신정아·국가기록물 유출 의혹 사건…
PC·휴대폰 등 증거확보 결정적 역할
망자의 입을 대신하는 법의학에서는 주검을 머리부터 발끝까지 해부하고 조사한다. 사인, 사망시간, 범인이 사용한 흉기가 이를 통해 드러난다. 그러면 디지털 범죄에서는? ‘디지털 포렌식’이 있다. 컴퓨터나 인터넷 등 디지털 증거물의 ‘전자지문’을 뜨고, 훼손된 ‘주검’(데이터)을?복구하고, 1비트 단위로 조사한 뒤 수백만개에 이르는?파일?어딘가에 숨어 있는 범죄 단서를 찾아낸다.
과거 기업 비리나 독직 사건의 범죄 증거들은 주로 책상서랍이나 장롱 속, 두툼한 장부와 수첩에서 나왔다. 하지만 회계업무는 피시로 하고, 약속은 휴대전화나 피디에이(PDA)에 기록하는 디지털 세상에서는 하드디스크와 메모리 카드를 찾는 게 우선이다. 디지털 증거의 삭제와 조작에 맞서 범죄 흔적을 찾고 증거를 완벽하게 보존하는 게 디지털 포렌식이다.
디지털 포렌식은 최근 검찰이 144억원을 투입해 디지털포렌식센터를 차릴 정도로 그 중요성이 부각되고 있다. 디지털 포렌식은 지난해 신정아씨 학력 위조?사건 당시 삭제된 전자우편을?복구하며 화제가 됐지만, 그런 기법은 가장 낮은 수준의 디지털 포렌식 기법에 불과하다.
■ 디지털 주검은 완벽 복제가 최우선?당신은 검찰 수사관이다. 대기업 컴퓨터에 저장된 비자금?파일을 무심코 클릭한다. 이제 증거물의 가치는 클릭과 함께 사라졌다.?파일?액세스(접근) 시간 정보가 바뀐 탓이다. 변호인단은 수사기관이?파일을 유죄 증거로 조작했다고 주장할 것이다. 판사는 무죄를 선고할지도 모른다.
이제는 이런 문제를 피할 수 있다. ‘디스크 이미징’ 기술로 원본?파일을 열지 않고도 수사가 가능해졌다. 가정용 피시로 일반적인 디스크 복사를 하면?파일만 옮겨지지만, 이미징을 하면 정상?파일과 삭제?파일, 시스템?파일, 미할당 공간까지 그대로 옮길 수 있어 원본과 물리적으로 똑같은 또 하나의 원본을 만들 수 있다. 최근 검찰이 노무현 전 대통령의 국가기록물 유출 의혹을 수사하면서 노 전 대통령이 국가기록원에 반납한 컴퓨터 하드디스크 14개의 사본을 요구한 것도 이 때문이다.
■ 디지털에도 지문은 남는다3ae90ba3e356d99d3aab7697514dfe7f. 난수표 같은 이 문자는 디지털 포렌식 세계의 ‘전자지문’이라고 할 수 있는 ‘해시 함수값’이다. 해시값은?파일마다 생성되는 서른두 자리 고유번호다. 국가기록물 유출 의혹 수사 등에서 검찰의 수사 원칙은 기록물 내용을 보지 않고 수사하는 것이다. 그러면 어떻게? 바로 이 해시값을 본다. ‘회장님 자금 관리.hwp’라는?파일을 열어 문서에 마침표(.)를 하나 찍어 보자. 점 하나를 더하면 ‘님’이 ‘남’이 되듯, 해시값은 첫 자리부터 서른두 번째 끝자리까지 모조리 바뀐다. 검찰은 200만건에 이르는 국가기록물을 일일이 열어보지 않고도 국가기록원 보관 자료와 노 전 대통령이 반환한 자료의 해시값을 비교해 같은 자료인지 확인할 수 있었다.
■ 안티포렌식과의 싸움?지난해 삼성 비자금 조성 의혹을 수사하던 검찰은 4.8테라바이트(TB:1테라바이트=1024기가바이트)에 이르는 데이터를 삼성 전산센터에서 내려받았다. 내려받기(다운로드)에만 나흘이 걸릴 정도로 엄청난 양이었다. 단일 사건으로 검찰이 가장 많은 데이터를 압수한 경우는 2006년 황우석 교수 사건 때의 5.8테라바이트다. 검찰 압수 데이터는 2006년 97.4테라바이트였던 것이 지난해 151.4테라바이트로 급증했다. 올해는 8월 말 현재 123테라바이트에 이른다.
이처럼 자료량이 늘어날수록 수사의 단서를 찾아내기가 쉽지 않다. 그래서 디지털 포렌식 기법의 중요성이 점점 커지고 있다. 남상봉 대검찰청 디지털수사담당관은 “기업 비리를 파헤치는 중앙수사부, 특수부뿐 아니라 공안부나 형사부 수사에서도 디지털 포렌식이 빠지는 경우는 없다”고 말했다.
디지털 포렌식은 검찰과 경찰의 수사는 물론 기업의 보안에서도 중요한 개념으로 부상하고 있다. 그러다 보니 이 틈새에서 허점을 파고드는 기술도 따라서 발전한다. 이 때문에 수사기관들은 디지털 포렌식 수사 기법과 장비 성능을 철저히 비밀에 부친다. 이춘성 경찰청 사이버테러대응센터 국내협력관은 “장비가 노출되면 기업의 ‘안티포렌식’에 이용될 수 있다”고 말했다. 이미 디지털 증거를 삭제하거나?복구를 막는 ‘안티포렌식’ 도구는 기업 보안 업무에 일반화돼 있다.
현재 전세계 수사기관들이 많이 쓰는 대표적인 디지털 포렌식 소프트웨어로는 ‘엔케이스’(EnCase)가 있다. 역대 최대 포렌식 수사 사건인 미국 엔론사 회계 부정 사건 수사 당시 파기된 대량의 회계자료와 삭제 이메일을 분석한 프로그램이다. 지난 국가기록물 유출 의혹 수사에선 검찰의 디지털 포렌식 차량이 처음으로 외부에 알려지기도 했다. 4억5천만원 상당의 포렌식 장비를 탑재한 이 차는 대용량 하드디스크 10개를 한번에 이미징·분석할 수 있는 것으로 알려졌다.
