머니투데이

[머니투데이 이하늘기자]["포털 ID 및 IP 분석 마쳐야 댓글작성 여부 판가름"]

"경찰이 디지털포렌식(데이터 수집·분석 수사)을 통해 댓글 여부를 판단하려면 당사자의 하드디스크가 아닌 해당 포털의 로그기록 분석이 우선입니다."

서울 수서경찰서가 17일 국정원 직원 김모씨(28·여)의 데스크톱과 노트북에서 '문재인 후보 비방 댓글 및 박근혜 후보 지지 댓글 작성 흔적'을 전혀 찾을 수 없다고 중간수사 결과를 밝힌 것과 관련, 이 분야 전문가가 이렇게 지적했다.

◇"이용자 PC 아닌 포털 로그기록이 핵심"

익명을 요구한 한 사이버포렌식 전문가는 "하드디스크에 있는 댓글 흔적은 쿠키정리 등 간단한 조치만으로도 삭제할 수 있으며 다른 PC 및 스마트폰을 이용해서 단 댓글을 파악할 수 없다"고 지적했다.

그는 "만일 국정원 직원이 증거를 은폐하려고 했다면 하드디스크 데이터를 완전히 삭제하는 디가우징 방식을 이용했을 것"이라며 "다만 오피스텔에 물리적 기기가 없기 때문에 SW(소프트웨어) 방식의 디가우징을 실행했을 가능성이 높고 이는 경찰이 갖고 있는 최고사양의 복구시스템 '인케이스'로 되돌릴 수 있다"고 설명했다.

경찰은 이 같은 방법을 이용해 "김씨의 온라인 아이디와 닉네임이 40여 개 존재한다"는 사실을 밝혔다. 또한 경찰은 "데이터 덮어쓰기가 된 부분 등 완전히 복구되지 않은 영역이 존재한다는 점은 부정할 수 없다"고 설명했다.

또 다른 보안전문가는 "보통 지능형 범죄 댓글을 달 때 복수의 장소에서 다수의 기기를 이용해 수사망을 피한다"며 "단순히 김씨의 노트북과 데스크톱PC 하드디스크 분석만으로는 댓글 여부를 확인할 수 없다"고 설명했다.

그는 "가장 확실한 방법은 해당 포털에 의뢰해 김씨의 아이디 계정에 대한 로그분석을 하는 것"이라며 "이를 통해 해당 로그인 및 댓글 기록을 찾을 수 있고 접속 장소도 확인할 수 있다"고 밝혔다.

◇포털 정보제공, 수사영장 있어야 가능

다만 지난달부터 국내 포털들이 수사기관의 개인 신상정보 제공 요청에 일절 응하지 않기로 했기 때문에 수사에 난항이 예상된다. 포털 계정을 수사하려면 경찰이 영장을 신청해야 한다.

또한 이용자가 자신의 계정으로 접속해 댓글을 삭제한 경우 이를 복원할 수 있을지도 미지수다.

포털업계 관계자는 "현행법상 포털들은 이용자의 로그인 기록을 3개월 이상 보유해야 한다"며 "댓글 등 별도 서비스는 강제조항 없기 때문에 기록보관 기간이 각 포털별로 각각 다르다"고 설명했다.

◇"초기 하드디스크 확보했어야"

보안업계 관계자는 "11일 오후 경찰과 선관위가 오피스텔에 들어가자마자 바로 하드디스크를 확보했다면 보다 명확한 판단 자료를 확보할 수 있었을 것"이라며 "추가적인 포털 로그분석이 진행되지 않은 현재 상황에서는 사실관계 파악이 어렵다"고 말했다.

[관련 키워드] 국정원| 댓글| 포털| 로그| 디지털포렌식

[스몰캡 리포트]숨어있는 중소형주 발굴!

머니투데이 이하늘기자 iskra@

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>