[정경심 25차 공판②] ‘유죄 심증’으로 데이터 꿰맞춘 포렌식 수사관

박지훈 기자 / 기사승인 : 2020-08-21 22:07:11
  • -
  • +
  • 인쇄
검찰의 포렌식 보고서는 PC에서 찾아낼 수 있는 수많은 데이터 중에서 검찰과 수사관이 가진 '유죄 심증'에 맞추어 유리한 것만 뽑아서 만든 '편파 보고서'였다. 이에 따라 수많은 왜곡이 이루어졌다.

 

▲ 정경심 동양대 교수가 20일 서초구 중앙지방법원에서 공판에 출석하기 위해 법정으로 향하고 있다. 2020.8.20/연합뉴스

 

어제 8월 20일, 정경심 교수 25차 공판의 포렌식 수사관 반대신문에 대해 두번째 글을 이어간다. 앞서 검찰이 IP주소와 MAC 주소를 근거로 문제의 '강사휴게실 1번 PC'가 '범행당시'인 2013년 6월 16일에 자택에 있었다고 주장한 내용이 완전히 근거가 없다는 사실을 변호인이 논파했다고 정리했다.

다음으로, 검찰이 아닌 변호인 측의 별도 포렌식 결과가 이어졌다. 압수든 임의제출이든 증거물로 제출된 PC 증거는 피고인측에서도 복사해서 분석할 권리가 있는데, 변호인측에서 별도로 포렌식을 의뢰한 결과다. (이걸 방해하기 위해 검찰은 끈질기게 PC 자료 등사를 거부했던 것이다)


공용 컴퓨터로 사용된 ‘강사휴게실 PC’

애초 검찰측은, 문제의 '강사휴게실 1호 PC'가 정경심 교수가 사용했던 증거라면서, '비할당영역'(현재 사용중이지 않은 영역으로, 과거 삭제된 파일들이 많이 나온다)에서 찾아낸 동양대 홈페이지 접속 기록과, 정경심 교수의 아이디를 제시했다. 이것만 보면 정경심 교수가 사용했다는 것은 맞다.

그런데 검찰은 이번에도 절반의 진실만 보여줬다. 변호인에 따르면, 해당 PC에서는 정경심 교수의 아이디 외에도, 정 교수가 아닌 다른 사람임에 명백한 사람의 접속 기록을 아주 여러개 찾아낸 것이다. 특히 이 중에는 당시 동양대의 외국인 교수, 어학교육원 직원 여러 명 등 명백히 어학교육원 내부에서 공용 PC로 사용되었음을 추정할 수 있는 아이디들이 여러개 발견되었다. (이들 직원 아이디들은 그 각각이 동양대의 누구인지 실명 특정까지 되었다.)

즉 한 마디로, 해당 PC가 동양대 어학교육원 내에서 공용으로 사용되었던 명백한 이력이 나온 것이다. 이 관련 검찰의 주장은, 해당 PC는 정경심 교수가 자택에서 사용하다가 2016년 12월경 동양대 강사휴게실로 가져다놓은 후로 단 한번도 사용된 적이 없다는 것이었다. 이런 검찰의 주장은 이 증거에서 보다시피 완전히 타파되었다.
.
그런데 이 과정에서 발견된 더 어처구니 없는 것은, 이 다른 직원들의 접속 기록의 시점이, 2036년, 2022년, 2029년, 2086년 등 전혀 얼토당토 않은 시점으로 나오기도 했다는 것이다. 이런 기괴한 결과가 나온 것은, 또다른 매우 중요한 단서다.


임의로 조합된 ‘흩어진 파편들’

삭제된 데이터에서 포렌식을 하는 과정에서, 일반적인 복구(recovery) 외에, 더 비정상적인 카빙(carving)이라는 것을 한다. 실제 포렌식에서는, 단순 복구 외에 더 많은 데이터를 캐어내기 위해서 카빙이 압도적으로 많이 쓰인다.

