“국정원 직원 하드디스크 상호 검증해야” - 시사인

출처 : http://www.sisainlive.com/news/articleView.html?idxno=15115  

“국정원 직원 하드디스크 상호 검증해야”

고제규 기자  |  unjusa@sisain.co.kr  [274호] 승인 2012.12.15  14:31:27

문재인 후보를 비방한 댓글을 달았다는 의혹을 받고 있는 국정원 직원 김아무개씨가 12월13일 데스크톱과 노트북 컴퓨터를 경찰에 임의 제출했다. 수서경찰서는 서울청 사이버범죄수사대 증거분석팀에 분석을 의뢰했다. 경찰은 분석에만 일주일 이상 걸릴 것이라고 밝혔다. 

디지털 포렌식 전문가 김인성 한양대 겸임교수는 “경찰 뿐 아니라 민주당 쪽에도 하드디스크 사본을 제출해 상호 검증해야 한다”라고 이의를 제기했다. 김 교수는 민주당 요청으로 사건이 터진 12월11일 저녁 서울 역삼동 ㅅ오피스텔 현장에 민간 전문가로 참여했다. IT 업계 1세대 엔지니어이자, 국내에 리눅스 서버를 확대하는 데 일조한 그는, 최열 전 환경운동연합 대표 횡령 사건 때 검찰의 디지털 포렌식 팀 보고서를 조목조목 반박해, 회계 조작에 따른 횡령 혐의에 대해서는 무죄 판결을 이끌어낸 숨은 주역이다. 국정원 직원이 경찰에 컴퓨터를 낸 12월13일 김 교수와 긴급 인터뷰 했다. 

ⓒ시사IN 백승기

김인성 한양대 겸임교수 민주당 쪽에도 하드디스크 사본 제출이 필요한 이유는 무엇인가?

하드 디스크 등 디지털 증거는 봉인의 연속성이 없다. 문서 등 일반 증거는 압수 한 뒤 수사기관이 봉인 하면 조작이 어렵다. 하지만 디지털 증거는 다르다. 국정원이 적발한 이른바 ‘왕재산 사건’ 재판이 진행되고 있는데, 이 과정에서 하드디스크 증거 능력을 두고 법정 다툼이 벌어졌다. 피고인들은 자신의 것이 아니라고 하거나 디지털 증거가 조작되었다고 주장했다. 국정원은 압수한 하드디스크 사본이 원본과 동일하다고 반박했다. 그래서 법정에서 원본과 사본이 동일한지 알아보기 위해 국정원 포렌식 직원이 법정에 나와 디지털 파일의  해시값(데이터가 조금이라도 달라지면 해시값이 다르게 산출되기에 해시값은 디지털 파일의 ‘전자지문’으로 통한다)을 산출해 동일한지 확인하자고 했다. 국정원 직원이 해시값 산출에 15시간이 걸린다고 해서 법정에서 장비를 설치해 밤샘 작업 뒤에 아침에 확인하기로 합의 했다. 산출 작업이 실패했다. 그런데 국정원 직원은 자신의 노트북에 복사한 이미징 파일 해시값을 재판부에 내서 원본과 같다고 주장했다. 원본 해시값과 사본 해시값을 비교해야 정확한데, 사본 해시값과 이미징(일종의 사본)해시값을 비교한 것이다. 한마디로 말해 서로 다른 지문을 비교한 것이다. 디지털 비전문가인 재판부와 변호인을 속인 기만행위가 일어났다. 이번 사건도 민주당에게 수사권은 없지만, 제보자 신분으로 국정원 직원이 낸 컴퓨터 하드디스크 사본을 제출 받아 서로 검증하게 허용해야 한다. 그래야 한 점 의혹이 없이 풀리고, 수사 결과도 수긍할 것이다. 디지털 포렌식은 상호간 검증이 중요하다. 

경찰은 하드디스크 분석에 일주일이 걸린다고 했다.

경찰이 가지고 있는 장비가 최신 장비가 아니다. 아마 일주일 정도는 걸릴 것이다. 비정상적인 것은 아니다. 

지난 12월11일 현장에서 주로 무엇을 확인했는가?

유선 인터넷 망이 연결되었는지 확인해보았다. 김씨가 쓰는 오피스텔에는 유선 인터넷 망이 연결되지 않은 것으로 확인됐다. 오피스텔 공용 무선랜도 없었다.  

그러면 인터넷 연결은 와이브로나 3G로 연결된 것으로 보아야 하는가?

그렇다. 와이브로 서비스나 3G 등을 이용했을 것으로 여겨진다. 

