▲세월호에서 인양된 스마트폰 세월호와 함께 바닷물에 빠졌다가 인양되어 삭아버린 휴대폰, 이런 상태라도 데이터 추출이 가능합니다.
김인성
모바일 포렌식을 거치면 스마트폰에서 최소한 6개월 이내의 거의 모든 정보는 다 찾아낼 수 있습니다. 데이터를 지워도, 스마트폰을 파괴해도 메모리만 살아있다면 찾아낼 수 있습니다.
심지어 바닷물에 빠져서 삭아버려도 메모리만 분리해 데이터를 찾을 수 있습니다. 세월호에서 나온 백여 개의 휴대폰에서 이런 방식으로 데이터를 찾아냈습니다.
문제는 복구 절차입니다. 최초 휴대폰에서 데이터를 빼낼 때 단순히 문자 메시지, 카톡 메시지, 사진 추출 등의 작업만 해서는 안 됩니다. 휴대폰의 데이터 영역을 그대로 복제해서 그 상태를 그대로 보존하는 '이미징'이란 작업이 필요합니다.
휴대폰 이미징 작업으로 원본 이미지를 확보할 때, 이것이 제대로 만들어졌음을 복수의 참관인이 확인해야 합니다. 디지털 지문이라고 말하는 해시 값을 산출해서 데이터의 위변조를 검증할 수 있는 수단도 강구해야 합니다.
휴대폰 작업을 유가족이 직접 할 수 없다면 최소한 유가족과 변호인 그리고 유가족과 변호인이 지정하는 전문가가 참관하도록 해야 합니다. 이 과정에 검·경외의 참관인이 없으면 데이터는 쉽게 취사선택, 조작, 삭제, 훼손, 은폐, 위변조 될 수 있습니다.
국정원 댓글 여직원 노트북 조사는 조사 결과 은폐, 서울시 탈북자 간첩 조작 사건은 은폐와 조작, 최열 환경재단 대표 파렴치범 조작 사건은 취사선택, 이석기 내란음모 조작 사건은 위변조 된 사례입니다.(관련기사:
최열 잡을 뻔한 디지털수사팀 '이상한 보고서')
세월호 당시 CCTV와 함께 발견된 노트북의 "국정원 지적 사항"이란 문건은 전 작업 과정을 유가족, 변호사, 법원측 감정인, 해경까지 동시에 참관했기 때문에 세상에 알려질 수 있었습니다. 만약, 검찰이 가져갔다면 제대로 알려졌을지 의문이라고 말하는 사람들이 많습니다.
성완종 전 회장의 휴대폰을 검·경이 조사한다면 복수의 참관인이 감시하는 상태에서 복제해서 원본 이미지를 만들어야 합니다. 이 이미지를 복사해서 유가족 변호인들도 조사해야 합니다. 원본 디지털 파일은 여러 벌을 만들어도 훼손되지 않기 때문입니다.
실제로 세월호 때는 유가족 분들이 검찰, 해경을 믿지 못해 유가족 변호인측이 직접 포렌식 작업을 해서 휴대폰 등 디지털 기기의 원본 데이터를 확보했습니다.
진도와 제주도 VTS데이터도 마찬가지였습니다. 검찰은 진도 VTS 데이터 중에서 4·16일 당시 로그 파일만 가져갔지만, 유가족측은 하드디스크 전체를 복제해 증거로 확보해 놓았습니다. 앞으로 진상 조사는 검찰 데이터가 아닌 유가족측 데이터로 진행될 것입니다. 이 작업은 디지털포렌식 전문가로서 제가 직접 수행했습니다.