디지털포렌식을 그냥 단순 해킹방어대회나 CTF 문제 풀이용 취미로 하는 사람들은 크게 상관없겠지만, 실제 사이버 범죄에 대한 수사의 관점으로 접근한다면 필연적으로 법률에 대한 이해가 선행되어야 한다. 포렌식은 결국 법정에서 인정을받을 수 있는 증거의 형태로 보고서가 제출되는 것을 목적으로 한다.


형사소송법상 전문증거 규정은 1961년 아날로그 시대에 만들어진 것으로, 21세기인 지금의 정보화 시대에 맞춘 개정이 절실하였다. 실제로 2015년 개정된 형사소송법[시행 2016.10.1.] [법률 제14179호, 2016.5.29., 일부개정]에는 컴퓨터용디스크 등의 정보저장매체 포함된 내용을 증거로 사용할 수 있다고 보며, 그 성립의 진정에 대해서는 과학적 분석결과에 기초한 디지털포렌식 자료, 감정 등 객관적 방법으로 성립의 진정함을 증명할 수 있다고 규정하고 있다.


이러한 결실을 얻기까지 그동안 수많은 사건과 사고가 있었고, 그것에 대한 치열한 법리적 공방이 있었음을 기억해야 한다. 또한 개정된 형소법으로 인해 실제 대법원에서 앞으로 어떠한 판결이 이루어질지 지켜보아야 하며, 그 판결을 뒤집는 또 다른 판례가 하나둘씩 나올 것으로 본다.


이번 포스팅에서는 그동안 대한민국에서 있었던 굵직굵직한 디지털포렌식 관련 사례들을 살펴보기로 한다. 본인은 법률에 있어서 전문가가 아니며(공학 전공자이다), 본 내용들은 참고문헌과 법제처 판례문을 토대로 종합 정리한 것이다. 특히, 성균관대 법학전문대학원의 노명선 교수님의 판례평석과 한국포렌식학회 보수교육 교재에서 많은 내용을 참고하여 인용하였다. 관련된 출처를 가능한 자세히 명시하였으므로 보충설명이 필요하다면 해당 링크를 확인하기 바란다. (그럼에도 불구하고 필자의 짧은 법지식과 잘못된 이해로 옳바르지 않은 해석이 담겨있을 수 있습니다. 만약 법조계 종사자분들이 계신다면 너그러이 양해해주시고, 틀린부분을 제보해주시면 즉시 수정하도록 하겠습니다.)


컴퓨터 등 특수기록매체로부터 출력한 문건에 대해 증거능력을 직접 다룬 판례는 많지 않다. 그나마 공안사건으로 가칭 ‘영남위원회’ 사건(대판 1999. 9. 3. 선고 99도2317), ‘왕재산’ 사건(대판 2013. 7. 26. 선고 2013도2511) 등등의 사건이 자주 언급되고 있다. 각 사건들을 우선 시간 순서대로 정리하고, 중요 쟁점들이 어떻게 제시되었고 반론이 제기되었는지를 살펴보면서 흐름 위주로 파악해보자.



영남위원회 사건

대법원 1999.9.3, 선고, 99도2317, 판결

민족민주혁명당 사건(民族民主革命黨 事件, 약칭 민혁당 사건)은 당시 1999년에 조선민주주의인민공화국의 지령을 받아 대한민국 내에서 지하 정당 활동을 하던 민족민주혁명당을 적발하여, 그 구성원인 김영환, 하영옥, 이석기등이 국가보안법 위반으로 체포된 것으로 유죄판결을 받았던 일이다. 그 조직은 각 지역별로 구성되어 있었으며, 부산 및 울산을 거점으로 한 영남위원회가 있었다. 민혁당 출범 이전인 93년 부산경찰청 보안수사대는 별도 첩보를 토대로 영남위원회의 존재를 알아채고 통신 감청과 비디오 촬영 등으로 증거를 수집해오다 98년 7월 울산 동구청장 김창현씨(38) 등 영남위 멤버 15명을 검거했다. 


