25.

디지털 포렌식: 정의, 수사 절차, 증거능력 및 법적 대응 전략

• 새 탭 열기
• 작성 이력 보기

디지털 포렌식의 정의와 중요성

디지털 포렌식(Digital Forensics)이란 스마트폰, 컴퓨터 등 각종 디지털 기기에 남아있는 데이터를 수집, 분석하여 범죄의 단서를 찾아내는 과학적 수사 기법이자 일련의 법적 절차를 총칭하는 개념이다. 이는 카카오톡 대화 내용, 문자 메시지, 통화 기록과 같은 직접적인 정보뿐만 아니라 GPS 위치 정보, 파일 접근 기록 등 사용자의 행적을 재구성할 수 있는 모든 전자 정보를 포괄한다. 현대 사회에서 형사 사건은 물론 민사, 가사 소송에 이르기까지 법적 분쟁 해결에 있어 디지털 증거의 중요성은 절대적이다.

형사 사건의 디지털 포렌식 절차

수사기관이 피의자의 디지털 기기를 압수하거나 임의제출 받아 분석하는 과정은 다음과 같은 엄격한 절차에 따라 진행된다. 

1. 증거보전 (통신 차단 및 봉인): 원격 삭제나 데이터 변조 시도를 막기 위해 기기를 즉시 비행기 모드로 전환하고 전원을 차단한다. 이후 증거물 봉인 봉투에 넣어 서명 또는 날인(간인)하여 위변조 가능성을 원천 봉쇄한다.
2. 이미징 (사본 생성): 외부 네트워크가 차단된 조사실에서 원본 데이터의 '무결성(Integrity)' 보존을 위해 원본 저장매체가 아닌 복제본을 생성(이미징)한다.
3. 분석 및 선별: 모든 분석 작업은 생성된 복제본(이미지 파일)을 대상으로만 진행하여 원본 증거의 훼손을 방지한다.

포렌식 '참관권'의 중요성과 별건 수사 방어

기술적인 복제 과정인 '이미징' 단계 자체는 피의자나 변호인이 참관할 실익이 크지 않다.

그러나 복제된 데이터에서 현재 수사 중인 혐의와 관련된 정보를 선별하는 과정은 전혀 다르다. 이 단계에서의 참여 여부는 피의자의 방어권 보장과 직결되는 핵심 절차이다. 특히, 본인이 인지하고 있는 다른 잠재적 범죄 혐의가 수사 과정에서 드러날 가능성이 있다면, 선별 절차에 적극적으로 참여해야 한다. 이를 통해 수사 대상 혐의와 무관한 정보의 유출이나 예상치 못한 별건 수사로의 확대를 방지하는 것이 가능하다.

반대로, 현재 혐의 외에는 어떠한 법적 문제도 없다고 확신한다면 굳이 선별 과정에 참여하지 않아도 무방하다.

디지털 데이터 복구 가능성: 범위와 명확한 한계

과거에는 특정 운영체제(안드로이드)의 복원율이 더 높다는 통념이 있었으나, 포렌식 기술의 비약적인 발전으로 현재는 iOS 기반의 아이폰 데이터 복원 역시 상당 수준 가능하다. 다만, 기기 자체의 강력한 암호화 정책으로 인해 더 많은 시간과 기술력이 요구될 뿐이다.

USB, 외장하드(HDD, SSD), SD카드와 같은 일반 저장매체에서 단순히 삭제된 데이터는 복원 가능성이 높다. 이는 삭제 명령이 실제 데이터를 지우는 것이 아니라, 데이터가 저장된 위치 주소만을 비활성화하기 때문이다. 그러나 블랙박스나 CCTV처럼 저장 공간이 가득 차면 가장 오래된 데이터부터 순차적으로 새로운 데이터를 덮어쓰는 '오버라이팅(Overwriting)'이 반복된 경우, 이전 데이터의 복원은 사실상 불가능에 가깝다.

복원된 데이터의 법적 효력: 증거 능력

복원된 디지털 데이터가 법정에서 유의미한 증거로 인정받기 위해서는 '증거 능력'을 갖추어야 한다. 데이터가 삭제된 시점, 이후 기기 사용 빈도 등 여러 요인에 따라 증거 능력은 크게 달라질 수 있다. 데이터가 물리적으로 소실되었을 가능성이 있기 때문이다.

예를 들어, 불법 촬영물의 원본 영상은 복원되지 않았으나 저화질의 썸네일 이미지만 복원된 경우, 해당 썸네일만으로는 촬영의 주체, 내용의 동일성을 완벽히 입증하기 어려워 증거 능력이 제한될 수 있다.

또한, 사진이나 영상 파일이 완전한 형태로 복원되었다 하더라도, 만약 해당 파일의 생성 정보를 담은 '메타데이터'가 손상되었다면 증거로서의 가치가 현저히 떨어진다.

증거의 신뢰성을 좌우하는 메타데이터

메타데이터(Metadata)는 해당 파일의 '주민등록증' 또는 '이력서'와 같은 역할을 수행한다. 사진이나 영상이 언제, 어떤 기기로, 어디서 촬영되었는지, 생성된 이후 수정 이력은 없는지 등의 모든 정보가 기록되어 있다.

이러한 메타데이터가 존재하지 않거나 훼손된 경우, 해당 파일이 실제 범죄 행위와 직접적인 관련이 있는지, 혹은 피의자가 직접 생성한 것인지를 객관적으로 입증하기 곤란하다. 결국, 파일의 진위 여부와 출처가 불분명해져 법적 증거로 채택되기 어렵게 된다.

압수된 휴대폰, 돌려받을 수 있는가?: 가환부 신청과 대응

수사기관에 압수된 휴대폰은 '압수물 가환부 신청'을 통해 돌려받을 수 있다.

단, 해당 기기가 불법 촬영물 유포 등 범행에 직접적으로 사용된 '범행 도구'로 간주되거나, 증거 인멸 및 추가 범죄의 우려가 명백한 경우에는 반환되지 않을 가능성이 높다.

그러나 위와 같은 특수한 경우가 아니라면, 수사기관이 포렌식을 통해 필요한 증거를 모두 확보했다고 판단할 시 기기는 소유주에게 반환되는 경우가 일반적이다. 휴대폰 반환은 피의자에게 매우 유리한 전략적 기회를 제공한다. 수사기관은 포렌식 분석 결과를 피의자와 공유하지 않으므로, 반환받은 기기를 사설 전문 업체에 의뢰하여 자신에게 유리한 반대 증거를 찾아내고 이를 재판 과정에서 적극적으로 활용할 수 있다.

요컨대, 디지털 포렌식은 법과 기술이 융합된 복합적인 영역으로, 피의자에게는 기회이자 위기가 될 수 있다. 어떻게 대응하느냐에 따라 혐의를 벗을 결정적 증거가 되기도, 예상치 못한 족쇄가 되기도 한다. 따라서 관련 문제에 직면했다면 초기 단계부터 형사 사건 노하우를 갖춘 변호사의 조력을 받아 법적 권리를 보호하고 자신에게 유리한 대응 전략을 수립하는 것이 무엇보다 중요하다.