“사람은 거짓말을
하지. 그러나 증거는 거짓말하지 않아(People lie. The evidence doesn’t lie).” 국내에서도 인기 높은 미 TV
드라마 ‘CSI 라스베이거스’ 주인공 길 그리섬 반장의 대사죠. 이처럼 화려하진 않지만 사건 뒤에서 묵묵히 ‘증거의 진실’을 찾는 이들이
있습니다. 대검찰청 ‘국가디지털포렌식센터(National Digital Forensic Center·NDFC)’
요원들입니다.
이동현 기자
#증거는 진실만 말한다
대검찰청 국가디지털포렌식센터(NDFC)는 인간의 오감(五感)이 닿지 않는 세계에서 과학의 눈으로 범죄 증거를 찾아낸다. 사진은
NDFC 분석관이 손상된 USB 저장장치를 복원하는 모습. [사진
NDFC]
음식 배달을 하던 조모(당시 27세)씨는 2010년 11월 전주시 전미동의 한 사거리에서 오토바이를 타고 가다 시내버스와 부닥쳤다. 병원으로 옮겨진 조씨는 이틀 만에 숨졌다. 경찰은 시내버스 운전사 임모(53)씨에게 교통신호 준수 여부를 추궁했지만 ‘신호를 위반한 사실이 없다’고 부인했다. 버스 안에 달려 있던 블랙박스 녹화장치에 사고 당시의 영상은 남아 있지 않았다. 결국 경찰은 단순 교통사고로 처리해 사건을 검찰에 송치했다.
묻힐 뻔했던 사건은 ‘과학수사’의 힘으로 반전됐다. 블랙박스 영상이 남아 있지 않은 것을 미심쩍어 한 담당검사는 블랙박스 제조사에 영상 복원 여부를 문의했다. 하지만 ‘복원이 어렵다’는 답변을 받았고 다시 블랙박스를 디지털포렌식센터로 보내 복원을 의뢰했다. 결과는 충격적이었다.
첨단기술을
동원해 복원한 블랙박스 하드디스크에는 범죄의 현장이 고스란히 남아 있었다. 버스는 빨간불이 들어왔는데도 사거리로 진입하고 있었다. 미처 이를
보지 못한 조씨의 오토바이를 들이받고서야 멈췄다.
신호 위반 사실이 드러날 것을 겁낸 운전자 임씨는 사고 현장에 도착한 버스회사 사고 처리 담당자와 증거 인멸을 공모했다. 그러고는 하드디스크를 바꿔치기했다. 복원한 하드디스크 속에는 버스의 신호 위반 장면은 물론 바꿔치기하는 장면까지 담겨 있었다. 임씨와 사고 처리 담당자가 “우리가 신호 위반했는데 기록을 지울까”라고 말하는 대화 녹음 내용도 찾아냈다. 과학수사가 망자(亡者)의 한을 풀어주는 순간이었다.
국가디지털포렌식센터(NDFC)는 대검찰청 산하의 과학수사 지원 전문기관이다. 가장 많이 알려져 있는 과학수사기관은 경찰 수사를 지원하는 ‘국립과학수사연구원(국과수)’이다. 국과수와 NDFC는 비슷한 기능을 하지만 역할은 다르다. 국과수가 경찰 수사 단계의 과학수사 지원을 맡고 있다면, NDFC는 검찰의 기소 단계에서 판단의 근거를 제공하고 법정 증거를 마련하는 역할을 한다. 문서 감정, 법화학 감정 등 중복되는 분야도 있지만 두 기관의 전문 분야도 조금 다르다. 국과수가 부검 등 법의학 분야에서 국내 최고라면 NDFC는 컴퓨터, 휴대전화 등 디지털 범죄 증거 분석 분야에서 최고다. 행동·심리 및 음성 분석과 유전자 감식에 있어서도 최고 권위를 자랑한다.
국과수와 NDFC는 그동안 미묘하게 경쟁하는 것처럼 비치기도 했다. 하지만 지난 6월 국과수와 대검의 업무협약(MOU) 체결을 계기로 상호 협력·보완하는 관계로 발전하고 있다는 평가가 나온다.
