검색
지금은 청년시대

빅데이터 시대, 전자증거의 확보와 디지털포렌식

146286.jpg

대검찰청 국가디지털포렌식센터(NDFC:National Digital Forensic Center)가 올해로 개소 10주년을 맞았다. 사진·영상, 이메일, 휴대전화 통신 기록, 문자메시지, 컴퓨터 하드디스크 삭제 자료, 범행 현장 DNA, 핏자국 등 각종 범죄 정보를 디지털 기술을 동원해 분석하는 기법을 일러 디지털 포렌식이라 하는데, NDFC는 바로 그런 범죄 수사의 단서가 되는 디지털 자료를 확보·복구·분석해 법적 증거 자료로 만드는 검증기관이다.


NDFC는 정밀 분석 장비를 통해 마약·유전자·위조문서·영상 등의 증거물 감정·감식을 통해 사건 해결을 돕고 있다. 헌정 사상 초유 '비선실세 국정농단' 사건의 결정적 증거가 됐던 태블릿 PC의 삭제된 문서를 복원하는데 결정적인 역할을 하면서 대중들에게 더욱 눈도장을 찍게 되었다.

디지털 기기는 현대인들의 생활 속에 밀접하게 관여되어 있다. 특히 개인에 대한 상당한 범위의 기록을 디지털 정보로 남기기도 하고, 이러한 행적을 숨기기 위해 은폐·삭제한 자료도 디지털 기술을 통해 복원이 가능해지면서 디지털포렌식은 범죄수사에 널리 활용되고 있다. 이와 같은 디지털포렌식 조사에서 가장 중요한 점은 ‘지워진 데이터를 어디까지 복구할 수 있는가’이다. 결론부터 말하자면 디지털 데이터를 완벽히 삭제했어도 대부분의 경우 그 흔적은 남게 된다.

디지털포렌식의 절차는 크게 3단계로 이루어지는데 첫 번째인 증거수집 단계에서는 디지털 데이터가 저장된 컴퓨터 메모리나 하드디스크에서 원하는 데이터를 수집하게 된다. 여기에서의 데이터 수집은 디바이스에 저장되어 있던 데이터가 동일성이 유지된 채로, 즉 변조가 일어나지 않았음을 입증해야 한다. 두 번째 단계인 증거분석은 수집한 데이터로부터 가치 있는 정보를 추출하는 과정으로, 이 단계에서 ‘삭제된 파일 복구 기술'이나 ‘암호화된 파일 해독 기술’ 또는 ‘문자열 검색 기술'이 활용된다. 마지막으로 세 번째 증거생성 단계에서는 앞의 단계들을 거쳐 취합된 증거들을 보고서 형태로 형성한다.

디지털포렌식에 관한 리걸테크가 법률 시장에서 가장 필요한 이유는 바로 중요 정보들이 디지털화 되고 있기 때문이다. 계약서 및 기타 서류뿐만 아니라 이미지·음성·동영상 파일 등의 자료가 기업 내 서버, 클라우드 저장소나 개인용 PC, 스마트폰, 태블릿 PC와 같은 여러 디바이스에 보관되고 있다. 그 중에서도 이메일은 기업에서 비즈니스 기록으로서 이메일 데이터가 매년 25~30%씩 꾸준히 증가하고 있으며, 이에 따라 기업 소송의 75% 이상에서 이메일 데이터를 중요 증거로 활용하고 있다.


애플과 삼성의 지적재산권 소송에서도 한 통의 이메일이 중요한 역할을 한 사례가 있다. 2014년 3월 애플이 삼성을 아이폰 디자인 특허 침해로 캘리포니아 연방 법원에 제소한 사건에서 삼성의 배상을 명하는 결정이 있었는데, 이 재판에서 배심원의 판단에 중요한 영향을 미친 증거가 구글 측에서 삼성 임원에게 보낸 메일인 것으로 알려졌다. 그 메일에서 ‘갤럭시 디자인은 아이폰과 유사하여 디자인을 바꾸는 것이 좋을 것 같다'는 언급이 있었고, 이는 삼성 측에서도 아이폰과 디자인의 유사성을 인식하고 있었다는 점에 대한 결정적인 증거가 되어 삼성에 불리한 판결이 내려진 것이다.