그런데 카빙이라는 기법은, 확실한 근거로 복구를 하는 것이 아니라 컴퓨터 알고리즘에 의해 '추정'을 하면서 확률적으로 조각 정보들을 이어붙이는 과정이다. '비할당영역'의 데이터들은 어디서 어디로 연결되지 않는, 산산이 흩어져 있는 쓰레기 값이기 때문이다.

수사기관의 입장에서는 이 '카빙'을 문서세단기로 잘근잘근 분해된 문서들을 재조합해 원래의 문서를 추정하는 것과 비슷하다고 여기고 있을 것이다. 그런데 결정적인 차이가 있다. 분해된 문서들은 기본적으로 아날로그 데이터이기 때문에, 인쇄된 영역의 곡선이나 그런 것을 조합하기가 어렵지 않다.

하지만 파편화된 디지털 정보는 전혀 엉뚱하게 맞춰도, 알고리즘상 제대로 추정한 것처럼 결과가 나올 수 있다. 특히 실제로는 상관이 없는데도 외관상 비슷비슷한 데이터 조각들이 하드디스크 여기저기에 널려 있는데, 그걸 짜맞추는 것이다. 당연히 엉터리 결과도 나온다. 특히 이렇게 삭제된 데이터를 찾을 때에는, 아예 없어진 조각도 무수히 많을 수 있다.

나 자신이 오랜 경력의 개발자인 입장에서 알고리즘을 구성한다고 해도, 찾으려는 중간의 조각이 실제로는 완전히 사라졌더라도, 프로그램이 최대한의 노력을 들여 하드디스크 공간 전체에서 비슷하게 맞춰지는 조각을 찾아보도록 구성할 수밖에 없고, 그러면 실제 그 자리의 조각이 아닌, 비슷하게 보이지만 다른 엉뚱한 조각이 그 자리에 맞춰져서 증거가 왜곡될 수 있는 것이다.

더욱이 변호인 측 의뢰에서 포렌식에 사용한 프로그램도 검찰 측이 사용한 것과 같거나 비슷한 것으로 보이는데, 과연 검찰의 수사관들은 포렌식 프로그램에서 뽑아주는 결과물에서 이런 엉터리 데이터들을 단 하나도 보지 못해서 믿을만한 정보라고 보고서로 제출한 것일까? 오직 변호인 측 포렌식 기관에게만 보였던 것일까? (니들 눈은 썩은 동태눈이냐!) 합리적인 추정은, 검찰 측 수사관들도 엉터리 데이터가 부지기수로 나오는 것을 보면서도, 그중 그럴듯해 보이는 데이터만 따로 추려서 보고서를 작성한 것이다.


검찰에 유리한 것만 뽑아낸 포렌식 보고서

사람이 한 것도 아닌 자동화된 프로그램에 의한 카빙으로 수집한 정보는, 그 신빙성을 과신해서는 안 되고 반드시 사람이 재검증을 해야 하는데, 유죄 입증에만 몰입하는 수사기관이 그렇게 냉철하게 검증을 할지는 전혀 미지수인 것이다. 특히 분석을 하는 수사관에게 '유죄심증'이 있었다면, 완전히 엉터리 증거들이 법정에 제출되고, 죄를 짓지도 않은 억울한 피고인이 형벌을 받을 수 있다.

생각해보시라. 일련의 '조국 사건'들이야말로, 포렌식 담당 수사관들의 유죄심증이 강하게 작용했음직하지 않는가. 그래서 향후 법 개정 방향으로서 제안하건대, 카빙으로 생성된 데이터는 변호인측의 동의를 거쳐야만 법정 증거로 제출할 수 있게 하거나, 카빙 실시 때는 변호인이 반드시 참관하게 하거나 하는 형사소송법 개정이 이루어져야 한다고 본다.

