지워진 증거도 잡아내는 디지털포렌식센터

 ​

​

‘디지털 포렌식’에 대해서 들어보신 적이 있으신가요? 다소 생소한 개념이라 생각할지 모르지만, 뉴스를 조금 더 유심히 들어보시면 디지털 포렌식이 매우 각종 범죄 수사에 자주 등장한다는 것을 알 수 있습니다.

​

​최근 큰 이슈가 된 ‘인천 초등생 살인사건에서는 범인의 핸드폰에서 삭제된 문자 메시지 등을 복구할 때 디지털 포렌식이 사용되었습니다. 또한 세월호 희생자의 핸드폰 사진도 디지털 포렌식 기법을 통해 복원해냈습니다. 이처럼 디지털 포렌식 기법은 수사과정에서 매우 폭넓게 사용되고 있답니다.

     

디지털 포렌식이란, 사전상으로 ‘저장매체 또는 인터넷 상에 남아 있는 각종 디지털 정보를 분석해 범죄 단서를 찾는 수사기법’으로 정의되고 있습니다. 디지털 포렌식의 대상은 매우 다양한데요. 데스크탑, 노트북, 라우터, 핸드폰, 네비게이션을 비롯하여 차량용 블랙박스, CCTV, 의학용 전자기기, 스마트 TV, 전자시계, 디지털 도어 등 디지털 흔적이 남을 수 있는 모든 디지털 기기가 디지털 포렌식의 대상이 될 수 있다고 합니다. 그렇다면 우리나라에서는 디지털 포렌식 기법을 수사과정에서 어떻게 활용할 수 있을까요? 우리나라 디지털 수사의 메카, 대검찰청 디지털 수사과의 컴퓨터 포렌식팀 조성종 수사관님을 만나보았습니다.

 

    

