하나의 카카오톡 메시지라도
본문·발신자 등 다른 경로 저장
다른 데이터도 확보해야 복구

서울 서초구 서초동 대검찰청 국가디지털포렌식센터(NDFC) 안으로 한 직원이 들어가고 있다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

“포렌식 프로그램을 통해 복구한 카카오톡 메시지를 보시면 본문 내용은 나오지만 발신자가 표시돼 있지 않습니다. 대신 메시지가 오간 채팅방의 아이디는 나와 있는데, 복구한 채팅방 목록에서 해당 아이디의 방을 찾으면 채팅 참여자를 확인해 발신자를 역추적할 수 있습니다.”

16일 서울 서초구 대검찰청 국가디지털포렌식센터(NDFC) 중강당. 박기문 대검 과학수사부 모바일포렌식팀장이 카카오톡 메시지가 나열된 포렌식 프로그램을 화면에 띄운 채 이같이 설명했다. 복구된 카카오톡 메시지는 날짜, 본문, 첨부파일, 수신자, 발신자 등의 카테고리로 구분돼 정리돼 있었다. 삭제된 메시지도 ‘삭제’라는 표시와 함께 목록에 포함돼 있었는데, 박 팀장은 복구한 목록에서 발신자 이름과 휴대전화 번호 등을 찾아냈다.

이날 대검은 취재진을 상대로 간담회를 열고 모바일 포렌식 전 과정을 시연했다. 포렌식을 둘러싼 오해를 해소하기 위한 취지라고 밝혔다. 최근 검찰이 압수수색 및 포렌식 과정에서 휴대전화 전부를 복제하는 게 ‘과도한 수사’라는 비판이 일각에서 제기된 데 따른 것이다. 포렌식 과정에서 복제한 데이터를 전부 보관하다가 별건 수사에 이용한다는 의심도 받았다.

박 팀장은 “하나의 카카오톡 메시지라도 대화 본문과 수·발신자 정보, 첨부 파일 등이 제각기 다른 경로로 저장돼 있다”며 “메시지 하나가 (컴퓨터처럼) 파일 하나로 존재하는 게 아니라 각종 형태의 파일로 암호화돼 있는 것”이라고 설명했다. 컴퓨터 포렌식의 경우 파일 단위로 확인해 압수할 수 있지만 모바일 포렌식은 하나의 메시지를 압수하려고 해도 이를 복구할 수많은 다른 데이터도 확보해야 한다는 것이다.

박 팀장은 “휴대전화 사진의 경우 원본 사진이 삭제됐더라도 임시 파일(캐시파일)로 저장돼 있거나 사진 정보가 담긴 파일이 별도로 남아 있다”며 “휴대전화에 범죄 사실과 관련된 원본 사진이 삭제됐더라도 포렌식 수사관들이 임시 파일을 통해 원본을 추정할 수 있는 만큼 실무적으로 확보할 필요성이 있는 것”이라고 했다. 아울러 컴퓨터보다 성능이 떨어지는 휴대전화에서 고성능을 요구하는 포렌식 프로그램을 구동할 수 없기에 휴대전화를 전부 복제해 컴퓨터에서 분석·선별할 수밖에 없다고 전했다.

박 팀장은 “전부 이미지 보관이 필요한 경우에는 파일명과 보관한 사유를 기재해 피압수자에게 알려 주고 있다”고 말했다.

박기석 기자



▶ 밀리터리 인사이드

- 저작권자 ⓒ 서울신문사 -