이런 엉터리 결과가 나올 수 있기 때문에, 최고의 포렌식 프로그램으로 알려진 EXIOM의 벤더사 '마그넷 포렌식스'의 CEO 애덤 벨셔는, 지난 2016년 내한 당시에 이런 발언을 내놓기도 했다. 자사의 프로그램은 '증거'를 수집하는 것이 아니라, "증거가 될 가능성이 있는 데이터'를 수집하는 것"이라는 것이다. 그런데, 이 프로그램을 사다가 '증거'를 수집하고 있는 수사기관 종사자들은, 과연 이런 '대전제'를 충실히 인식하고서 포렌식 보고서를 작성하고 있을까?


부실하게 관리되던 동양대 장비 대장

게다가, 포렌식 수사관의 유죄심증을 또 한번 의심할 변론이 있었다. 이 모 수사관은 포렌식 보고서에서 정경심 교수가 사용하던 PC가 두대였고 그중 한 대의 소재가 확인되지 않고 있다고 썼다. 심지어 그럴듯한 그림에 점선으로 표시하여 한 대의 PC가 사라졌다고 해놓고, 거기에 "분석 화면 캡쳐"라고 전혀 엉뚱한 제목까지 달아놨다. '사라진 PC'를 특정하려고 동양대의 과거 대장까지 뒤져 모델명까지 적시하면서.

하지만 이 PC는, 새 PC가 지급되던 시점에 정상적으로 반납되었고, 단지 그 반납 사실이 동양대의 서류처리에서 누락되었던 것 뿐이다. 같은 사례로, 변호인은 정 교수의 동료인 장경욱 교수의 검찰신문 조서에서, 역시 연구실에서 두 대의 PC를 사용하고 있는 것으로 되어 있지만 한 대는 반납한 상태이고, 심지어 이미 퇴직한 교수들의 PC들도 여전히 사용중으로 나온다는 점을 확인했다.

반납한 PC가 여전히 사용중이라고 기록되어 있는 것은 단순히 학교 담당 직원들의 부실관리일 뿐이다. 이런 사례가 어디 한두군데만의 일일까. 그런데 정작 문제는, 이게 포렌식 보고서에 떡하니 등장하고 '없어진 PC'의 그림까지 그려가며 증거인멸 가능성을 풀풀 풍기는 것이다.

이 모 수사관은 단지 전달받은 증거물을 분석하는 업무만을 전담하는 대검 컴퓨터포렌식팀 직원이다. 그런데 그는 보고서에 떡하니 "동양대학교 정경심 교수 연구실에서 사용하였던 1번 컴퓨터의 소재가 확인되지 아니하였다"라는 분석 결과를 내놓고, 거기에 무슨 근거라도 있는 것처럼 오인시키는 그림까지 그리고, 그게 '분석화면'을 캡쳐한 것이라는 기막힌 기록을 해놨다.

이 모 수사관은 이 PC가 왜 대장 기록과 다르게 존재하지 않는지 독립적으로 알아낼 방법도 없었고, 당연히 그건 담당 업무도 아니다. 그런 잘못된 정보의 출처는 분석을 의뢰한 검사들일 수밖에 없다. 물론 검사들의 엉터리 정보 제공도 문제지만, 이 수사관은 보고서에 자신의 직무상 권한과 능력, 책임 이상의 정보를 기재하는 '월권'을 했을 뿐만 아니라, 근거도 없는 진실과 전혀 다른 정보를 마치 중요한 근거가 있는 것인양 그림을 동원한 표현으로 보고서를 작성한 것이다.

이 이 모 수사관에게 정경심 교수에 대한 '유죄심증'이 없었다면 감히 이런 짓을 할 수 있었을까? 유죄심증으로 보고서 내용마저 왜곡시키는 수사관이 한 포렌식 분석 내용을, 과연 믿을 수 있을까?