▲국가디지털포렌식 센터 전경

interview ∥ 대검찰청 디지털수사과 컴퓨터 포렌식팀 조성종 수사관

Q. 안녕하세요 수사관님! 간단한 자기소개 부탁드립니다. A. 안녕하세요, 저는 대검찰청 디지털 수사과 컴퓨터 포렌식팀에 근무하고 있는 조성종 수사관입니다. 저는 포렌식에서 근무한지는 5년 정도 되었구요, 대부분을 컴퓨터 포렌식에서 근무해왔습니다.   Q. 디지털 포렌식이 일반 독자들에게는 매우 생소한 개념일 수도 있는데, 쉽게 설명 부탁드려요. A. 디지털 포렌식은 하나의 절차라고 말씀드릴 수 있어요. 디지털 저장매체를 대상으로 증거를 획득하고, 증거능력(증거력)이 훼손되지 않도록 복원하여 법정에 제출해서 증거로서 인정받는 절차. 이 전체적인 절차가 디지털 포렌식이라고 보시면 됩니다.   Q. 디지털 포렌식의 컴퓨터 포렌식팀의 주 업무는 무엇인가요? A. 저희 디지털 수사과는 크게 4개의 파트가 있는데요. 제가 일하고 있는 컴퓨터 포렌식팀, 서버 같은 데이터베이스를 분석하는 데이터베이스포렌식팀, 스마트폰 등 모바일 기기를 담당하는 모바일포렌식팀, 암호를 해독하거나 기타 포렌식 기법을 연구하는 팀이 있습니다. 컴퓨터 포렌식팀은 PC, 노트북, 외장하드, USB 같은 개인용 디지털 기기를 분석하여 증거를 획득하는 업무를 맡고 있습니다.        ▲국가디지털포렌식센터에서 일하고 있는 조성종 수사관의 모습   Q. 분석대상별로 부서가 나눠진 것이군요. 그렇다면 디지털 포렌식 기법은 수사과정에서 어떻게 사용되나요? A. 기법이 워낙 다양해서 콕 찝어 말하긴 어렵구요, 사건마다 분석기법을 달리 합니다. 분석 대상이 PC, 노트북, 외장하드 등 다양해서 대상마다 분석기법이 다르고, 사건 유형에 따라서도 달라집니다. 대상과 사건유형에 따라 다양한 기법을 쓰는 거죠. 흔히 쓰는 기법 중 하나는 삭제된 데이터를 복원해서 찾아내는 기법이에요.   Q. 실제 수사에서 어떻게 디지털 포렌식을 사용하는지 궁금한데, 사례를 말씀해주실 수 있나요? A. 한번은 인터넷 사이트를 운영하면서 사기를 친 일당을 검거한 적이 있어요. 자신의 사이트 회원들을 협박해서 돈을 빼앗은 사건인데, 문제는 이 일당이 인터넷상에서 범죄를 하다보니까 디지털 분야를 잘 아는 사람들이었던 거죠. 그래서 한참 조사를 했는데도 증거를 꼼꼼히 없애버려서 수사가 힘들었어요. 그런데 PC를 디지털 포렌식 기법을 통해 분석해보니, 국내에 있던 일당과 중국에 있던 공범 사이의 메신저 기록을 복구해낼 수 있었어요. 그 사람들은 메신저 기록까지는 생각을 못한거죠! 복구한 메신저 기록에는 그동안의 범죄행적이 다 나와 있더라구요. 그래서 국내에 있던 일당을 구속시키고 중국에 있는 공범까지 국제협력을 받아 모두 잡았던 경우가 있었습니다.   Q. 와, 정말 멋있어요! 그럼 수사과정에서 협력하는 것 외에도, 외국과 포렌식 기법을 공유하기도 하나요? A. 네, 기법이나 기술에 대한 교류는 활발히 이루어지고 있습니다. 우리나라에서는 외국의 포렌식 세미나, 학회 등에 방문해서 기술을 배웁니다. 반대로 외국에서 우리나라에 방문해 저희가 어떻게 업무를 하고 있는지 배워가기도 한답니다. 이러한 기술 교류는 주로 미국과 하고 있습니다. 미국의 인케이스 같이, 저희가 사용하는 포렌식 도구들에는 외국에서 들여온 것이 많습니다.   Q. 미국의 포렌식 도구인 인케이스를 수사과정에서 활용하기도 하는군요. 대검찰청이 개발한 포렌식 도구도 있다고 들었는데, 무엇인가요? A. Computer Forensic Tool, CFT라는 현장용 압수도구가 있어요. CFT는 프로그램이라고 보시면 됩니다. 예를 들어 PC를 조사한다고 하면, CFT 프로그램을 PC에 꽂고 구동을 시키면 그 PC에 대한 정보를 한눈에 보여줍니다. OS 설치를 언제 했는지, 최근에 사용한 파일이 뭔지 다 알려주죠. 수사관들이 빠르게 분석을 할 수 있도록 증거를 찾을 수 있게 도움을 주는 도구인거죠. CFT는 대검찰청이 10년 전부터 개발을 해서 현재 국내 16개 정도의 수사기관이 사용하고 있습니다. 외국에서 들여온 도구들은 우리나라의 수사 과정에 적용하는데 한계가 있어요. 하지만 CFT는 저희가 자체 개발한 프로그램이기 때문에, 국내 수사에 가장 최적화되어 있습니다.      ▲기자(좌)와 인터뷰 중인 조성종 수사관(우)

지금까지 디지털 포렌식에 대해 알아보았는데요. 조성종 수사관님과의 인터뷰를 통해 디지털 포렌식에 대해 더욱 구체적으로 알아볼 수 있었습니다. 사이버범죄가 늘어나고 디지털 증거에 대한 중요성이 커질수록 디지털 포렌식 기법도 더욱 정교해지고 있습니다. 앞으로도 디지털 포렌식 기법이 얼마나 발전할지 매우 기대가 됩니다.

 

 

 

글 = 제 9기 법무부 블로그기자 이지현(대학부)