[비즈 톡톡] 대통령도 고개 숙이게 만든 디지털 흔적의 비밀

박성우 기자 입력 2016. 10. 28. 06:02 수정 2016. 10. 28. 10:18
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

박근혜 정부의 비선 실세 의혹을 받는 최순실씨의 ‘삼성전자 태블릿PC(갤럭시탭)’가 주목받고 있습니다. 이 PC에서 박 대통령의 연설문 자료가 무더기로 나왔기 때문입니다. 이에 대해 최씨는 자기 PC가 아니라고 주장하는 상황입니다. 하지만 디지털 포렌식 전문가들은 “범죄 현장에 지문이 남듯 디지털 세계에도 흔적이 남는다”면서 “이 흔적을 추적하면 진실은 금세 드러난다”고 말합니다.

조선DB

◆ 대통령도 고개 숙이게 한 ‘메타테이터’

박 대통령은 25일 최 씨에게 공식 연설문 등을 사전에 유출했다는 의혹과 관련해 “이유 여하를 막론하고 국민 여러분께 심려를 끼치고, 놀라고, 마음 아프게 해드린 점을 송구스럽게 생각한다”며 대국민 사과했습니다.

박 대통령이 고개를 숙인 것은 연설문 문서의 ‘메타데이터(Metadata)’ 때문이었습니다. 최 씨 것으로 추정되는 태블릿PC에 대통령 연설문 문서의 최종 열람 시간, 수정 시간이 공식 행사일보다 빨랐기 때문입니다.

가령 최씨의 태블릿PC에 저장된 박 대통령의 2014년 독일 드레스덴 연설문의 경우, 메타데이터 상에서 최씨가 원고를 확인한 것은 2014년 3월27일 오후 7시20분이었습니다. 마지막 수정 시간은 3월27일 오후 6시33분이었습니다. 이는 박 대통령이 드레스덴 연설을 시작한 3월28일 오후 6시40분보다 하루 앞선 것입니다. 실제 행사보다 최대 3일 빨리 읽은 경우도 있습니다.

메타데이터는 이른바 ‘데이터를 설명하는 데이터’로 ‘속성정보’라고도 불립니다. 예를 들어 한글문서(HWP)를 문서 편집기로 실행시키고 문서정보를 클릭하면 해당 문서가 생성되고 언제 수정됐는지 날짜와 시간 등 메타데이터를 확인할 수 있습니다. 만약 문서 편집기에 사용자의 이름이나 프로필을 적어 놨다면, 작성자 이름까지도 메타데이터에 저장될 수 있습니다.

컴퓨터 상에 존재하는 대부분 파일은 메타데이터를 가지고 있습니다. 해당 파일 아이콘을 마우스 오른쪽 버튼으로 클릭해 ‘속성’에 들어가면 파일생성, 마지막 수정날짜를 확인할 수 있습니다.

박근혜 대통령(오른쪽)과 비선 실세 의혹을 받고 있는최순실씨(왼쪽) /TV조선 방송화면 캡처

이미지(사진) 파일의 메타데이터를 조회하면 사진을 촬영한 카메라의 제조사·모델명, 촬영·저장일자, 노출·셔터속도,조리개 값 등 촬영환경에 대한 세부적인 정보도 확인할 수 있습니다.

만약 위성항법장치(GPS) 기능을 가진 스마트폰이나 카메라로 촬영할 경우 사진이 촬영된 위치나 이동 경로까지 메타데이터에 저장될 수 있습니다.

실제 지난 2008년 소니코리아는 메타데이터로 인해 곤욕을 겪은 적이 있습니다. 당시 소니코리아는 렌즈교환식(DSLR) 카메라 ‘알파350’, ‘알파700’을 국내에 출시하면서 ‘고성능 카메라’라는 점을 대대적으로 강조했습니다. 하지만 한 네티즌이 해당 광고사진의 메타데이터를 살펴보면서 소니는 고개를 숙여야 했습니다. 소니가 고성능 카메라 광고를 위해 촬영한 사진이 정작 소니 카메라가 아닌 캐논 카메라(EOS 1Ds Mark2)를 사용한 것으로 나타났기 때문입니다.