이때 부산경찰은 박모씨 집에서 영남위 활동상을 담은 디스켓을 대량 압수하는 ‘쾌거’를 올렸다. 경찰은 박씨가 보는 앞에서 디스켓을 통에 넣고 봉인한 다음, 경찰청에서 다시 박씨가 보는 앞에서 통을 개봉해 디스켓을 꺼냈다. 문제는 이때부터였다. 경찰은 디스켓을 컴퓨터에 넣어 출력했는데, 이때 자기들이 보기 편하도록 몇 개 파일의 자간(字間)과 문단 모양을 바꾸었다. 이러한 파일에는 디스켓이 경찰에 압수되고 난 뒤의 시간이 찍힌 ‘동시저장 파일’(ASV)이 생겨났다. 영남위 사건 공판이 열리자 피고측은 “동시저장 파일이 생긴 것은 경찰이 디스켓을 조작한 증거”라고 주장했다. 이에 대해 검찰은 “동시저장 파일과 본 파일(HWP)의 내용이 똑같으므로 조작하지 않았다” 고 대응했다. 1심은 검찰 편을 들어 영남위를 반(反)국가단체로 판시했으나, 2심은 국가변란을 모의한 반국가단체로 볼 수 없다며 이적단체로 판시했다. 그런데 대법원은 한발 더 나아가 ‘경찰이 손댄 파일을 증거로 인정하는 판결은 잘못’이라는 새로운 판례를 만들며 2심 판결을 파기해 버렸다. 이렇게 돼 부산고법에서 파기환송심이 열리자, 부산고법은 대법원의 새 판례에 따라 경찰의 증거 수집 방법에 문제가 있다며 이적단체 부분에 대해서 무죄를 선고하게 되었다. 재판부는 판결문에서 영남위사건에서 사실상 반국가단체 구성의 유일한 증거가 되고 있는 컴퓨터 디스켓의 경우 대법원에서 작성자가 확인되지 않았다고 판시한 만큼 현행 형사소송법상 증거법칙에 따라 공소사실을 배척 할 수 밖에 없다고 밝혔다. 이러한 판결을 내린 부산고법의 이영동판사는 “영남위가 실존한 것은 틀림없는 것 같다. 그러나 경찰과 검찰의 증거 수집과 관리에 문제가 있어 무죄판결을 내렸다. 새 판례가 나온 만큼 국가보안법 사범에 대한 수사기관의 증거 수집은 보다 철저하여야 할 것이다”고 말했다.


참고 : http://www.donga.com/docs/magazine/weekly_donga/news219/wd219ee020.html

         http://cyberlaw.or.kr/archives/273

         http://www.knnews.co.kr/news/articleView.php?idxno=234521

핵심 판시사항 : 컴퓨터 디스켓에 들어 있는 문건의 증거능력

컴퓨터 디스켓에 들어 있는 문건이 증거로 사용되는 경우 그 컴퓨터 디스켓은 그 기재의 매체가 다를 뿐 실질에 있어서는 피고인 또는 피고인 아닌 자의 진술을 기재한 서류와 크게 다를 바 없고, 압수 후의 보관 및 출력과정에 조작의 가능성이 있으며, 기본적으로 반대신문의 기회가 보장되지 않는 점 등에 비추어 그 기재내용의 진실성에 관하여는 전문법칙이 적용된다고 할 것이고, 따라서 형사소송법 제313조 제1항에 의하여 그 작성자 또는 진술자의 진술에 의하여 그 성립의 진정함이 증명된 때에 한하여 이를 증거로 사용할 수 있다.

결론적으로 본 사건에서는 국내최초의 '디지털 증거'가 법정에서 증거능력이 있는지에 대해 처음 거론되었다는 점에서 주목을 받을만하다. 기본적으로 디지털 증거는 전문증거(hearsay evidence)로 보아야 하며, 전문법칙의 예외조건에 해당 될 때 증거로 사용할 수 있다. 그러나 구체적으로 해당 자료의 진정성, 무결성 확보 등에 대한 다각적인 검토는 아직 마련되지 않았을 시점이다. 이후 다양한 사건들로 인해 점차 발달하게 된다.



일심회 사건

서울고등법원 2007.8.16, 선고, 2007노929, 판결

대법원 2007.12.13, 선고, 2007도7257, 판결

일심회 사건(一心會 事件)이란, 2006년 10월 서울지검이 일심회라는 '단체'를 조선민주주의인민공화국(이하 북조선) 공작원과 접촉한 혐의로 적발한 사건이다. 일심회의 뜻은 말 그대로 마음이 하나인 즉 한마음을 가진 사람들의 모임이라는 뜻이다. 한마음을 가진다는 것은 변하지 않는 마음이라는 것이며 일각에서는 북조선에 일심단결(一心團結)이라는 구호를 사용해 북조선 수령에게 언제나 충성하겠다는 구호를 뜻으로 사용되는 것으로 해석되고 있다. 그러나 피혐의자들과 국가보안법 폐지론자 등은 일심회라는 단체는 없고, 충분한 증거가 제시되지 않았다며 일심회를 부정하고 있는 것은 물론, 이 사건이 국가보안법에 의한 탄압이라고 주장하고 있다. 한편 법원에서도 일심회가 단체성을 갖추지 못했다 하여 이 사건의 이적단체결성죄는 무죄를 선고하였으나, 관련 당사자들은 국가보안법 위반으로 처벌하였다. 


