[정경심 25차 공판①] ‘방배동 사용’ 증거, IP와 MAC 주소의 허구

박지훈 기자 / 기사승인 : 2020-08-21 22:01:58
  • -
  • +
  • 인쇄
검찰은 지금까지 강사휴게실PC가 2013년 6월 방배동 자택에 있었다고 주장했다. 그 근거로는 IP주소와 MAC주소를 제시했다. 그런데 검찰 포렌식 결과 IP주소는 공유기의 사설 IP주소였고, MAC주소는 컴퓨터의 MAC주소였다. 즉 지리적 위치를 특정할 수 없는 주소였다.

 

▲정경심 동양대 교수가 20일 서초구 중앙지방법원에서 공판에 출석하기 위해 법정으로 향하고 있다. 2020.8.20/연합뉴스

 

어제 8월 20일, 정경심 교수 25차 공판이 있었다. 이번 공판에는 김경록PB가 증인으로 출석하면서 대다수 언론들은 김PB의 발언만 집중 보도했지만, 사실 이날 공판의 진짜 핵심은 검찰 포렌식 수사관 이 모씨에 대한 변호인측 반대신문이었다.

왜냐하면, 검찰이 정 교수를 1차 기소한 근거가 표창장 위조 혐의였던 데다 가장 여론을 많이 뒤흔들었던 혐의였고, 검찰의 포렌식 결과는 '표창장 위조가 자택에서 이루어졌다'는 주장을 하고 있기 때문이다. 따라서 김경록PB 증언은 이에 비하면 중요도가 한참 못미친다.

이 이 모 수사관은 지난달 23일에 검찰 측 주신문이 있었지만, 당시 검찰이 불과 공판 3일전에 관련 추가 포렌식 보고서를 제출하면서 변호인 측이 검토할 시간이 없었다. 그 사이에 전국 법원의 일제 휴가가 있었고, 또 지난주 13일의 24차 공판에는 이미 예정된 증인이 있어 거의 한 달 만인 어제까지 반대신문이 지연된 것이다.

그런데 이 반대신문 오후 늦은 시간에 시작되다보니, 대다수 기자들이 빠져나가버리고, 이 중요한 반대신문 내용을 보도한 곳이 많지 않고, 그나마도 신문의 맥락을 제대로 이해하지 못한 듯 보인다. 공판이후 김칠준 변호사의 백브리핑 내용을 중심으로 하고 공판에 참석했던 한 기자의 도움을 받아, 어제 포렌식 반대신문에서 무슨 일이 있었는지 정리해본다.

검찰 주장 IP주소는 ‘사설공유기’ IP

검찰의 '표창장 위조' 주장의 기본적인 근거는 몇 가지가 있는데, 주요하게는 IP 주소, MAC 주소, 그리고 '비할당영역'에서 찾아낸 이전 파일들이다.

이중 IP 주소에 대해서는 모르는 사람이 없을 것이다. 특히, 대부분의 가정과 기업 내에 공유기 등의 장비가 사용되고 있는데, 변호인 측이 지적한 문제가 이 공유기에서 할당되는 '사설IP' 주소의 문제였다.

가정과 기업 등에서 인터넷 공유기를 이용하여 인터넷에 연결될 경우, PC나 스마트폰(WIFI로 공유기 연결된 경우)에 지정되는 IP 주소는 공인 IP 주소가 아닌 사설 IP이다. 통신사는 전신주에서 외부에서 가정으로 인입되는 통신선 하나를 통해 공유기에 단 하나의 IP 주소를 할당하는데, 그러면 가정 내의 여러 PC, 스마트폰, 태블릿 등은 이 하나의 IP 주소를 '공유해서' 써야 하게 된다.

이 역할을 인터넷 공유기가 하는데, 공유기가 각각의 장비에 '가짜' IP 주소를 임의로 지정해주고, 각 장비가 가정 외의 인터넷 공간의 다른 장비들과 통신할 때는 통신사가 지정해줬던 '공인 IP주소'로 '번역'과 비슷한 중계 역할을 한다. 이게 거의 20년 가까이 전에 공유기라는 개념이 처음 나왔을 때는 정말 혁신적인 것이었고, 기술적으로도 꽤 복잡한 것인데, 지금은 어느 가정과 기업이든 다들 하나씩은 있어서 이런 정도로만 설명해도 대충은 이해가 될 것이다.

