드디어 A씨 어머니 휴대전화 디지털 포렌식 진행, 디지털 포렌식이란 무엇인가? 어떤 것을 알아낼 수 있는가? 증거 인멸 가능? 디지털 포렌식을 통해 범인 색출 사례 소개

서울 한강공원에서 실종됐다 숨진 채 발견된 대학생 손정민 씨 사건과 관련, 드디어 마침내 경찰이 마지막까지 함께 있었던 친구 A 씨와 그의 아버지를 참고인 신분으로 조사하고, A 씨의 어머니의 휴대전화를 임의제출받아 디지털 포렌식을 진행했다고 발표했습니다. 디지털 포렌식이나 참고인 신분 조사가 너무 늦은 것 아니냐는 비판이 쏟아지는 가운데, 디지털 포렌식으로 어떤 것을 알아낼 수 있는지 궁금해져 조사를 해보았습니다. 

 

지워도 반드시 살려낸다는 디지털 포렌식

 

1. "포렌식"의 뜻

디지털 포렌식의 뜻을 직역해보자면 포렌식(Forensic)이라는 단어 자체가 고대 로마시대의 포럼(Forum)과 공공(public)이라는 라틴어에서 유래하여 '법의학적인, 범죄 과학 수사의, 법정의, 재판에 관한'이라는 의미를 가지고 있는 형용사라고 합니다. 단순히 말해 포렌식이라는 단어는 범죄 수사와 관련한 모든 기술을 의미하게 됩니다. 

 

2. 디지털 포렌식의 의미

다양한 포렌식 분야 중 하나인 디지털 포렌식(Digital Forensics)은 휴대폰, 컴퓨터 등 디지털 증거물을 분석하여 수사에 활용하는 과학수사 기법의 총칭입니다. 미궁의 사건에서 마치 피해자의 시신을 부검하여 증거를 찾아 문제를 해결하듯, 디지털 기록매체에 복원 프로그램을 사용하고, 암호 등 보안을 해제하고, 메타데이터까지 활용하거나 하드디스크 내부에 삭제로그를 저장하는 스왑 파일에서 삭제 로그를 복원해 디지털 기기의 사용자나 이를 통해 오간 정보를 추적을 조사한다. 원본의 손상을 봉쇄하기 위해 이미지를 뜨는 것이 일반적이라고 알려져 있습니다.

 

3. 디지털 포렌식의 적용 분야

이러한 '포렌식' 분야 중 하나인 디지털 포렌식은 범죄 수사를 위해 디지털 장비의 분석 등을 하여 증거를 수집하는 행위 등을 통칭하는 용어입니다. 디지털 포렌식을 하게 되는 종류를 살펴본다면 아래와 같습니다. 

• 컴퓨터 법과학: USB 드라이브, SD 드라이브 등 
• 모바일 장치 법과학: 내장 된 GPS/ 위치추적 또는 셀 사이트 로그 범위 추적, 내장된 통신 시스템 분석
• 네트워크 법과학: 정보수집 및 로컬 및 WAN/인터넷의 네트워크 트래픽을 모니터링하고 분석 패킷 레벨 분석
• 데이터 분석 법과학: 금융 범죄로 인한 사기 행위 패턴을 발견 분석 구조화된 데이터 조사
• 데이터베이스 법과학: 데이터베이스와 관련된 포렌식, 인 로그, 데이터베이스 내용. RAM의 타임라인 구축 및 복구

최근에는 다양한 디지털 기기들이 일상생활 속에 자리잡음에 따라 디지털 포렌식이 다양한 분야에서 적용, 발전되어 가는 추세라고 합니다.

