할리우드 영화 007시리즈나 미션임파서블 시리즈 등을 보면 어김없이 등장하는 것이 바로 국가정보요원들. 국가의 미래와 안보를 위해 목숨을 건 ‘기밀 탈취’를 시도 한다. 이때 등장하는 것이 바로 해킹 기술과 첨단 컴퓨터 기기들이다. 한치의 오차도 허락되지 않는 급박한 상황속에서 무사히 임무를 완수하고 유유히 수사망을 빠져나간다.

그런데 만약 이러한 상황이 범죄를 위해 쓰여진 시나리오였다면…. 생각만해도 아찔하다. 그렇지만 이런 걱정은 붙들어 매시길! 이제 영화는 단지 영화로만 기억해야 할 듯 하다. 정보유출을 미연에 방지하는 것은 물론 사이버 범죄 수사에 적용되는 포렌식이 있기 때문이다. 국내외에서 발생되고 있는 사이버 범죄 트렌드와 수사기관에서 활용하고 있는 포렌식 사례, 또한 포렌식 도구와 사용기술에 대해 취재했다.

사이버 범죄 트렌드 & 수사기관 포렌식 사례

걱정되십니까? 포렌식에서 해답을 찾으십시오!

디지털 증거분석이 거둬들인 수사 성과들은 이루 말할 수 없이 많다. 경찰청 사이버테러대응센터와 지방청의 사이버범죄수사대는 지난해 8만1천338명의 검거 실적을 자랑한다. 정말 대단한 ‘포렌식’이다.

하지만, 우리나라에서는 디지털 증거가 법정에서 ‘진짜’ 증거로 인정받기 위한 법·제도들이 정비되지 못하고 있다. 어느 때보다 포렌식에 대한 관심이 증폭되고 있는 이 때에 디지털 증거의 ‘위력’을 여실히 보여준 사례들을 알아본다. 또한 그동안 국내외 사이버 범죄 사건들은 어떤 특징을 지녔는지, 덧붙여 전문가들의 조언 및 방향도 되짚어 보았다.

‘기업의 서버에 침투해 중요 정보를 유출해 간 사건이 발생했다’

‘A게임사이트 회원들 정보 유출’

‘불법 스팸문자 발송으로 부당 이득 챙긴 일당 검거’

모두가 최근 사회면을 장식했던 기사 헤드라인이다. 불과 몇 년전까지만 해도 이런 내용의 기사를 보면, 약간의 흥미를 가지나 이내 관심을 접게 된다. 이유는 자신들에게 이런 상황이 발생하지 않으리라는 생각 때문이다.

즉, 나의 일이 아니라는 것이다. 하지만, 피해 정도가 불특정 다수로 확산되고 빈번해 지면서 사정이 달라졌다. 거기에 날로 교묘해지고 지능화된 수법으로 인해 ‘앉아서 코 베인다’다는 속담처럼 금전적 손해도 속출하고 있다. 사이버 범죄를 소탕시킬 만한 대책은 무엇인가. 그 해답은 포렌식에서 찾을 수 있다.

포렌식이 아니면 사이버 수사는 불가능하다

디지털 증거분석은 수사 현장에서 이미 중요한 몫을 차지하고 있다. 경찰청 사이버테러대응센터와 지방청의 사이버범죄수사대는 지난해 8만1천338명의 검거 실적을 올렸다. 이 과정에서 CD나 파일 복구, 로그 기록 분석 등 다양한 디지털 증거분석 기법들이 활용됐다.

디지털 증거분석(Digital Forensics, 디지털 포렌식)의 법·제도적 근거 마련을 요구하는 목소리가 높아지고 있다. 디지털 증거분석이란 저장 매체에 남아 있는 자료를 통해 범죄 단서를 찾는 최신 수사 기법. 해킹이나 피싱은 물론 개인정보 유출처럼 IT와 직·간접적으로 연관된 범죄가 늘면서 중요성이 크게 부각되고 있다.

 

사이버 범죄자를 추적하는 것은 보통 감염된 컴퓨터로부터 악성 코드를 역 엔지니어링하여 봇이 보고하는 서버 및 해당 서버를 통해 명령을 발행하는 사람을 알아내는 것이다. 이들 서버가 해외에 있을 수도 있고 범죄자들이 자신을 위장하는 방식을 사용할 수 있으므로, 이것은 결코 간단한 프로세스가 아니다. 일단 미국은 돈이 해외로 이체되면 FBI가 외국 법률 기관과 협력하여 용의자를 물색하며, 러시아, 루마니아 등지에서 범인을 잡는 데 성공한 적도 있다고 한다.

