경찰청 사이버안전국 디지털포렌식센터 직원이 압수한 하드디스크드라이브(HDD)의 디지털포렌식 작업을 하고 있다. 경찰청 제공
경찰청 사이버안전국 디지털포렌식센터 직원이 압수한 하드디스크드라이브(HDD)의 디지털포렌식 작업을 하고 있다. 경찰청 제공
‘청와대 하명수사 및 선거 개입’ 의혹 수사에 참여한 뒤 숨진 수사관 A씨의 스마트폰 압수수색을 놓고 검찰과 경찰이 대립각을 세우고 있다. 지난 16일 민갑룡 경찰청장은 “사망 원인 등 많은 의혹이 제기된 상황에서 책임지고 수사해야 하는 게 경찰”이라며 A씨의 스마트폰에 대한 압수수색 권한을 재차 주장했다. A씨의 스마트폰은 1일 숨진 A씨가 발견됐을 당시 서초경찰서가 인수했지만, 다음날인 2일 서울중앙지방검찰청이 압수했다. 경찰은 이 스마트폰의 디지털포렌식에 ‘참여’하겠다고 주장하는 반면 검찰은 ‘참관’만 하라는 입장을 고수하고 있다.

검경이 디지털포렌식 권한을 놓고 이처럼 대립각을 세우는 건 디지털포렌식을 통해 확보할 수 있는 증거가 향후 수사에서 ‘스모킹 건(결정적 단서)’이 될 가능성이 있어서다. 디지털포렌식은 PC와 노트북 등 각종 디지털 기기나 인터넷에 있는 데이터를 수집하고 분석해 범죄 단서를 복원하는 수사기법이다. 경찰에서만 한 해 5만 건가량의 디지털포렌식 작업이 이뤄지는 가운데 보안을 지키려는 정보기술(IT) 업체와 보안을 뚫고 증거를 확보하려는 수사기관 사이에서 ‘창과 방패’의 대결이 지금도 계속되고 있다.

‘고유정 사건’ 수사에 디지털 증거 결정적

완전범죄 꿈꾼다고?…불에 탄 휴대폰·TV는 범인 알고 있다
디지털포렌식이 일반인에게 알려지게 된 결정적 계기는 2016년 ‘최서원 국정농단’ 사태에서 최씨가 사용한 것으로 알려진 태블릿PC가 박근혜 전 대통령의 공무상 기밀 유출 등 혐의를 입증하는 데 결정적인 자료로 활용되면서부터다. 하지만 포렌식이 국내에서 증거 확보의 일환으로 쓰인 건 이보다 16년 앞선 2000년 경찰이 ‘사이버테러대응센터’를 설치하면서부터다. 이 센터에 생긴 ‘기법개발팀’이 경찰 최초의 디지털 분석 부서였다. 이후 경찰 내 디지털포렌식 부서는 2010년 디지털포렌식팀, 2014년 디지털포렌식센터로 격상됐다.

부서가 확장되면서 수사기관의 디지털 증거 분석 건수도 늘어났다. 추경호 자유한국당 의원이 경찰청에서 받은 자료에 따르면 경찰의 연도별 디지털 증거 분석 건수는 2014년 1만4899건에서 지난해 4만5103건으로 증가했다. 4년 만에 세 배로 뛰었다. 올해는 1~8월에만 3만8651건을 기록, 디지털포렌식 연간 5만 건 시대에 들어설 전망이다.

지난 11월 집단 성폭행으로 징역형을 선고받은 정준영 등이 참여한 ‘카톡 대화방’ 내용은 한 민간 디지털포렌식 업체가 확보한 결과물이다. 5월 자신의 전남편과 자녀를 숨지게 한 혐의로 재판을 받고 있는 고유정도 디지털포렌식을 피하지 못했다. 수사 결과 고씨가 범행 2주 전 ‘니코틴 치사량’ ‘뼈의 무게’ ‘뼈 강도’ 등을 검색한 사실이 드러났다.

“메모리 있는 장치면 포렌식 대상”

완전범죄 꿈꾼다고?…불에 탄 휴대폰·TV는 범인 알고 있다
경찰이 디지털 증거를 수집하는 대상으론 스마트폰이 전체의 80%가량을 차지한다. 올 1~8월 경찰이 디지털포렌식을 했던 3만8651건 중 82%인 3만1746건이 스마트폰 등 모바일 기기다. 하지만 데이터를 저장하는 장치를 갖추고 있다면 어떤 기기든 디지털 증거 수집 대상이 될 수 있다. 사물인터넷(IoT) 기술 확산으로 로봇청소기, 냉장고 등의 가전제품도 경찰이 주목하는 디지털포렌식 대상이다.