NDFC는 2008년 디지털포렌식센터(DFC)라는 이름으로 첫발을 뗐다. 검찰의 과학수사 지원 기능은 이전부터 있었다. 1968년 대검 중수부의 전신인 중앙수사국 산하에 ‘과학수사에 관한 연구단’을 만든 것이 시초다. 84년 중수부 산하에 과학수사운영과를 만들어 체계를 갖췄다. 이어 문서 감정, 유전자 감정, 마약·지문 감정 등으로 영역을 넓혔다.
지금은 대검 차장검사 직속인 과학수사기획관실 산하에 3개 실(室) 167명(2012년 말 현재)이 근무하고 있다. 법화학·문서·심리·영상 및 음성 분석 화재수사 등을 맡는 과학수사담당관실, 컴퓨터와 휴대전화 등 디지털포렌식 업무를 하는 디지털수사담당관실, DNA 분석을 맡고 있는 DNA수사담당관실 등으로 나뉜다. 2011년에는 날로 증가하는 사이버 범죄에 대응하기 위해 사이버범죄수사단을 별도로 출범시키기도 했다. 유관기관 간 협력을 통해 전국 검찰청의 사이버 범죄 수사를 지원한다.
가장 수요가 많은 디지털포렌식 분야는 2007년 서울중앙지검을 시작으로 서울고검 관내에 3곳(서울·인천·수원), 부산·대구·광주·대전고검에 1곳씩이 있다. 전국에 모두 7개 디지털포렌식팀을 운영 중이다.
#단순 사건에서 대형 수사까지
스마트폰을분석하는 ‘모바일포렌식’(사진 위)은 최근 가장 수요가 많은 분야다. 최근 늘고 있는 신종 마약 감식도 NDFC의
주요 업무다. 분석관이 유도체 시약을 주입해 마약을 감식하는 장면(사진 아래). [사진 NDFC] NDFC 직원들은 검찰 수사에서 빠질 수 없는 필수 인력들이다.
이들은 단순 폭력사건에서 화재 현장에 이르기까지 전국을 누비며 실낱같은 증거를 찾아 헤맨다. 서울 서초동 대검청사에 있는 NDFC 분석실에서는
전국 검찰청에서 보내온 증거 분석 작업이 1년 내내 쉼 없이 진행된다.
올해 들어 주목받았던 굵직한 검찰수사에서도 어김없이 NDFC가 참여했다. 국가정보원 정치 개입 의혹 수사, CJ그룹 비자금 수사에 참여했고 전두환 전 대통령 추징금 특별수사팀에서도 맹활약했다.
지난 8월 16일 경기도 성남시 수정구 국가기록원 앞마당에 중형버스를 개조한 버스 한 대가 모습을 드러냈다. 이른바 ‘움직이는 디지털포렌식센터’. NDFC가 자랑하는 이동식 디지털포렌식 차량이었다. 2008년 4억원이 넘는 예산을 투입해 도입한 특수차량이다. 남북 정상회담 회의록 삭제 의혹 수사를 맡은 서울중앙지검 공안2부의 지원 요청으로 투입됐다. 버스에는 방대한 자료를 이미징(복사)하고 간이 분석할 수 있는 서버급 컴퓨터와 분석 장비 등이 탑재됐다.
최근 가장 각광받는 분야는 스마트폰 분석이다. 스마트폰은 개인의 이동 경로는 물론, 통화와 문자메시지, 인터넷 검색 기록까지 모든 디지털 족적(足跡)을 담고 있기 때문이다. 19세기 명탐정 셜록 홈즈가 실제 발자국과 옷에 묻은 흔적으로 범죄 증거를 찾아냈다면 21세기 NDFC 직원들은 휴대전화 분석을 통해 범죄자의 일거수일투족을 찾아낸다.
범죄자들도 이 같은 사실을 잘 알고 있다. 수사가 시작되면 휴대전화에 저장된 데이터를 삭제하거나, 망가뜨리는 경우도 부지기수다. 그러나 웬만한 삭제 기술로는 NDFC의 데이터 복구 기법을 벗어나기 어렵다.