미국의 디지털 증거분석 관련 규정인 미국증거규칙 제1001조 3호는 컴퓨터에서 출력된 기록도 원본이라고 명시하고 있다. 같은 규칙 제1003조는 사본의 내용이 정확하다는 보장이 있으면 사본을 원본과 같이 취급하고 있다. 이를 근거로 미국에서는 E-메일 등이 법정에서 중요한 증거로 인정받고 있다.

실제 지난 2001년 삼성전자와 인피니온은 반도체 업체인 이스라엘 모사이드에 특허 침해 혐의로 소송에 결렸다. 당시 삼성전자는 사건의 중요한 열쇠였던 이 메일 확보에 실패, 불리한 판결을 감수해야만 했던 경험이 있다. 국내는 체계적으로 뒷받침할 법·제도적 장치들이 크게 미비하다는 것이 가장 큰 문제라는 평가. 수사 현장에서 디지털 증거분석이 이미 활용되고 있지만 이를 법적으로 규정할 근거가 없다는 얘기다.

도망갈 수 없어 덜미 잡힌 범죄들~

디지털 증거분석이 거둬들인 수사 성과들은 이루 말할 수 없이 많다. 그 중 지난 2월 일어난 리니지 명의도용 사건의 경우 경찰의 중간 수사발표에 따르면 중국 아이템 판매업자들의 대량 접속과 엔씨소프트의 묵인·방조 때문이었던 것으로 나타났다. 경찰은 접속지 분석과 엔씨소프트 가상사설망(VPN)의 ‘접근제어목록’ 운영 방식을 분석해 이같은 결과를 얻었다. 도용된 명의를 대부분 중국에서 사용했던 점과 엔씨소프트가 VPN을 통한 해킹 시도에 충실히 대비하지 않았다고 경찰은 보고 있다.

지난 해 6월 일어난 인터넷 뱅킹 해킹 사건에서도 디지털 증거분석의 위력이 발휘됐다. 외환은행 인터넷 뱅킹을 통해 해당 고객 몰래 예금액이 인출된 이 사건은 원인에 대해 고객 과실과 시스템 해킹간 의견이 팽팽히 맞섰다.

이 가운데 경찰이 수집된 디지털 증거를 토대로 해킹이 가능하다는 것을 시연해 보여 해킹에 취약하다는 점이 입증됐고, 결과적으로 고객 보상도 이뤄졌다.

한편, 디지털 증거분석이 재판 결과를 뒤집는 경우도 나오고 있다. 지난 2002년 A씨는 변심한 여자친구를 허위 비방하는 내용의 편지를 여자친구 직장에 보낸 혐의로 기소됐다. 대법원이 상고를 기각하면서 일단락되는 듯했던 이 사건은 변호인단이 “사건과 밀접한 관련이 있는 문서 파일의 최초 생성 날짜가 사건 발생 이후다”라는 주장을 제기하면서 급반전됐다.

변호인단의 주장대로라면 검찰이 제시한 문서 파일은 증거 능력을 상실하는 것. 사건을 저지르기 위해 준비한 문서 파일이 사건 발생 이후에 만들어졌다면 이는 명백한 모순이기 때문이다. 결국 지난해 9월 재심 청구가 받아들여졌다.

검찰은 “문서 파일을 수집하는 과정에서 비전문가에 의해 저장 일자가 변경되는 ‘사고’가 발생했다”는 입장이다. 진실이 무엇이든 디지털 증거의 ‘위력’을 여실히 보여준 사례라 할 것이다. 사이버테러대응센터 양근원 경정은 “디지털 포렌식도 일반 범죄 수사와 마찬가지로 범죄에 사용되는 모든 것들을 대상으로 증거를 수집하는 것에서부터 출발한다”며 “수집된 증거에 대해서는 그 특성에 맞춰 각각의 기술과 전문적인 지식, 검증된 도구들을 사용해 정밀 분석이 필요하다”고 말했다.

또한 그는 “디지털 증거의 특성에 따라 무결성, 진정성에 대한 입증은 물건 자체의 성질, 형상에 변형을 가져왔는가 하는 점과 관련된 문제지만 우리나라 현행법의 규정상으로는 이 문제를 다루기에는 근본적인 한계가 있다”며 “법과 현실간 간극을 좁히기 위한 방편으로 디지털 포렌식은 법과 기술이 융합된 하나의 독립된 연구 영역으로 많은 논의가 돼야 할 것이며 증거법을 포함한 형사절차법의 개정도 동시에 이루어져야 한다”고 덧붙였다.