‘엔지니어의 본분’ 망각한 포렌식 수사관

기가 막히게도, 이 수사관의 유죄심증의 근거는 또 있다. 이 수사관은 지난해 11월의 보고서에서, KIST 확인서는 원본 PDF를 'Adobe Acrobat'으로 RTF로 변환하여 텍스트를 수정했다고 명시했었다. 그런데 8개월 이상이 지난 바로 지난 7월에 다른 보고서에서, Acrobat이 사용되었던 것이 아니라 복합기 번들 프로그램으로 한 것이라고 수정한 것이다.

이런 정정을 한 것은, 뒤늦게 해당 RTF 파일의 정보에서 작성자 정보가 'VeryPDF'로 되어 있는 것을 발견했기 때문인데, VeryPDF는 Acrobat의 Adobe사와는 경쟁관계에 있는 PDF 프로그램 제작사로서, HP를 포함한 다양한 외부 회사에 OEM으로 프로그램을 납품하고 있기도 하다.

그런데 이번에도 분석의 문제가 드러났다. 바로 앞에서 썼다시피, VeryPDF는 HP 한군데에만 납품하는 회사도 아니고, 이 회사 스스로도 VeryPDF 프로그램을 배포, 판매하고 있기도 하다. 그가 HP 프로그램으로 RTF 변환 작업이 이루어졌다고 주장할 근거가 없는 것이다. 단지, 해당 PC의 포렌식 결과 'PDF 작업이 가능한 프로그램'이 'Acrobat'과 'HP 프로그램' 두가지 뿐인데 Acrobat이 아닌 것이 확인되었으니 HP 프로그램이라고 억지로 꿰어맞추듯 추정한 것이다.

이건 정말, 기술을 다루는 엔지니어로서는 절대 해서는 안 되는 추정이다. 예를 들어 내 PC에서, 혹은 이 글을 보고 있는 여러분의 PC에 작성자가 '문재인'으로 되어 있는 문서가 발견되었다면, 문재인 대통령이 와서 파일을 작성했다는 의미가 되는가? 상식적으로 다른 사람이 작성한 파일, 다른 PC의 다른 프로그램에서 작성된 파일일 가능성이 무궁무진, 무한하지 않은가. 다른 사람이, 다른 곳에서, 다른 의도로 작성한 파일이 어떤 이유로 보내어져서 복사되었을 뿐일 가능성은 왜 시종일관 철저히 배제하는가?

그런데도 이 수사관은 용감하게도 다른 아무런 근거도 제시하지 않은채, 해당 PC의 HP 프로그램으로 특정해서 추정한 내용을 포렌식 보고서에 적시했다. 유죄심증이 아니라면 어떻게 이런 과감한 추정을 멋대로 써넣을 수 있었을까?

편의상 '이 모 수사관'이라고 부르고 있지만, 이 수사관은 검사도 검사실 수사관도 아닌 분석 담당 직원, 정확하게는 '분석관'이다. 수사가 책무가 아닌, 전달된 자료의 분석만이 책무다. 자료 분석을 하는 입장에서 유죄심증은 잘못된 증거분석을 불러일으킬 수 있는 중요한 요인이 된다. 유죄심증, 무죄심증을 가진 판사가 재판부를 담당하는 것이 매우 부적절해서 기피신청을 하듯이, 이런 경우도 마찬가지로 부적절하다.

내가 아는 한에는, 우리나라의 사법제도에는 이렇게 유죄심증으로 잘못된 분석을 하는 것으로 심각하게 의심되는 분석관을 배제시킬 마땅한 방법이 없는 것 같다. 일반인으로서 나의 상식으로는, 지금까지의 보고서 전부를 무효화시키고 공정하게 새로 분석하는 것이 정답 아닌가. 현실 법정에서 법이 상식을 따라가지 못하면, 법을 개정해야 하지 않을까?

 

 

 

[저작권자ⓒ 더브리핑. 무단전재-재배포 금지]

뉴스댓글 >