경찰청 디지털포렌식센터 관계자는 “스마트TV에서 디지털 정보를 수집해 증거를 확보한 사례도 있다”며 “불에 탄 휴대폰이라도 메모리가 손상되지 않았다면 디지털 증거 수집이 가능하다”고 설명했다. 메모리가 있는 장치면 어떤 것이든 유용한 증거로 쓰일 수 있는 셈이다.

디지털포렌식이 언제나 성과를 내는 건 아니다. 스마트폰 제조사를 비롯한 IT 업체들이 제품 신뢰도를 높이기 위해 보안을 강화하면서 디지털포렌식에 어려움이 발생할 수 있어서다. 구형 스마트폰은 디지털포렌식 노하우가 축적돼 2주가량의 단기간에도 증거 확보가 가능하다. 하지만 최신 기종의 스마트폰은 더 강력한 보안 시스템이 적용된 데다 포렌식 사례도 축적되지 않아 증거를 수집하는 데 시간이 얼마나 걸릴지 불투명하다. 숨진 수사관 A씨의 스마트폰은 2017년 출시된 ‘아이폰Ⅹ’으로 최신 버전의 운영체제(OS)가 설치돼 있다. 안면 인식을 해야 보안을 해제할 수 있는 기능, 비밀번호를 10회 이상 틀리면 저장된 데이터를 삭제하는 기능을 갖추고 있다. 이 때문에 검찰은 A씨의 스마트폰에서 증거를 얻어내는 데 어려움을 겪고 있는 것으로 알려졌다.

보안 기술이 강력해지고 있지만 디지털포렌식 분야의 인력 부족은 여전하다. 경찰에 있는 디지털포렌식 분석관 수는 2014년 60명에서 올해 150여 명으로 5년 새 2.5배가 됐다. 하지만 디지털 증거 분석 건수는 같은 기간 세 배 이상으로 급증했다. 올해 5만 건가량의 디지털 증거 수집이 이뤄지는 걸 고려하면 1명당 연간 330건 정도를 맡아야 한다는 얘기다.

‘민간’ 디지털포렌식 업체도 성행

디지털포렌식의 중요성이 커지면서 지방자치단체도 디지털 증거 확보 능력을 키우는 데 힘을 쏟고 있다. 서울시는 2017년 전국 지자체 최초로 디지털포렌식 장비를 도입해 2017년 14건, 지난해 64건, 올해 47건의 디지털 증거를 수집했다. 경기도를 비롯한 다른 시·도에서도 서울시의 디지털포렌식 수사기법을 참고하는 등 앞다퉈 자체 증거 수집 인력을 확충하고 있다. 이달 12일 서울시 특별사법경찰인 민생사법경찰단이 시청에서 연 워크숍엔 전국 17개 광역시·도, 서울 내 25개 자치구 특사경이 모두 참석할 정도로 관심이 집중됐다.

검경에서 활동했던 분석관이 차린 민간업체에 포렌식을 문의하는 사례도 늘어나고 있다. 과거엔 기업에서 사내 감사를 위해 PC를 위주로 포렌식을 요청하는 일이 많았지만 최근엔 민사 소송에서 자신의 주장을 입증하기 위해 개인 차원에서 스마트폰, 폐쇄회로TV(CCTV), 블랙박스 등의 포렌식을 문의하는 사례가 전체의 절반을 차지한다는 게 디지털포렌식업계의 이야기다.

전유형 한국디지털포렌식센터 기술이사는 “정준영 사건 후 하루에 10건씩 포렌식 문의가 들어온다”며 “지난해 이맘때보다 문의가 세 배는 증가한 것”이라고 말했다. 이어 “민간 포렌식 업체가 늘어나면서 의뢰인의 정보를 어떻게 취급·관리하느냐도 중요해졌다”며 “민간업체의 포렌식 자료가 유출됐던 정준영 사건 사례에서 보듯 디지털포렌식 업체에도 변호사에 준하는 비밀보장 의무가 요구돼야 한다”고 지적했다.

이주현/배태웅 기자 deep@hankyung.com