지난 2016년 5월 27일에는 서울대 상산수리과학관 대강당에서 대검찰청 과학수사부 주관의 춘계 과학수사 학술세미나가 열렸습니다. 이때 (사)한국포렌식학회와 서울대 수리정보과학과가 함께 '디지털포렌식 심포지움'을 개최하였습니다. 그곳에 참여하여 후기를 올린적이 있습니다.


특히, 오후세션에 있었던 대구지검의 단성한 검사(42·사법연수원 32기)님께서 조희팔 사건 수사사례를 발표해주셨는데요, 너무너무 재미있어서 열심히 필기를 했습니다. 기회가 된다면 그 부분만 따로 포스팅하려고 했는데요.. 이게 블로그에 막 올려도 되는건가? 법에 저촉되면 어떡하나 싶어서.. 보류하고 있었습니다. 언론에 다 나오고 난뒤라면 문제 없겠다는 생각이 들어서 때를 기다렸습니다. 그리고 마침내..

검찰은 사기범 조희팔(1957년생)의 사망을 공식 확인했다. 23개월간 수사를 벌인 대구지검은 사건을 마무리하는 브리핑에서 "과학적인 수사 기법으로 조희팔이 중국 산둥(山東)성 웨이하이(威海) 해방군 404의원 응급실에서 급성 심근경색으로 돌연사한 사실을 최종 확인했다."고 밝혔다. 이에 따라 검찰은 조희팔에 대해 공소권 없음 처분을 내리고 수사를 종결했다.


[출처: 중앙일보] 검찰 "조희팔 2011년 사망 최종 확인"···23개월 수사 마침표

 

그렇습니다. 공소권 없이 수사가 종결되었으므로, 이제 관련내용을 올려도 되겠지요? 2016년 춘계 과학수사 학술세미나에서 단성한 검사님의 발표 필기내용을 요약하여 정리해보았습니다.



(편의상 단성한 검사님의 1인칭 시점으로 기록하겠습니다.)


안녕하십니까. 대구지검 단성한 검사입니다. 이번 세션에서는 디지털 포렌식의 실제 수사사례로 ‘조희팔 사건’에 대해 발표하도록 하겠습니다.


발표순서로는 먼저 조희팔 사건에 대해 생소하실 수도 있으신 분들을 위해 사건의 개요를 간략히 설명을 드리고, 이 수사를 하게 된 배경, 그리고 20개월 정도 수사한 주요 경과, 과학적 분석을 통한 수사 성과, 실제 범죄수익 규명, 디지털 포렌식을 통한 결과물 등을 차례로 소개해드리도록 하겠습니다.

조희팔사건에 대해 언론보도를 통해 한두번은 들어보셨을거라고 생각합니다. 조희팔 사건은 2008년 11월 경찰 발표로 알려졌으며, 지금까지 알려진 대한민국 역사상 최대 규모의 금융 다단계 사기사건입니다. 당시 경찰은 수만명의 피해자들을 상대로 피해액을 약 4조원으로 추산했습니다. 3년간의 범죄행위의 꼬리가 밟히자, 조희팔 등 주범들은 중국으로 도주하였습니다. 그리고 2012년 5월. 경찰은 조희팔의 사망을 발표하였습니다. 


그들의 사기방법은 ‘의료기기 임대사업’이라는 명목으로 투자 유치를 권유하는 방식이었습니다. 그리고 좌우 투자자를 세우고, 그에 따라 계급을 상승시켜주는 방식(일명 피라미드식 다단계)을 홍보하였습니다. 이를 통해 하위 투자자를 많이 모집하도록 종용하였습니다. 이렇게 투자된 돈을 다시 선입금한 사람들에게 지급하였고, 단기적으로는 자금 운영이 정상적으로 되는 것처럼 보였기 때문에 큰 문제가 발생하지 않았기에 많은 사람들이 몰려들었습니다. 하지만 실제로는 수익이 발생하지 않는 구조이고, 하위 투자자를 모집하는 것에도 한계가 있기 때문에 결국에는 3년 정도의 시간이 흐른뒤 사기극임이 드러나고 말았습니다.