IP 추적이 어렵지 않나?

와이브로나 3G 등을 이용했다면 IP 추적이 어렵다. 유선망을 이용해야 IP 비교가 가능하다. IP 추적이 어려우면, 포털사에 댓글을 달 때 남아있는 IP와 비교할 수 없다. 확인이 어렵다.  

의혹을 받고 있는 김씨가 가입한 포털 아이디로 추적은 가능하지 않나?

실명으로 본인이 가입해 비방 댓글을 달았다면 당장 신분이 드러날 것이다. 그러나 다른 사람 주민등록번호를 도용해 가입해 활동했다면 본인이 증언하지 않는 이상 추적이 쉽지 않다(국회 정보위원회 민주당 간사 정청래 의원은 12월13일 정보위원회 브리핑을 통해 “(김씨가)국정원 3차장 산하 심리전단 소속 직원임을 확인했다. 소속 기관 명칭은 심리전단임을 공식 확인했다”고 밝혔다. 국정원 소속 김씨는 이날 민주당 당직자등을 감금·주거침입 등 혐의로 고소했다)

민주통합당 문재인 대선후보를 비방하는 인터넷 댓글을 달았다는 의혹을 받고 있는 국가정보원 여직원 김모씨가 13일 경찰에 임의제출 형식으로 데스크탑 컴퓨터 본체와 노트북 등을 제출했다. ⓒ연합뉴스

국정원 직원은 비방 댓글을 단 적이 없다고 주장한다. 민주당은 또 다른 증거가 있다며 공방을 벌이고 있는데, 그렇다면 의혹을 풀 방법은 전혀 없는 것인가?

컴퓨터 하드디스크 분석이 남아있다. 하드디스크를 분석하면 무슨 작업을 했는지 알 수 있다. 

의혹제기 된 뒤 사흘이 지나서 컴퓨터를 제출했다. 하드디스크 조작 가능성은?

조작이 얼마든지 가능하다. 사흘간 오피스텔에 사람이 출입하지 않더라도  메신저를 통한 원격조정을 할 수 있기 때문이다. 원격 제어 개념은 컴퓨터 앞에 전문가 한명이 앉아 있다고 보면 된다. 국정원은 디지털 포렌식 직원이 있기 때문에 작정하면 얼마든지 관련 증거나 자료를 원격으로 제어할 수 있다. 초기에 선관위 직권으로 관련 컴퓨터를 제출 받지 못한 것이 가장 큰 실수이다(12월13일 서울시 선관위 특별기동조사팀은 새누리당 불법 SNS 홍보 활동 현장인 여의도 한 오피스텔을 덮쳤다. 국정원 사건과 달리, 특별기동조사팀은 직권으로 현장에서 컴퓨터 등 곧바로 증거물을 확보했다)

증거물로 진실 규명은 어려운 것인가?

누군가 하드디스크를 지우거나 덮어쓰기를 했다면, 증거 인멸 흔적은 남는다. 어떤 프로그램을 돌려서 하드를 지웠다면 그 흔적이 남는 것이다. 포렌식을 어렵게 하는 안티 포렌식 기술을 총 동원해 ‘선수’들이 지웠다고 하더라도 지운 증거는 찾을 수 있는 것이다. 이런 작업을 했다면 왜 했겠는가? 즉, 지운 데이터 복구를 통한 직접 증거는 찾기 어렵더라도, 데이터를 없앴다는 정황 증거는 찾을 수 있다. 초기 대응 미숙으로 이번 사건은 자칫 의혹만 무성하고 공방 수준으로 끝날 수도 있다.  

다른 정황 증거는 없나?

트윗을 보면 분명 댓글을 조직적으로 다는 이들이 있다. 그것이 국정원인지 특정할 수 없지만, 분명 존재는 한다. 예를 들면 대선 토론 이후 특정 후보지지 글이 특정 시점에 조직적으로 올라온다. 서로 다른 정치적 의견을 활발하게 드러내는 개인이 올린 트윗과 확연히 구분된다. 댓글 알바들이 다는 조직적인 트윗은 단어와 문구와 문맥이 아주 흡사해서 누군가 지시를 받고 조직적으로 올린다고 볼 수밖에 없다(김 교수와 전화 인터뷰를 끝낸 지, 세 시간도 안 돼, 서울시 선관위 특별기동조사팀은 새누리당 박근혜 후보지지 트윗 등 SNS 홍보 활동을 불법적으로 벌인 현장을 적발해 검찰에 고발했다)