다시 본론으로 돌아가서, 검찰은 표창장 위조의 도구라고 특정한 강사휴게실 증거1호 PC(발견된 PC가 2대였음)를 분석해 많은 정보를 찾아냈는데, 표창장 위조 시점이라고 주장하는 시점(2013년 6월 16일)에 이 PC 의 IP 주소와 다른 자택 PC들에 할당되어 있던 의 IP 주소들을 비교 분석해서, 그게 해당 PC가 '표창장 위조 시점' 당시 방배동 자택에 있었다고 주장한 것이다. 이에 대해서는 지난 23차 공판의 보도들을 통해 확인된다.


사설 IP 주소로는 지리적 위치 특정 못해

그런데 이날 변호인이 밝힌 바에 따르면, 검찰이 포렌식 보고서에서 근거로 제시했던 IP주소는 위치를 특정할 수 있는 공인 IP주소가 아닌, 공유기에서 임의로 할당된 사설 IP주소였던 것이다. 이건 기초적인 IT 지식을 약간 정도 이해하는 일반인도 다들 어이없어할 일인데, 사설IP 주소는 공유기에서 임의로 할당한 주소로서, 뭔가가 특정이 되는 주소가 아니기 때문이다.

이걸 좀 더 쉽게 비유하자면 이렇다. '서울시 방배초등학교 1학년 2반 3번'이라고 하면 당연히 그 학생이 누구인지 특정이 된다. (물론 특정 시기에.) 그런데, 그냥 '3번'이라고 하면 어떨까. 어느 학교인지, 몇학년인지, 몇반인지 다 알려주지 않고, '어떤 학교 어떤 학년 어떤 반 3번 학생' 이라고 하면, 그 학생을 특정할 수 있는가? 이건 특정 가능 불가능 여부의 문제가 아니라 아예 말장난 수준인 것이다. 방송에 대고 '3번 학생!'이라고 부르면 전국 각급 학교의 모든 학년 모든 3반 학생 수만명이 '네!' 하고 대답하게 되지 않는가? 공인IP가 아닌 사설IP가 딱 그런 문제인 것이다.

검찰이 사설 IP주소를 근거로 해당 시점에 그 PC가 자택에 있었다, 라고 주장한 것이 이와 똑같은 일이다. 전국의 학교와 학년과 반이 수십만개 이상일 것처럼, 인터넷 공유기는 전국에 수십만대 이상 보급되어 있고, 거기서 임의로 할당한 번호는 위치를 특정할 아무런 근거가 되지 않고, 우연히 일치할 가능성이 무한한 것이 지극히 당연한 것이다.

동양대라고 공유기를 쓰지 않을까? 그러면 전 교직원 PC는 물론 학생들이 교내에 사용하는 IP주소 모두 공인IP를 다 할당해야 하는데? 공인 IP 주소를 1인당 하나씩 할당하려면, 막대한 통신비용을 따지기도 전에, 사실 그렇게 안준다. 각 국가별로 할당된 공인 IP의 숫자가 매우 제한되어 있기 때문이다.


검찰 수사관이 모르고 있던 ‘C클래스’의 정체

물론 검찰은 해당 사설IP 주소가 '192.168.123.x'라는, 다소 생소한 형식이라는 점을 지적했었다. 네 부분으로 구성되는 IP주소의 각 부분을 기술적으로 A클래스, B클래스, C클래스라고 부르는데, C클래스가 특이하다고, 당시 시점에 자택에 있었던 PC와도 일치한다는 것이다.

그런데 검찰 포렌식 수사관이 모르는 것이 있었다. 현재 가장 많이 팔리는 IPTIME 등 브랜드의 공유기는 기본적으로 C클래스가 0 값, 즉 192.168.0.x 형식이지만, 2000년대 후반에 매우 많이 팔렸던 UNICORN 브랜드의 공유기는 C클래스가 123, 즉 192.168.123.x이고, 더욱이 지금도 LG U+, 삼성, SK브로드밴드 등에서 기본 할당하는 내부IP 주소라는 것이다. 즉 2013년 당시 시점에는 C클래스가 123으로 지정되어 있는 공유기는 전국에 엄청나게 많이 깔려 있었던 것이다.

