결정적 범죄 해결사 디지털 포렌식, 4차 산업혁명 시대 변화는?

[CCTV뉴스=신동훈 기자] 바야흐로, 디지털 증거의 시대이다. 누구나 손쉽게 핸드폰, 노트북 등에 접근해 수 많은 정보를 생성해 낼 수 있고 누구나 손쉽게 정보에 접근할 수 있다. 최근 들어 다양한 사건에서 디지털 증거를 제대로 확보하는 것이 수사의 성패를 좌우하고 있다. 디지털 증거 기술 발전에 따라, 이를 훼손하는 측과 이를 복원하고 찾아내는 창과 방패의 싸움도 고도화되고 있다. 특히 IoT, 클라우드 등 다양한 첨단 기술을 만나 디지털 포렌식도 많은 난제에 부딪히고 있는 가운데, 디지털 포렌식의 변화에 대해 살펴본다.

모든 유형의 범죄 수사 필수 수반 절차 ‘디지털 포렌식’

영화 서치에서 주인공 데이빗 킴의 딸 마고는 부재전화 3통을 남긴채 실종된다. 경찰도 제대로 된 실마리를 찾지 못하는 가운데, 데이빗 킴은 딸 마고의 노트북을 통해 사건의 실마리를 찾는다. 존 조는 PC와 모바일을 활용해 사라진 딸의 행적을 추리해 나간다. 페이스북, 구글, 페이스타임, CCTV 등 우리가 즐기는 디지털 라이프의 일상을 통해 딸의 행적을 쫓는 본 영화는 PC와 모바일 기기와 24시간 함께 하는 우리의 일상과 그 속에서 벌어지는 것들을 아이디어로 착안해 제작됐다.

“이 영화는 나오지 말았어야 했다. 우리가 수사하는 디지털 포렌식 기법이 그대로 영화에 녹아있기 때문이다.” 영화를 보고 한 경찰관이 전한 말이다.

디지털 포렌식은 데이빗 킴이 딸을 찾기 위해 딸의 디지털 흔적을 찾는 과정과 비슷하다. 범죄수사에서 적용되고 있는 과학적 증거 수집과 분석기법의 일종으로, 각종 PC나 노트북, 핸드폰 등 디지털 데이터나 통화기록, 이메일 접속기록 등의 정보를 수집·분석하여 범행과 관련된 증거를 확보하는 수사기법을 말하기 떄문이다. 현대인들은 자신도 모르게 디지털 기기와 항상 접해 있어 상당 부분 개인에 대한 기록이 디지털 정보로 남아 있는 경우가 많다. 또한 디지털 기술의 발달로 범행을 숨기기 위해 삭제한 자료 등도 복원이 가능한 경우가 많아, 최근에는 디지털 포렌식은 모든 범죄수사에 활용되고 있다고 해도 과언이 아니다.

마치 부검하듯이 디지털 기록매체에 복원 프로그램을 사용하고 암호 등 보안을 해제, 메타데이터까지 활용하거나 하드디스크 내부에 삭제로그를 저장하는 스왑파일에서 삭제로그를 복원해 디지털 기기의 사용자나 이를 통해 오간 정보를 추적, 조사한다. 지난 2016년 국정농단 사건인 박근혜 최순실 게이트 역시 최순실 태블릿 PC의 디지털 포렌식을 통해 사건의 진실을 밝히는데 결정적 단초 역할을 했다.

디지털 포렌식 넘어 사이버 포렌식 필요성 대두

앞서 언급한 태블릿 PC처럼, 모든 정보와 증거 자료가 이제는 물리 공간을 넘어 사이버 공간에 점점 더 많이 생성되고 있고 특히 사이버 테러가 끊이지 않고 있어 사이버 포렌식의 필요성이 점점 대두되고 있다. 지난 2017년 국가사이버안전센터는 대선 전후 사이버공격 발생 가능성과 한반도 긴장국면의 안보상황을 감안해 사이버안보 대응태세 강화를 위해 5월 8일 사이버위기경보를 ‘관심→주의’로 상향조정했었고 5월 14일에는 전 세계 랜섬웨어(Wannacry) 확산을 이유로 ‘관심→주의’로 상향 조정한 바 있다.

