리퍼트 대사 피습사건에도 활용…자료복구부터 범행의도까지 파악

국가정보원 해킹 프로그램 구입과 관련해 스스로 목숨을 끊은 임모(45) 직원이 생전에 삭제한 자료가 복원될 수 있는 것은 디지털 포렌식 기법 때문이다.

20일 경찰청에 따르면 디지털 포렌식은 PC, 노트북, 휴대전화 등 다양한 디지털 기기에 남아 있는 디지털 증거 자료를 수집, 복구, 분석하는 디지털 과학수사를 말한다.

디지털 증거는 손쉽게 위·변조될 수 있어 디지털 증거의 복구와 디지털 증거의 ‘무결성’이 중요하다.

우선 PC나 휴대전화에 저장된 자료를 삭제했다고 하더라도 저장장치에 그 흔적이 남아 있기에 원칙적으로 복구가 가능하다.

단, ‘디가우징’과 같이 저장매체에 물리적인 변화를 가해 자료를 삭제하면 복원이 어렵다.

디가우징은 강력한 자력으로 컴퓨터 하드디스크의 모든 데이터를 삭제하는 기술이다. 이명박 정부 시절 국무총리실의 ‘민간인 불법사찰’ 의혹이 불거졌을 때 총리실 산하 공직윤리지원관실 직원들이 증거 인멸을 위해 이 방법을 사용했다.

디지털 증거는 범행 당사자뿐 아니라 수사 주체도 훼손할 수 있기에 법정에서 증거로 인정되려면 위·변조되지 않았음이 입증돼야 한다.

여기서 대두하는 것이 ‘해시값’이다. 해시값(Hash Value)은 파일 특성을 축약한 고유 식별값으로, 32자리 숫자로 이뤄졌다.

디지털 증거의 자료 중 일부가 달라지면 해시값 역시 크게 변한다. 일반적으로 수사과정에서 ‘디지털 증거의 지문’으로 통하는 이유다.

디지털 자료를 압수수색할 때 피압수자가 참여한 가운데 원본 디지털 자료의 해시값을 구해두면 수사기관이 압수해간 디지털 자료가 원본과 다름 없음을, 즉 ‘결함 없음’을 입증할 수 있다.

디지털 포렌식은 사이버범죄와 같은 디지털 관련 범죄만이 아니라 다양한 종류의 범죄에서 수사 단서를 제공해준다.

지난 3월 마크 리퍼트 주한미국 대사 피습사건에서 경찰은 범인 김기종(56) 씨의 PC를 포렌식해 ‘오바마 키’, ‘키리졸브’, ‘형법’ 등을 검색한 것을 확인, 김씨가 사전에 범행을 준비했을 밝혀냈다.

지난 1월 터키에서의 김모(18) 군 실종사건과 관련해 김군이 자발적으로 시리아 접경지역으로 이동한 것으로 경찰이 결론을 내릴 수 있었던 것은 디지털 포렌식 덕분이었다.

김군의 PC를 분석한 결과 김군이 터키 여행정보, IS 관련 신문기사 등 65개 사이트를 즐겨찾기 목록에 등록했고, 지난 1년간 IS, 터키, 시리아, 이슬람 등의 단어로 517회 검색한 점이 나타났기 때문이다.

체계적인 디지털 포렌식을 지원하기 위해 지난 2008년 8월 대검찰청에 ‘국가디지털포렌식센터’가 설치됐다.

경찰청에는 지난해 3월 사이버안전국이 신설되면서 ‘디지털포렌식센터’가 문을 열었다.

연합뉴스