법 제정되게 해주세요, 네?

우리나라에는 이를 체계적으로 뒷받침할 법·제도적 장치들이 크게 미비해 활성화가 더디게 되는 추세다. 수사 현장에서 디지털 증거분석이 이미 활용되고 있지만 이를 법적으로 규정할 근거가 없다는 얘기다. 디지털 증거분석은 피싱과 해킹 등의 분야에만 쓰이는 게 아니다. 최근에는 일반 범죄에서도 중요한 역할을 하고 있다.

대검찰청 문무일 담당관은 “대검에서는 네트워크 포렌식, 데이터 포렌식, 암호 포렌식, 모바일 포렌식, 시스템 포렌식, 프로그램 포렌식 등으로 이루어진 디지털 포렌식을 모두 다루고 있다. 보다 효과적인 수사를 위해 무게 중심을 데이터베이스 복구 등의 정보추출 포렌식에 두고 있다”고 말했다. 그는 사이버 범죄는 IT기술의 발달과 함께 다양한 분야로 확대되고 있어 앞으로는 모바일 포렌식 분야의 비중이 커질 것으로 내다봤다.

법조항이 제대로 갖춰지지 못했기 때문에 엄청난 피해를 야기시켰음에도 불구하고 관련 법규의 부재로 솜방망이 처벌만을 받는 것은 무엇보다 뼈아프다. 사이버 범죄는 사회에 엄청난 파장을 일으킴과 동시에 피해 규모와 피해자가 막대하다는 사실에 비춰볼 때 오프라인 범죄에 비해 심각성이 더하다. 최근에는 영화에서나 선보였던 위성위치확인시스템(GPS) 추적 장치가 사용되고 있다. 산업 스파이와 이를 쫓는 국정원 요원 사이의 추격전에서 영화 속에나 등장할 첨단기술이 직접 사용되고 있는 것.

그러나 우리나라에서는 디지털 증거가 법정에서 ‘진짜’ 증거로 인정받기 위한 법·제도들이 정비되지 못하고 있다. 따라서 전문가들은 형사소송법 상 증거 개념을 정보기술(IT) 발전 수준에 맞게 수정할 필요가 있다고 전문가들은 조언한다.

수사기관을 넘어 발 넓히고 있는 ‘포렌식’

국정원에서 제공받은 자료에 따르면, 2003년 6건에 머물던 기술유출 사건 검거 실적이 2004년 26건, 2005년 29건으로 급격히 늘고 있는 것으로 나타났다. 피해 예방액을 추산하면 82조 원에 이른다.

고려대 임종인 교수는 “지금의 범인들은 굉장히 지능화 되어 있어서 일산에서 살인사건이 일어났다 하더라도 원격접속프로그램을 이용해 타지역에서 접속해 있었던 것처럼 교묘하게 알리바이를 만드는 수준까지 왔다”며 “하지만, 포렌식 수사를 펼쳐 진짜 범인을 잡은 사례가 얼마 전에 있었다.

이처럼 수사 목적으로 사용되던 포렌식이 점차 그 범위를 확대해 나가고 있다. 내부정보 유출로 막대한 피해의 위험에 놓여있는 대기업과 보안에 취약한 중소기업 등 포렌식이 활용될 부분은 너무나 많다.”고 말했다.

동국대 이재우 교수는 “미국, 영국 정도가 포렌식을 적극 진행시키고 있을 뿐, 다른 선진국들에 비해서도 국내 기술력은 수준급에 해당된다. 하지만 이에 비해 국내업체들의 연구 개발은 미비한 편인데 획기적인 연구들이 많이 나와주길 기대하고 있다” 고 조언했다.

컴퓨터 환경은 이제 우리가 인식하지 못할 정도로 생활 대부분에 스며들어 있다. 인간을 편리하고 유익하게 한다는 순기능이 대부분이지만 이면에는 컴퓨터를 이용해 더욱 손쉽게 범죄를 저지를 수 있는 환경이 조성되고 있다는 것을 뜻하기도 한다.

국민들의 높아진 인권 기대수준에 따라 ‘진술과 자백, 물적증거’ 위주의 수사에서 ‘전자적 증거 또는 디지털 증거’ 중심으로 검찰 특별수사의 패러다임이 바뀌어야 하는 상황이 도래하고 있다. 종래의 컴퓨터 범죄와, 첨단기술 유출범죄, 첨단기술 관련 지적재산권범죄, 첨단산업 관련 비리, 첨단 기술이 활용된 경제·금융·증권 범죄 등이 선진국으로 발돋움 하는 과정에서 해결되어야 할 핵심 분야로 등장할 것으로 예상된다.

