지우려는 자 그리고 찾아내려는 자

디지털포렌식-디가우싱·와이핑, 끝없이 진화하는 증거 확보-삭제의 ‘창과 방패’

“정부 문서는 갑·을·병 3등급으로 나눌 것. 갑급 문서는 제주까지, 을급 문서는 부산까지 옮기며 병급 문서는 소각할 것.”
대한민국 정부가 들어선 뒤, 처음으로 대규모 문서 파기가 이뤄진 건 1951년 1·4 후퇴 시기였을 듯하다. 1996년 7월 정부기록보존소 부산지소가 발견한 이승만 정부의 극비 문서 ‘정부소개대책관계서류’에는 당시 정부 부처였던 사회부의 정부 문서 삭제 지침이 자세히 등장한다. 북한군에게 자료를 넘기지 않기 위해, 이승만 정부는 1·4후퇴를 보름 넘게 앞두고 사회부·재무부 등 당시 8개 정부 부처로부터 피란 계획을 받아 이런 지침을 세웠던 것이다.

“수사팀이 들이닥치면 업무용 노트북을 바꿔치기해 수사기관에 내줄 노트북에 아무 파일도 없으면 의심하니까 일단 넘겨줘도 무방한 내용이나 파일을 깔아놓는다.” -한 전직 대기업 직원

저장장치에서 증거 확보하는 디지털포렌식

찢거나 혹은 태우거나. 디지털 자료가 등장하기 전까지 증거 삭제기법은 단순했다. 이 가운데에서도 태우는 것만큼 확실한 뒤처리는 없었다. 한국전쟁 당시 문서 보안에 신경 썼던 이승만 정부는 1960년 4·19 혁명이 일어난 뒤 이승만 대통령이 퇴진할 무렵 경무대(현청와대)에서 정부 극비 문서 대부분을 불태웠다. 집권하면서 남긴 불리한 자료를 태운 건 군사정부 시절도 마찬가지였다.

삭제 방식이 한껏 복잡해진 건 컴퓨터 시대를 맞으면서부터였다. 1990년대 정부는 행정 자료를 전산화했다. 컴퓨터와 플로피디스크가 등장했다. 1990년 10월 국군보안사령부가 민간인 1300명을 불법 사찰한 사실을 폭로한 윤석양 이병은 서류 뭉치와 플로피디스크를 보안사에서 들고 나왔다. 그러나 종이에도 여전히 중요한 내용이 담겼다. 앞서 1980년대 중반 문서파쇄기가 사무실에 등장했고, 외환위기를 거치며 보안을 중요시하는 외국계 기업이 늘어나자 문서 파쇄 전문 업체가 국내에 생겨난 것도 이 때문이다.

수사기관이 ‘디지털 증거’ 수집에 관심을 갖게 된 건 컴퓨터 관련 범죄가 늘어나면서부터다. 검찰은 해킹, 인터넷 사기 등 범죄가 늘어나자 2000년 서울중앙지검에 컴퓨터수사부(현 첨단범죄수사부)를 설치했다. ‘디지털포렌식’이라는 개념이 등장한 것도 이때쯤이다. ‘포렌식’(Forensic)은 지문감식·유전자(DNA)수집 등 수사 또는 법정 증거를 확보하기 위해 쓰는 전반적인 기술을 뜻한다. 디지털포렌식은 이 가운데에서도 컴퓨터·휴대전화·저장장치 등 디지털 관련 증거를 확보하는 수사 기법을 이르는 말이다. 저장장치에 남겨진 디지털 흔적 속에서 삭제한 전자우편, 휴대전화 속 사진 등의 70~80%를 되살려내 수사자료로 활용하는 것이다.

하드디스크, 기업용 서버 등 저장장치가 기하급수적으로 늘어나면서 수사기관의 압수수색 방식도 달라졌다. 그러나 증거를 숨기는 방법으로는 자료를 지우는 것 말고는 뾰족한 수가 없었다. 압수수색을 받아본 경험이 있는 한 전직 대기업 직원은 “수사팀이 들이닥치면 업무용 노트북을 바꿔치기해 수사기관에 내줄 노트북에 아무 파일도 없으면 의심하니까 일단 넘겨줘도 무방한 내용이나 파일을 깔아놓는다”고 말했다. 2008년 이건희 삼성 회장의 비자금 조성 의혹을 수사하던 검찰이 경기도 과천 삼성SDS e데이터센터에 들이닥치자, 담당 직원이 서버 자료를 삭제하기도 했다.