이 문제가 단순 사기행각에 비해 유독 심각하게 알려진 이유는, 조희팔 등 주범이 중국으로 도주하는 과정에서 여러가지 의혹들이 발생했기 때문입니다. 과연 수백억인지 수천억인지 수조원인지 추산조차 어려운 어마어마한 범죄수익은 어디로 사라졌는가? 그리고 누군가 도와주는 어둠의 세력이 있지 않고서야 이런일이 가능한 것인가? 조희팔이 사망한 것은 맞는가? 하는 여러가지 의심이 있었습니다. 


특히 종전 수사결과에 대해서 범인들은 경찰의 수사망을 교묘하게 번번히 빠져나갈 수 있었고, 고철무역업자 등으로 연루된 사람들이 무혐의 처분 등으로 면죄부를 받는등 상식적으로 납득하기 어려운 부분들이 계속해서 나타나자 국민적인 의혹의 증폭되었습니다. 


수사기관은 범인을 잡을 의지가 있는것인지, 의도적으로 은폐하려는 것은 아닌지 하며 많은 비난이 쇄도하였습니다.

그리하여 이러한 불신들을 뒤엎고자, 다시 수사를 재기하였고 더이상의 의혹을 남기지 않기 위해 전면 재수사에 착수하였습니다. 


먼저 고철무역업자 등에 대한 재기수사명령이 시작되었습니다. 그리고 이를 계기로 총 980억원대 범죄수익을 파악하여 관련자 12명을 사법처리할 수 있었습니다. 또한 뇌물수수한 검찰공무원 등 비호세력으로 밝혀진 5명을 구속기소하는 등 총 50여명에 대한 사법처리가 진행중입니다. 


현재까지도 중국에서 도주중인 핵심 주범을 검거하고 범죄수익에 대한 나머지 사용처 등을 규명하는 것을 목표로 하고 있습니다.

특별히 이 사건에서는 ‘과학수사’를 통해 범죄수익 규모를 규명했다는 점에서 굉장한 성과가 있었습니다. 범죄수익을 규모해야만 수사에 대한 국민적인 신뢰를 얻을 수 있고, 실제 수익규모의 사용처를 규명하지 못한다면 각종 의혹이 계속 남을 것이기 때문이었습니다. 


현실적인 제약 조건이 꽤 많았습니다. 주범들은 관련된 회계 데이터 파일을 컴퓨터상에서 기술적으로 삭제하였고, 이것을 복구하는 것이 굉장히 어려웠습니다. 또한 피해자들은 계좌이체 뿐만 아니라 현금이나 수표 등으로도 투자를 진행했기 때문에 자금의 흐름을 파악하는데 어려움이 많았습니다. 특히 ‘가상 화폐’를 사용하기도했기 때문에 더더욱 내역을 추정하기 어렵게 되었습니다. 때문에 종전 수사에서는 법인 계좌 기준으로 2조 8천억으로 매출을 산정할 수밖에 없었습니다. 


그러므로 재수사에서는 정확한 규모를 다시 산출하기 위해 방대한 양의 금융거래 데이터를 정확하게 분석하고 처리하는 기술을 필요로 했습니다. 

앞서 말씀드린 여러 제약조건을 극복하여 보다 정확한 데이터를 얻을 수 있었던 과정을 설명드리도록 하겠습니다. 이 부분은 대검찰청 과학수사부의 요원들의 도움이 컸습니다. 


조희팔 조직에서 운영한 투자 금액은 1구좌에 440만원이라는 단위로 운용되었습니다. 여기에서 단서가 될만한 규칙을 발견하였는데, 440만원을 투자 받았을때 ‘임대수익금’이라는 명목으로 평일기준 166일간 지급되는 돈이 있었습니다. 이 돈은 반드시 피해자의 계좌로만 입금이 되었습니다. 또한 합계는 반드시 581만원이라는 점 등의 패턴을 추출하여 규칙을 찾아내었습니다. 


그리하여 피해자의 계좌를 지정하여 입출금 내역을 뽑아내고, 그것으로부터 패턴을 찾아내어 투자액을 역으로 계산해내는 작업을 수행할 수 있었습니다.

또한, 특정 시점의 매출 데이터 파일을 복구하였습니다. 

