디지털 세상에서 범죄를 쫓는
과학수사관 디지털포렌식수사관
21세기 대한민국은 그야말로 디지털 세상입니다. 우리나라가 세계적으로도 손에 꼽히는 IT 기술 강국이 되면서 디지털카메라, 스마트폰 등 각종 최첨단 디지털기기에 대한 관심이 커졌고 사용 인구도 폭발적으로 늘었습니다. 각 가정에서뿐 아니라 학교, 회사 등 사회 전체가 인터넷과 IT기기에 의해 움직이고 있다고 해도 과언이 아니죠.
범죄 수사과정도 예외는 아닙니다. 예전에는 비리를 저지른 기업을 압수수색할 때, 많은 수사 인원이 총출동해 트럭 몇 대 분량의 서류를 모두 가져와 일일이 파헤쳤는데요. 이제는 기업마다 주요 자료를 서류 형태가 아닌 데이터로 컴퓨터나 서버에 저장해둡니다. 서류 뭉치가 ‘아날로그 증거’라면, 컴퓨터나 서버에 남아 있는 데이터는 ‘디지털 증거’인 셈이죠. 기업은 물론 개인들의 디지털기기 사용이 활발해짐에 따라 각종 범죄를 수사하는 과정에서 이러한 디지털 증거를 확보하고 분석하는 일이 점차 중요해지고 있습니다.
복제는 쉬운데 원본과 복사본의 구분이 어렵고, 조작 및 생성, 전송, 삭제 등이 쉬운 디지털화된 자료에서 수사의 단서를 찾고 분석하는 디지털포렌식수사관이 등장했습니다. 2000년대 중반부터 이러한 업무를 하는 사람들이 조금씩 생겨났으며, 2008년 검찰이 DFC(디지털포렌식센터; Digital Forensic Center)를 건립해 포렌식 업무를 전담하는 조직(디지털수사담당관실)을 따로 꾸리면서부터 활동이 활발해졌다. 특히 스마트폰 등 휴대용 단말기의 사용이 급증하면서 최근엔 디지털 포렌식의 한 분야인 모바일 포렌식을 전문으로 다루는 인력의 필요성도 대두되고 있습니다.
인터뷰 : 대검찰청 디지털수사담당관실 이승무, 독고지은 포렌식전문수사관
[이승무, 독고지은 | 대검찰청 디지털수사담당관실 포렌식전문수사관]
Q. 디지털포렌식수사관으로서 현재 하고 있는 일은 무엇입니까?
영화나 드라마에서 지문이나 혈흔을 채취하는 장면을 본 일이 있을 겁니다. 범죄 현장에 남긴 범인의 지문, 머리카락, 혈흔 등이 증거로 쓰여 범죄 사실을 입증하는 것처럼 디지털 자료 역시 수사과정에서 중요한 과학적 증거로 쓰입니다. 저희
들은 전문수사관으로 대검찰청 디지털수사담당관실에 소속돼 범죄수사의 단서가 되는 디지털 자료를 확보하고 복구하며, 이를 분석해 법적 증거자료로 만들어 제출하는 일을 하고 있습니다.
Q. 디지털 자료는 복제와 변조 등을 쉽게 할 수 있어서 다루기가 까다로울 것 같습니다. 구체적으로 어떤 방식으로 증거자료를 수집하는지 궁금합니다.
먼저 컴퓨터 등 디지털기기나 인터넷에 남아 있는 증거자료를 수집하는 일부터 시작합니다. 기업이나 개인의 컴퓨터, 또는 서버에 저장된 데이터를 압수하고 범죄의 단서가 될 만한 디지털 자료를 수집하는데, 이때 ‘무결하게’ 압수하는 것이 중요합니다. 무결하게 압수한다는 것은 자료의 변조 없이 원본 그대로의 데이터를 확보하는 것을 뜻합니다.
