출처 : http://v.media.daum.net/v/20171030215715125?s=tv_news


[팩트체크] 드레스덴 연설문, JTBC가 처음 열어봤다?

오대영 입력 2017.10.30 21:57 수정 2017.10.30 22:08 


'태블릿PC 조작설' 검증|드레스덴 연설문


[앵커]


그러면 지금부터는 이상진 교수팀과 공동조사를 한 오대영 기자와 결과를 하나하나 정리해보죠. 오늘(30일) 주제는 '드레스덴 연설문' 조작설입니다.


오대영 기자, JTBC가 태블릿PC를 입수한 뒤에 연설문이 열린 것으로 나왔다, 그래서 최순실 씨는 연설문을 보지도 않았다, 이런 주장입니다.


[기자]


그런 의혹을 가장 먼저 제기한 쪽은 박근혜 전 대통령 변호인단입니다.


'드레스덴 연설문' 한글파일을 열어보면 '한컴뷰어-히스토리'에 열람시간이 나타나는데, 그 날짜가 2016년 10월 18일 이후, JTBC 입수 뒤로 검찰 보고서에 나왔다는 것입니다. 이건 맞습니다.


그런데 이를 근거로 월간조선은 "10월 18일부터 25일은 JTBC가 '최순실 태블릿'을 가지고 있던 시기"라며 의혹을 제기했습니다.


이런 주장은 지난 23일 국정감사에서도 나왔습니다.


[김진태/자유한국당 의원 (법사위 국정감사 / 지난 23일) : 이미 JTBC가 입수했다는 그날 처음 열렸어요. 드레스덴 연설문이 한 번도 열려본 적도 없다가 언론사가 입수한 다음 날 처음 열린 것으로 제가 얘기한 게 아니라 이 포렌식 보고서에 나와 있다, 이런 얘깁니다.]


[앵커]


저희가 여러 차례 보도를 했습니다. 드레스덴 연설문 파일은 모두 7개고 저장된 시점이 2014년 3월 27일에 태블릿에 저장됐고 이걸 열어본 건 JTBC 입수 뒤였다는 주장인데 결과는 어떻게 나왔습니까?


[기자]


'한컴뷰어'의 '히스토리' 원리는 가장 마지막 읽은 시점이 기록되는 것입니다.


2014년 연설문이 태블릿에 저장된 뒤에 몇 번을 읽었든 히스토리에 나오는 것은 각각의 문서를 가장 최근에 읽은 시간입니다.


왼쪽은 당시와 가장 근접한 조건에서 실시한 저희 실연 내용입니다. 시험용으로 작성한 한글파일을 오후 3시 31분에 내려받고, 2분 뒤 읽었습니다. 2차 열람은 41분, 3차 열람은 4시 3분이었습니다.


오른쪽은 포렌식 결과 화면입니다. 이 파일을 읽은 시간은 UTC로 오전 7시 3분. 한국 시간 오후 4시 3분으로 나옵니다. 마지막 열람 시간과 일치합니다. 직접 보시죠.


지난 토요일에 저희 실험을 앞두고 모였던 화면입니다.


[이상진/고려대 정보보호대학원장 : 메일 서버에 있는 것을 태블릿PC로 다운로드해보도록 하겠습니다. 우리가 히스토리 정보에 남아있는 시간은 맨 마지막에 열어봤던 그 시간이 저장되어 있는 것입니다. 그러면 그전에 열어본 것을 알 수 있느냐…이 데이터만 가지고는 알 수가 없습니다.]


[앵커]


그럼 두 번째, 이 드레스덴 연설문을 이메일로 주고받은 흔적이 없다는 겁니다. 누군가 외부에서 집어넣었을 수 있다는 의혹도 내놓았습니다.


주간조선의 10월23일자 보도입니다.


일반적으로 이메일로 받은 문서를 저장할 경우 캐시폴더에 저장되는데, 드레스덴 연설문은 다운로드 폴더에 있다는 겁니다. 그래서 외부 삽입 가능성까지 거론됐습니다.


그러나 실연 결과는 달랐습니다. 첨부파일을 다운로드 없이 열어보기만 했다면 '캐시 폴더'에만 문서가 남습니다. 그러나 첨부파일을 내려받았다면 '다운로드 폴더'에 저장됐습니다.


[앵커]


드레스덴 연설문만 저장 위치가 다른 것이 아니고, 오히려 일반적인 경우와 똑같았다는 것이군요.


[기자]


그렇습니다. 이와 더불어 저희가 공동 조사를 하는 과정에서 새로운 사실도 추가로 파악했습니다.


'최순실 태블릿'에 들어 있는 드레스덴 연설문은 파일 이름이 '언더바 숫자.hwp'로 돼 있습니다.


애플리케이션, 예컨데 이메일앱, 지메일앱에서 첨부문서를 다운 받으면 제목에 있는 한글이 그대로 저장됩니다.


그러나 '웹메일'에서 다운로드를 하면 제목 중 '한글'은 모두 사라지고 '언더바' 형태로 바뀝니다.


드레스덴 연설문이 웹메일로 전달됐을 가능성이 매우 큽니다. 이메일로 문건을 전달했다는 정호성 전 비서관의 진술을 오히려 뒷받침하는 겁니다.


[앵커]


이메일앱이나 지메일앱을 쓰시는 분들도 있고, 웹메일로 들어가는 분들도 있습니다. 사용 방식에 차이가 있습니까?


[기자]


이메일, 지메일은 앱을 누르고 접속합니다. 하지만 웹메일은 그 웹페이지에 들어가서 로그인한 뒤 메일을 확인합니다.


전자는 사용 뒤에 지우더라도 포렌식으로 사용기록이 일부가 복원됩니다.


하지만 웹메일을 주고받으면 포렌식으로도 추적하기 어렵다고 전문가들은 답했습니다.


이 부분의 실연 장면도 직접 보시죠.


+++


'드레스덴 연설문 실험용 3. hwp' 첨부 → 웹메일 전송 → 다운로드 → '_3.hwp'로 저장됨


+++


[앵커]


포렌식 실연으로 명백해졌군요. 내일은 어떤 내용이 준비돼 있습니까?


[기자]


입수 뒤에 JTBC와 검찰이 태블릿 입수 뒤 156개의 문건을 만들어냈다는 의혹입니다.


[앵커]


네, 팩트체크, 오대영 기자였습니다.



Posted by civ2
,