왕보안·정보통 수사관과 함께 알아보는 ‘디지털 증거’의 모든 것

디지털 증거로 인정받으려면...무결성·동일성·정당성 등 지켜져야 
 

▲ 정보통 수사관

[보안뉴스= 김의한 학생기자] “선배님! 너무하신 것 아닙니까?” 정보통이 느닷없이 달려와 왕보안에게 불만을 토로했다. “뭐, 뭐가?” “선배님이 제 책상 위에 있던 토스트 드시지 않았습니까!” 우연히 눈에 띈 정보통의 토스트를 먹어버린 것이 화근이었다. 그렇지 않아도 식탐 많기로 소문 나 있는 왕보안은 후배 토스트까지 훔쳐 먹었다는 소리까진 듣기 싫어 일단 발뺌하기로 했다.

“나 아니야 인마! 증, 증거 있어?” 말을 더듬으며 소리치는 왕보안의 말에 정보통은 조용히 손을 뻗어 왕보안의 입술 옆에 묻어있는 포도잼을 닦은 후 손가락을 왕보안의 눈앞으로 내밀었다. “CCTV라도 확인할까요?”

거짓말이 들통 난 왕보안은 이 상황을 어찌 벗어날까 머리를 굴렸다 실없이 웃으며 입을 열었다. “예리한데? 수사관으로서 자세가 돼있네! 하…하하, 아! 참, 디지털 증거에 대해 이야기하기로 했었나?” 어색한 웃음으로 상황을 모면하려 하는 왕보안의 모습에 정보통은 고개를 저었다.

“법원이 사실을 인정하는 근거가 되는 객관적 자료를 증거라고 하지? 그렇다면 디지털 증거는 뭘까?” 왕보안이 자세를 바로잡고 질문했다. “컴퓨터나 모바일 등 디지털 저장매체에 저장돼 있는 증거를 말하지 않을까요?” “그렇지! 그렇게 저장매체에 저장돼 있는 자료뿐만 아니라 네트워크를 통해 전송 중인 자료도 법정에서 신뢰할 수 있고 증거로서 가치가 있다고 판단되면 디지털 증거라고 할 수 있어. 이점이 일반적인 증거와 디지털 증거의 차이점 중 하나야. 디지털 증거는 네트워크로 연결되는 경우가 많기 때문에 사건현장 외부 서버에 남아있을 수 있지. 외부 서버는 국내일 수도 있지만 해외가 될 수도 있어. 이런 특성을 디지털 증거의 초국경성라고 해.”

초국경성에 대한 왕보안의 설명에 정보통은 궁금증이 생겼다. “그럼 초국경성 말고도 일반적인 증거와 달리 디지털 증거가 갖고 있는 특징들이 더 있나요?” “물론, 그 외에도 대여섯 가지의 특성이 더 있어(정보통의 학습노트 참조). 우선 앞서 말한 디지털 자료가 디지털 증거로 거듭나기 위한 요건들에 대해 이야기해줄게.”

▲ 왕보안 수사관

“왕 수사관님, 디지털 증거가 갖추어야 하는 필수요건이 있나요?” 

“우선 수집 이후에 어떠한 변경도 없었다는 것을 증명할 수 있어야 해. 이를 무결성을 확보한다고 표현해. 수사기관이 증거를 분석하는 과정에서 수집한 증거를 실수든 고의든 추가하거나 변경하지 않았다는 것을 판사에게 증명해야 하지. 디지털 증거는 일반적인 증거보다 위·변조가 용이해서 더 신경써야 돼. 변경이 없었다는 것을 증명하기 위해 압수수색 현장의 모든 활동을 촬영하고 압수수색 당사자나 이해관계자를 입회인으로 참석시켜 증거수집 과정을 직접 보고 납득할 수 있도록 하는 것이 바람직해. 이런 일련의 과정을 빠짐없이 행해졌을 때 연계 보관성(Chain of Custody)이 지켜졌다고 하지.”

