[쿠키뉴스=김현섭 기자] 지난 18일 스스로 목숨을 끊은 채 발견된 국가정보원 직원 임모(45)씨가 삭제한 해킹 관련 자료는 어떻게 복원할 수 있을까. 사라진 디지털 자료를 복원할 수 있는 건 디지털 ‘포렌식’ 기법 때문이다.
20일 경찰청에 따르면 디지털 포렌식은 PC, 노트북, 휴대전화 등 다양한 디지털 기기에 남아 있는 ‘디지털 증거’를 수집한 후 복구·분석하는 일조의 디지털 과학수사를 의미한다. PC, 휴대전화 등 디지털 기기에 저장됐다가 삭제한 자료는 저장했던 장치에 그 흔적이 남아 있기 때문에 원칙적으로 복구가 가능하다.
하지만 디가우징 같은 물리적 변화를 통해 자료를 삭제하면 복원이 어렵다.
‘디가우징(Degaussing)’은 저장기기에 저장된 정보를 강력한 자력을 이용해 물체에 남은 자기장을 지워버려 모든 데이터를 삭제하는 기술이다.
이명박 정부 시절 국무총리실의 ‘민간인 불법사찰’ 의혹이 불거졌을 때 총리실 산하 공직윤리지원관실 직원들이 증거 인멸을 위해 이 방법을 사용했다.
디지털 증거는 범행 당사자뿐 아니라 수사 주체도 훼손할 수 있기에 법정에서 증거로 인정되려면 위·변조되지 않았음이 입증돼야 한다.
여기서 대두하는 것이 ‘해시값(Hash Value)’이다.
해시값은 파일 특성을 축약한 고유 식별값으로, 32자리 숫자로 이뤄졌다. 디지털 증거의 자료 중 일부가 달라지면 해시값 역시 크게 변한다. 일반적으로 수사과정에서 ‘디지털 증거의 지문’으로 통하는 이유다.
디지털 자료를 압수수색할 때 피압수자가 참여한 가운데 원본 디지털 자료의 해시값을 구해두면 수사기관이 압수해간 디지털 자료가 원본과 다름 없음을, 즉 ‘결함 없음’을 입증할 수 있다.
디지털 포렌식은 사이버범죄와 같은 디지털 관련 범죄만이 아니라 다양한 종류의 범죄에서 수사 단서를 제공해준다.
지난 3월 마크 리퍼트 주한미국 대사 피습사건에서 경찰은 범인 김기종(56) 씨의 PC를 포렌식해 ‘오바마 키’, ‘키리졸브’, ‘형법’ 등을 검색한 것을 확인, 김씨가 사전에 범행을 준비했을 밝혀냈다.
지난 1월 터키에서의 김모(18) 군 실종사건과 관련해 김군이 자발적으로 시리아 접경지역으로 이동한 것으로 경찰이 결론을 내릴 수 있었던 것은 디지털 포렌식 덕분이었다.
김군의 PC를 분석한 결과 김군이 터키 여행정보, IS 관련 신문기사 등 65개 사이트를 즐겨찾기 목록에 등록했고, 지난 1년간 IS, 터키, 시리아, 이슬람 등의 단어로 517회 검색한 점이 나타났기 때문이다. afero@kmib.co.kr 페이스북 fb.com/hyeonseob.kim.56
[쿠키영상] "묘하게 어울리네"…리코더로 비트박스를 선보이는 남자
"춤까지 춰?"…놀라운 훌라후프 실력 뽐내는 소녀
"생각보다 괜찮다?!" 난생처음 ‘김치’ 맛본 미국 아이들의 반응