yuu.kr

JOIN | ID/PASS



-- Today Visit --

IT-의,과학 작성일 : 18-11-06 16:09

삭제 파일 살리니 증거가…“이제 자백하시죠”
 글쓴이 : 我詩我
조회 : 8   추천 : 0  
 

삭제 파일 살리니 증거가…“이제 자백하시죠”

 

삭제 파일 살리니 증거가…이래도 오리발을?

 

서울 서초동 국가디지털포렌식센터(NDFC)에서 지난달 31일 디지털 포렌식 교육을 받던 한 수사관이 가상의 업체를 압수수색하는 실습 도중 비밀번호로 잠겨 있는 노트북을 분석하기 위해 하드디스크를 분리하고 있다. 강윤중 기자


디지털 포렌식

컴퓨터·스마트폰·CCTV 등 디지털 장치 속 증거 찾아내

대부분 사건 ‘필수 수사기법’…자백 이끌어내는 데 결정

 

서울 서초동 국가디지털포렌식센터(NDFC)에서 지난달 31일 디지털 포렌식 교육을 받던 한 수사관이 가상의 업체를 압수수색하는 실습 도중 비밀번호로 잠겨 있는 노트북을 분석하기 위해 하드디스크를 분리하고 있다. 강윤중 기자

.

“지금 과잉수색하시는 거 아닌가요?” “아까 제시한 영장에 나온 범위 안에서 집행하는 겁니다.”

 

지난달 31일 오후 서울 서초구에 위치한 ‘투잡에스엔씨’에 대한 압수수색 현장에는 긴장감이 흘렀다. 이 업체 대표는 특정경제범죄가중처벌법상 횡령 등 혐의를 받는다. 대표 자리에 놓인 휴지통에서 USB가 발견되자 수사관들과 회사 직원들 사이 긴장감은 더 높아졌다.

 

일부 직원은 격앙된 목소리로 항의했다. 이날 수사관들은 USB와 숨겨둔 외장하드, 대표 등이 사용하던 휴대전화 3대를 통째로 압수했다. 수사관들은 업체 대표 확인을 받아 봉인했다.

 

수사관들은 재무팀 컴퓨터 3대에 대해 현장에서 디지털 포렌식 작업을 했다. 경리직원이 사용 중이던 데스크톱은 수사관이 수사용 전문도구(CFT·Computer Forensic Tool)를 사용해 ‘이미징’(복제)했다.

 

데스크톱 모든 파일을 마음대로 압수수색할 수 있는 것은 아니다. 대상은 영장에 적시된 범죄 기간 생성된 회계·재무 자료 중 혐의 관련 자료로 한정된다. 경리직원은 이 같은 ‘포렌식 압수’가 진행되는 동안 수사관 옆에서 이를 참관했다.

 

수사관이 사원의 노트북을 압수수색하려 했다. 사원은 노트북 비밀번호가 생각나지 않는다고 시치미를 뗐다. 수사관은 노트북에서 하드디스크를 분리한 뒤 수사용 노트북에 ‘쓰기방지장치’(원본 저장매체로 전달되는 쓰기 신호를 차단해 원본 데이터의 수정·삭제를 방지하는 장치)를 거쳐 연결했다.

 

비밀번호를 몰라도 이러한 방식으로 우회하면 혐의 사실과 관련한 파일을 확보할 수 있다. 한국에서는 대부분 컴퓨터 운영체제로 윈도를 사용하지만 미국 유학파인 업체 대표는 맥북을 썼다. 그러나 맥북도 윈도를 사용하는 수사용 노트북에 연결한 뒤 전문도구를 이용하면 원격으로 데이터를 확인·압수할 수 있다.

 

이날 압수수색이 이뤄진 투잡에스엔씨는 ‘가상 시나리오 기반 압수수색 시뮬레이션’ 교육 현장이다. 대검찰청 과학수사부 디지털수사과 주관으로 6개월간 진행되는 디지털 포렌식 전문가 양성 과정이다.

 

국가디지털포렌식센터(NDFC) 사무실 한 곳을 기업체 사무실과 비슷하게 꾸몄다. 일선 검찰청 수사관 5명과 국방부·육군본부·공군본부·선거관리위원회 각 1명 등 총 9명이 수사관과 업체 직원으로 역할을 나눠 진행했다.

