돌고돌아 뽀스피스

대검찰청 국가디지털포렌식센터(NDFC)
“작은 스마트폰 한대에도 범인의 이동경로·흔적 범행동기까지 담겨있어..
이런 디지털 증거들 찾아 범죄의 진실을 찾아내죠“
현장서 찾아낸 자료 분석해 분석 보고서는 수사팀 보내고 법정 증인으로 참여하기도

#. 지난해 6월 서울중앙지검에서 서울 근교의 한 기업에 대한 압수수색에 나섰을 때 일이다. 

현장 사무실에서 컴퓨터 하드디스크를 분석하고 있는데 외부에서 누군가 원격으로 데이터 삭제를 시도하는 정황이 포착됐다. 수사관들은 급히 원격침투를 막은 뒤 하드디스크 본체를 떼내 가져왔다. 

압수수색에서 본체를 들어내오는 경우는 흔치 않다. 개인정보 보호를 위해 필요한 부분만 이미징(복사)을 해서 분석을 하는 경우가 대부분이기 때문이다. 

중앙지검은 누가 왜 삭제를 시도했는지를 밝히기 위해 대검 컴퓨터포렌식팀에 수사지원을 요청했다. 

대검찰청 국가디지털포렌식센터 컴퓨터포렌식팀의 김준호 팀장(수사관) 등은 꼬박 일주일에 걸쳐 IP 추적과 기존 데이터 복구를 통해 사건의 전모를 밝혀냈다. 

수사결과 해당 업체의 본사가 있는 모 지역에서 범죄혐의와 관련된 자료를 삭제하기 위해 원격 삭제를 시도한 것으로 밝혀졌다.



"이 작은 스마트폰 하나에 범인의 이동경로, 흔적, 심지어 범행동기까지 담겨 있습니다. 통화 기록부터 사진, 동영상, 문자메시지, 인터넷 검색기록 등을 하나하나 복원하다 보면 사건 해결에 유용한 단서들이 쏟아져나오죠. 이런 디지털 증거는 범죄의 진실을 보여줍니다."

서울 서초동 대검찰청 국가디지털포렌식센터(NDFC·National Digital Forensic Center) 5층에 자리잡은 모바일포렌식팀의 소재열 분석관(수사관)은 범죄 증거물로 채택된 스마트폰을 들어보이며 이렇게 말했다.

19일 디지털포렌식센터에 따르면 최근 2~3년 새 스마트폰의 급속한 확산과 함께 모바일기기 증거 분석 건수는 급격히 늘고 있다. 모두 5명의 수사관이 근무하는 이곳에서는 수사관 한 명이 매일 1대꼴로 스마트폰을 분석하는 '강행군'을 하고 있다. 여름 휴가철 잠깐 한가한 틈을 제외하면 1년 내내 똑같은 일이 쉼없이 반복된다.

■디지털 증거,진실을 말한다

같은 층에 위치한 컴퓨터포렌식팀도 사정은 별반 다르지 않다. 이 팀은 모바일기기를 제외한 컴퓨터 하드디스크, 이동식저장장치(USB), 폐쇄회로TV(CCTV), 블랙박스 등 모든 디지털기기의 증거분석을 담당하고 있다. 겉보기엔 딱딱한 사무용 의자에 앉아 하루종일 증거자료만 분석하는 지루한 업무를 수행하는 것처럼 보인다. 실제로 중요 증거자료에 대한 정밀 분석에 들어가면 일주일이고 열흘이고 자료분석에만 매달리기도 한다.

컴퓨터포렌식팀의 김 팀장은 "밖에서 보는 것과 달리 컴퓨터포렌식팀 수사관들은 업무와 관련해 한시도 긴장의 끈을 늦출 수 없다"고 말한다. 압수수색에 동행해 현장 자료를 수집하다보면 예기치 않은 일이 종종 발생하기 때문이다. 

