檢, ‘민간인 불법 사찰’ 의혹에 ‘포렌식’ 전 과정 공개…“전부이미지 저장 불가피”

기사입력 2024-10-16 19:09:26
기사수정 2024-10-16 19:09:25
“법정서 증거 진위 증명 위해 일부 전부이미지 보관”
“선별 후 수사팀은 전부이미지 접근 통제”
‘“네 그럼 그렇게 거래하시죠 ㅋ” 생성일시 2020-05-27 발신자: 홍길동’

 

16일 대검찰청 국가디지털포렌식센터(NDFC)에서 포렌식 수사관이 휴대전화 봉인을 풀고 휴대전화에 연결한 포렌식 프로그램을 가동하자, 휴대전화에 저장돼 있던 카카오톡 메시지가 모니터에 현출됐다. 검찰이 압수한 휴대전화의 봉인을 해제한 뒤 가장 먼저 하는 절차는 이른바 ‘전부이미지’를 획득하는 것이다. 전부이미지는 휴대전화에 2진수로 구성된 데이터를 그대로 복제한 이미지로, 획득 가능한 영역 전부를 이미징한 파일을 뜻한다. 이 휴대전화 전부이미지에 저장된 파일은 3만6592개.

서울 서초구 대검찰청. 뉴스1

수사관이 수만개의 파일 중 카카오톡 메시지 3개 옆에 표시된 박스 안에 ‘체크’ 표시를 한 뒤 ‘추출’ 버튼을 누르니 해당 메시지들만 기록된 엑셀 파일 하나가 만들어졌다. 이렇게 혐의사실과 관련된 정보만 따로 저장한 자료를 ‘선별이미지’라고 한다. 이 선별이미지는 수사팀에 교부되고, 수사와 공소유지에 쓰인다. 이 선별 절차에는 피의자와 그의 변호인이 참관할 수 있다. 이 과정에서 해당 정보가 혐의사실과 관련이 있는지 여부를 두고 검사와 피의자 간 실랑이가 벌어지기도 한다.

 

대검은 이날 NDFC에서 약 90분간 모바일 포렌식 시연회를 진행했다. 최근 검찰 압수수색의 적법성을 두고 ‘민간인 불법사찰’ 의혹이 제기되자 투명성을 제고하기 위해 휴대전화를 포렌식하는 전 과정을 언론에 공개한 것이다.

 

민간인 불법사찰 의혹은 이른바 ‘윤석열 대통령 명예훼손 보도’ 사건으로 압수수색을 받은 이진동 뉴스버스 대표가 지난 3월 제기하면서 불거졌다. 법원이 발부하는 압수수색 영장에 따르면 피의자의 혐의사실과 관련된 전자정보만을 출력 또는 복제해야 하고 관련 없는 전자정보는 삭제·폐기하도록 돼 있는데, 검찰이 혐의사실과 관련 없는 정보가 포함된 휴대전화 전부이미지를 대검 서버에 별도 저장해 보관해왔다는 게 이 대표의 주장이다. 이와 관련해 조국 조국혁신당 대표는 지난 6월 1호 법안으로 전자정보 불법 수집과 복제, 별건 수사 활용을 금지하는 내용의 특례법을 발의하기도 했다.

포렌식 수사관이 디지털 포렌식 분석실에서 압수된 휴대전화의 봉인을 해제하는 모습. 검찰 관계자는 16일 대검 국가디지털포렌식센터에서 열린 ‘모바일 포렌식 시연회’에서 “압수물을 봉인할 경우 봉인지에 개봉 흔적이 남는다”고 설명했다. 대검찰청 제공

박기문 대검 디지털수사과 모바일포렌식 팀장은 압수수색 과정에서 휴대전화의 전부이미지를 획득해야 하는 이유에 대해 “압수수색 현장에서 컴퓨터는 포렌식 도구를 체결해 바로 분석할 수 있는 반면, 기술적 한계로 인해 모바일은 메모리를 반드시 복제해야 한다”며 “모바일에는 수많은 애플리케이션(앱)들이 데이터베이스(DB)화, 암호화돼 있기 때문에 불완전한 도구로 현장에서 정보를 획득하게 되면 삭제 파일 복구나 텔레그램, 인스타그램 등에 있는 정보 획득이 불가능해진다”고 설명했다.

 

선별이 끝난 후에도 이 전부이미지를 폐기하지 않고 보관하는 이유는, 추후 법정에서 디지털 증거의 진위를 검증해야 하는 상황이 발생하기 때문이다. 피고인이 압수수색 이후 자신의 휴대전화에서 통화기록을 삭제해놓고 해당 통화 기록은 존재하지 않는다고 주장하는 경우가 대표적이다. 이때는 검찰이 법원에 제출한 증거가 압수수색 당시 확보된 증거가 맞는지 증명해야 한다. 박 팀장은 “압수 당시 산출된 원본 파일과 공판 과정에 제출되는 압수 사본의 파일이 동일한지 검증하기 위해선 디지털 증거의 지문인 ‘해시값’을 이용할 수 있는데, 모바일 포렌식을 통해 추출한 선별이미지의 해시값은 원 데이터의 해시값과 일치하지 않아 비교가 불가능하다”며 “공판 과정에서 증거의 진위가 문제시될 경우 각각의 미디어 로그 파일들을 하나하나 찾아 정밀 분석할 때 전부이미지가 필요한 것”이라고 했다. 대검 서버에 저장된 전부이미지를 검찰이 ‘별건수사’에 이용할 수 있다는 지적에 대해선 “전부이미지는 수사팀이 접근하지 않도록 관리한다”고 강조했다.

16일 대검 관계자는 압수수색한 휴대전화 전부이미지를 보관해야 하는 이유에 대해 “이른바 디지털 지문인 ‘해시값’ 비교를 통해 증거의 진위를 확인하는데, 모바일에 저장된 전자정보는 선별 과정에서 해시값이 달라진다”며 “공판 과정에서 증거 진위 검증을 위해선 전부이미지가 필요하다”고 설명했다. 사진은 관련 파워포인트(PPT) 내용. 대검찰청 제공

다만 검찰이 모든 피의자의 휴대전화에서 획득한 전부이미지를 다 보관하는 것은 아니다. 검찰 예규 ‘디지털 증거의 수집∙분석 및 관리 규정’은 주임검사는 법정에서 디지털 증거의 재현이나 검증을 위해 필요한 경우에 한해 전부이미지 파일을 보관할 수 있다고 규정한다. 호승진 대검 디지털수사과장은 “추후 공판 과정에서 (증거의 진위에 대해) 다툼이 있을 것이라고 판단되면 예외적으로 보관을 하고 있다”며 “선별이나 탐색 과정에서 수사하는 사건이 아닌 다른 사건에 대한 증거가 발견되면 법원은 즉시 별도의 영장을 발부받도록 하고 있고, 그렇지 않으면 추후 해당 증거를 선별할 수 없어 별건수사에 쓸 수 없다”고 했다.

Copyrights ⓒ 세계일보 무단 전재 및 재배포 금지