수사기관(검찰)은 피고인들로부터 USB, PC, 플로피 등의 저장매체 12종을 압수하여 전자적 매체들을 조사하였고, 피고인들이 ‘일심회’라는 이적단체를 구성하고, 북경 등 제3국에서 북한공작원을 접선하여 지령을 수수하고, 국가기밀을 탐지하여 북한에 전달한 사실 등을 확인하고 이를 출력하여 증거로 제출하였다. 변호인들은, 위 저장매체의 출력물에 대해 진정성을 입증하지 못하였고, 검증에 참여한 포렌식 조사관의 증언은 신뢰성이 부족하므로 증거로 사용할 수 없다고 주장하였다.


그러나 법원은 EnCase 포렌식 소프트웨어가 세계 각지의 많은 법 집행기관과 업체들이 포렌식 조사를 위하여 사용 중이며 상업적으로 통용되는 도구로서 광범위하게 일반적으로 인정되고 있다는 점을 들어, 이로부터 분석된 결과물을 신뢰할 수 있다고 긍정하였다. 그러나 최종적으로 전문증거인 것은 마찬가지이므로, 디지털 증거에 대해 작성자 또는 진술자의 진술에 의해 진정성이 증명될 때에 한해 증거로 인정된다는 것은 여전하며, 결국 작성자의 진정성을 인정한 53개의 문건만 받아들여지고 이외의 모든 나머지 증거의 증거능력은 인정하지 않았다.


대법원 3부(주심 김영란 대법관)는 13일 일심회를 조직, 북한의 지령을 따른 혐의(국가보안법 위반)로 구속 기소된 장민호씨(45·미국명 마이클 장)에게 징역 7년에 추징금 1900만원, 자격정지 7년을 선고한 원심을 확정했다. 재판부는 "북한이 국가보안법상 반국가단체에 해당한다고 한 원심의 조치는 정당하고 국가의 안전과 국민의 생존 및 자유 확보를 목적으로 하는 국가보안법을 위헌으로 볼 수 없다"며 "이를 전제로 피고인들에 유죄를 선고한 원심은 정당하다"고 판시했다.

참고 : [판례평석]디지털 증거의 증거능력(가칭 ‘일심회 사건’)

핵심 판시사항 : 디지털 저장매체로부터 출력한 문건의 증거능력

압수물인 디지털 저장매체로부터 출력한 문건을 증거로 사용하기 위해서는 디지털 저장매체 원본에 저장된 내용과 출력한 문건의 동일성이 인정되어야 하고, 이를 위해서는 디지털 저장매체 원본이 압수시부터 문건 출력시까지 변경되지 않았음이 담보되어야 한다. 특히 디지털 저장매체 원본을 대신하여 저장매체에 저장된 자료를 ‘하드카피’ 또는 ‘이미징’한 매체로부터 출력한 문건의 경우에는 디지털 저장매체 원본과 ‘하드카피’ 또는 ‘이미징’한 매체 사이에 자료의 동일성도 인정되어야 할 뿐만 아니라, 이를 확인하는 과정에서 이용한 컴퓨터의 기계적 정확성, 프로그램의 신뢰성, 입력·처리·출력의 각 단계에서 조작자의 전문적인 기술능력과 정확성이 담보되어야 한다. 그리고 압수된 디지털 저장매체로부터 출력한 문건을 진술증거로 사용하는 경우, 그 기재 내용의 진실성에 관하여는 전문법칙이 적용되므로 형사소송법 제313조 제1항에 따라 그 작성자 또는 진술자의 진술에 의하여 그 성립의 진정함이 증명된 때에 한하여 이를 증거로 사용할 수 있다.


일심회 사건은 디지털포렌식에 있어서 매우 기념비적인 사건이다. 디지털 증거 자체에 대해 해쉬값이나 전문가의 감정 같이 진정성을 입증하는 방법을 통해 증거능력을 인정할 수 있다는 최초의 판결인 것이다. 이로인해 무결성과 동일성 등에 대한 구체적인 개념이 잡혔다. 그리고 중요한 쟁점으로 '디지털 포렌식 프로그램의 신뢰성'이 대두하게 된다.