지난해 수원지검은 채무자를 감금·협박해 유리한 내용의 탄원서를 쓰도록 한 A씨에게 감금 및 폭행, 위증교사죄 등을 적용, 구속 기소했다. A씨는 자신의 휴대전화에 저장돼 있던 문자메시지나 음성파일을 모두 삭제한 뒤 여러 번 덮어쓰기하는 방법으로 불리한 증거를 없앴다. 그러나 디지털포렌식팀은 정밀 복구 작업을 통해 채무자에게 탄원서를 쓰도록 강요하는 내용의 음성 녹음 파일을 찾아냈다. NDFC는 여러 차례의 복구 과정을 거쳐 음성 분석을 마쳤고 결국 A씨의 범죄를 입증해냈다. NDFC 관계자는 “단순히 데이터를 복구하는 것뿐 아니라, 음성 영역은 살리고 노이즈는 제거하는 등 음성 분석 기술까지 갖추고 있다. 훼손된 데이터 복구 확률은 더 커지고 있다”고 말했다.
#창과 방패의 대결
NDFC가
최근 집계한 통계에 따르면 증거 분석 의뢰 건수는 연평균 40%씩 늘어나는 추세다. 2010년 4만9689건이었던 의뢰 건수는 2011년
7만182건, 지난해엔 8만7841건에 달했다. 스마트폰의 보급에 따라 디지털 증거 분석 의뢰 건수도 급증하고 있다. 2010년 3563건이던
것이 2011년에는 6412건, 지난해에는 1만9728건으로 연평균 227%씩 증가하고 있다.
NDFC의 가장 큰 고민은 디지털 증거 분석에 대항하는 ‘안티포렌식(Anti Forensic)’ 기술의 발달이다. 한 수사 관계자는 “범죄 증거를 지우려는 범죄자들과 NDFC 간에 ‘창과 방패’의 싸움이 범죄 현장에서 치열하게 전개되고 있다”고 말했다. 실제로 지난 5월 ‘국정원 정치 개입’ 수사 당시 서울경찰청 압수수색을 앞두고 사이버범죄수사대 증거분석팀장이 ‘안티포렌식’ 프로그램을 사용해 컴퓨터 하드디스크에 남아 있던 자료를 폐기한 사실이 드러났다. 지난해 ‘민간인 불법 사찰’ 수사 때에는 관련 인사들이 강력 자기력(磁氣力)을 이용, 하드디스크 자료를 복원할 수 없도록 ‘디가우징(degaussing)’한 사실이 드러나기도 했다.
NDFC는 안티포렌식 기법에 대응하기 위해 지난 5월 국가 차원의 ‘디지털포렌식 연구소’를 설립했다. 연구기획팀과 연구개발팀, 분석회피대응팀 등 3개 팀으로 구성된 연구소에는 관련 분야 박사 학위자를 비롯해 디지털포렌식 전문성을 갖춘 11명의 인력이 배치됐다.
연구소는 범죄자들의 디지털 증거 은닉 및 인멸에 대응하기 위한 신기술을 개발하는 한편, 디지털포렌식 기법을 발전시키기 위한 체계적인 연구도 수행 중이다.
김영대 대검 과학수사기획관은 “지금까지 NDFC가 과학수사 지원 역량을 발전시켜 왔다면 앞으로는 신기술 개발과 범죄자들의 안티포렌식 기술을 돌파할 수 있는 새로운 증거 분석 기법을 만들어내는 데 주력할 것”이라고 말했다.
이동현 기자
#증거는 진실만 말한다
대검찰청 국가디지털포렌식센터(NDFC)는 인간의 오감(五感)이 닿지 않는 세계에서 과학의 눈으로 범죄 증거를 찾아낸다. 사진은
NDFC 분석관이 손상된 USB 저장장치를 복원하는 모습. [사진
NDFC]음식 배달을 하던 조모(당시 27세)씨는 2010년 11월 전주시 전미동의 한 사거리에서 오토바이를 타고 가다 시내버스와 부닥쳤다. 병원으로 옮겨진 조씨는 이틀 만에 숨졌다. 경찰은 시내버스 운전사 임모(53)씨에게 교통신호 준수 여부를 추궁했지만 ‘신호를 위반한 사실이 없다’고 부인했다. 버스 안에 달려 있던 블랙박스 녹화장치에 사고 당시의 영상은 남아 있지 않았다. 결국 경찰은 단순 교통사고로 처리해 사건을 검찰에 송치했다.
