수사기관 디지털 포렌식 전체 절차 — 압수에서 분석까지

수사 뉴스에서 “디지털 포렌식 결과 OO이 확인됐다”는 문장을 봤다. 저 사람 폰에서 뭘 어떻게 뽑아내는 건지 — 막연히 궁금하거나, 아니면 내 기기가 압수됐을 때 어디까지 보이는 건지 가늠해두고 싶어서 검색한 거다.

“내 폰이 압수됐는데, 거기서 뭘 어떻게 보는 거야?” 그런데 정작 수사기관이 기기를 가져간 뒤 어떤 순서로 뭘 하는지 아는 사람은 드물다. 변호사한테 물어봐도 “포렌식 한다더라” 정도고, 수사기관 입장에서는 굳이 알려줄 이유가 없다.

이 글은 한국 수사기관 — 검찰(NDFC)과 경찰(디지털포렌식센터) — 이 실제로 밟는 절차를 처음부터 끝까지 정리한다. 영장 집행부터 법정 증거 채택까지.

1단계 — 영장 청구와 집행

디지털 포렌식의 시작은 영장이다.

수사기관이 누군가의 핸드폰이나 컴퓨터를 가져가려면, 법원에서 압수수색 영장을 발부받아야 한다. 형사소송법 제106조 제3항은 정보저장매체에 대한 압수 시, 원칙적으로 “기억된 정보의 범위를 정하여 출력하거나 복제하여 제출받아야 한다”고 규정하고 있다. 쉽게 말하면, 폰 전체를 무작정 가져가는 게 아니라 사건과 관련된 범위만 뽑아야 한다는 거다.

현실은 조금 다르다. 현장에서 관련 정보만 골라내기가 기술적으로 어려운 경우, 기기 전체를 압수할 수 있다. 이 경우에도 영장에 압수 대상과 혐의 사실이 구체적으로 기재되어야 하고, 나중에 분석할 때 영장 범위를 넘는 정보는 열람하면 안 된다.

2단계 — 기기 확보와 현장 처리

영장을 들고 현장에 도착한 수사관이 가장 먼저 하는 일은 기기의 상태를 보전하는 거다.

핸드폰이 켜져 있으면, 원격 삭제(Remote Wipe) 명령이 들어올 수 있다. 누군가가 iCloud나 삼성 Find My Mobile로 원격 초기화를 시도할 수 있다는 뜻이다. 이걸 막기 위해 수사관은 기기를 패러데이 백(Faraday Bag — 전파를 차단하는 특수 봉투)에 넣는다. Wi-Fi, 블루투스, 셀룰러 신호가 전부 차단되므로 외부에서 기기에 접근할 수 없다.

전원이 켜진 상태를 유지하는 것도 중요하다. 앞선 글에서 다뤘듯이, 스마트폰은 전원이 꺼지면 BFU(Before First Unlock) 상태가 되면서 메모리의 복호화 키가 사라진다. 포렌식 난이도가 극적으로 올라간다. 그래서 수사관은 가능하면 기기 전원을 끄지 않고, 패러데이 백에 넣은 채로 포렌식 랩으로 이송한다.

현장에서 사진도 찍는다. 기기의 모델명, 시리얼 번호, 화면 상태, 외관 손상 여부 — 전부 기록한다. 이게 나중에 법정에서 “이 기기가 피고인 것이 맞는가”를 입증하는 증거가 된다.

3단계 — 이미징 (복제)

포렌식 랩에 기기가 도착하면, 가장 먼저 하는 작업이 이미징(Imaging)이다.

이미징은 기기에 저장된 모든 데이터를 비트 단위로 그대로 복제하는 과정이다. 일반적인 “파일 복사”와 다르다. 파일 복사는 눈에 보이는 파일만 옮기지만, 이미징은 삭제된 파일의 흔적, 파일 시스템 메타데이터, 빈 공간(unallocated space)까지 전부 포함한다.

왜 원본을 직접 분석하지 않고 복제본을 만드느냐? 원본을 건드리면 데이터가 변경될 수 있기 때문이다. 파일을 한 번 열기만 해도 “마지막 접근 시간” 메타데이터가 바뀐다. 원본이 변경되면 증거 무결성이 깨지고, 법정에서 증거능력을 잃는다. 그래서 원본은 절대 건드리지 않고, 복제본에서만 작업한다.