특히 증거로 제시한 데이터를 채취하는 과정이 적법하였는지, 손상된 데이터를 복구하는 과정에서 변경이 있지는 않았는지 등을 입증해야만 법정에서 증거로 채택돼 효력을 발휘할 수 있습니다. 때문에 증거 자료 확보는 디지털포렌식수사관의 참여 아래 이뤄져야 합니다.
또 디지털 자료는 다른 곳에서 다른 사람에 의해서도 접속이 가능하므로 신속함이 필요합니다. 기업을 압수수색하는 경우 저장된 데이터의 양이 어마어마하므로 포렌식 전문도구를 이용해 범죄 관련 데이터만 빠르게 검색해내야 합니다.
Q. 수집한 자료는 어떤 과정을 거쳐 증거로 채택하게 됩니까?
이렇게 디지털 자료를 확보했다고 해서 바로 범죄를 입증할 수 있는 것은 아닙니다. 철저한 분석을 통해 자료가 증거로서 효력이 있는지, 범죄자의 혐의를 입증할 수 있는지를 파악해야 합니다. 분석이라 함은, 이를테면 복구한 데이터가 피의자의 것임을 입증하는 것, 혐의사실 입증에 그 데이터가 어떤 증거능력을 가지는지 등을 명확히 제시하는 것입니다. 구슬이 서 말이라도 꿰어야 보배이듯, 확보한 자료는 포렌식수사관의 면밀한 분석을 통해 법정에서 효력을 발휘하는 증거로 재탄생하게 됩니다. 여기서 끝이 아닙니다. 법정에서 디지털 자료가 가지는 증거로서의 효력에 대해 반론이 들어올 수 있기 때문에 이런 공격을 미리 예상하고 대비할 수 있어야 합니다. 그래서 우수한 포렌식수사관은 종합적 분석·해석 능력에 더해 변론 능력도 필요합니다.
Q. 디지털포렌식수사관이 되려면 법이나 IT를 반드시 전공해야 하는지 궁금합니다.
디지털포렌식은 정보기술(IT)과 법과학의 만남을 통해 현대사회의 범죄수사에 시너지 효과를 내는 대표적인 융합학문입니다. 그런데 법과 IT 관련 학과를 전공하면 업무에 많은 도움이 되는 것은 맞지만, 반드시 그렇다고 할 순 없습니다. 지금 우리나라에 디지털포렌식이 대중화된 상황도 아니고, 관련 인력도 대부분 검찰 등 국가수사기관에 종사하고 있어 디지털포렌식수사관이 되려면 국가공무원 공채시험을 치르고 수사관으로서의 경험을 쌓아야 합니다. 저희 팀에 근무하는 수사관들 역시 모두 IT를 전공한 것은 아닙니다. 공무원 시험을 치르는 데에는 특별한 전공 제한이 없는 것처럼 디지털포렌식수사관이 되기 위한 특별한 자격조건이 있다고 보기는 힘듭니다. 그러나 검찰직 공무원 공채시험에는 법 관련 과목이 필수이므로 법 공부는 따로 해두는 것이 좋고 IT 관련 지식과 능력은 일을 하면서 쌓을 수 있습니다.
Q. 전공을 하지 않은 상태에서 법과 IT 모두를 공부하는 게 쉽지만은 않을 것 같습니다.
그렇습니다. 말씀드렸듯 디지털포렌식은 융합학문입니다. 첨단기술 및 디지털기기 등이 하루가 다르게 발전하고 있기 때문에 남들보다 2배로, 끊임없이 공부를 해야 합니다. 엄청난 발전 속도를 따라가기 위해서는 한순간도 노력을 게을리할 수 없는 거죠. 이처럼 항상 진취적인 생활태도를 유지하면서 새로운 IT기술을 빠르게 습득해야 하는 등 사회 전반의 발전과 궤를 같이 해야 한다는 것이 몹시 힘들지만, 한편으로는 성취감을 느낄 수 있어 매력적이기도 합니다.