왕재산 사건

대법원 2013.7.26, 선고, 2013도2511, 판결

본 사건은 대한민국 인천광역시에서 발생한 간첩 사건이다. 2011년 북한에 정보를 제공하던 간첩들이 체포됐다. 관련자들은 북한에 기밀을 넘긴 혐의에 대해서는 유죄를 받았고, 왕재산이라는 단체를 결성했다는 혐의에 대해서는 무죄판결이 내려졌다. 간첩행위는 분명한 사실이지만 왕재산이라는 북한의 지하당, 반국가단체는 존재하지 않는다는 취지이다.


재판과정에서 피의자의 집과 사무실에서 검찰이 압수한 컴퓨터 하드디스크와 USB메모리 및 파일출력본 등 디지털 증거 수백점이 제출되었는데, 이의 증거능력에 관해서 여러가지 논란이 있었다. 구체적으로 설명하면 법정에서 증거로 인정받기 위해선 법정에 제출된 증거가 바로 현장에서 압수한 진품이며 어떠한 수정,조작이 가해지지 않은 원본 그 상태 그대로라는 것을 검찰이 증명해야 하는데 이 재판에선 그러한 절차들이 무시되었다는 것이다.


"재판 과정에서는 직접 사본의 해시 값을 읽는 실험을 하기도 했으나 18시간이나 소요되는 데다 정작 법정 문을 닫아걸고 작업을 진행한 뒤 다음 날 확인을 했더니 컴퓨터가 멈춰 있었다. 변호인들이 작업을 다시 해야 한다고 요구했지만 재판부가 이를 거부했고 결국 원본과 일치 여부를 확인하지 않은 채 검찰이 제시한 증거가 그대로 받아들여졌다. 검찰이 제시한 60여개의 디지털 증거 가운데 해시 값 검증을 거친 증거는 하드디스크 하나와 USB 저장매체들 뿐이였다." - 

오길영 신경대 경찰행정학과 교수(재판 자문)


그러나 1,2,3심 재판부 모두 이런 주장을 인정하지 아니하고 검찰이 제출한 디지털 증거품의 증거능력을 인정하였다.


참고 : [인터뷰] 오길영 신경대 경찰행정학과 교수, “왕재산 사건, 엉터리 디지털 증거 재판이었다”

         대법, 간첩단 '왕재산' 총책 징역 7년 확정


핵심 판시사항 : 정보저장매체에 기억된 문자정보 또는 그 출력물을 증거로 사용하기 위한 요건 및 정보저장매체 원본을 대신하여 저장매체에 저장된 자료를 ‘하드카피’ 또는 ‘이미징’한 매체로부터 출력한 문건의 경우, 그 출력 문건과 정보저장매체에 저장된 자료가 동일하고 정보저장매체 원본이 문건 출력 시까지 변경되지 않았다는 점에 대한 증명 방법

압수물인 컴퓨터용 디스크 그 밖에 이와 비슷한 정보저장매체(이하 ‘정보저장매체’라고만 한다)에 입력하여 기억된 문자정보 또는 그 출력물(이하 ‘출력 문건’이라 한다)을 증거로 사용하기 위해서는 정보저장매체 원본에 저장된 내용과 출력 문건의 동일성이 인정되어야 하고, 이를 위해서는 정보저장매체 원본이 압수 시부터 문건 출력 시까지 변경되지 않았다는 사정, 즉 무결성이 담보되어야 한다. 특히 정보저장매체 원본을 대신하여 저장매체에 저장된 자료를 ‘하드카피’ 또는 ‘이미징’한 매체로부터 출력한 문건의 경우에는 정보저장매체 원본과 ‘하드카피’ 또는 ‘이미징’한 매체 사이에 자료의 동일성도 인정되어야 할 뿐만 아니라, 이를 확인하는 과정에서 이용한 컴퓨터의 기계적 정확성, 프로그램의 신뢰성, 입력·처리·출력의 각 단계에서 조작자의 전문적인 기술능력과 정확성이 담보되어야 한다. 이 경우 출력 문건과 정보저장매체에 저장된 자료가 동일하고 정보저장매체 원본이 문건 출력 시까지 변경되지 않았다는 점은, 피압수·수색 당사자가 정보저장매체 원본과 ‘하드카피’ 또는 ‘이미징’한 매체의 해쉬(Hash) 값이 동일하다는 취지로 서명한 확인서면을 교부받아 법원에 제출하는 방법에 의하여 증명하는 것이 원칙이나, 그와 같은 방법에 의한 증명이 불가능하거나 현저히 곤란한 경우에는, 정보저장매체 원본에 대한 압수, 봉인, 봉인해제, ‘하드카피’ 또는 ‘이미징’ 등 일련의 절차에 참여한 수사관이나 전문가 등의 증언에 의해 정보저장매체 원본과 ‘하드카피’ 또는 ‘이미징’한 매체 사이의 해쉬 값이 동일하다거나 정보저장매체 원본이 최초 압수 시부터 밀봉되어 증거 제출 시까지 전혀 변경되지 않았다는 등의 사정을 증명하는 방법 또는 법원이 그 원본에 저장된 자료와 증거로 제출된 출력 문건을 대조하는 방법 등으로도 그와 같은 무결성·동일성을 인정할 수 있으며, 반드시 압수·수색 과정을 촬영한 영상녹화물 재생 등의 방법으로만 증명하여야 한다고 볼 것은 아니다.