이메일뿐만 아니라 채팅 솔루션도 중요한 디지털 증거가 된다. 디지털 디바이스를 통해 트위터, 페이스북, 인스타그램 등의 SNS와 카카오톡, 라인과 같은 채팅 솔루션에 꾸준히 노출되고 있는 시대에서 모든 사람은 자신의 행동 흔적을 디지털 데이터로 남기고 있다.


2011년 발생한 부산 대학교수 아내 살인사건에서 범행 입증의 가장 핵심적인 증거가 된 것은 카카오톡 메신저 대화 내용이었다. 교수는 아내를 살해하고 그 시신을 유기한 직후 자신의 휴대전화를 바꾸고, 카카오톡 계정을 탈퇴하였다. 카카오톡 본사를 찾아가 자신과 내연녀의 사체 유기 및 범행 직후 행동요령 등에 관한 대화 내용을 삭제해 줄 것을 요청했으나, 경찰 수사과정을 통해 그 대화 내용이 복구되면서 사건의 전모가 밝혀지게 되었다. 이 과정에서 사용자의 대화 내용을 카카오톡이 보관하는 것이 적절한가에 대한 논란이 있었고, 이후 카카오톡 측에서는 사용자의 대화 내용을 서버에 저장하지 않는 것으로 서비스 방침을 변경하였다. 이에 따라 카카오톡 대화 내용을 증거로 하기 위해서는 사용자 스스로 대화 내용을 확보·저장할 필요가 있게 되었고 삭제된 대화내용에 대하여는 휴대전화 등의 디바이스에 대한 디지털포렌식 조사를 통해 이를 복구하는 것이 중요한 과정이 되었다.

증거는 사물인터넷(IoT:Internet of Things)에도 남는다. 지금까지 인터넷을 연결하여 활용하는 기기는 PC나 스마트폰, 태플릿 PC 등의 IT 관련 디바이스였지만 IoT의 시대에는 세탁기, 에어컨, 조명 등의 가전제품에서부터 GPS 기능이 있는 무선기기와 CCTV, 공장의 작업용 로봇에 이르기까지 인터넷을 통해 제어하는 것이 가능하다. IoT 기술이 적용된 가전제품이나 작업용 로봇에는 모두 원격조종에 의한 작동 데이터, 센서 반응에 의한 작동 데이터 등의 이력이 남게 되고 이러한 정보들은 기기에 연결된 인터넷을 통해 기록된다. 이와 같이 IoT의 편의성과 효율성에 상응하여 이용자의 모든 행동 이력이 남게 됨에 따라 IoT는 증거 자료의 보고가 되고 있다.

일상생활에서 사용된 기기에 저장되는 정보는 수많은 파편으로 분산되어 있으나, IoT를 통해 수집·저장된 데이터 이력은 하나의 온전한 데이터로 결합되어 의미 있는 증거로써 기능할 수 있다. 더 나아가 중요한 증거가 삭제·유실된 경우에도 IoT를 통해 저장된 데이터 파편 중 남아있는 데이터 흔적에 대하여 디지털포렌식 조사를 거쳐 온전한 증거를 복구해낼 수 있게 되어 증거 자료 확보의 중요성은 더욱 강조되고 있다. 4차 산업혁명의 핵심 기술로써 방대한 양의 정보를 쏟아내는 IoT와 온전한 정보의 수집·관리를 위한 디지털포렌식 기술의 결합은 당연한 결과로 볼 수 있다.

이제 사람들은 여행을 떠나서도 우리 집 현관문을 잠글 수 있고, 방 안의 온도를 조절할 수 있으며 실시간으로 자신이 탄 택시의 동선도 파악할 수 있다. 하지만 동시에 자신의 행적을 파악하기 위해서 보게 되는 디지털정보 또한 많아졌고, 일일이 자신의 행적과 관련된 모든 디지털정보를 찾는 것도 쉽지 않게 되었다.

이제 범람하는 디지털 정보가 리걸테크에 의한 법의학적인(Forensic) 분석으로 의미를 찾게 되는 시대를 맞이했다.

안진우 변호사 (법률사무소 다오)

 

146286_1.jpg

관련 법조인

미국변호사