경찰청 사이버테러대응센터 양근원 경정

전 세계 생산정보의 90% 이상이 디지털 형태로 존재하고 있다. 이러한 디지털 정보가 사이버 범죄 해결을 위한 중요한 단서가 되고 있다. 그러나 파일 삭제, 추적 회피 등 수사를 무력화 시키는 안티 포렌식(anti-forensic)이 증가하고 있어 수사의 지연을 초래하기도 한다. 이에 경찰청은 디지털 증거 확보를 위한 다각적인 현장대응 역량 강화에 분주한 모습이다. 경찰청 사이버대응센터 양근원 경정을 통해 디지털 증거 확보가 범죄 해결의 열쇠가 됐던 사례 등 최근 디지털 포렌식 수사 현장의 모습을 생생하게 들어본다.

사이버 범죄와 법규간 간극 극복 절실

디지털 증거,수사방향 설정에서‘해결Key’된다

국내 10여개 국가기관 해킹 사건

<경찰청 사이버테러대응센터 양근원 경정>

디지털 증거가 핵심적인 역할을 하는 전형적인 범죄는 해킹, 컴퓨터 바이러스 유포 등 사이버 범죄다. 그 중 한 사례인 2004년 6월 주요 국가기관 해킹사건으로, 비록 범인이 외국에 거주해 검거 자체는 성공하지 못했지만 사건의 전모와 범인의 실체를 파악하는데 각종 디지털 데이터와 분석기술이 사용된 전형적인 사례라고 할 수 있다.

경찰청 사이버테러대응센터는 2004년 4월 29일 국내 한 군수업체 직원의 전자우편이 도용됐다는 단순 제보를 접수하고 전자우편에 첨부된 악성프로그램의 기능을 정밀 분석하는 등 6개월여간에 걸친 수사를 벌여 국회, 해양경찰청, 원자력연구소 등 국내 10여개 주요 국가기관 300여대의 컴퓨터가 외국의 해커 조직에 의해 해킹 당한 사실을 밝혀내고 국제공조 활동을 벌인 바 있다.

양근원 경정은 “이 사건의 실체를 밝혀내는 데는 피해자가 수신한 전자우편에 첨부된 이진수 파일을 수집해 파일의 기능과 성능을 검증하는 절차가 가장 중요한 역할을 했다”고 말한다. 특히 이 사건에서는 핍(PEEP), 리백(REVACC) 등 역접속 가능한 경유지 시스템과 연결된 10여개 기관의 네트워크를 파악하는 한편, 네트워크를 관장하는 방화벽 시스템의 접속기록 분석과 피해 컴퓨터에 설치, 동작하는 실행 프로그램 분석, 하드 디스크 기록 분석 등이 이뤄졌다. 이와 함께 범행시간, 범인의 접속지, 범행수법 등 사안의 실체를 입증할 수 있는 각종 디지털 데이터가 증거로 사용됐다.

양 경정은 “수사중 수집된 디지털 데이터만 해도 약 2.3TB(테라바이트)에 달할만큼 대규모였다” 고 당시 사건을 회상했다. 그는 이 외에도 해킹, 컴퓨터 바이러스 유포, 불법사이트 운영, 사이버 명예 훼손 등 전형적 사이버 범죄는 기본적으로 비대면 범죄로서 범인이 인터넷에 접속한 흔적, 범인이 사용한 컴퓨터, 프로그램 등 디지털 증거 수집 및 분석을 통해서만 범행의 실체를 파악할 수 있다고 말했다.

사례에서처럼 디지털 증거 확보는 수사의 방향을 잡는 나침반 역할을 하거나 사건 해결의 ‘키’가 되기도 한다. “디지털 포렌식도 일반 범죄 수사와 마찬가지로 범죄에 이용됐을 것으로 추정되는 모든 것들을 대상으로, 증거를 수집하는 것부터 출발한다”고 양 경정은 말하며 “수집된 증거에 대해서는 그 특성에 맞춰 각각의 기술과 전문적인 지식, 검증된 도구들을 사용해 정밀 분석이 필요하다”고 덧붙였다.

전문적 분석관 및 수사관 양성 필요

일반 범죄 수사와 비슷하지만 디지털 증거 확보는 보다 전문적이며 까다롭다.

“휘발성 데이터는 보통 피해 시스템 등에 피해 사실을 확인하고 용의자 추적 단서를 찾기 위한 기초조사를 할 때 이루어지는 단계로 컴퓨터 시스템의 전원을 끄기 전에 수집해야 한다”고 말한다. “반면 하드디스크, 플로피 디스크, CD, DVD, USB 메모리 등 비휘발성 저장장치로부터 증거를 확보하기 위해서는 윈도우즈(Windows), 유닉스(Unix), 리눅스(Linux) 등 각 운영체제마다 독특한 전문지식이 필요한 경우가 많다. 또한 네트워크상에서 전송중인 디지털 증거를 획득하고 분석해야 하는 데는 전문적인 기술을 갖춘 인력이 필요하다”고 양 경정은 말한다.

