정보화 사회, 디지털 사회라고 불리는 만큼 오늘 날에는 디지털 증거의 확보가 중요합니다. 우리가 어떠한 장소를 방문하면 방문기록이 남듯이 디지털 기기를 이용할 때도 디지털정보와 같은 기록이 남습니다. 눈에 보이는 디지털 정보 뿐만 아니라 눈에 보이지 않는 증거들까지 수집하는 수사 방법이 있다고 하는데요. 이런 디지털 증거를 수집하고 분석하는 과정에 디지털 포렌식 업무가 이용됩니다.
디지털 포렌식이란 pc, 노트북, 휴대폰 등 각종 저장매체나 인터넷 상에 남아 있는 각종 디지털 정보를 분석해 범죄 단서를 찾는 수사기법입니다. 보이는 정보 뿐만 아니라 범행을 숨기기 위해삭제한 자료나 기억, 즉 보이지 않는 흔적까지 복원이 가능해 범죄수사에 널리 사용되고 있습니다.
관세청에서도 지능화된 범죄에 대응하기 위해 서울, 부산, 인천 등 주요 본부세관에 과학수사센터를 설치하고 이를 통해 밀수범죄를 단절하기 위해 노력하고 있습니다. 서울본부세관의 조사총괄과는 과학수사센터를 두어 디지털 포렌식 수사를 담당하고 있는데요. 디지털 포렌식 업무를 더 자세히 알려드리기 위해, 서울본부세관을 방문해 디지털 포렌식 업무 현장을 취재 하였습니다. [인터뷰 담당자 : 조사총괄과 박준열 관세행정관]
디지털 포렌식 수사에는 복제 장비가 사용됩니다. 예전에는 업체 압수수색 시 필요한 경우에 한하여 컴퓨터 원본을 압수해 수사를 진행했습니다.
이와 달리 현재는 포렌식 프로그램을 사용하여 현장에서 선별압수를 진행하고 있습니다. 혐의사실과 관련된 개연성이 있는 전자정보가 삭제·폐기된 정황이 발견된 경우에는 전체를 복제합니다. 복제 시에는 해당 업체의 업무가 마비되는 현상을 방지하기 위해 컴퓨터 자체를 압수하는 대신, 내장하드를 복제해 업무를 계속 진행할 수 있도록하고 있습니다. 이 때 사용되는 복제 장비가 ‘Falcon’ 입니다.
Falcon은 내장하드를 복제하는 장비로 하드디스크에 저장된 정보를 그대로 복제합니다. 이 때 복제한다는 개념은 복사와는 다릅니다. 원본을 그대로 복제하기 때문에 자료의 순서뿐만 아니라 자료가 삭제된 빈 공간까지 그대로 구성하여 복제됩니다. 그래서 삭제된 정보까지 파악할 수 있게 되는 것이죠.
과거에는 'Falcon' 라는 장비 대신 'RoadMaster3'라는 장비가 사용되었습니다. RoadMaster3에는 현장에서 정보를 분석하는 기능이 탑재되어 있습니다. 그러나 현장에서는 정보를 압수하는 절차만으로도 많은 시간이 소요되기 때문에 현장에서의 정보 분석기능은 비효율적입니다. 기술의 발전과 더불어, 무게와 크기로 인한 수사의 비효율성을 해소하기 위해 속도도 훨씬 빠르고 가벼운 Falcon라는 기기로 간소화 되었습니다. RoadMaster3는 실제로 제가 들어보았는데, 한 손으로는 절대로 들 수 없을 정도로 무게가 상당했습니다. 무려 18kg이라고 합니다.
※ 여기서 잠깐 !
Q. 복제한 파일이 진짜 복제한 파일인지 누군가가 임의로 만들어낸 파일인지 어떻게 알 수 있나요? 증거를 조작할 수 있지 않나요?
A : 증거를 조작 할 수 없습니다. 원본과 사본이 동일하다는 것을 입증하기 위해 ‘해시값’을 사용합니다. 해시값은 데이터를 고유하게 식별하는 고정 길이의 값입니다. 사람마다 주민등록번호나 지문과 같은 고유값이 존재하는 것처럼, 원본과 사본에 고유번호, 즉 해시값을 부여합니다. 더군다나 MD5의 경우 해시값이 32자리 수이기 때문에 다른 사건에 번호가 중복되어 부여되는 경우 또한 존재하지 않습니다. 이런 해시값이라는 수단을 사용해 디지털 증거의 무결성을 입증하고 있습니다.
복제한 정보는 본부의 과학 수사센터에서 포렌식 관련 프로그램을 통해 분석됩니다. 쓰기 방지 장치를 이용해, 파일을 복구하거나 키워드 검색을 통해 관련 증거 자료를 수집합니다.
포렌식 프로그램을 이용해 디지털 정보를 분석
※ 여기서 잠깐 !
Q. 그렇다면 디지털 기기에 포함된 개인정보는 어떻게 처리되나요?
A: 처음 디지털 정보를 수집할 때, 범죄혐의와 무관하거나 개인정보가 포함되어 있는 자료는 제외하고 혐의사실과 관련된 부분만을 선별하여 정보를 수집합니다. 현장에서 정보의 양이 방대하여 선별하기 어려운 경우 피압수자 동의하에, 일단 모든 디지털 정보를 압수합니다. 그리고 피압수자의 참여하에 혐의사실과 관련된 정보를 수집합니다.
Q. 핸드폰의 경우에는 어떻게 디지털 정보를 수집하나요?
A. 예전에는 카톡이나 메시지 내용을 통하여 범죄증거를 많이 수집하였는데, 지능화된 범죄가 증가하면서 대포폰을 사용하거나 주기적으로 핸드폰 변경하여 수사망을 피해가려는 범죄가 늘어나고 있습니다. 혐의가 있는 경우 핸드폰 또한 압수하여 정보를 수집합니다. 압수된 핸드폰을 과학수사센터 내의 컴퓨터에 연결하여 프로그램을 이용하여 분석합니다.
Q. 디지털기기 뿐만 아니라 다른 디지털 매체를 수사하는 경우도 있나요?
A. 정보증거매체는 우리가 디지털정보를 저장할 수 있는 모든 것을 말합니다. 컴퓨터의 외장하드 뿐만 아니라 USB, E-MAIL, 기업의 서버를 모두 수사합니다.
IT 기술의 발전과 함께 지능화된 범죄가 증가하고 있으며, 디지털기기 내에 결정적인 증거가 포함되어 있는 경우가 많아 디지털 포렌식 수사가 더욱 중요해지고 있습니다. 관세청에서는 지속적인 수사기법 개발과 전문 인력 양성 등을 통해 정보화 시대의 스마트 환경에 걸맞는 범죄 대응 능력을 확보하기 위해 노력하고 있습니다.
