최신정보 관련뉴스

1년 전 삭제된 PDA 데이터까지 복구 !!!

거미손 노랑이 2009. 6. 10. 09:39

사용자 삽입 이미지
지난 10일 오후. 사무실 한쪽 긴 탁자 위에 컴퓨터에서 해체된 하드디스크 수십 개와 DVD 20여 장이 펼쳐져 있다. 거기엔 증거목록 번호표들이 붙어 있다. 수사관 10여 명은 장비분석용 컴퓨터 모니터를 뚫어져라 응시하고 있다. 헛기침 소리도 내기 힘들 만큼 몰두해 있는 모습이다.

분석대상 데이터는 ‘신정아-변양균 사건’ 수사를 위해 지난달 28일 동국대와 성곡미술관에서 압수해온 컴퓨터 관련 자료들. 변양균 전 청와대 정책실장의 사퇴를 몰고온 ‘신정아 e-메일’도 이곳에서 복구됐다. 대검찰청 12층에 있는 이곳은 대검 디지털수사 담당관실. 현대차 비자금 사건, 론스타 외환은행 헐값 매입 의혹 사건 등 대형 사건 때마다 투입돼 짧게는 2~3일, 길게는 한 달씩 데이터 분석에 매달리고 있다.

수사팀이 그간 해결한 사건들 가운데 2005년 8월의 경기도 고양시 성폭행 사건은 검찰의 디지털 기술 수준을 보여주는 대표적인 사례다. A씨가 술에 취한 여성을 강간하고 나체사진을 찍어 협박한 사건이다. 피의자 A씨는 피해 여성의 휴대전화로 나체사진을 전송하면서 “만나주지 않으면 사진을 유포하겠다”는 으름장을 놨다.

피해 여성이 경찰에 신고했지만 A씨는 혐의를 부인했다. 결정적 증거가 나오지 않으면서 사건은 한동안 표류했다. 그러나 지난해 12월 대검 디지털수사팀은 검색을 계속한 끝에 A씨의 휴대용 정보단말기(PDA)에서 지워진 지 1년이 지난 사진파일을 찾아내는 데 성공했다. 피해자에게 보낸 문자메시지 데이터도 완벽하게 복원했다.

정보기술의 발전은 검찰 수사에 도움을 주지만, 때로는 장애가 되기도 한다. 증거를 없애는 신기술이 끊임없이 개발되고 있는 탓이다. ‘안티 포렌식(Anti-forensic)’으로 불리는 범죄자들의 디지털 증거 인멸을 저지하기 위해선 대응기술 개발은 물론이고, 어떻게든 사건을 해결하려는 수사 의지가 필요하다.

해외의 인터넷 마약판매 사이트에 접속해 대마를 밀수입한 B씨 사건도 수사관의 끈질김이 없었다면 아직도 미궁에 빠져 있을 가능성이 크다. 검찰이 B씨 수사에 나선 것은 지난해 3월. 제보 내용으로 볼 때 밀수입이 분명해 보였지만, 혐의를 입증할 증거를 확보하는 것은 쉬운 일이 아니었다. 일선 검찰의 의뢰에 따라 디지털수사팀 박상현 수사관은 B씨가 사용한 컴퓨터 하드디스크에 있는 인터넷 접속기록 복구에 들어갔다.

사용자가 방문한 인터넷 사이트 목록을 알 수 있는 로그(log) 파일이나 히스토리(history) 폴더를 살폈지만, 접속이나 메일 사용 내역을 하나도 발견할 수 없었다. 정밀 분석 결과 하드디스크에는 삭제 프로그램이 설치돼 있었다. 꼬박 1주일 동안 윈도의 가상 메모리 파일과 웹브라우저 임시 파일을 일일이 뒤졌다.

그 결과 문제의 해외 사이트와 관련된 문자열 ‘xxx.xxx’을 100개 이상 찾아냈다. 박 수사관은 “마구 발송된 스팸메일을 클릭하다 우연히 접속한 것이 아니라 대마 밀수입 목적을 갖고 이 사이트에 지속적으로 접속했다는 사실을 뒷받침하는 증거”라며 “문자열을 물증으로 제시해 대마 121g을 주문하고 그 대금으로 700달러를 송금했다는 자백을 받아냈다”고 말했다.

이처럼 최근 수사의 초점은 ‘안티 포렌식’을 깨는 데 맞춰지고 있다. 특히 휴대전화 등 통신용 디지털기기의 경우 분석기술 확보가 쉽지 않다. 해킹 방지와 개인정보 보호를 위해 설치된 프로그램의 종류가 전화 종류별로 수백 가지일 뿐 아니라 제작회사에서 ‘1급 기밀’로 취급한다. 검찰이 PC 하드디스크, 플래시메모리 내부, 인터넷 로그 데이터 등 디지털 증거를 보존·분석하는 데 주력하는 것도 이 때문이다. 대검은 급증 추세에 있는 사이버 범죄에 대응하기 위해 내년 10월 ‘디지털증거수집분석센터’를 세워 디지털 수사 능력을 보강할 예정이다.

이와 함께 디지털 증거를 둘러싼 조작 논란을 불식하는 차원에서 법적 절차 준수의 중요성이 부각되고 있다. 눈에 보이지 않는 전자 형태여서 분석 과정에서 데이터가 쉽게 손상되거나 변형될 수 있는 탓이다. 일단 압수된 하드디스크 등 데이터는 있는 그대로 복사하는 이미징(Imaging) 과정을 거친다. 원본 하드디스크는 재판 증거물로 제출하기 위해 보관해두고, 복사된 사본을 갖고 분석에 들어간다.

출처 : 중앙 Sun Day