묻힐 뻔했던 사건은 ‘과학수사’의 힘으로 반전됐다. 블랙박스 영상이 남아 있지 않은 것을 미심쩍어 한 담당검사는 블랙박스 제조사에 영상 복원 여부를 문의했다. 하지만 ‘복원이 어렵다’는 답변을 받았고 다시 블랙박스를 디지털포렌식센터로 보내 복원을 의뢰했다. 결과는 충격적이었다.
신호 위반 사실이 드러날 것을 겁낸 운전자 임씨는 사고 현장에 도착한 버스회사 사고 처리 담당자와 증거 인멸을 공모했다. 그러고는 하드디스크를 바꿔치기했다. 복원한 하드디스크 속에는 버스의 신호 위반 장면은 물론 바꿔치기하는 장면까지 담겨 있었다. 임씨와 사고 처리 담당자가 “우리가 신호 위반했는데 기록을 지울까”라고 말하는 대화 녹음 내용도 찾아냈다. 과학수사가 망자(亡者)의 한을 풀어주는 순간이었다.
국가디지털포렌식센터(NDFC)는 대검찰청 산하의 과학수사 지원 전문기관이다. 가장 많이 알려져 있는 과학수사기관은 경찰 수사를 지원하는 ‘국립과학수사연구원(국과수)’이다. 국과수와 NDFC는 비슷한 기능을 하지만 역할은 다르다. 국과수가 경찰 수사 단계의 과학수사 지원을 맡고 있다면, NDFC는 검찰의 기소 단계에서 판단의 근거를 제공하고 법정 증거를 마련하는 역할을 한다. 문서 감정, 법화학 감정 등 중복되는 분야도 있지만 두 기관의 전문 분야도 조금 다르다. 국과수가 부검 등 법의학 분야에서 국내 최고라면 NDFC는 컴퓨터, 휴대전화 등 디지털 범죄 증거 분석 분야에서 최고다. 행동·심리 및 음성 분석과 유전자 감식에 있어서도 최고 권위를 자랑한다.
국과수와 NDFC는 그동안 미묘하게 경쟁하는 것처럼 비치기도 했다. 하지만 지난 6월 국과수와 대검의 업무협약(MOU) 체결을 계기로 상호 협력·보완하는 관계로 발전하고 있다는 평가가 나온다.
NDFC는 2008년 디지털포렌식센터(DFC)라는 이름으로 첫발을 뗐다. 검찰의 과학수사 지원 기능은 이전부터 있었다. 1968년 대검 중수부의 전신인 중앙수사국 산하에 ‘과학수사에 관한 연구단’을 만든 것이 시초다. 84년 중수부 산하에 과학수사운영과를 만들어 체계를 갖췄다. 이어 문서 감정, 유전자 감정, 마약·지문 감정 등으로 영역을 넓혔다.
지금은 대검 차장검사 직속인 과학수사기획관실 산하에 3개 실(室) 167명(2012년 말 현재)이 근무하고 있다. 법화학·문서·심리·영상 및 음성 분석 화재수사 등을 맡는 과학수사담당관실, 컴퓨터와 휴대전화 등 디지털포렌식 업무를 하는 디지털수사담당관실, DNA 분석을 맡고 있는 DNA수사담당관실 등으로 나뉜다. 2011년에는 날로 증가하는 사이버 범죄에 대응하기 위해 사이버범죄수사단을 별도로 출범시키기도 했다. 유관기관 간 협력을 통해 전국 검찰청의 사이버 범죄 수사를 지원한다.
가장 수요가 많은 디지털포렌식 분야는 2007년 서울중앙지검을 시작으로 서울고검 관내에 3곳(서울·인천·수원), 부산·대구·광주·대전고검에 1곳씩이 있다. 전국에 모두 7개 디지털포렌식팀을 운영 중이다.
#단순 사건에서 대형 수사까지
올해 들어 주목받았던 굵직한 검찰수사에서도 어김없이 NDFC가 참여했다. 국가정보원 정치 개입 의혹 수사, CJ그룹 비자금 수사에 참여했고 전두환 전 대통령 추징금 특별수사팀에서도 맹활약했다.