사이버 공간의 증거 수집과 보존, 증거능력, 증거조사 등 증거법상의 여러 절차에서 물리적 증거와는 다른 취급법이 요구된다. 사이버 공간에 저장된 증거는 사람의 육안으로는 식별이 불가능할 뿐만 아니라 증거가 대형 서버에 범행과 무관한 수 많은 데이터와 함께 저장되어 있는 경우에는 어느 범위까지 압수수색이 가능한지 문제가 된다. 또한, 수사기관으로도 복잡한 운영시스템을 모두 수색해 사건관련 데이터를 압수한다는 것은 사실상 불가능하다. 그러므로, 제 3자의 프라이버시를 보호하는 동시에 수사 효율성도 높일 수 있는 새로운 수사기법이 필요한 상황이다.

권양섭 군산대학교 법학과 교수는 “향후 미래시대는 우리 생활 전반에 정보통신망과 결합된 디지털기기들이 보급됨으로써 사이버 영역은 더욱 확장될 것이고 사이버 공간에서 증거수집도 증가할 수 밖에 없다”며 “물리적 공간을 뛰어 넘어 사이버 공간에서 적용 가능한 법률체계를 구축할 때 보다 더 효과적으로 대응할 수 있을 것이다. 유비쿼터스 시대에 걸맞는 법률환경이 필요하다”고 강조했다.

국내 디지털 포렌식 본격 시작, 국가디지털포렌식센터

국내 디지털 포렌식은 검찰, 국방부, 중앙선거관리위원회, 관세청, 특허청 등 각 기관이 개별적으로 인력과 예산을 확보해 도구개발/연구/교육 등을 수행중이다. 특히 검찰은 1968년 대검찰청 중앙수사국 산하 '과학수사 연구단'을 시작으로 1978년 3월 대검찰청 특별수사부에 거짓말탐지기 2대 도입, 1984년 7월 중앙수사부 과학수사운영과 설치, 2005년 과학수사기획관실 산하 과학수사담당관실을 디지털수사담당관실로 확대하는 등 디지털 포렌식의 초석을 다졌다.

최근 들어, IT 환경의 급속한 발전으로 디지털정보기술의 융합화, 클라우드 컴퓨팅 등 IT 환경의 급속한 발전으로 기존 장비와 분석기법이 한계에 도달하게 됐다. 특히 데이터 완전 삭제 기술이 보편화되는 등 디지털 포렌식을 수행하는데 애로가 발생하는 한편, 개인 프라이버시와 기업정보 보호 등의 요청으로 디지털증거 압수대상과 압수방법에 대한 법률적/제도적 통제가 엄격해졌다.

이러한 이유로, 2008년 10월 서울 서초동 대검찰청 옆에 국가디지털포렌식센터(National Digital Forensic Center, NDFC)가 설립됐다. 이때부터 공식적으로 디지털 포렌식과 관련된 수사, 연구가 시작되었다고 볼 수 있다. 국방부, 국세청, 식품의약품안전청 등 12개 기관이 참여하는 디지털 포렌식 관련 기관 협의회를 만들어 연구 성과와 정보를 공유하고 있다. 또 국가정보원, 해양경찰청 등 다른 수사기관의 디지털 증거 분석, 심리/생리검사 분야의 위탁 교육도 맡고 있다. 2012년 솔로몬저축은행 불법대출 사건을 비롯해 하이마트 배임 사건, 통합진보당 부정 경선 사건, 삼성전자 기술 유출 사건 등의 디지털 증거 분석 작업이 센터에서 이뤄졌다.

센터의 디지털 포렌식 감정 건수는 매년 10% 내외씩 증가하는 추세로, 최근 영상분석과 음성분석 그리고 멀티미디어복원 분야의 증가세가 가파른데 이는 스마트폰 등과 같은 멀티미디어 기기의 사용인구가 급증하고 있기 때문이다. 센터는 과학수사기획관실, 법과학분석과, DNA/화학분석과, 디지털수사과, 사이버수사과 등 5개 부서에서 155명이 근무 중이다. 최근 방대해진 데이터에서 범죄 단서를 빨리 찾기 위한 빅데이터용 디지털 포렌식 플랫폼과 같은 새로운 수사기법 연구에 매진하고 있다.