컴퓨터 하드디스크는 쓰기 방지 장치(Write Blocker — 데이터가 원본에 기록되는 걸 물리적으로 차단하는 장비)를 연결한 뒤 이미징한다. 모바일 기기는 Cellebrite UFED나 GrayKey 같은 전용 도구로 데이터를 추출한다.

4단계 — 해시값 검증 (무결성 확보)

이미징이 끝나면 바로 해시값(Hash Value)을 생성한다. 이 단계가 디지털 포렌식의 핵심이다.

해시값이 뭐냐. 데이터를 특정 알고리즘(SHA-256 등)에 넣으면, 고정된 길이의 문자열이 출력된다. 입력 데이터가 1비트라도 바뀌면 해시값이 완전히 달라진다. 지문과 비슷하다 — 같은 지문을 가진 사람이 둘일 수 없듯이, 같은 해시값을 가진 서로 다른 데이터는 현실적으로 존재하지 않는다.

수사기관은 원본 데이터의 해시값과 이미징된 사본의 해시값을 비교한다. 두 값이 일치하면, 복제 과정에서 데이터가 변경되지 않았음이 수학적으로 증명된다. 이 해시값은 피압수자(또는 변호인)에게도 확인시키고, 사실확인서에 서명을 받는다.

대법원 2017도13263 판결이 이 부분을 명확히 했다. 디지털 증거가 법정에서 증거능력을 인정받으려면, 수집부터 법정 제출까지 전 과정에서 무결성(변경되지 않았다는 것)과 동일성(원본과 같다는 것)이 입증되어야 한다. 해시값은 이 입증의 핵심 수단이다.

과거에는 MD5나 SHA-1 해시를 썼는데, 충돌 취약성(서로 다른 데이터에서 같은 해시가 나올 가능성)이 보고되면서 현재는 SHA-256 이상을 사용하는 게 표준이다.

5단계 — 분석

이미징과 해시 검증이 끝나면 본격적인 분석에 들어간다. 여기서 전문 포렌식 도구들이 투입된다.

컴퓨터 분석 — EnCase와 FTK(Forensic Toolkit)가 대표적이다. EnCase는 전 세계 수사기관의 사실상 표준이다. 이미지 파일을 열고, 파일 시스템을 탐색하고, 삭제된 파일을 복원하고, 키워드 검색을 돌리고, 타임라인을 생성한다. FTK는 사전 인덱싱 기반으로 대용량 데이터에서의 키워드 검색이 빠르고, 이메일이나 메신저 대화를 시각화하는 데 강하다.

모바일 분석 — Cellebrite UFED가 업계 표준이다. 스마트폰에서 통화 기록, 문자, 앱 데이터, 위치 정보, 사진/영상의 EXIF 메타데이터(촬영 시간, GPS 좌표)까지 추출한다. 삭제된 데이터 복구도 시도한다 — 단, 앞서 다른 글에서 설명했듯이 최신 기기의 암호화 환경에서는 초기화된 데이터 복구가 현실적으로 극히 어렵다.

분석관이 보는 건 파일 내용만이 아니다. 파일의 생성·수정·삭제 시간, 앱 사용 로그, 인터넷 방문 기록, Wi-Fi 접속 이력 — 이런 메타데이터가 오히려 사건의 타임라인을 구성하는 데 더 결정적인 경우가 많다. “피고인이 X일 Y시에 Z 앱을 열었다”는 사실은 파일 내용보다 강력한 정황 증거가 된다.

여기서 중요한 원칙이 하나 있다. 분석관은 영장에 기재된 혐의 사실과 관련된 범위만 분석해야 한다. 폰을 통째로 이미징했더라도, 영장 범위를 넘는 개인 정보(예: 사건과 무관한 사생활 사진)는 열람하면 안 된다. 전체 이미지(Full Image)는 수사팀 검사에게 전달되지 않고, 선별된 자료만 전달된다.

6단계 — 보고서 작성

분석이 끝나면 포렌식 분석관이 보고서(감정서)를 작성한다.

보고서에는 분석 대상 기기 정보, 사용한 도구와 버전, 이미징 일시와 해시값, 분석 과정에서 발견한 사실, 그리고 결론이 담긴다. 핵심은 제3자가 이 보고서만 보고 같은 절차를 따라했을 때 동일한 결과를 얻을 수 있어야 한다는 거다. 재현 가능성(Reproducibility)이 보장되어야 과학적 증거로 인정된다.