김 팀장은 "일반적인 압수수색에 비해 포렌식팀이 투입될 경우 시간이 배 이상 늘어난다"며 "가령 30㎡ 남짓한 사무실에서 문서자료만 압수하면 2~3시간이면 끝나지만 컴퓨터가 포함되면 1대당 보통 1~2시간 정도, 컴퓨터가 4대만 있어도 한나절이 걸린다"고 말했다.

현장에서 자료를 가져온 뒤에는 본격적인 자료 분석이 시작된다. 수사관들이 가져온 증거자료는 먼저 디지털수사망팀에 보관된다. 이후 각 팀장이 분석관을 지정해 자료를 나눠준다. 여러 사람의 손을 거칠 경우 증거가 훼손되거나 왜곡될 수 있기 때문이다. 자료를 나눠받은 분석관은 자료분석 후 분석보고서를 작성해 수사팀에 보내고 법정 증인으로 참여하기도 한다.

■범죄 진화에 밤샘근무 일쑤 

업무량은 느는데 인원은 한정돼 있다 보니 포렌식센터 수사관들에게 야근은 거의 일상이다. 한 달에 적게는 10번, 많게는 20번가량 진행되는 압수수색을 지원하고 자료 분석에 매달리다 보면 몸은 녹초가 되기 십상이다. 지난해 8월 남북 정상회담 회의록 삭제 의혹을 수사할 당시 디지털포렌식 수사관 중 한 명은 증거 분석에 열중한 나머지 허리디스크 파열로 한동안 병원 신세를 지기도 했다.

그렇다고 일을 대충 할 수도 없다. 사건 하나하나가 당사자들에게는 운명을 좌우하는 중요한 일이기 때문이다.

업무량이 많은 것도 문제지만 분석관들의 가장 큰 고민은 디지털 증거 분석에 대항하는 '안티포렌식(Anti Forensic)' 기술이 진화하고 있다는 것이다. NDFC 인재양성팀 김성배 수사관은 "하나의 수사 기법을 개발하면 이에 대응하는 역기능이 함께 존재하는 것이 디지털포렌식 기법"이라며 "범죄 증거를 지우려는 범죄자들과 NDFC 간에 '창과 방패'의 싸움이 범죄 현장에서 치열하게 전개되고 있다"고 말했다.

NDFC는 급기야 안티포렌식 기법에 대응하기 위해 지난해 5월 국가 차원의 '디지털포렌식연구소'를 설립했다.

■미래유망 직종으로 부상

디지털포렌식 수사에 대한 관심이 늘면서 센터를 견학하려는 이들과 수사관이 되기 위해 도전을 하는 젊은이들도 점차 늘고 있다.

현재 NDFC는 두가지 방법으로 수사관을 선발하고 있다. 하나는 검찰 수사관 중 디지털포렌식 수사관에 지원하는 이들을 대상으로 6개월간의 교육과정을 이수하게 한 뒤 수사관으로 선발하는 것이다. 또다른 방법은 외부에서 전문가를 초빙해 수사관이나 연구원으로 특채를 하는 방법이다. 내부 및 외부선발은 8대 2의 비율로 매년 상·하반기 두차례에 걸쳐 시행된다. 디지털포렌식은 전문자격을 인정하는 공인인증기관이 없다. 따라서 평소 컴퓨터 보안, 전산회계 등 관련 자격증을 획득하고 정보기술(IT) 전반에 걸친 지식을 꾸준히 습득하는 것이 유리하다.

김 수사관은 "디지털포렌식은 단지 형사사건과 관련된 수사목적뿐만 아니라 민사사건, 기업체 등에서도 널리 필요로 하는 분야이기 때문에 발전 가능성이 높다"며 "디지털포렌식 전문가를 꿈꾸는 젊은이들의 관심과 문의가 계속 늘어나고 있다"고 말했다.

bsk730@fnnews.com 권병석 기자