서는 이 중 압수물 획득과 분석 및 선별, 보고서 작성 등이 약식으로 약 1시간30분에 걸쳐 이뤄졌다. 먼저 압수한 휴대전화을 대검에서 사용하고 있는 디지털 포렌식 기기에 연결하면 획득 가능한 이미지(전부 이미지)를 모으는 ‘압수물 획득’ 과정이 진행된다. 이 과정이 약 3시간 30분가량 걸린다고 한다. 이후 분석 툴을 통해 각각의 자료를 분류 및 선별할 수 있도록 하는 작업이 이뤄진다. 이 분석 작업에만 약 24시간이 소요된다고 한다.
분석이 완료되면 수사관 또는 참관인이 원할 경우 함께 선별하는 작업이 이뤄진다. 선별 작업은 혐의 입증을 위해 필요한 정보들을 말 그대로 선별하는 작업이다. 이때 선별된 디지털 증거들이 선별 이미지다.
시연용 휴대전화의 분석 작업이 완료되니 프로그램 왼쪽 탭에 △이메일 △메모 △일정 △사진 △카카오톡 △메시지 등이 분류됐다. 이 중 카카오톡은 시연용 휴대전화임에도 무려 2만5000개가량의 정보가 있는 걸로 나왔다. 카카오톡을 클릭해 보니 그동안 내가 상대방과 주고받았던 모든 내용이 화면을 가득 메웠다. 이 메시지가 어떤 내용인지, 누구와 주고 받았는지, 그 사람의 전화번호는 무엇인지, 채팅방은 무엇인지, 심지어 삭제된 메시지도 보였다.
선별이 완료되면 복원했던 내용을 모두 담은 전부 이미지, 선별 이미지 등이 파일 형태로 정리된다. 이 작업을 보고서 작성이라 하고, 피압수자에게 반드시 교부해야 하는 전자정보 상세목록도 엑셀 형태로 저장됐다.
이어진 질의응답 시간에는 전부 이미지를 검찰이 소유하는 게 적법한지에 대한 질문들이 오고 갔다. 현재 야권을 중심으로 검찰이 전부 이미지 파일을 소장하는 것이 별건수사를 위한 일종의 ‘디지털 캐비넷’이며, 불법성이 있다고 목소리를 높이는 상황이기 때문이다.
이에 대해 호승진 대검 과학수사부 디지털수사과장은 전부 이미지 파일 보관은 공판 과정에서 불거질 수 있는 디지털 증거의 동일성, 무결성을 증명하기 위해 불가피한 측면이 있다고 강조했다.
호 과장은 “전부 이미지를 보관하는 건 법원 판례에서 불가피한 측면이 있다고 인정하고 있는 부분”이라며 “결국 비판의 목소리가 나오는 건 이걸 바탕으로 검찰이 별건 수사하는 것 아니냐는 불신에서 비롯되고 있는 것 같다”고 말했다. 그러면서 “전부 이미지는 별도의 서버에 보관하고 재판 과정이나 수사 과정에서 동일성, 무결성 검증이 필요한 시기에만 담당 검사에게 접근을 허용하고 있다”고 설명했다.
그는 이어 “단언컨대 별건 수사에 사용되지도 않고, 검찰 내부에서도 이 부분으로 별건 수사를 하지 않아야 한다는 건 이제 당연한 것으로 자리잡았다”며 “개인적 입장임을 전제로, 만일 전부 이미지 보관이 문제가 된다면, 법원에서 동일성, 무결성을 입증할 수 있는 프로토콜이 판례로 정립된다면 검찰은 전부 이미지를 보관할 이유가 없다. 다시 말하지만 전부 이미지는 향후 선별 이미지에 대한 진정성립 등을 위해서만 보관하고 있다”고 말했다.
대검은 향후 전부 이미지 관련된 논란을 넘어서 디지털 포렌식에 대한 이해를 높이기 위해 법원과 형사소송법 교수들에게도 시연회를 여는 등 다각도로 노력할 방침이다.