 

‘디지털 포렌식’은 디지털 저장장치에 남았거나 삭제된 전자정보 중 증거 가치가 있는 정보를 수집·복구·분석해 범죄 혐의를 입증하는 기법이다. 컴퓨터·스마트폰·폐쇄회로(CC)TV 사용이 보편화되면서 “디지털 포렌식 없이 수사도 없다”고 할 만큼 필수가 됐다.

 

사법농단·드루킹 특검 같은 대형 수사나 ‘어금니 아빠’ 이영학·강서구 PC방 살인 등 강력사건, 숙명여고 시험지 유출 의혹 등에 이르기까지 최근 발생한 거의 모든 종류의 사건에서 디지털 포렌식이 사용됐다. 연 2회 열리는 디지털 포렌식 전문가 교육 과정도 경쟁률이 평균 5 대 1에 이를 정도로 인기가 많다. 수료한 수사관은 대검 및 일선 검찰청 디지털 포렌식 수사팀에 우선 배치된다.

 

이날 교육을 진행한 이승무 NDFC 컴퓨터포렌식팀장은 “기업 압수수색을 나갈 경우 종이 서류는 거의 없고 대부분 전자파일 형태로 증거물을 확보하게 된다”며 “현장에서 ‘키워드 검색’ 등을 통해 선별적으로 압수하는 게 원칙이지만 삭제·은닉 정황이 있으면 예외적으로 물건 자체를 압수해 분석실로 가져온 뒤 복제 후 돌려준다”고 말했다. 기술적으로 현장에서 선별압수가 불가능한 모바일 기기도 통째로 압수한다.

 

디지털 포렌식을 통해 찾아낸 증거는 증거 자체로도 의미가 있지만 범인의 자백을 이끌어내는 데도 결정적 역할을 한다.

 

2015년 인터넷으로 성매매를 알선하고 짝퉁 명품을 판매해 수억원의 수익을 올리던 강모씨(32)는 성매매 업체끼리 경쟁이 심해지자 디도스(DDoS) 공격 프로그램을 사들인 뒤 자신의 컴퓨터 3대 등을 이용해 경쟁업체 사이트를 마비시켜 피해를 줬다. 강씨는 성매매 알선과 상표법 위반 혐의는 인정했지만 형량이 상대적으로 높은 해킹 혐의는 인정하지 않았다.

 

감정 의뢰를 받은 NDFC는 강씨의 컴퓨터에서 디도스 공격 전 경쟁업체 사이트를 검색해 접속하고, 공격 후 다시 들어가 공격이 성공했는지 확인한 정황을 찾아냈다. 또한 강씨가 디도스 공격 대행업체 사이트를 1455회나 접속한 사실도 확인했다. 강씨가 카카오톡 메신저를 통해 공범들과 범행을 모의한 흔적도 발견했다.

 

더 정확히 혐의를 입증하려면 디도스 공격으로 실제 경쟁 성매매 업체 사이트가 마비됐는지 확인해야 했지만 범행 후 시간이 흘러 입증하기 어려웠다. NDFC 컴퓨터포렌식팀은 강씨의 휴대전화에서 디도스 공격 당시 강씨가 공범들과 나눈 ‘XX다이’ ‘사망했네’ ‘방어라인 다 트짐’ 등 경쟁 사이트가 마비됐음을 뜻하는 카카오톡 메시지 내용을 찾아내는 데 성공했다. 수사팀이 이를 제시하자 강씨는 결국 범행을 자백했고 유죄 판결을 받았다.

 

이승무 팀장은 “범인을 자백시키는 방법은 2가지가 있다. 커뮤니케이션을 통한 설득과 과학수사 기술이 그것”이라며 “디지털 포렌식이 모든 범죄를 해결하지는 못하지만 이를 통해 확실한 증거가 나오면 피의자 대부분은 죄를 인정한다”고 말했다.

 

정대연 기자

 

원문보기:

http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201811060600055&code=610100&nv=stand&utm_source=naver&utm_medium=newsstand&utm_campaign=row2_thumb&C#csidxb298b4e955d846982932fdbeebc8baa


 
<< 이전글   다음글 >>  
목록 답변 글쓰기