 

4. 디지털 포렌식에 있어서 휴대폰의 특성

디지털 포렌식을 진행하는 데 있어 휴대폰의 특성상 휴대폰에 있는 삭제된 자료를 찾는 작업이 일반 하드디스크나 usb 메모리와 같이 손쉽게 찾을 수 있는 것은 아니라고 합니다. 이유는 휴대폰은 지속적으로 사용될 수밖에 없는 디지털기기로, 삭제된 자료에 대한 정보의 손실 가능성 및 이동 삭제의 가능성들이 있다고 합니다. 하지만, 랜덤 한 특성으로 지워진다거나 이동되는 것이기 때문에 무조건 손상되거나 없어진 다는 것을 의미하는 것은 아닙니다.

포렌식을 통해 휴대폰 내용에 대한 복구를 성공할 가능성들이 있지만, 최소 몇 개월에서 수년 전 것도 데이터도 존재하기도 때문에, 중요한 찾는 정보에 대한 정밀 복원의 필요성이 있으며, 분석작업에 대한 이해를 하고 있는 상태에서 적합한 설루션 적용도 중요하다고 알려져 있습니다.

 

5. 해킹과 디지털 포렌식

이러한 디지털 포렌식의 방식이 해킹(크래킹)과 디지털 포렌식은 언뜻 보면 비슷해 보이지만 엄연히 다르다고 합니다. 해킹은 불법적으로 접근 권한 등을 얻어 정보를 추출해 악이용 하는 것이고, 디지털 포렌식은 수사 영장이나 데이터 소유주의 동의를 받은 뒤, 디지털 기기에 저장된 증거를 추출하거나 추출된 증거를 분석하는 작업입니다. 암호를 해제하는 작업 등은 기술적으로는 크래킹과 다를 게 없지만 포렌식은 합법적으로 이루어지게 됩니다. 자신의 개인 컴퓨터를 직접 크래킹 하는 것이 불법이 아닌 것과 비슷한 원리인데, 영장 등의 아무런 법적 근거 없이 디지털 포렌식을 하는 것은 불법 수사에 해당하는 것입니다.

 

6. 디지털 포렌식을 통해 증거가 되기까지 있었던 사건들

• 1996년 영남위원회 사건: 법원은 디지털 증거를 전문 증거로 취급해야 하므로 원 진술자가 진술에 의해 인정해야 한다고 결정하여 디지털 증거의 증거 능력을 부정하였다고 합니다.
• 2006년 일심회 사건: 수사기관은 USB, PC, 플로피 등의 저장매체 12종을 압수하여 조사하였는데, 법원은 디지털 증거에 대해 작성자 또는 진술자의 진술에 의해 진정성이 증명될 때에 한해 증거로 인정한다고 판시하였다.
• 외무부 전문 변조사건: 외무부의 공문이 변조 여부를 판단하기 위해 외국 공관에 있는 동일한 컴퓨터들의 하드디스크를 모두 수거하여 분석한 사건입니다.
• 창원지법 진주지원 재심사건: 하드디스크 분석 과정에서 전문가가 아닌 비전문가가 분석을 수행하여 분석 도중 파일 접근 시간이 변경되어 확정 판결이 번복된 사건도 있었습니다.
• 삼성 비자금 의혹 관련 특별검사: 특검팀이 삼성에서 압수한 하드디스크로부터 삭제된 파일을 복구하여 수사를 진행하기도 했습니다.
• 신정아 스캔들: 주고받은 이메일 내용을 복구하여 수사 진행한 바 있습니다.
• 통합진보당 비례대표 부정선거: 서버 압수 및 서버 이미징 분석을 통해 부정선거 증거를 조사했습니다.
• 황우석 논문 조작 사건: 황 교수의 연구팀에 있는 노트북을 포맷된 후 새로운 파일로 하드디스크의 영역을 덮어 씌운 노트북을 복원하여 400여 쪽에 달하는 실험 노트를 확보하여 조작 정황을 찾아냈습니다.
• 카지노 횡령사건: 계좌추적과 전화통화 내역 조사하여 횡령 정황을 포착했습니다.
• 국정원 여직원의 대선 관련 덧글 사건: 국정원 여직원의 노트북 등의 디지털 기기를 습득해 분석하여 증거를 찾아내었습니다.