여기에 더해 검찰 측은 사설IP 기록들 외에 '한국투자증권'에 접속한 공인IP 기록도 나왔다고 주장했었으나, 그건 매우 기만적인 절반의 진실이었다. 해당 IP 기록은 문제의 강사휴게실 PC가 아닌, 김경록PB가 임의제출했던 자택PC에서 나온 것이기 때문이다. 이쯤 되면 검찰측이 고의로 여러 PC의 증거들을 뒤섞어 진실을 제대로 파악하기 어렵게 한 것이 아닌지 의심스러운 상황이다.


컴퓨터의 MAC주소를 공유기 MAC주소로 오인한 검찰

다음으로 검찰이 자택 사용의 근거로 제시한 'MAC 주소'의 문제. 이것은 사설IP보다 더더욱 어처구니가 없는 것이다.

MAC 주소란, 네트워크 장비를 생산하는 업체에서 매 기기마다 지정하는 '고유번호'다. 디테일하게는 컴퓨터의 랜카드, 스마트폰의 칩셋 등에 할당되는데, 각각의 생산업체마다 서로 협의해서 할당한 고유 번호 앞부분이 있고, 그 다음은 중복되지 않는 일련번호이므로 전세계 장비들 중에서 특정 장비를 특정할 수 있는 절대적인 고유번호가 되는 것이다. 또한 이 값은 기본적으로는 변경이 불가능하고 항상 같은 MAC 주소를 유지하게 된다. 즉, 'MAC주소'란 네트워크 기능이 있는 장비의 주민번호와 같은 것이라고 이해하면 딱 맞다.

검찰이 해당 강사휴게실 1번 PC가 2013년 6월 16일에 방배동 자택에 있었다면서 MAC 주소를 제시한 것은, 요약하면 '해당 PC가 포맷 및 윈도우 재설치가 있었던 2014년 4월의 이전과 이후에 MAC 주소가 같았던 증거를 찾았다' 라는 것이었다. 이뭐병???

포맷을 했든 윈도우 재설치를 했든, 앞서 말한대로 특정 장비의 MAC 주소는 원래 불변이다. 검찰은 '포맷을 했는데 MAC주소가 그대로더라!' 라는 것을 그 PC가 자택에 있었다는 증거랍시고 제시한 것이다. 이걸 비유하자면, '목욕을 하고 나왔는데 주민번호가 그대로잖아! 너 자택에서 목욕했지!' 라고 주장한 것과 똑같은 것이다.

이런 어처구니가 없는 개소리가 다 있나! 왜 이런 개삽질을 했는지 추정하자면, 포렌식을 담당한 이 모 수사관이 보고서를 정리하는 과정에서 해당 PC에서 나온 MAC 주소를, 당시 연결했던 공유기의 MAC 주소로 오인했을 가능성이 매우 커보인다. 공유기는 외부와 통신할 때는 사설IP가 아닌 공인IP로 통신하는데, 그 공인IP는 지리적 위치를 특정할 근거가 된다. 또한 공유기에도 MAC 주소가 있기 때문에, 이 공유기의 MAC 주소와 공인 IP 주소를 조합하고, 그 시점에 문제의 PC가 이 공유기에 접속한 흔적을 찾아냈다면 해당 PC의 지리적 위치를 특정할 수 있게 된다.

정리하자면 공유기에 연결된 PC의 지리적 위치를 특정하려면, 1. 공유기의 공인IP 기록, 2. 공유기의 MAC 주소, 3. 그 시간 PC가 그 공유기에 연결했다는 증거, 이렇게 세 가지가 모두 필요하다. 다시 3번 증명을 위해서는 PC의 사설IP가 '그' 공유기로부터 할당받았다는 증거를 찾아내야 하는데, 그 과정은 더더욱 복잡하다.

그런데 다시 강조하지만, 검찰이 포렌식에서 찾아냈다고 자랑스럽게 떠벌인 것은 공유기의 MAC주소조차도 아닌 해당 PC의 MAC 주소였고, 그것은 굳이 포렌식씩이나 하지 않아도 그냥 PC에서 간단히 알아낼 수 있는 것이다. 검찰은 해당 강사휴게실 PC들에 어마어마한 포렌식을 반복해 무려 1천여 페이지가 넘는 방대한 보고서들을 만들어냈으면서도, 이런 어처구니 없고 턱이 쑥 빠져버리는 수준의 실수를 한 것이다. (물론 고의로 뒤섞어버렸을 가능성은, 여전히 있다고 의심한다)

 

 

 

[저작권자ⓒ 더브리핑. 무단전재-재배포 금지]

뉴스댓글 >