▲디지털 기기의 증거보전 방법(출처 : 탐정가이드북) 

◈ 컴퓨터, 휴대폰 등 디지털 기기는 정해진 절차와 규칙에 따라 증거 보전

디지털 포렌식(Digital forensic)에서 증거능력을 측정하는 2가지 원칙이 있다. 하나는 ‘Best Evidence of Rule’로 증거가 원본과 유사성을 본다. 다른 하나는 ‘Chain of Custody’로 증거보전 경로의 신뢰성이다.

이 2가지 원칙에 부합하도록 컴퓨터, 휴대폰, USB 등 외장하드, 디지털 기기 등 증거물의 보존방법을 살펴보자.

첫째, 온라인 범죄도구로 많이 활용되는 컴퓨터이다. 컴퓨터는 본체에서 디스크를 떼어내고 동결작업을 거쳐야 한다.

동결작업이라 최종 작업 후 사용하지 않고 있는 그대로 밀봉을 하여 증거물로 보존하는 과정이다.

컴퓨터에 저장되어 있는 자료를 증거로 사용하기 위해서는 법원이나 수사기관이 전문성을 인정할 수 있는 컴퓨터 포렌식 업체나 국과수 등 전문기관에 확인요청을 하면 된다.

둘째, 대한민국 국민 대부분이 애용하고 있는 휴대폰도 범죄의 대상 혹은 도구로 활용되기 때문에 증거물로 채택하거나 제시될 수 있다.

휴대폰이 유력한 증거물이 될 것이라는 판단이 들 경우 아래의 절차를 밟으면 된다. 1단계는 타겟의 동의를 얻어 증거물로 휴대폰을 확보한다. 주인 몰래 절도를 하거나 협박해 강제로 빼앗지 않도록 한다.

물론 순순히 유력한 증거물을 내놓는 사람은 별로 없겠지만 형법 등 관련법규의 처벌조항 등을 제시하면서 나름대로 설득을 하도록 한다.

범죄를 상습적으로 저지르는 범죄자가 아닌 경우 일반인이라면 이러한 정황에서 쉽게 설득이 된다.

2단계는 휴대폰 자체가 증거물이 아니라 입력된 전화번호, 통화기록, 저장된 단문메시지(SMS), 사진, 동영상 등이므로 잘 보전해야 한다.

특히 증거물을 확인한다고 전원을 켜지 않도록 한다. 전원을 켜진 상태에서 수신되는 전호번호, 단문메시지 등은 기존의 저장된 기록물을 지울 수 있다.

과거에는 휴대폰은 메모리사이즈가 작아 저장해 관리할 수 있는 전화번호, SMS, 통화기록이 한계가 있었지만 최근의 스마트폰은 그러한 제약은 없다.

3단계는 입수한 휴대전화를 증거보전절차에 따라 동결작업을 한다. 그리고 전문기관에 의뢰하여 객관적인 증거물을 확보하도록 한다.

국과수가 아니더라도 객관적으로 신뢰성을 입증 받을 수 있는 전문업체를 찾아가면 된다. 이러한 과정을 거쳤다면 휴대폰 소지자가 통화기록이나 SMS를 삭제한 경우에도 대부분 복구가 가능하다.

4단계는 증거물을 입수하는 과정에서 휴대폰이 파손되거나 조사대상자가 고의로 파손하면 그 잔해물을 수거하도록 한다.

휴대폰 본체가 깨진다고 해서 메모리까지 손상되는 경우는 많지 않다. 물 속으로 던지거나 더러운 물질에 담그더라도 반드시 수거하도록 한다.

셋째, USB 메모리 스틱 등 외장 하드 등도 중요한 범죄정보가 수록되어 있다. 외장 하드를 확보한 경우 다음과 같은 절차를 따른다. 

①   USB, CD, 플로피 디스켓, 외장용 하드 확보

②   봉인 작업

③   전문 컴퓨터 포렌식 기관에 의뢰 

외장하드를 확보한 경우 내용을 확인한다고 컴퓨터 등에 넣어 내용을 확인해서는 안 된다. 내용을 확인하기 위해 파일을 연 경우 최종 저장날짜가 그 날이 되므로 위/변조의 혐의에서 벗어날 수 없다.

컴퓨터가 지능적이지 않아 수정을 하지 않고 단순히 열람만 한 것이라고 기억하지 못한다. 무조건 전문 포렌식 기관에 의뢰하여 동결작업과 분석작업을 의뢰하여 내용을 확인하도록 한다.

CD, 플로피 디스텟 등은 물리적으로 파괴된 경우 복구가 불가능하지만 USB, 외장 메모리 등은 물리적으로 파괴되어도 일정부문 데이터 복구가 가능하므로 실망하지 말고 수거해서 전문업체에 맡긴다.

넷째, 디지털 카메라, 디지털 녹음기, PMP 등 디지털 기기를 범죄의 도구로 활용하는 경우도 많다.

최근에도 문제가 되고 있는 것이 지하철, 영화관 등 공공장소에서 휴대폰 카메라, 디지털 카메라로, 적외선 카메라로 여성의 치마 속 등 은밀한 부위를 몰래 찍는 행위이다.

디지털 기기가 범죄의 도구로 활용됐거나 주요 증거물을 기록했을 경우 원본 그대로 유지한다. 확보한 증거물을 켜거나 확인한다고 내용이 삭제되지는 않는다.

전자서명이나 디지털 워터마킹(digital watermarking) 기술이 접목된 기기를 사용할 경우 증거물 제시에 유리하다.

위와 같이 모든 증거물에 대한 증거보전 절차를 철저하게 지켰을 경우에만 증거물의 신뢰성을 확보할 수 있다. 증거물은 원본과 동일하다는 유사성도 확보돼야 한다. 

– 계속 - 

민진규 <국가정보전략연구소장> stmin@hotmail.com