전체메뉴
“뚫어라” “막아라”… 디지털포렌식의 실마리는 ‘사람의 빈틈’[인사이드&인사이트]
더보기

“뚫어라” “막아라”… 디지털포렌식의 실마리는 ‘사람의 빈틈’[인사이드&인사이트]

조건희 기자 , 김동혁 기자 입력 2019-12-09 03:00수정 2019-12-09 10:31
뉴스듣기프린트
트랜드뉴스 보기
'조국 의혹’ 등 거치며 이목 집중
원본 없는 ‘유재수 텔레그램’… 정준영, 고유정 딱걸려
‘안티 디지털포렌식’ 방패도 진화
휴대전화 잠금 비번 보안 강력… 경찰도 복원기술 개발 추격전
경찰청 디지털포렌식센터 분석관이 불에 그슬린 상태로 확보된 휴대전화에서 메모리를 분리해 내고 있다. 경찰청 제공
유재수 전 부산시 경제부시장(55·수감 중)에 대한 청와대의 감찰 무마 의혹을 수사하던 검찰은 지난달 19일 압수수색 영장을 들고 그의 자택과 집무실, 관사를 찾았다. 이날 검찰 수사관들은 압수수색 장소를 7시간 동안 샅샅이 뒤졌다. 하지만 유 전 부시장이 청와대 감찰을 받을 당시 사용하던 휴대전화는 찾지 못했다. 그런데도 검찰은 유 전 부시장이 당시 보안 메신저인 ‘텔레그램’으로 천경득 대통령총무비서관실 선임행정관(46) 등과 함께 금융위원회 고위직 인선에 관해 논의한 대화 내용을 확보했다. 어찌된 노릇일까.

비밀은 두 단계에 걸친 ‘디지털포렌식’이었다. 청와대 특별감찰반은 2017년 10월 당시 금융위 금융정책국장이던 유 전 부시장을 감찰하면서 그의 휴대전화를 디지털포렌식으로 분석해 천 행정관과의 대화 내용 등을 엑셀 파일로 정리해뒀다. 검찰이 올 9, 10월 해당 특감반원들의 PC와 휴대전화를 분석하는 과정에서 이 엑셀 파일을 확보한 것이다. 감춰질 뻔한 인사 개입 의혹의 단서가 디지털포렌식으로 드러난 것이다.

최근 우리 사회에서 이목이 집중된 사건을 해결하는 데 디지털포렌식이 결정적인 역할을 하고 있다. 조국 전 법무부 장관 자녀의 대학 입시 등에 활용된 표창장과 인턴활동 증명서가 조작됐다는 의혹을 입증하는 데에도 디지털포렌식이 동원됐다. 국정농단 사건의 도화선이 된 태블릿PC에선 최순실 씨의 동선과 상당히 일치하는 위치 정보가 복원됐다. 디지털포렌식과 이를 따돌리려는 ‘안티 디지털포렌식’의 각축장을 전문가들과 함께 들여다봤다.



○ ‘CNN 해킹 피해’ 이후 전담 부서 창설

주요기사

우리나라 검경의 디지털포렌식 역사는 미국에서 벌어진 사이버 테러로 인해 본격적으로 시작됐다. 2000년 2월 미국의 CNN과 아마존, 야후 등 유명 웹사이트가 잇따라 해킹을 당하자 ‘우리 정부는 어떤 대책이 있느냐’는 불안감이 치솟았고, 경찰청은 그해 7월 사이버테러대응센터를 만들며 산하에 ‘기법개발팀’을 신설했다. 수사기관 최초의 디지털 분석 전담 부서였다. 이 팀이 2010년 디지털포렌식팀, 2014년 디지털포렌식센터로 격상되며 지금의 모습이 됐다. 대검찰청은 2004년 12월 디지털 증거 수집과 분석을 전담하는 ‘과학수사 제2담당관실’을 신설한 뒤 2007년 디지털수사담당관실로 이름을 바꿨고 2008년 디지털포렌식센터를 열었다.

6일 오전 서울 서대문구 경찰청 북관 ‘디지털 증거 분석실’. 이곳에선 디지털포렌식센터 소속 분석관들이 한창 작업 중이었다. 모두 5개의 보안문을 통과해야 하는 이곳엔 경찰청장도 마음대로 들어갈 수 없다. 경찰청 훈령에 따라 자격을 갖춘 분석관들만 들어갈 수 있는 제한구역이다. 디지털포렌식 과정에서 증거가 조작될 수 있다는 의심을 차단하기 위한 조치다. 분석관들이 보관된 증거를 가지러 갈 때도 4대의 폐쇄회로(CC)TV 카메라가 24시간 감시하는 공간을 통과해야 한다.