일각에서는 PC에 들어 있는 문서 파일의 메타데이터가 조작된 게 아니냐는 의혹도 제기되고 있습니다. 실제 문서 파일의 메타데이터를 조작하는 것은 운영체제(OS)의 날짜와 시간을 바꾸면 누구나 쉽게 할 수 있습니다.

기자가 스마트폰, PC, 노트북 등을 이용해 OS의 날짜를 1999년 10월 27일로 바꾸고 나서, 문서를 작성해보니 문서의 생성일이 1999년 10월 27일로 표시되는 것을 확인할 수 있었습니다.

◆ 최순실 “태블릿 PC 쓸 줄도 모른다”?…디지털 포렌식은 다 안다

한글 문서편집기를 사용해 테스트로 작성한 문서. 윈도우의 날짜 및 시간을 1999년 10월 27일로 변경한 뒤 문서를 생성하자 문저정보(메타데이터)의 만든 날짜와 수정한 날짜가 1999년 10월 27일로 표시됐다.

독일에 도피 중인 최순실 씨는 한 매체와의 인터뷰를 통해 “해당 태블릿PC는 자신의 것이 아니다”라고 주장했습니다. 그는 "그걸 쓸 줄도 모른다. 남의 PC를 보고 보도한 것이 아닌지 모르겠다"고 주장했습니다.

논란에 된 태블릿PC는 검찰에 넘겨졌고, 검찰은 디지털 포렌식(Digital forensic·디지털자료기법) 부서에 맡겨 진위를 추적 중입니다. 검찰은 지난 2008년 디지털포렌식센터(DFC)를 건립해, 포렌식 업무를 전담하는 조직(디지털수사담당관실)을 신설했습니다.

디지털 포렌식은 PC나 노트북, 휴대폰 등 각종 저장매체와 인터넷상에 남아 있는 각종 메타데이터 디지털 정보를 분석해 범죄 단서를 찾는 수사기법을 말합니다. 태블릿PC에 남아있는 로그인, 아이디·비밀번호 저장, 로그, 캐쉬 등을 조사할 경우 사용자의 흔적을 발견할 수 있습니다.

포렌식 전문가에 따르면, 디지털 흔적으로 본인인지 아닌지 확인하는 것은 어렵지 않다고 합니다.

예를 들어 PC에서 소셜네트워크서비스(SNS), 이메일에 로그인한 흔적을 발견할 경우, 해당 아이디의 소유자를 찾아 PC 사용자와 이메일 사용자를 대조할 수 있습니다. SNS와 이메일은 특성상 자신의 기기에서 주로 로그인을 하는 만큼, 태블릿PC의 주인이 누구인지 알려주는 중요한 단서가 될 수 있습니다.

디지털 포렌식 수사는 크게 자료 수집·복구, 분석, 증거제출 순으로 진행됩니다. 먼저 조사하려는 컴퓨터의 메모리(RAM), 하드디스크드라이브(HDD), USB 메모리 등 저장 매체에 남아 있는 데이터를 무결하게 획득해야 합니다. 컴퓨터를 켜고 끄는 행위마저도 데이터에 손상을 줄 수 있는 만큼, PC의 전원을 끄거나 HDD를 분리해 조사를 진행하는 것이 좋습니다. 최근에는 분리한 HDD의 복제본을 만들어 활용하는 기술도 등장했습니다.

디지털 포렌식 수사기법 /조선DB

그리고 수집된 데이터에서 수사에 필요한 유용한 정보를 끌어내야 합니다. 또 암호가 걸려 있거나 삭제된 파일의 경우 암호화 해독과 복구 등 과학적인 분석기법을 활용해 데이터를 추출할 수 있습니다.