이렇듯 수사현장에서 실질적 필요에 따라 전문적인 지식을 보유한 수사관을 양성하고 전문교육을 받은 연구원이 이러한 분석을 맡아 실행하고 있다. 경찰청 사이버테러대응센터에서도 전문 박사급 연구관 및 연구사, 베테랑 사이버 범죄 수사관 등 15명이 배치돼 범죄 수사중 확보된 디지털 매체에 대한 분석 및 복구, 그리고 시스템 및 네트워크 포렌식 등 각 분야별 디지털포렌식 기법 연구와 함께 사이버 범죄 네트워크 추적 기술 개발 등의 전문적인 활동을 전개하고 있다.

양 경정은 “경찰청 사이버테러대응센터는 전문성이 필요한 디지털 포렌식 수사를 위해 미국 가이던스 소프트사(Guidance Soft Inc.)와 (주)명정보에 디지털 증거 분석과 데이터 복구 등 총 4회에 걸쳐 전문 위탁교육을 실시하고 있다. 또한 수사연구소 디지털 증거 분석 과정을 연 2회에 걸쳐 실시하고 있다”고 말한다. 이어 보는 “전문 인력 양성 뿐 아니라 현장 수사요원들에게도 압수 수색 및 처음 사건현장에 도착했을 때 디지털 증거 확보를 위한 현장 매뉴얼을 제작해 나누어주고 디지털 증거의 손실을 막기 위해 노력하고 있다”고 밝혔다. 디지털 증거는 변형 가능성이 높고 부주의 등으로 훼손 및 변경, 멸실돼 법정에서 효력을 상실할 수도 있기 때문이다.

적절한 절차 없으면 법정 ‘패소’ 위험

대법원은 1999년 9월 발생한 소위 ‘영남위원회’의 이적 단체성 관련 사건에서 컴퓨터 증거의 증거능력을 부정하는 판결을 내린 바 있다. 수사기관은 피고인들이 소지한 컴퓨터 기록을 압수하고 그 증거에 의해 영남위원회의 목표, 노선, 체계, 강령, 조직 등을 인정한 후 ‘영남위원회’가 국가보안법상 이적단체에 해당한다고 했으나 피고인들은 컴퓨터 증거가 위조, 변조의 위험성을 가지고 있기 때문에 적절한 절차에 의해 수집이 돼야 하고 수사 기관이 이를 이행하지 않았기 때문에 압수방법이 위법할 뿐만 아니라 압수된 이후 조작됐다고 주장했다.

그러나 법원은 이를 디지털 증거의 진정성, 무결성 등 특성에 따른 증거능력 문제로 다루지 아니했다. 오히려 압수 절차의 위법성과 데이터 조작 사실은 인정할 수 없으며 컴퓨터 증거도 전문 증거로 취급해야 하고 그 증거능력을 인정하기 위해서는 공판정에서 원진술자의 진술에 의한 성립의 진정을 인정할 수 있어야 하는데 이러한 사실이 없다는 이유로 그 증거능력을 부정했다.

“이 판결은 피고인 측의 주장에 대한 기술적인 검토, 즉 컴퓨터 기록의 진정성, 무결성의 문제를 전문가들의 감정을 거쳐 다각적인 면에서 검토했다면 디지털 증거와 관련된 전향적인 판결이 됐을 것”이라고 양경정은 아쉬움을 나타냈다. 그는 “앞으로 디지털 증거 처리와 관련해 증거법의 요건이 엄격하게 규정되면, 증거분석 전문가에 의한 투명성과 신뢰성을 제고하는 등 디지털 증거분석에 있어 공신력이 필요하게 될 것”이라고 강조했다. 때문에 디지털 증거의 수집에서 분석, 보관, 처리 등 일련의 과정을 표준화된 절차와 기준을 마련해야 한다고 보고 경찰청 사이버테러대응센터는 디지털 포렌식 표준화 활동을 벌이고 있다.

양 경정은 인터뷰를 마치며 “디지털 증거의 특성에 따라 무결성, 진정성에 대한 입증은 물건 자체의 성질, 형상에 변형을 가져왔는가 하는 점과 관련된 문제이다. 그러나 우리나라 현행법의 규정상으로는 이 문제를 다루기에는 근본적인 한계가 있다”며 “법과 현실간 간극을 좁히기 위한 방편으로 디지털 포렌식은 법과 기술이 융합된 하나의 독립된 연구 영역으로 많은 논의가 돼야 할 것이며 증거법을 포함한 형사절차법의 개정도 동시에 이루어져야 한다”고 주장했다. 

[보안뉴스(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>