경찰이 분석한 디지털 증거물은 2014년 1만4899건에서 지난해 4만5103건으로 급증했다. 4년 만에 3배로 증가한 것이다. 특히 스마트폰 등 모바일 기기는 같은 기간 1만656건에서 3만6986건으로 3.5배로 늘었다. 이는 ‘휴대전화에는 인생이 통째로 남는다’는 말이 나올 정도로 많은 행적이 담기고, 그에 따라 증거로서의 가치도 높아지고 있기 때문이다. 전남편에게 졸피뎀(수면제)을 먹여 살해한 뒤 시신을 훼손한 혐의로 기소된 고유정(36·수감 중)도 범행을 부인했지만 사건 발생 전 인터넷에서 ‘뼈의 무게’ 등을 검색한 사실이 PC 분석 과정에서 드러났다.

○ 첨단 보안기술도 사람의 빈틈 못 채워


직권남용 권리행사방해나 강요처럼 사건 관계자 사이의 의사소통을 복원해야 입증할 수 있는 범죄의 증거로는 카카오톡 등 휴대전화 메신저만한 게 없다. 문제는 대화 내용이 지워졌을 때다. 통상적으로 디지털포렌식은 지워진 것처럼 보이지만 실제론 남아 있는 데이터의 조각들을 끼워 맞추는 방식으로 이뤄진다. 이상진 고려대 정보보호대학원장은 “메신저 대화방을 없애도 그 방의 대화내용은 휴대전화 메모리 어딘가에 남아 있을 가능성이 높다”고 말했다.

지워진 데이터가 어디에 흩어져 있는지는 각각의 앱 고유의 ‘주소 체계’에 따라 달라진다. 그 주소를 자동으로 찾아내 데이터를 살려내는 게 자동복원 프로그램이다. 프로그램이 해내지 못하면 사람이 이를 일일이 찾아야 한다.

텔레그램으로 대표되는 보안 메신저는 이 지점에서 강력한 은닉의 도구가 된다. 텔레그램은 삭제 데이터를 흩뿌리는 주소를 자주 바꾼다. 게다가 비밀대화방에서 대화를 나눈 뒤 대화방을 없애 버리면 대화 내용의 상당 부분을 다른 데이터로 덮어 쓰는 기능까지 갖추고 있다. 최규종 한국포렌식법률연구소 대표는 “디지털포렌식을 통해 삭제된 데이터가 있는 곳을 애써 찾아내도 거기엔 이미 대화 내용이 아닌 무의미한 데이터의 부스러기만 남아 있게 되는 것”이라고 설명했다. 편지지를 찢어서 휴지통에 버리는 게 일반적인 삭제 방식이라면 찢기 전에 검은 잉크로 덧칠까지 하는 게 보안 메신저의 방식인 셈이다. 청와대 특감반원들은 업무에 텔레그램을 주로 사용한 것으로 알려졌다.

카카오톡도 같은 원리로 앱을 여러 차례 지웠다 깔거나 휴대전화 자체를 초기화하면 대화 내용을 복원하기 어렵다. 가수 정준영 씨(30·수감 중)가 2016년 8월 여성과의 성관계 장면을 몰래 촬영한 혐의로 고소당했을 때 검찰은 정 씨의 휴대전화를 확보해 디지털포렌식 작업을 했지만 휴대전화가 초기화된 상태라서 혐의를 입증할 증거를 찾지 못 했다. 하지만 정 씨는 휴대전화를 초기화하기 전 증거를 감추기 위해 이를 사설 디지털포렌식 업체에 맡겼고, 이 과정에서 카카오톡 대화 내용이 유출되면서 덜미가 잡혔다. 안티 디지털포렌식 기술도 사람의 빈틈까지 메우진 못하는 셈이다.

○ 앞서가는 안티 디지털포렌식 기술


디지털포렌식과 안티 디지털포렌식의 경쟁에서 영원한 승자는 없다. 휴대전화 제조사나 앱 개발사가 강력한 ‘방패’를 개발하면 수사기관은 이를 뚫기 위해 더 예리한 ‘창’을 준비하는 방식으로 경쟁한다.

