닫기

‘디지털캐비닛·통신사찰’ 논란에…검찰 ‘모바일포렌식’ 절차 공개

기사듣기 기사듣기중지

공유하기

닫기

  • 카카오톡

  • 페이스북

  • 트위터 엑스

URL 복사

https://edu.asiatoday.co.kr/kn/view.php?key=20241016010009018

글자크기

닫기

박세영 기자

승인 : 2024. 10. 17. 18:36

검찰 "전부이미지 법원과 협의 중, 과도기적 과정"
압수물
밀봉된 압수물 예시./박세영 기자
"최근 '디지털캐비닛'이다 '통신사찰'이다 말이 나오는데 이런 논란들을 불식시키고자 어떤 절차를 통해 포렌식이 진행되고 이것들이 어떻게 증거로 활용되는지, 또 어떻게 관리가 되고 있는지 필요성들을 직접 설명드리고 투명하게 공개하기 위해 이 자리를 마련했다."

지난 16일 오후 허정 대검찰청 과학수사부장은 국가디지털포렌식센터(NDFC)에서 열린 모바일 포렌식 시연회에서 최근 불거진 전자정보 보관에 대한 의혹들에 대해 "지금은 다 컴퓨터나 모바일 등에 중요 정보들을 넣어둔다. 포렌식은 생각하는 것과 실제 보는 것이 많이 다르다. 기본적으로 국민들이나 수사를 받는 대상들이 절차를 아는 것이 중요하다. 그래야 의심을 안 가질 수 있다"며 이같이 말했다.

대검에 따르면 모바일 포렌식은 크게 △획득(전부이미지) △분석(가시화 작업) △선별 △추출(선별이미지) 순으로 진행된다.

박기문 대검 디지털수사과 모바일포렌식 팀장은 "실무적 관점에서 '전부이미지'다 '선별한 것이다' 하는데 전부이미지는 용어상 모바일 메모리에 있는 메모리 전부를 복제한 것이 아니냐고 생각할 수 있지만 실무에서는 그렇지 않다. 모바일 폰들이 요즘은 강화되고 있어서 실질적으로 획득 영역이 제한돼 있어 일부 부분을 제외한 획득 가능한 부분을 뜬 것을 전부이미지했다고 표현한다. 선별이미지는 범죄 사실과 관련된 데이터를 추출한 것들을 의미한다"고 설명했다.
모바일 포렌식은 컴퓨터 포렌식과 다르게 도구를 바로 연결해 분석을 할 수 있는 구조가 아니다. 때문에 반드시 모바일에 있는 메모리를 복제해야 한다. 복제 후 해당 이미지파일을 가지고 다시 PC에서 분석 작업이 이뤄지는 형태다.

박 팀장은 "전부이미지 파일은 수사팀이 접근하지 못하도록 보관되고 관리되고 있다. 전부이미지가 보관이 필요하면 피압수자에게 고지를 하고 교부한다. 이어 확인서까지 거쳐 압수수색을 종료하게 된다"고 밝혔다.

검찰은 실제 모바일 포렌식 진행시 피압수자에게 안내문을 제시(참관 등)하고 만일 피압수자가 참관하지 않겠다고 하면 참관실 자체도 봉인을 하고 있다고 설명했다. 특히 CCTV가 24시간 현장 상황을 촬영하고 있어 절차상 무해를 담보하고 있다고도 했다. 박 팀장은 "피압수자에게 참관 의사를 현장에서 묻고 다 확인한다. 만약 참여하겠다고 하면 일정을 잡아서 같이 참여하에 작업을 하게 된다"고 말했다.

대검 측은 컴퓨터 포렌식은 '단독파일'이지만 모바일포렌식은 '데이터베이스'라며 두 개의 영역에서 관리되는 데이터 저장과 관리 방법이 다르다고 전했다.

컴퓨터 포렌식은 독립된 파일로 압수 자체도 파일 단위로 압수가 이뤄진다. 즉 단일 파일 단위 압수 및 해시가 가능한 것이다. 반면 모바일 포렌식은 예를들어 상대방과 채팅창에 메시지를 입력하면 '메시지DB'라는 곳에 하나의 레코드로 남게 되는데 누군가와 대화를 하면 대화 상대방은 또 다른 '대화상대DB'의 한 칸을 차지하게 된다. 첨부파일 까지 있다면 첨부파일도 '또 다른 영역'에 존재하고 있는 셈이다.

뿐만 아니라 이 데이터들이 다 암호화가 돼 있어 해제를 해야하는 과정을 거치게 된다고 설명했다. 박 팀장은 "이 조합과 해제라는 일련의 과정을 거쳐 나온 것이 텍스트 한 줄인데 우리에게 보여지는 것은 텍스트 한 줄이지만 그 배경에는 큰 덩어리가 많이 있다"고 강조했다.

대검 측은 이날 전부이미지의 디지털 정보와 관련해 '통째 보관' 논란에 대해 "많은 분들이 우려와 오해를 하니 일선 검사들에게 최소화 해야한다고 하고 있다"며 "전부이미지 보관에는 정답이 없고 무조건 필요하다고 해서 가지고 있는 것만이 능사는 아니다"라고 밝혔다.

호승진 대검 디지털수사과장은 "전부이미지 보관에는 정답이 없다. 만일 검찰이 전부이미지가 필요하면 동일 부결성 보관 취지를 설명해주고 보관하는데 별도의 서버에서 보관하고 있어 내용을 살펴보지도 않는다"며 "결국은 사건별로 판단할 수 밖에 없다. 동일성 무결성 인정 과정을 프로토콜화 해서 어떤 기준을 마련하면 좋을 것 같긴하다. 사실 검찰도 법원하고 협의를 하고 있어 과도기 적인 과정에 있다. 이 과정에서 특정 일부 사건은 전부이미지 보관이 불가피하다고 말씀드린다"고 전했다.

이어 "제3의 장소에 보관도 가능하다고 생각한다. 법원에서 해도 되지만 별도 시스템 구축에 따른 예산이 들어가기 때문에 수사 당사자 등의 의사에 따라 (전부이미지를) 맡겨보는 것도 하나의 아이디어가 될 수 있을 것 같다"고 덧붙였다.

Cap 2024-10-16 21-57-30-831
실제 모바일포렌식 구조/대검찰청
박세영 기자

ⓒ 아시아투데이, 무단전재 및 재배포 금지

기사제보 후원하기