조희팔 일당은 중국으로 도주하면서, 범행과 관련된 서버에 있던 디스크를 전부 포맷하는 치밀함을 보였습니다. 특히 가장 중요한 DB서버에 대해 대용량 파일을 30회 덮어쓰기하여 복구가 불가능한 상태로 만들어놓았습니다.


그런데 우연히, DB서버가 아닌 웹서버를 분석하는 과정에서 해당 서버가 과거에 임시적으로 DB서버로 사용되었던 흔적을 발견하였습니다. 다행히 해당 서버는 여러번 삭제되지 않았고, 이를 복구해보니 비할당 영역에서 데이터베이스 파일의 일부분을 찾아낼 수 있었습니다. 대검의 포렌식 수사팀의 지원으로 해당 데이터를 복구할수 있었습니다.

위와 같이 디지털포렌식 등의 방법으로 과학수사를 통해, 종전의 수사에서는 명확하게 규명하지 못했던 기간들에 대해 추가적인 피해액을 확인할 수 있었고, 이를 반영하자 5조 715억 규모의 매출 내역을 규명할 수 있었습니다. 이는 금융거래 분석 결과와 99%일치하는 자료였습니다. 


또한 총 매출내역의 규모를 파악하였기 때문에, 피해자 등에게 임대수입으로 지급된 금액은 제외하고 그 밖에 산정 불가한 영영(현금/수표) 등을 반영하여 실제 범죄수익을 최종적으로 산정할 수 있었습니다. (해당 부분은 발표드릴 수 없습니다.)


결론적으로 말씀드리자면 이 사건은 금융거래 데이터 분석, 데이터베이스 복구기술, 그 밖의 디지털 포렌식, 피해자 진술 분석등의 종합적으로 적용된 사례라고 볼 수 있겠습니다. 


마지막으로 이 사건에서 디지털 수사자료를 어떻게 관리하고 활용하였는지를 말씀드리도록 하겠습니다. 


수사 실무자들은 통화내역, 금융거래내역, 관련 가입자 정보, 이메일, 하드디스크, 모바일 등에 대한 전자정보를 관리하였습니다. 또한 진술은 증거법상 그 자체로서 증거이지만, 실무적으로는 그 진술을 녹음하였거나 기록하여 파일형태로 보관되기 때문에, 그것도 광의적인 의미에서 디지털 자료로 정의하여 관리하였습니다. 


특히 이 사건은 2008년부터 경찰 수사부터 축정된 방대한 디지털 수사자료들이 여러곳에  산재되어 있어서 관리하기가 더더욱 어려웠습니다. 특히 통화내역 같은 자료는 보관기간이 1년밖에 되지 않기 때문에, 현재로서는 이미 7~8년이 지난 데이터였습니다. 이것을 과거 수사자료로부터 복원해야 했습니다. 또한 아직까지 활동하고 있는 범죄관련자들이 남아있는 자료들을 인멸하려는 시도를 충분히 할 수 있으리란 가능성 때문에 수사의 속도가 상당히 중요했습니다. 


여러가지 의혹들도 있었듯이, 실제로 비호세력이 존재하는 듯 하였고, 그들의 움직임을 예의주시해야 했습니다. 그들의 은밀한 소통을 모두 캐치하기 위해서는 이메일이나 통화내역, 컴퓨터에 저장된 다양한 전자정보를 정밀하게 분석하여 연관관계를 파악해야 했기 때문에 이 사건은 디지털 포렌식의 역할이 상당히 중요했다고 볼 수 있습니다.

검찰에서는 ‘통합 디지털 분석 시스템(IDEAS)’을 운영하고 있습니다. 이를 통해 디스크 포렌식 자료라던지, 모바일 자료, 통화내역이나 계좌내역 등 모든 종류의 전자정보를 통합적으로 관리할 수 있는 전용 서버입니다. 이번 조희팔 사건에서는 데이터가 워낙 방대했기 때문에 해당 시스템을 별도로 할당받아서 독립 서버 형태로 운영하였고, 대검의 전문화된 디지털 포렌식 요원의 지원을 받았습니다. 덕분에 신속한 범죄 수익 추적 확보, 횡령세탁 사범과 비호세력 적발 및 검거가 가능하였습니다.