또 하나, 디지털 자료의 분석과정은 상당한 인내를 필요로 하는 일입니다. 사건에 따라서는 자료를 찾아 복구하고 분석하는 데 굉장한 시간이 소요될 때도 있어 밤을 새는 것은 예사고, 체력적으로 힘든 순간도 많습니다.
Q. 사회정의를 실현하는 일인 만큼 보람도 클 것 같습니다. 이 부분은 각자 말씀해 주셨으면 합니다.
이승무 : 첨예한 대립 끝에 제가 분석한 결과물이 사건 해결의 열쇠가 되었을 때의 희열은 말로 다할 수가 없습니다. 증거가 없어 미궁에 빠지거나 억울한 사람이 발생할 수도 있는 상황을 막을 수도 있었고요. 사건 수사에 있어 눈에 보이는 증거물이 전부는 아닙니다. 디지털기기의 사용이 일상화되면서 범법자들은 자신도 모르는 사이에 눈에 보이지도 않는 증거를 곳곳에 남기게 되거든요. 그걸 찾아내 결정적 단서로 만들어가는 과정이 굉장히 매력적입니다.
독고지은 : 누구나 한번쯤 직소퍼즐을 맞춰본 적이 있을 겁니다. 일을 하면서 종종 퍼즐을 떠올릴 때가 있습니다. 퍼즐을 풀어갈 때의 기분과 수집하고 복구한 자료를 분석해 나갈 때의 기분이 비슷합니다. 수많은 퍼즐 조각을 들고 한 조각씩 끼워 맞춰 나가다 보면 어느 틈엔가 다음 퍼즐들이 술술 풀리게 됩니다. 디지털포렌식도 마찬가지입니다. 범죄자가 아무리 발뺌을 해봐야 분석한 결과를 증거로 딱 들이밀면 게임은 끝납니다. 데이터 분석을 통해 결과물이 명확하게 나오면 사건을 완전히 장악할 수 있습니다. 처음에는 하나의 가설에 불과하던 것을 사실로 증명해낼 때의 정복감, 집요한 추리과정 끝에 느낄 수 있는 자기성취감이 매우 큰 직업이라고 생각합니다.
Q. 범죄를 다루다 보면 성취감이 큰 만큼 기억에 남는 일도 많을 것 같습니다.
억울한 누명을 쓸 뻔했던 시민을 구했던 일이 오래도록 남습니다. 절도죄로 재판을 받게 된 사람이 있었습니다. 법정에서 알리바이를 대며 계속 혐의사실을 부인했지만, 알리바이를 입증해줄 증거가 마땅치 않은 상황이었습니다. 절도행위를 했다고 의심받는 그 시각에 자신은 컴퓨터로 인터넷을 하고 있었다는 것이 그의 알리바이였습니다.
그 사람의 집에서 압수한 노트북을 분석했지만, 이미 사건이 발생한 지 1년이나 지난 상황이었고 그간 노트북은 한 차례 포맷까지 되어 있었습니다. 과연 그 알리바이가 증명이 될 수 있을지 장담할 수 없었죠. 하지만 포맷 이전의 데이터가 아주 일부 남아 있는 것을 발견했고, 포렌식 도구를 이용해 복구해보니 범죄행위 추정 시각에 게임을 한 흔적이 발견되었습니다. 이후 그가 현재 사용 중인 계정과 동일한 계정으로 게임을 했다는 사실까지 밝혀져 알리바이가 입증되었고, 혐의를 벗는 데 결정적인 도움을 줄 수 있었습니다.
Q. 디지털포렌식수사관은 다양한 자질이 요구되는 분야라는 생각이 듭니다. 이 직업에 도전하는 후
배들에게 어떤 조언을 해주고 싶습니까?