휴대전화를 불에 태우거나 물에 빠뜨리는 건 원시적인 안티 디지털포렌식 수법에 해당한다. 최근엔 ‘휴대전화를 효과적으로 망가뜨리는 방법’이 팁처럼 돌지만 메모리만 멀쩡하면 데이터를 복원할 수 있다. 실제로 경찰청 디지털 증거 분석실 앞엔 반으로 쪼개지거나 새까맣게 그을린 휴대전화가 여러 대 전시돼 있다. 전부 디지털포렌식을 완료한 ‘성공작’들이다.

휴대전화 잠금 비밀번호는 간단해 보이지만 강력한 보안 기술이다. 삼성의 경우 갤럭시7 이후 기종 이후부터 휴대전화에 저장되는 모든 정보를 암호화하는 기술을 적용한 것으로 알려졌다. 우리가 휴대전화 화면을 통해 눈으로 읽는 정보는 이미 한번 암호화한 것을 풀어낸 것이다. 휴대전화 화면을 끄면 그 안의 데이터는 다시 암호화된 상태로 감춰진다. 이 때문에 휴대전화 비밀번호를 풀지 못했다면 데이터를 추출해도 내용을 보기 어렵다.

새로 등장한 안티 디지털포렌식 기법은 클라우드 서비스다. 데이터를 휴대전화 메모리에 남기지 않고 서버에서만 관리하기 때문에 수사기관이 휴대전화 단말기를 확보해도 내용을 복원하기 어렵다. 예컨대 소셜네트워크서비스(SNS) 앱인 인스타그램이나 페이스북 등은 개발사의 서버에서 작동되는 것을 휴대전화로 보여주기만 할 뿐이다. 해당 앱으로 조회한 글과 사진 데이터가 휴대전화에 남지 않는다. 다만 페이스북이나 인스타그램에 내장된 메신저 대화 내용은 휴대전화에 남는다고 한다.

○ ‘포렌식 전쟁’은 속도전


검찰이 이른바 ‘백원우팀’ 검찰수사관 A 씨(48·사망)의 휴대전화 잠금을 푸는 과정은 디지털포렌식과 안티 디지털포렌식의 싸움을 그대로 보여준다. A 씨는 지난해 6·13지방선거를 앞두고 백원우 대통령민정비서관실 소속으로 김기현 당시 울산시장 주변에 대한 경찰의 수사 상황을 점검했다는 의혹을 받다가 1일 숨진 채 발견됐다. 검찰은 아이폰X 기종인 그의 휴대전화에 청와대 직원들과의 텔레그램 대화 내용 등이 남아 있을 수 있다고 보고 이스라엘 정보보안 업체 ‘셀레브라이트’의 장비를 동원해 디지털포렌식을 시도하고 있다.

아이폰은 ‘백도어’(뒷문)라 불리는 보안 취약점을 단단히 걸어 잠가 비밀번호를 모르면 디지털포렌식이 어려운 것으로 유명하다. 미국 연방수사국(FBI)이 2015년 12월 캘리포니아 주 샌버너디노에서 발생한 무슬림 부부의 총기난사 사건과 관련해 테러범의 아이폰 잠금을 해제하기 위해 제조사 애플에 지원을 요청했지만 거절당했다. 당시 테러범 아이폰의 잠금을 해제한 게 셀레브라이트의 장비였다. 이후로 애플은 취약점을 보완하고 셀레브라이트는 이를 뚫으려는 경쟁을 계속하고 있다.

안티포렌식과의 싸움은 쫓고 쫓기는 속도전이다. 휴대전화 제조사가 패치를 통해 암호화 수준을 강화하면 수사기관은 이를 따라잡을 방법을 연구해야 한다. 자본과 인력은 수사기관이 열세다. 경찰의 경우 지난해 전국 105명의 분석관이 4만5103건의 디지털 증거를 분석했다. 1명당 429.6건꼴이다. 정경모 경찰청 디지털포렌식센터 분석관은 “증거 분석에 정신없이 매달리다가도 ‘iOS(아이폰의 운영체계)가 업데이트되면 이를 뚫을 방법에 몰두해야 하기 때문에 항상 인력 부족에 시달린다”고 말했다.

조건희 becom@donga.com·김동혁 기자
#포렌식#속도전#수사#운영체계

당신이 좋아할 만한 콘텐츠


기사 의견

   

주요뉴스

1/3이전다음