대검 서버 '디넷' 관련 별건수사 논란에
휴대폰 정보 '통째 저장'하는 이유 설명
"재판에서 증거 무결성 입증 위해 필요"
"압수된 휴대폰 봉인 해제하겠습니다."
16일 서울 서초구 대검찰청 내 국가디지털포렌식센터(NDFC). 한 검찰 포렌식 요원이 회색 봉투에 붙은 노란색 봉인용 스티커를 떼어내, 그 속에서 삼성전자 스마트폰 한 대를 꺼내 들었다. 휴대폰을 USB 케이블로 분석관 컴퓨터에 연결하고, 포렌식용 프로그램에 접속하자 화면에 '기기검색 중'이라는 문구가 떴다. 이윽고 'SAMSUNG Galaxy S9 SM-G960N'라는 기기 정보와 함께 해당 기기를 들여다 볼 맞춤형 프로그램들이 제시됐다. 이제 수사기관이 이 휴대폰을 들여다볼 수 있는 첫 단추가 꿰어졌다. 범죄 수사에 필요한 증거를 찾는 재료를 준비할 '디지털 포렌식'이 시작된 것이다.
이번 포렌식은 실제 수사를 위한 것이 아닌, 이해를 돕기 위한 시연이다. 대검 과학수사부 디지털수사과는 이날 출입기자단을 상대로 모바일 포렌식 시연회를 열었다. 최근 검찰이 압수수색 영장 범위를 벗어난 전자정보를 '통째로' 저장해 보관하는 관행을 두고 '별건 수사'를 한다는 의혹이 제기되자 "전혀 그렇지 않다"며 실제 포렌식 절차를 공개하고 나선 것이다. 허정 대검 과학수사부장은 "국민이 투명하게 (포렌식) 절차를 다 아는 게 중요하다"고 시연회 개최 배경을 설명했다.
데이터 '통째 저장'하는 이유
휴대폰 포렌식 과정은 '획득-분석-선별-추출'로 요약된다. 먼저 기초 작업인 '이미징'부터 시작한다. 휴대폰에 저장된 '메시지' 등 데이터들은 모두 '0'과 '1'(2진수)로만 저장되는데, 이걸 그대로 복제하는 과정을 뜻한다. 획득 가능한 영역 전부를 이미징한 파일을 통으로 복제해 '전부이미지'를 확보하게 된다. 이날 시연을 진행한 박기문 대검 디지털수사과 모바일포렌식 팀장은 "컴퓨터는 포렌식 도구(USB)를 해당 컴퓨터에 연결해 곧바로 개별 파일을 분석해 선별하면 되지만, 휴대폰은 '이미징' 작업이 선행돼야 한다"고 설명했다.
이는 각각의 데이터들을 모두 쪼개어 분산 저장하는 모바일 환경의 특성 때문이다. 달리 말해 휴대폰 기기에서는 원하는 정보만 뽑아 추출하는 게 불가능하다는 것. 가령 카카오톡 메신저로 "지금 집 앞이야"라는 메시지와 함께 사진 한 장을 '홍길동'에게 보냈다면, 대화 상대방(홍길동)과 메시지 내용, 그리고 사진 파일은 모두 각각의 폴더에 따로 저장된다. 이 때문에 메시지 내역을 확인하기 위해선 전체 데이터를 복제한 뒤 자동 분석 툴을 거쳐 곳곳에 저장된 정보를 합쳐 봐야 한다.
분석 작업을 마쳤으면 휴대폰 주인(피압수자)의 참관 순서다. 혐의사실과 관련 있는 정보를 추출해, 포렌식 분석실에서 수사팀에 수사·재판용으로 전달할 증거를 구분하는 절차다. 메시지나 사진 등을 선택한 뒤 이를 하나의 '선별 자료' 엑셀 파일로 목록화하는 추출 작업까지 마치면 압수된 휴대폰을 돌려받을 수 있다. 피압수자는 수사팀이 가져간 휴대폰 속 정보 목록도 함께 교부받는다. 이때 처음에 생성해 둔 전부이미지는 원칙적으로 삭제해야 한다.
다만 예외도 있다. 검사가 '피압수자가 향후 증거 출처와 위조 가능성을 다툴 가능성이 있겠다'고 판단할 경우, 휴대폰의 전부이미지를 검찰의 서버인 '디넷(D-NET)'에 보관할 수 있다. 이는 검사의 공소유지 과정에서 피압수자가 압수 휴대폰에서 나온 메시지에 대해 "증거가 조작됐다"거나 "내가 보낸 것이 아니다"고 주장하는 경우를 대비한 것이다. 형사소송법상 과학적 방법으로 증거의 진정성을 입증해야 한다는 원칙이 있어 불가피하다는 게 검찰의 설명이다.
"디넷 보관된 정보, 수사팀 접근 불가"
일각에선 검찰이 디넷에 저장된 전체 정보를 언제든 꺼내어 볼 수 있다는 의심도 제기됐다. 전부이미지 파일을 포렌식 도구에 넣으면 이미지 내용을 볼 수 있는데, 이를 '별건 수사'에 활용하는 것 아니냐는 지적이다. 하지만 검찰은 "수사팀의 접근은 엄격히 금지된다"고 맞섰다. 호승진 대검 디지털수사과장은 "전부이미지는 수사팀 검사들에게 전달되지 않고 선별된 자료만 전달된다"며 "재판 중 증거의 무결성(위·변조되지 않았음)을 증명하라고 판사가 주문할 때만 제한적으로 활용되는 것"이라고 강조했다.
아울러 전부이미지를 보관할 때 피압수자에게는 보관 사실과 사유를 모두 고지해야 하고, 영구 보관 역시 금지돼 있다고 한다. 기소될 경우에는 재판이 끝나 형이 확정되면, 불기소 처분이 내려진 경우에는 그 즉시 폐기해야 한다.
그러나 '통째 저장' 여부를 검사의 재량에 기댄다는 한계는 여전하다. 재판에서 증거의 진정성을 다툴 것 같은 피압수자를 수사과정에서 미리 판단해야 하지만, 세부 규정이 없이 오로지 검사의 몫이다. 호 과장은 "전부 이미지가 없더라도 '어떤 기준이 확보되면 동일성·무결성을 인정하겠다'고 법원에서 판단해준다면 저희도 필요 이상의 자료를 보관할 필요는 없다"며 "그런 부분을 법원과 협의하고 있다"고 했다.
검찰의 자정 노력도 계속되고 있다. 대검은 전자정보 보관의 투명성을 높이기 위해 이달 1일자로 내부 규정을 손봤다. 개정된 '디지털 증거의 수집·분석 및 관리 규정' 예규에 따르면, 디넷에 등록된 전부이미지는 법정 재현이나 검증, 해당 사건의 수사나 공소 유지에 필요한 경우 등에만 접근할 수 있다는 점이 명확히 규정됐다.
기사 URL이 복사되었습니다.
댓글0