일심회 사건 이후로 디지털포렌식 증거가 인정받을 수 있는 구체적인 조건이 마련되었고 이에 따라 공안사건에서도 다수의 디지털매체 증거들이 제출되었다. 그러나 여전히 '진정성'입증이 관건이었다. 변호를 맡은 사람들은 이 부분을 집중적으로 공격할 수밖에 없었고 그러다보니 그 방법에 대해 계속해서 합리적인 의심을 제기했다. 이에 따라 법원은 다시한번 기준을 재정립한 것으로, 수사관이나 디지털포렌식 전문가 등에 의한 증언을 통해서도 무결성이나 동일성 등을 증명할 수 있다고 판시하였다.



국정원 댓글 사건

대법원 2015.7.16, 선고, 2015도2625, 전원합의체 판결

이 사건은 2017년 현재까지도 파기환송심이 20차에 가깝게 진행중이므로 일단은 서술을 보류한다. 정치적인 성격을 띄지 않을 수 없는 사건이기에 아마도 대통령 선거가 끝나고나면 결과가 나오려나?


종근당 압수·수색 사건

대법원 2015.7.16, 자, 2011모1839, 전원합의체 결정


이와 관련하여는 디지털 저장매체 피압수자의 참여권에 관한 고찰(군산대 권양섭 교수님 강의 필기)라는 제목으로 일전에 올린 포스팅을 참고하기 바란다.

참고 : https://www.scourt.go.kr/supreme/news/NewsViewAction2.work?seqnum=4904

         http://wiselaw70.blogspot.kr/2015/11/20111839.html




형사소송법 개정

[시행 2016.10.1.] [법률 제14179호, 2016.5.29., 일부개정]


지금까지의 산고의 고통 끝에, 1961년 아날로그 시대에 만들어진 형사소송법상 전문증거 규정은 21세기 정보화 시대를 맞이하여 55년만에 개정되었다. 개정된 제313조 제1항에 따르면, 피고인이 작성했거나 진술한 내용이 포함된 문자/사진/영상 등의 정보로서 정보저장매체에 저장돼 있는 디지털 증거까지 전문증거에 포함된다. 또한 같은 조 제 2항에 따르면, 전문증거의 작성자가 공판에서 그 성립의 진정을 부인하는 경우에도 과학적 분석결과에 기초한 디지털포렌식 조사관의 증언, 감정 등 객관적 방법으로 진정 성립이 증명되는 때에는 증거능력이 인정될 수 있게 되었다. 이제 이메일이나 컴퓨터 문서파일 등 디징털 증거도 형사재판에서 증거로 쓸 수 있는 길이 열리게 되었다. 즉 피고인이 법정에서 이메일이나 컴퓨터 파일 작성을 부인하더라도 디지털 포렌식 전문가의 증언을 통해 증거능력이 인정될 수 있게 된다. 


(이와 관련해서는 일전에 작성한 개정 형사소송법 제313조에 따른 디지털자료의 증거능력 포스팅을 참고할 것)


앞으로 개정 형사소송법이 시행됨에 따라 수사기관과 피의자/피고인 측 변호인 사이에 디지털 증거의 진정성과 무결성이 치열하게 다투어지게 될 것이므로 디지털포렌식 전문가의 역할이 그 어느 때보다 중요해질 것이다. 새로운 유형의 디지털 증거가 형사절차에 등장하면서 형사소송법적으로 새로운 법적 문제가 제기될 것이고, 증거 수집이나 분석, 조사에 디지털 기술을 활용할 필요성 또한 높아질 것으로 전망된다.


CPUU님의 창작활동을 응원하고 싶으세요?