경찰 수사 결과는 빨라도 너무 빨랐다.
17일 이광석 서울 수서경찰서장은 국가정보원 여직원 김모씨㉘의 불법 선거운동 혐의 사건 중간수사결과 브리핑을 갖고 김씨의 PC와 노트북을 분석한 결과 비방댓글을 작성한 기록을 찾아볼 수 없었다고 발표했다.
이를 두고 국내 디지털포렌식 전문가들은 수사 결과의 진위여부를 떠나 아직 분석이 채 끝나지 않은 시점에서 너무 섣불리 결과가 공개됐다고 밝혔다. 삭제된 데이터를 복구하고, 포털에 접속한 기록, IP주소, 공유기의 맥 주소, 포털 사이트에 접속한 로그기록 등을 충분히 검토하고 분석해야 한다는 것이다. 일부 증거만으로 너무 빠른 시점에서 발표한 결과라 오히려 신빙성이 떨어진다는 지적이다.
이날 수사결과에 대해 익명을 요구한 디지털포렌식 전문가는 통상적으로 디지털 증거를 수사하고 범행 정황을 파악하기 위해서는 일주일 이상의 시간이 걸리며 디지털 증거가 쉽게 위변조될 수 있다는 특성을 고려해 3차까지 검토를 거치나 이번 수사결과는 단 몇 시간만에 공개됐다는 점에서 오해를 살 가능성이 커져버렸다고 밝혔다.
더구나 김모씨는 경찰이 압수수색하기 까지 약 44시간 가량을 집에서 지냈다. 인터넷이 전화 등 외부와 통신할 수 있는 방법을 갖고 있었기 때문에 그 시간 동안 어떤 증거조작이 있었을 우려도 나오고 있는 상황이다.
또 다른 보안전문가는 외부에서 원격으로 PC를 제어할 수도 있는 것이고, 그 시간 동안 본인이 충분히 증거를 훼손했을 만한 시간이 있었다는 점 등에 대해 확실한 정황이 발견되지 않았다고 밝혔다.
올해 인기를 끌었던 드라마 유령에서도 경찰들은 불법 인터넷 사기도박단으로부터 증거를 확보하기 위해 한국과 중국 등지의 거점을 동시에 압수수색해 하드디스크(HDD) 등을 확보하는 장면이 나온다. 데이터는 훼손시키거나 위변조하기 쉽기 때문에 같은 시점에 수색하지 않으면 당사자가 증거인멸을 시도할 가능성이 크기 때문이다.
국정원은 중요한 기밀자료 등이 담긴 HDD를 복원이 거의 불가능하게 만드는 '디가우저'라는 장비, 소프트웨어(SW)에 등에 대해 보안적합성을 평가해 주는 기관이다. 때문에 일부에서는 SW방식의 디가우저를 통해 HDD에 담긴 내용이 완전삭제됐을 가능성에 대해서도 문제제기를 하고 있다.
디가우저를 통해 수행되는 '디가우징'은 HDD를 공장초기화하거나 아예 못쓰게 고유의 자력을 없애는 등의 작업을 말한다. 정보 수집, 인멸 등의 업무에 유능한 국정원이 어떤 증거를 어떤 식으로 사용했는지에 대한 명쾌한 정황이 드러나고 있지 않아 증거인멸 의혹이 오히려 증폭되고 있다는 것이 보안업계 관계자들의 설명이다.
수사 결과가 석연치 않은 또다른 이유는 과거 선거관리위원회에 대한 분산서비스거부(DDoS) 공격이나 KT에서 발생한 870만건의 개인정보유출 사건 등도 명확한 수사내용이 발표되기 까지 수개월씩 걸렸다는 점을 고려하면 이번 발표는 빨라도 너무 빨랐다는 지적을 피하기 힘들어 보인다.
앞으로 과제는 HDD뿐만 아니라 다른 여러 디지털 증거들을 종합해 실제로 국정원 직원이 비방댓글을 달았는지 그게 아니라면 40개의 ID를 통해 어떤 활동을 했는지에 대해 알려야하는 일 등이 될 것으로 보인다.
관련기사
- 워드·한글·아크로뱃, 암호화로 해킹고민 끝2012.12.17
- 노키아 엔지니어 "윈도8 게임 해킹된다"2012.12.17
- ITU, 인터넷 통제 표준안 마련 중 해킹 당해2012.12.17
- 총리실도 반할만한 HDD 완전삭제기 국정원 인증2012.12.17
또 다른 디지털포렌식 전문가는 디지털포렌식의 5대 원칙 중 하나가 디지털 증거의 인멸이나 훼손 등 휘발성이 높다는 취약점이라며 이 사건에 대한 수사와 결과 발표는 수사는 늦었으나 결과는 통상적인 수사에 비해 훨씬 빨리 나왔다는 점이 문제로 지적된다고 밝혔다.
때문에 앞으로 국정원 여직원 김모씨가 사용한 인터넷서비스사업자(ISP)가 할당해 준 IP, 공유기를 썼다면 어떤 공유기를 사용했는지, 랜카드의 맥 주소는 무엇인지 등의 정황 증거를 종합적으로 수집하면 또 다른 결과가 나올 가능성도 무시하기 힘들 것으로 전망된다.