유전자조작작물(GMO)을 식품 원료로 사용했더라도 단백질로 최종 제품에 남아 있지 않으면 GMO로 표시할 필요가 없다. 콩기름의 경우 100% GM 콩으로 만들어도 GMO 표시 대상이 아니다. 100% 수입콩으로 제조됐음에도 GMO 표시가 없는 국내 제품 모습.탁기형

물리적으로 뭉개버리는 디가우싱

그러나 최근 몇 년 사이 복구가 불가능하도록 삭제하는 이른바 ‘안티포렌식’ 기술이 퍼지면서 수사기관을 곤혹스럽게 하고 있다. 안티포렌식은 삭제한 자료를 복원해내는 디지털포렌식의 원리를 파악한 뒤, 증거를 복원할 수 없도록 난해하게 만드는 기술이다. 하드디스크의 경우, ‘물리적 방식’과 ‘소프트웨어 방식’이라는 두 가지 형태의 안티포렌식 방식을 사용할 수 있다.

물리적 방식은 하드디스크 등 저장장치를 지능적으로 훼손하는 것이다. 대표적인 방법이 ‘디가우싱’(Degaussing)이다. ‘디가우서’라고 부르는 강력한 자력을 내보내는 장비에 하드디스크를 넣어 철가루 성분이 있는 저장공간을 망가뜨리고, 플래터라는 부속을 못 쓰게 만드는 효과가 있다. 그 밖에 하드디스크 자체에 구멍을 뚫거나 갈아버리는 파쇄기도 있다. 실제로 디지털포렌식을 통하면 강물에 던져버린 컴퓨터나 망치로 부순 하드디스크에서도 자료 내용을 확인할 수 있기 때문이다.

데이터 복구가 불가능하도록 저장장치를 난수나 0으로 덮어쓰는 이른바 ‘와이핑’(Wiping)도 있다. 실제로 컴퓨터 저장장치에서 파일을 삭제해도 그 흔적은 남아 있다. 와이핑은 그 흔적을 불러낼 수 있는 연결고리를 흩뜨리는 작업이다. 삭제하지 않고 그림파일 등에 암호화한 데이터를 숨기는 ‘스테가노그래피’(Steganography) 등으로 삭제 효과를 얻기도 한다. 오사마 빈라덴이 지령을 내릴 때 전자우편을 통해 사용한 방식으로 알려져 있다.

이처럼 기상천외한 안티포렌식 방식은 2010년 국무총리실 공직윤리지원관실의 ‘민간인 불법사찰’ 증거인멸 과정에서 본격적으로 등장했다. 당시 판결문에는 장진수 당시 공직윤리지원관실 주무관이 인터넷에서 파일 영구삭제 프로그램을 검색해 ‘이레이저’(Eraser)라는 프로그램을 내려받아 컴퓨터 9대에 들어 있는 하드디스크의 파일을 깨끗이 지운 것으로 나온다. 그는 디가우서 장비가 있는 업체를 방문해 디가우싱 작업도 했다. ‘물리적 방식’과 ‘소프트웨어 방식’을 모두 사용해 증거인멸을 한 것이다. 최근 검찰이 국가정보원의 대선·정치 개입 의혹을 수사하면서 서울경찰청을 압수수색할 때 관용 컴퓨터의 하드디스크 자료를 삭제한 박아무개 서울경찰청 사이버범죄수사대 증거분석팀장도 인터넷에서 내려받은 와이핑 프로그램을 사용했다. 서울중앙지검에서 컴퓨터수사부 검사로 근무했던 최득신 변호사(법무법인 평강)는 “디지털포렌식과 안티포렌식은 창과 방패 관계이기도 한데 요즘에는 대기업 등에서 안티포렌식 전문가 양성에 나서면서 삭제한 자료를 복구하는 일이 점점 어려워지고 있다”고 설명했다.

대기업에서 안티포렌식 전문가 양성 나서

그러나 창과 방패는 함께 발전한다. 독일에서 1989년부터 현재까지 진행하고 있는 동독 비밀경찰(슈타지)의 비밀문서 복구 작업을 보면 그렇다. 당시 독일은 동독 비밀경찰이 이미 파쇄한 각종 인권탄압 내용이 담긴 약 4500만 건의 비밀문서를 인력을 동원해 맞추는 작업을 진행했다. 400년 넘게 걸릴 것으로 보이던 이 작업은 1996년 독일 베를린 프라운호퍼산업연구소(IPK)가 ‘이 퍼즐러’(E-Puzzler)라는 복구 장치를 개발하면서 급물살을 타게 됐다. 초정밀 스캐너로 종이의 색상·내용·두께 등을 파악해 컴퓨터가 조각을 맞추면서 복구 속도를 앞당겼다. 영원한 삭제가 없는 시대가 가까워지고 있다.

김성환 기자 hwany@hani.co.kr