국가디지털포렌식센터 주요 감정사례

프로포폴 과다투여 사망환자 시신유기 사건: 사체를 바닷가에 유기하고 수면제 약통을 남겨 자살로 가장, 피해자 사망 당일 내부 CCTV를 삭제했으나 CCTV를 복원해 협의 입증

조희팔 사기사건: 업체 서버에서 삭제된 데이터베이스 파일을 세계 최초로 복원, 금융 다단계 매출 총액(약 5조 715억 원), 범죄수익(약 2900억 원)에 대한 실체 규명

프로포폴 과다투여 산모 사망 사건: 병원에 과실이 없다는 민사 1심 판결이 나온 상황에서 압수된 간호사 휴대폰을 분석해 조직적인 증거 인멸 사실을 밝혀 유죄 입증

조달청 나라장터 불법낙찰 사건: 재무관 PC의 숨겨진 악성코드를 분석하여 패턴을 파악, 조달청 나라장터 서버의 발주공사 로그를 분석하여 불법낙찰 업체를 특정함으로써 총 108건, 1400억 원 상당의 불법낙찰을 밝힘

리플 암호화폐 피싱사기단 적발 사건: 미국 법무부 연방수사국(FBI)와 공조, 피싱사이트를 개설하여 이용자들의 암호화폐 9억 원 상당을 빼돌려 가로챈 사기단 최초 적발

디지털 포렌식, 클라우드로 새로운 난제에 부딪히다

클라우드 서비스의 등장이 디지털 포렌식에 새로운 도전이 되고 있다. 최근 클라우드 환경에서 디지털 증거 수집은 형사사법 이론과 실무상 여러가지 문제를 제기하고 있다. 클라우드 컴퓨팅의 정보는 실시간으로 변경되기 때문에 압수수색 도중에도 얼마든지 변경될 수 있다. 즉, 증거물인 스마트폰을 압수 수색한들 이미 중요 정보는 클라우드에 올라가 있고 스마트폰은 빈 껍데기가 되어 있을 수 있다. 클라우드 서비스 제공자의 데이터센터를 압수 수색한다 해도, 가상화와 이중화에 크게 의존하는 클라우드 환경에서는 복구가 안 될 가능성이 매우 크다. 나아가 클라우드 서비스 제공자의 데이터센터가 서비스를 제공하는 국가의 영토 안에 존재하지 않을 수 있어 형사사법 관할권의 문제를 야기한다.

더구나 클라우드 컴퓨팅 환경에서는 고도의 보안기술에 대응하여 관련 기업의 협조가 없는 경우에는 압수/수색도 사실상 불가능하다. 지난 2014년 10월, 다음카카오 이석우 대표는 “수사기관의 실시간 감청 영장 집행에 대해 앞으로 자료 제공을 거부할 것이다”라고 밝힌 바 있다. 통신비밀보호법에 의하면, 전기통신사업자는 협조의무가 있으나 이를 거부할 수 있고 거부한 경우 제재 조치가 없다.

여기에 더 나아가 클라우드 환경에서 클라우드 엣지 환경으로 변화하고 있다. IoT로 인해 대량 확보된 데이터를 중앙 집중 방식으로 처리하기 어렵게 되었기 때문이다. 이제 소형 서버들을 통해 분산해 실시간으로 빠르게 처리하는 기술이 활용되고 있다. 중앙 서버에도 접근이 어려운 마당에, 클라우드 엣지 환경에서의 디지털 증거 확보는 더욱 난제가 될 것으로 예상된다.

현행법상 압수/수색영장은 아날로그적 시간장소 개념을 전제로 한다. 그렇기에 클라우드 환경에 대응한 압수/수색영장의 실효성도 확보되기 어렵다. 엣지 컴퓨팅은 어떻게 데이터를 선별, 추상화해 프로그램화할 것인지에 대한 연구와 데이터에 대한 신뢰성, 안전성, 개인정보보호 등의 문제도 함께 대두된다.

이러한 문제 해결을 위해 미국은 지난 3월 23일 CLOUD(Clarifying Lawful Overseas Use of Data) ACT를 통해 미국 기업이 그 데이터가 해외에 있을 경우라도 영장이나 제출명령에 의해 데이터 제공의무가 있다고 규정했다. 이는 마이크로소프트 사건이 입법 배경으로, 연방 수사당국이 마이크로소프트에 마약 거래로 추정되는 이메일 정보를 요구하였으나, 마이크로소프트가 해당 정보가 미국이 아닌 아일랜드 서버에 저장되어 있어 저장통신법(Stored Communications Act, SCA)에 기반한 영장 효력이 미치지 않는다고 했기 때문이다. 국내도 클라우드 엣지 환경 시대를 대비해 최선의 방안을 모색해야 한다.

한인섭 한국형사정책연구원 원장은 “전향적인 정책판단과 법제정비를 통해 정보제출명령이나 제 3자 협력의무, 온라인 수색방식과 같은 대응 방안 검토에 관하여 진전된 논의가 필요한 시점”이라고 전했다.