가령 한글(HWP)로 작성된 기밀문서의 확장자를 JPG(이미지)로 바꿔 놓으면, 이 사실을 모르는 사람은 기밀문서의 존재 여부를 알 수 없습니다. 다만 포렌식 전문도구를 활용할 경우 파일코드의 양식과 확장자가 맞지 않는 파일을 찾아 기밀문서의 발견이 가능합니다.

마지막은 증거제출입니다. 이런 과정을 통해 입수된 디지털 증거가 법정 증거로 채택되기 위해서는 증거자료의 신뢰성을 확보하는 과정이 필요합니다. 법률적으로 디지털 포렌식에 대한 표준절차뿐만 아니라 증거수집 및 분석에 사용된 포렌식 툴에 대한 검증 절차도 진행됩니다.

익명을 요구한 한 보안전문가는 “사용자가 PC를 활용해 인터넷 검색, 이메일, 애플리케이션 설치 등 여러 작업을 할 경우 여러 조건의 메타데이터가 PC나 서버에 저장된다”며 “PC의 메타데이터를 분석하고 인과관계를 추적하다 보면 PC의 사용자를 찾는 게 그리 어려운 일은 아니다”고 말했다.

◆ 디지털 증거법 개정이 미치는 영향

지난 5월 19일 디지털 기기의 증거 능력을 확대하는 형사소송법 개정안이 국회를 통과했습니다. 이른바 ‘디지털 증거법’으로 불리는 이번 개정안을 통해 재판에서 디지털 증거의 위력이 더욱 커지게 됐습니다.

/조선DB

과거 형사소송법에는 이메일, 문서, 컴퓨터 파일, SNS 등 디지털 증거물의 증거 능력을 별도로 규정하지 않았습니다. 형사소송법 제313조는 “공판정에서 작성자 등의 ‘진술에 의하여’ 서류의 성립 진정이 증명된 때 그 서류를 증거로 할 수 있다”고 규정했습니다.

따라서 명백한 범행 증거가 있어도 피의자가 “내가 작성한 것이 아니다”라고 오리발을 내밀면 ‘종이 증거법’에 따라 증거능력을 인정받지 못했습니다.

실제 지난 1월 ‘새시대교육운동준비위’ 전교조 교사들은 서울고법 항소심에서 검찰이 증거로 제출한 2500여 건의 주고받은 이메일들에 대해 “기억나지 않는다”고 주장해 이적단체구성 혐의에 대해 무죄를 받았습니다.

하지만 개정된 형사소송법은 디지털 포렌식 수사와 감정(鑑定) 등을 통해 로그 기록, IP 주소 등 작성 사실을 입증하면 증거로 사용할 수 있게 됐습니다. 이를 통해 범인이 부인하더라도 법정에서 유죄를 뒷받침하는 증거로 사용할 수 있는 것입니다.

전문가들은 정보기술(IT)이 고도화될수록 메타데이터 종류와 수가 늘면서 디지털 포렌식과 같은 첨단과학 수사의 활용이 늘어날 것이라고 전망합니다.

최근에는 SNS가 인기를 끌면서 메타데이터는 더욱 많은 정보를 담고 있습니다. 특히 더욱 정밀해지고 있는 위성항법장치(GPS)가 장착된 스마트폰을 통해 SNS에 글을 작성하면서 글쓴이가 언제 어디서 글을 썼는지도 확인할 수 있는 세상이 온 것입니다.

심지어 페이스북에서는 사용자 주변에 있는 페이스북 친구를 찾아낼 수고 그 거리를 측정할 수도 있습니다. 월스트리트저널에 따르면 SNS의 글 하나에 담긴 메타데이터의 종류가 150가지나 된다고 합니다.

한 포렌식 전문가는 “내가 만약 최 씨의 변호사였다면 솔직히 사실을 시인하라고 조언했을 것”이라면서 “디지털 흔적은 정말 지우기 쉽지 않고 디지털 증거법 통과로 법적 증거력도 훨씬 커졌기 때문”이라고 말했습니다.

- Copyrights ⓒ 조선비즈 & ChosunBiz.com, 무단 전재 및 재배포 금지 -

Copyright © 조선비즈. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?