이 직업에 관심을 갖는 분들에게 늘 강조하는 것이 있습니다. 일하는 과정이 녹록치 않기 때문에 무엇보다 정의감와 사명감이 필요하며, 스스로 이 일을 즐길 수 있는 사람이어야만 오래 일할 수 있을 거라는 말입니다. 디지털포렌식은 융합에 의해 새로 나타난 분야이기 때문에 다양한 능력을 동시에 요구합니다. 데이터를 수집·복구하고 분석하는 과정에서는 꼼꼼하고 치밀하게 파고들어 해당 데이터를 증거력을 갖춘 자료로 만들어내야 합니다. 한편, 법정에서 데이터가 증거로서 효력이 있음을 입증할 때에는 능숙하고 논리적인 언변으로 재판정에 있는 사람들을 설득할 수 있어야 합니다.
안으로 파고드는 집중력과 수사관으로서의 마인드, 적극성을 모두 가진 사람만이 이 분야에서 전문가로 인정받을 수 있습니다. 동시에 이러한 능력을 갖추기가 결코 쉬운 일은 아니지만 일하는 재미와 보람만큼은 보장할 수 있다고 생각합니다. 마지막으로 이 일은 각기 다른 개성을 가진 두 학문으로 새로운 것을 창조하는 즐거움을 느낄 수 있는 일입니다. 결과물이 정확하게 산출되는 컴퓨터과학을 통해 모호하고 추상적인 사회과학을 뒷받침하고, 반대로 생명력이 없는 컴퓨터과학에 생명력을 부여하는 사회과학이 응용된다는 점을 기억했으면 좋겠습니다.
하는 일 : 증거수집 및 복구, 증거분석, 증거 제출
디지털포렌식수사관이 하는 일은 크게 증거수집·복구, 증거분석, 증거 제출 등입니다.
먼저 컴퓨터 메모리, 하드디스크드라이브, USB 메모리 등 저장 매체에 남아 있는 데이터를 무결하게 획득합니다. 수집된 데이터에서 수사에 필요한 유용한 정보를 끌어냅니다. 일부 데이터는 숨겨져 있을 수 있기 때문에 삭제된 파일을 복구하거나 암호화된 파일을 해독하는 등 보다 과학적인 분석기술을 활용합니다. 가령 아동포르노 사진을 숨기기 위해 사진파일의 확장자인 JPG를 마치 한글문서 파일인 것처럼 HWP로 바꾸어 놓으면, 이 사실을 모르는 사람은 아동포르노 사진의 존재 여부를 알 수 없습니다. 포렌식 전문도구로 분석하면 위장된 한글문서 파일이 사실은 아동포르노 사진이었음을 밝힐 수 있게 되죠.
복구한 데이터가 피의자의 것이 맞다는 것을 입증하는 것, 혐의사실 입증에 그 데이터가 어떤 증거능력을 가지는지 등을 명확히 제시하는 것 등이 증거분석입니다. 확보한 자료는 디지털포렌식수사관의 면밀한 분석을 통해 법정에서 효력을 발휘하는 증거로 재탄생합니다. 또한, 법정에서 디지털 자료가 가지는 증거로서의 효력에 대해 공격이 들어오면 이를 미리 예상하고 대비할 수 있어야 합니다.
마지막은 증거제출입니다. 이런 과정을 통해 입수된 디지털 증거가 법정 증거로 채택되기 위해서는 증거자료의 신뢰성을 확보하는 과정이 필요합니다. 법률적으로 디지털포렌식에 대한 표준절차뿐만 아니라 증거수집 및 분석에 사용된 포렌식 툴에 대한 검증 절차도 진행됩니다.
교육·훈련 : IT전반에 대한 지식과 법적 소양 필수, 변론 및 글쓰기 능력도 필요
디지털포렌식은 법학과 인문학, 컴퓨터공학 등의 융합으로 탄생한 분야입니다. 따라서 다양한 분야의 지식과 능력이 골고루 요구됩니다. 기본적으로 갖춰야할 것은 데이터 검색기술, 복구기술, 분석기술 등입니다. 이를 위해서는 컴퓨터시스템, 하드웨어, 운영체제, 정보보안 등 IT 전반에 대한 풍부한 지식이 필요합니다.