위의 그림이 바로 IDEAS 시스템의 대략적인 구성도입니다. 이를 통해 방대한 수사자료를 수월히 관리할 수 있었고, 대검 분석요원 실무자의 지원으로 심층적인 분석이 유기적으로 이루어진 것이 수사성과에서 매우 큰 역할을 하였습니다.

이것이 구체적 사례입니다. 먼저 신속한 범죄수익 패턴을 확보하는 과정입니다. 단순히 일반적인 계좌추적 기법은 은행의 전표를 통해 하나씩 역추적하는 것인데, 이렇게해서는 모든 데이터를 관찰하기가 너무나 어려웠습니다. 이 사건은 단시일내에 범죄수익에 대한 큰 흐름을 빠르게 파악하는것이 중요했습니다. 다행히 저희 수사팀은 신속한 분석 덕분에 고철무역업자의 은닉재산 710억원을 환수할 수 있었습니다. 

또한 유착된 채권단 대표 곽모씨 등 주변인물의 통화내역을 연관분석하였고, 은신처를 파악하여 압수수색을 진행하였습니다. 덕분에 그동안 밝혀지지 않았던 공범들과 채권단 공동대표 3명 등을 전원 구속하여 사법처리할 수 있었습니다.

마지막으로 디지털 포렌식을 활용하여 고철무역업자를 비호했던 공무원을 적발할 수 있었습니다. 업자의 주거지에서 압수한 동업약정서에는 ‘김모씨’라는 이름의 인물이 적혀있었는데, 추후에 확인해보니 ‘박모씨’에게 수입이 입금된 정황에서 의문이 발생하였습니다. 알고보니 김모씨와 박모씨는 부부관계였고, 그의 매형이 검찰 공무원이라는 점 등 주변인물들에 대한 연관성을 찾아낼 수 있었습니다. 이것을 단서로 수사를 지속하였고 해당 공무원의 금품수수 혐의까지 밝혀낼 수 있었습니다. 


제가 준비한 발표는 여기까지입니다. 사실 저는 검사이므로, 수사에 활용된 구체적인 기술들을 설명드리기에는 역할이 다소 상이합니다. 다만, 디지털포렌식은 현대의 범죄에서처럼 대규모의 데이터를 분석해야하는 작업 등에서 필연적이라는 것은 확언할 수 있습니다. 이번 사례를 통해 디지털포렌식이 얼마나 중요한지 여러분께서 충분히 인지하셨으리라 믿으며 이상으로 발표를 마치도록 하겠습니다. 감사합니다.


그간 여러 의혹과 음모론이 난무하였던 사건인데요, 이 사건의 주임검사님께서 사건의 주요 경과를 설명해주셨습니다. 사실 사건이 발생하고 시간이 상당히 경과한 시점이므로 대부분의 증거가 은폐되었을 가능성이 높아서 진실을 풀어가기가 굉장히 어려웠을 것입니다. 그럼에도 불구하고 초동 수사에서 밝혀냈지 못했던 2조 이상의 규모액을 찾아내 총 5조 715억임을 밝혀냈다는 것은 수사팀의 강한 의지가 반영된 결실이라고 생각합니다. 뿐만 아니라, 발표에서 나온것처럼 대검 과학수사부의 디지털수사과와 사이버수사과의 도움으로 피해규모와 매출내역 등을 철저히 밝혀낼 수 있었고, 특히 MS SQL 데이터베이스에 대한 복구기법을 개발한 것과 대규모의 데이터를 분석하는 일에서 크게 기여했음을 확인할 수 있는 중요한 사례였습니다.


질의응답 ) 조희팔은 살아있습니까?

우선. 아직은 비밀입니다. 다만, (조만간 결론을 발표할 것이긴 합니다) 저희가 조사한 디지털 자료를 기준으로 말씀드리자면 광범위한 자금추적과, 금융거래 2천6백만건을 조사하였고 기타 통화내역이나 이메일 등의 전자적 증거를 기준으로 하였을 때, 경찰이 발표한 2008년 이후에 다른 어떠한 증거는 발견되지 않았습니다. (즉, 사망하였다고 봅니다)


CPUU님의 창작활동을 응원하고 싶으세요?