보고서에는 분석관의 주관적 판단이 들어가면 안 된다. “피고인이 고의로 삭제한 것으로 보인다” 같은 해석은 분석관의 영역이 아니다. “X 파일이 Y 시점에 삭제된 흔적이 확인됐다”는 사실만 기재한다. 그 사실이 유죄를 의미하는지는 검사와 판사가 판단할 일이다.

7단계 — 법정 증거 채택

보고서가 법정에 제출되면, 증거능력을 인정받아야 비로소 재판에 쓸 수 있다.

디지털 증거가 법정에서 살아남으려면 세 가지가 필요하다.

적법한 절차. 영장이 유효했는지, 압수 범위를 넘지 않았는지, 피압수자의 참여권이 보장됐는지. 대법원은 피의자 참관 없이 포렌식이 진행된 경우, 추가로 발견된 범죄 혐의의 증거라 해도 증거능력을 부정한 사례가 있다.

무결성과 동일성. 해시값이 수집 시점부터 법정 제출까지 일관되게 유지되는지. 연쇄보관(Chain of Custody — 증거가 누구 손에 있었고, 언제 이동했고, 어떤 처리를 받았는지 전 과정의 기록)이 끊기지 않는지.

전문 증거 법칙 준수. 디지털 증거도 전문증거(직접 경험하지 않은 내용을 담은 증거)에 해당할 수 있다. 이 경우 형사소송법상 전문증거 예외 규정을 충족해야 한다.

변호인 입장에서는 이 세 가지 중 하나라도 흠결을 찾으면 증거를 배제시킬 수 있다. 실제로 수사기관의 포렌식 절차 하자로 핵심 증거가 배제된 사건이 드물지 않다.

전체 흐름 요약

단계	핵심 행위	왜 필요한가
1. 영장	법원에서 압수수색 영장 발부	적법 절차의 시작점
2. 기기 확보	패러데이 백, 현장 기록	원격 삭제 방지 + 증거 보전
3. 이미징	비트 단위 복제	원본 보존 + 분석용 사본 생성
4. 해시 검증	SHA-256 해시값 생성·대조	무결성 수학적 증명
5. 분석	EnCase, Cellebrite 등	사건 관련 데이터 추출·해석
6. 보고서	감정서 작성	재현 가능한 과학적 기록
7. 법정	증거능력 심사	적법·무결·동일 = 증거로 채택

누가 이걸 알아야 하나

🟢 일반 사용자 — 수사 대상이 될 일은 거의 없겠지만, “포렌식”이라는 단어에 막연한 공포를 가질 필요가 없다. 수사기관도 정해진 절차를 밟아야 하고, 그 절차를 어기면 증거가 무력화된다. 포렌식은 마법이 아니라 프로세스다.

🟡 수사 가능성이 있는 상황 (민사 소송, 회사 내부 감사, 이혼 소송 중 증거 문제) — 상대방이 제출한 디지털 증거의 수집 절차에 하자가 있는지 확인하는 게 방어의 핵심이다. 해시값이 기록됐는지, 피압수자 참여권이 보장됐는지, 영장 범위를 넘는 분석은 없었는지. 변호사와 상의할 때 이 세 가지를 물어라.

🔴 OPSEC 필요 (내부고발, 기자 취재원 보호) — 기기가 물리적으로 확보되면 포렌식은 시간 문제다. 방어는 “확보되기 전”에 끝나야 한다. 암호화, 기기 분리, 민감 데이터 미저장이 원칙이다. 포렌식 절차를 아는 것은 “어디서 방어선을 세울지” 판단하기 위해서다.

정리

수사기관의 디지털 포렌식은 즉흥적인 수색이 아니다. 영장 → 기기 확보(패러데이 백) → 이미징(비트 복제) → 해시값 무결성 검증 → 전문 도구 분석 → 보고서 → 법정 제출이라는 정해진 절차를 따른다. 각 단계에서 적법성과 무결성이 하나라도 깨지면, 그 증거는 법정에서 쓸 수 없다.

이 절차를 아는 게 중요한 이유는 두 가지다. 하나는 막연한 공포를 걷어내는 것이고, 다른 하나는 내 권리가 어디서 보장되는지 아는 것이다. 피압수자에게는 이미징과 분석 과정에 참여할 권리가 있고, 해시값을 확인할 권리가 있고, 영장 범위를 넘는 분석에 이의를 제기할 권리가 있다. 수사기관이 절차를 제대로 밟는지 확인할 수 있는 건, 그 절차가 뭔지 알 때뿐이다.