사이버 수사 관련 항목별 법규

현행 형사소송법과 통신비밀법은 사이버범죄 해결에 많은 영향을 미치고 있다. 하지만 기존에 없었던 사이버공간에서 펼쳐지는 다양한 범죄 유형에 대응할 적절한 법안이 없다. 또한 기존의 법규로는 디지털 증거 또는 전자적 증거를 확정한 문구 등도 없을 뿐더러 증거 수집 과정 등을 확실하게 제시하고 있지 않아 향후 개정과 신설이 불가피할 것으로 보인다. 아래는 개정이 필요한 형사소송법과 통신비밀법의 현행 규정을 정리했다.

■ 현행 형사소송법

제106조 (압수)

① 법원은 필요한 때에는 증거물 또는 몰수할 것으로 사료하는 물건을 압수할 수 있다. 단, 법률에 다른 규정이 있는 때에는 예외로 한다.

② 법원은 압수할 물건을 지정하여 소유자, 소지자 또는 보관자에게 제출을 명할 수 있다.

→ ①, ②의 밑줄친 부분은, 압수의 대상을 물건으로 지정하고 있다. 하지만 디지털 증거는 유형체가 아닌 각종 저장매체에 저장된 정보다.

제109조 (수색)

① 법원은 필요한 때에는 피고인의 신체, 물건 또는 주거 기타 장소를 수색할 수 있다.

② 피고인 아닌 자의 신체, 물건, 주거 기타 장소에 관하여는 압수할 물건이 있음을 인정할 수 있는 경우에 한하여 수색할 수 있다.

→ ①의 밑줄친 부분은 앞서 언급한 내용과 같은 맥락이다. ②는 현재의 사이버수사에서 한계를 나타낼 수 있다. 디지털 증거를 수색할 때는 눈에 보이지 않는 곳, 예를 들면 네트워크 서버 등을 수색하게 될 때도 있기 때문이다.

제218조 (영장에 의하지 아니한 압수)

검사, 사법경찰관은 피의자 기타인의 유류한 물건이나 소유자, 소지자 또는 보관자가 임의로 제출한 물건을 영장 없이 압수할 수 있다.

→ 디지털 증거에 대한 언급이 없다.

제315조 (당연히 증거능력이 있는 서류)

다음에 게기한 서류는 증거로 할 수 있다.

1. 호적의 등본 또는 초본, 공정증서등본 기타 공무원 또는 외국공무원의 직무상 증명할 수 있는 사항에 관하여 작성한 문서

2. 상업장부, 항해일지 기타 업무상 필요로 작성한 통상문서

3. 기타 특히 신용할 만한 정황에 의하여 작성된 문서

→ 제315조 1, 2, 3에서도 앞서 언급한 것처럼 디지털 증거에 대한 부분이 없다.

■ 현행 통신비밀보호법

제2조 (정의)

3. “전기통신”이라 함은 전화·전자우편·회원제정보서비스·모사전송·무선 호출 등과 같이 유선·무선·광선 및 기타의 전자적 방식에 의하여 모든 종류의 음향·문언·부호 또는 영상을 송신하거나 수신하는 것을 말한다.

7. “감청”이라 함은 전기통신에 대하여 당사자의 동의 없이 전자장치·기계장치 등을 사용하여 통신의 음향·문언·부호·영상을 청취·공독하여 그 내용을 지득 또는 채록하거나 전기통신의 송·수신을 방해하는 것을 말한다.

→ 위의 내용은 해석상에서 엇갈리는 부분이 있을 수 있으므로 이에 대한 보다 명확한 규명이 필요할 것으로 보인다.

제13조 (범죄수사를 위한 통신사실 확인자료제공의 절차)

① 검사 또는 사법경찰관은 수사 또는 형의 집행을 위하여 필요한 경우 전기통신사업법에 의한 전기통신사업자(이하 “전기통신사업자”라 한다)에게 통신 사실 확인자료의 열람이나 제출(이하 “통신사실확인자료 제공”이라 한다)을 요청할 수 있다.

→ 단순히 통신을 했는지의 여부만으로 수사가 될지 의문이다. 반면, 실시간 내용 확인을 넣을 경우 개인 프라이버시 침해라는 반발의 목소리가 나올 수 있다.

※ 위 내용은 사이버테러대응센터 강근원 경정의 박사학위 논문인 ‘형사절차상 디지털 증거의 수집과 증거능력’을 참고했음을 밝힌다.

 

[보안뉴스(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>