지난 8월 16일 경기도 성남시 수정구 국가기록원 앞마당에 중형버스를 개조한 버스 한 대가 모습을 드러냈다. 이른바 ‘움직이는 디지털포렌식센터’. NDFC가 자랑하는 이동식 디지털포렌식 차량이었다. 2008년 4억원이 넘는 예산을 투입해 도입한 특수차량이다. 남북 정상회담 회의록 삭제 의혹 수사를 맡은 서울중앙지검 공안2부의 지원 요청으로 투입됐다. 버스에는 방대한 자료를 이미징(복사)하고 간이 분석할 수 있는 서버급 컴퓨터와 분석 장비 등이 탑재됐다.
최근 가장 각광받는 분야는 스마트폰 분석이다. 스마트폰은 개인의 이동 경로는 물론, 통화와 문자메시지, 인터넷 검색 기록까지 모든 디지털 족적(足跡)을 담고 있기 때문이다. 19세기 명탐정 셜록 홈즈가 실제 발자국과 옷에 묻은 흔적으로 범죄 증거를 찾아냈다면 21세기 NDFC 직원들은 휴대전화 분석을 통해 범죄자의 일거수일투족을 찾아낸다.
범죄자들도 이 같은 사실을 잘 알고 있다. 수사가 시작되면 휴대전화에 저장된 데이터를 삭제하거나, 망가뜨리는 경우도 부지기수다. 그러나 웬만한 삭제 기술로는 NDFC의 데이터 복구 기법을 벗어나기 어렵다.
지난해 수원지검은 채무자를 감금·협박해 유리한 내용의 탄원서를 쓰도록 한 A씨에게 감금 및 폭행, 위증교사죄 등을 적용, 구속 기소했다. A씨는 자신의 휴대전화에 저장돼 있던 문자메시지나 음성파일을 모두 삭제한 뒤 여러 번 덮어쓰기하는 방법으로 불리한 증거를 없앴다. 그러나 디지털포렌식팀은 정밀 복구 작업을 통해 채무자에게 탄원서를 쓰도록 강요하는 내용의 음성 녹음 파일을 찾아냈다. NDFC는 여러 차례의 복구 과정을 거쳐 음성 분석을 마쳤고 결국 A씨의 범죄를 입증해냈다. NDFC 관계자는 “단순히 데이터를 복구하는 것뿐 아니라, 음성 영역은 살리고 노이즈는 제거하는 등 음성 분석 기술까지 갖추고 있다. 훼손된 데이터 복구 확률은 더 커지고 있다”고 말했다.
#창과 방패의 대결
NDFC의 가장 큰 고민은 디지털 증거 분석에 대항하는 ‘안티포렌식(Anti Forensic)’ 기술의 발달이다. 한 수사 관계자는 “범죄 증거를 지우려는 범죄자들과 NDFC 간에 ‘창과 방패’의 싸움이 범죄 현장에서 치열하게 전개되고 있다”고 말했다. 실제로 지난 5월 ‘국정원 정치 개입’ 수사 당시 서울경찰청 압수수색을 앞두고 사이버범죄수사대 증거분석팀장이 ‘안티포렌식’ 프로그램을 사용해 컴퓨터 하드디스크에 남아 있던 자료를 폐기한 사실이 드러났다. 지난해 ‘민간인 불법 사찰’ 수사 때에는 관련 인사들이 강력 자기력(磁氣力)을 이용, 하드디스크 자료를 복원할 수 없도록 ‘디가우징(degaussing)’한 사실이 드러나기도 했다.
NDFC는 안티포렌식 기법에 대응하기 위해 지난 5월 국가 차원의 ‘디지털포렌식 연구소’를 설립했다. 연구기획팀과 연구개발팀, 분석회피대응팀 등 3개 팀으로 구성된 연구소에는 관련 분야 박사 학위자를 비롯해 디지털포렌식 전문성을 갖춘 11명의 인력이 배치됐다.
연구소는 범죄자들의 디지털 증거 은닉 및 인멸에 대응하기 위한 신기술을 개발하는 한편, 디지털포렌식 기법을 발전시키기 위한 체계적인 연구도 수행 중이다.
김영대 대검 과학수사기획관은 “지금까지 NDFC가 과학수사 지원 역량을 발전시켜 왔다면 앞으로는 신기술 개발과 범죄자들의 안티포렌식 기술을 돌파할 수 있는 새로운 증거 분석 기법을 만들어내는 데 주력할 것”이라고 말했다.