이에 더해 논리력과 스피치 능력 등 법정에서 발휘할 수 있는 변론능력을 갖춰야 합니다. 글쓰기 능력도 중요합니다. 디지털 자료의 확보, 복구, 해석 과정과 결과를 보고서로 작성해 법정에 제출합니다. 자료가 증거로 채택된 후 재판 과정에서 법리 싸움을 벌일 때에는 보고서 내용이 얼마나 논리적인지가 매우 중요하므로 이를 뒷받침 할 만한 글쓰기 능력이 필요합니다.
법적 소양도 중요합니다. 특히 증거 관련 규정이 포함되어 있는 형소법이나 형법에 대한 이해가 필수적이죠. 앞으로는 디지털포렌식을 전문으로 하는 민간회사도 많이 나타날 것으로 보이며, 그때를 대비해 민법, 민소법에 대한 지식도 갖춰놓는 것이 좋습니다. 엄청난 양의 디지털 자료 중 범죄의 단서가 되는 것을 찾아내고 이것이 법정에서 증거로 채택되도록 하기 위해서는 집중력과 끈기가 필요하고, 추리력을 발휘해야 할 때도 많습니다. 또한 호기심이 많고 집요한 성격의 소유자, 연구자 성향을 가진 사람에게 적합합니다.
관련학과로는 정보보호 관련 학과가 있지만 아직까지는 디지털포렌식을 전문으로 배우기에는 부족한 형편입니다. 최근 군산대, 고려대 등의 학부과정과 극동대학교, 동국대학교 대학원 등에서 포렌식을 전문으로 다루는 학과를 개설하고 있습니다. 국내 관련 자격증으로는 한국포렌식학회에서 주관하는 디지털포렌식전문가 자격증, 사이버포렌식전문가협회에서 인증하는 사이버포렌식조사전문가 자격증이 있습니다. 국제적 전문 자격증으로는 EnCE 디지털 포렌식 수사자격, 미국 엑세스테이터의 FTK 포렌식전문가자격증(ACE) 자격증 등이 있습니다.
현황·전망 : 사이버 범죄 증가와 맞물려 디지털 과학수사 수요도 커질 것
현재 활발히 활동 중인 전문가들은 국가수사기관에 소속된 전문 수사관들이 대부분입니다. 그 외에는 소수이기는 하지만 특허소송 등을 대비해 대기업의 법무팀 산하에 디지털포렌식 조직을 두고 있기도 하고, 회계법인이나 대형로펌에서 일하는 전문가들도 일부 있습니다.
회계 관련 자료가 데이터베이스화 되어 있기 때문에 회계장부 관리를 하는 데에도 포렌식 기술을 갖춘 인력이 활동 중입니다. 기업에 속해 있는 경우 아직은 포렌식 도구를 이용해 디지털 자료를 수집하고 손상된 데이터를 복구하는 수준이지만 앞으로 분석 능력까지 갖추어야 더 활발한 활동을 기대할 수 있습니다. 사회가 점차 지식정보화 됨에 따라 생활 전반이 IT에 의해 움직이고 있습니다. 사이버 범죄의 발생 건수가 늘어나는 것은 물론, 수법도 다양화되고 있습니다. 따라서 향후 디지털 과학수사에 대한 수요는 커질 수밖에 없습니다.
대기업의 법무팀이나 감사실에서도 기술 유출 등에 대처하기 위해 채용에 대한 움직임이 더욱 활발해지고 있습니다. 지금은 대부분의 포렌식 수사를 국가기관이 주도하고 있지만 수요가 늘어나게 되면 점차 민간으로 확대될 전망입니다.
* 참고할 만한 곳 *
한국포렌식학회 www.forensickorea.org
댓글 없음:
댓글 쓰기