“두 번째는 동일성이야. 취득한 원본과 법정에 제출된 증거가 변한 것 없이 똑같다는 것을 입증할 수 있어야 해. 만약 조금이라도 데이터가 변형된다면 해당 자료는 증거로서 사용될 수 없게 되지.” 설명을 듣던 정보통이 갑자기 입을 열었다. “선배님. 그럼 원본과 법정에 제출된 증거가 동일하다는 것은 어떻게 증명합니까?” “일반적으로 해시(Hash)값을 이용해. 해시값은 하나의 데이터에서 하나의 값만을 산출해내지. 예를 들어 문서파일에서 한 글자만 달라져도 계산되는 해시값이 달라지게 돼. 그래서 해시를 디지털 증거의 지문이라고 하지. 해시값이 다르면 같은 데이터라고 할 수 없어.”

“세 번째는 정당한 절차와 방법으로 증거를 수집해야 한다는 거야. 기술적인 면도 중요하겠지만 법정에서 증거로 채택돼 증거능력을 발휘하기 위해서는 무엇보다 이러한 정당성이 보장되어야 해. 애초에 디지털 포렌식이 무엇인지 설명할 때 법에서 허용하는 범위 내에서 적법한 절차에 따라서 증거를 수집한다고 말했지? 예를 들어 압수수색을 진행하기 전에 관계자에게 영장을 제시해야 하는데 이 과정을 어기고 강제적으로 증거를 획득했다면 법정에서 채택되기 어려워.”

긴 말을 마친 왕보안은 목이 타는지 물을 두 잔 연달아 들이켰다. “어휴 말을 많이 했더니 배고프네. 몇 시야?” 고개를 들어 사무실 벽에 붙어있는 시계를 쳐다본 왕보안은 정보통의 어깨에 팔을 둘렀다. “얼추 점심시간인데 순댓국이나 한 그릇 먹고 올까?” “선배님, 토스트 드신지 얼마 안 됐는데 또 드실 수 있습니까?” 황당하다는 표정으로 물어오는 정보통의 말에 왕보안이 손가락을 입으로 가져가며 말했다. “어허, 순댓국은 내가 살 테니 토스트 몰래 먹은 건 사무실 사람들한테 비밀로 하자고. 밥 먹고 새로 맡은 사건과 관련해 조언을 들을 사람들이 있으니 서둘러.”

[정보통의 학습노트]

▲ 디지털 증거의 특성

특성	설명
비가시성과 비가독성	디지털 증거는 눈으로 볼 수 없고 읽을 수 없는 0과 1의 조합으로 이루어져 있다.
취약성(변조 가능성)	오류에 의한 손상이나 고의에 의해 위조 및 변조되기 쉬우며, 변조 사실을 찾아내기 어렵다.
복제 용이성	원본과 동일하게 복제하기 쉽고, 복제할 경우 원본과 구분이 되지 않는다.
대량성	디지털 저장매체에 저장돼 있는 정보는 그 양이 방대해 수집·분석 도구를 사용하지 않고서는 증거를 찾기 힘들다.
휘발성	메모리 등에 저장돼 있는 휘발성 정보는 활성상태일 때 수집하지 않으면 영원히 손실돼 수집할 때 주의해야 한다.
초국경성	디지털 데이터는 장소에 구애받지 않아 원격 등으로 위·변조 혹은 삭제하기 용이하다. 타국에 위치한 서버나 컴퓨터에 증거가 존재할 수도 있다.

[왕보안의 사건노트]

<압수절차에서 정당성이 지켜지지 않아 증거능력을 인정받지 못한 사례>  2009년 사행성 오락실을 운영한 혐의를 받은 피고인에 대해 경찰이 영장 없이 컴퓨터 20대와 모니터 1대 그리고 분배기 1대를 압수하고 수사보고서에는 통화를 통해 피고인의 동의를 얻어 ‘보관’했다고 기재했다.  하지만 확인 결과 압수수색 당시 경찰이 피고인과 통화 중 컴퓨터 본체를 가져가겠다고 말을 하자 피고인은 “영업을 안했는데 왜 가지고 가요?”라고 말했을 뿐 동의가 없었음이 드러났다. 이에 법원은 수사기관이 절차의 편의를 위하여 피고인의 명시적인 동의가 없었음에도 마치 동의를 얻은 것처럼 압수를 진행했기 때문에 압수로 인해 수집된 증거 및 이를 기초로 획득한 감정 결과 등의 증거능력을 인정할 수 없다고 밝혔다.  재판 결과 증거능력이 부정된 증거들을 제외하고는 피고인의 혐의를 인정할 수 있는 증거가 없어 피고인은 무죄를 선고받았다.

[글_ 김의한 학생기자(euihan8862@gmail.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>