[조국 사태의 재구성] 56. PC∙휴대폰 압수 후 포렌식 참관이 꼭 필요한 이유

수사기관이 PC나 휴대폰, 메모리카드 등의 저장장치(‘정보저장매체’)를 압수하면서 ‘포렌식 참관’을 하겠느냐고 질문하면 당신은 뭐라고 답할 것인가? 일반 국민들 다수는 한 번도 이런 상황을 생각해보지 않았을 것이고, 그게 무엇을 의미하는지도 잘 모를 것이다. 자신 있게 즉답을 할 수 있을 리가 만무하다.

이 질문에 대해 ‘묻지마 정답’부터 말하자면, 정보매체 압수물에 대한 참관 의사를 물으면 일단 참관하겠다고 답해야 한다. 포렌식 참관은 본인 사건이라면 두 말할 것도 없이 반드시 해야 하고, 본인 사건이 아닌 지인 사건이라 하더라도 그 지인을 곤경으로 몰아넣을 생각이 아니라면 번거롭더라도 꼭 해야 한다.

포렌식 참관에는 이런 참관 경험이 많으면서 사건의 성격을 잘 이해하고 있는 변호사가 입회할 수 있다면 물론 최선이지만, 관련 경험이 부족한 변호사라도, 또 어떤 이유로든 당장 변호사를 선임하기 힘든 상황이라도, 뭘 하는 건지 모르는 일반인인 피압수자 본인이라도 입회해서 꼭 참관을 해야 한다. 이제부터 그 이유를 차근차근 살펴보도록 하자.

참관 필요한 포렌식의 두 단계, ‘복제’와 ‘탐색’

먼저 포렌식 참관은 어떤 경우에 필요할까? 쉽게 말해 PC나 휴대폰 같은 정보저장매체를 통째로 압수했을 경우다. 그러면 어떤 경우에 정보저장매체를 통째로 압수하는가? 형사소송법 제106조 제3항에서 이 문제를 규정하고 있다.

제106조(압수) ③ 법원은 압수의 목적물이 컴퓨터용디스크, 그 밖에 이와 비슷한 정보저장매체(이하 이 항에서 “정보저장매체등”이라 한다)인 경우에는 기억된 정보의 범위를 정하여 출력하거나 복제하여 제출받아야 한다. 다만, 범위를 정하여 출력 또는 복제하는 방법이 불가능하거나 압수의 목적을 달성하기에 현저히 곤란하다고 인정되는 때에는 정보저장매체등을 압수할 수 있다.

즉 법에서는 원칙적으로 정보저장매체에 대해서는 통째 압수를 금지하고 있고, 대신 압수 현장에서 열어보고 영장의 범위와 혐의에 관련된 유관 정보만 선별해서 복사해 가야 한다(‘선별압수’가 원칙). 다만 현장에서 선별하는 것이 불가능하거나 현저히 곤란한 경우에 한해서 매체를 압수할 수 있다.

(검찰은 정경심 교수의 강사휴게실PC들이 압수 현장인 동양대에서 ‘뻑이 나서’, 즉 비정상종료가 되어서 형소법의 예외에 해당한다고 주장했지만 이는 거짓이었다. 필자가 압수 당일 이 PC들에 남은 검찰의 행적을 살펴본 결과 비정상종료가 일어난 사실은 전혀 없었고, 오히려 당시 조작한 검찰수사관들이 스스로 정상 종료시킨 것이었다. 즉 강사휴게실PC들은 ‘위법수집증거’였다.)

그런데 다른 여러 수사 사례들을 살펴본 결과, 현재 검찰과 경찰은 PC, 노트북 등은 현장에서 선별압수를 시도하지만 휴대폰의 경우는 현장에서 선별압수가 어렵다는 이유로 통째 압수를 기본으로 하고 있다. 다시 말해 압수 대상이 휴대폰 내의 정보일 경우 기본적으로 매체 통째 압수를 당하게 된다. ☞ “검·경, ‘스마트폰 압수’ 수사실무 관행 개선 절실”

하지만 이런 관행은 사실상 통째 압수를 위한 핑계에 가깝다. 휴대폰도 압수 현장에서 선별압수를 할 수 있는 장비를 가져가면 됨에도 수사기관들은 그게 매우 어려운 일인 것처럼 둘러대고 있다. 수사기관의 입장에서 매체 통째 압수가 훨씬 더 편리하기 때문이다. 이를 거꾸로 말하면 피의자는 훨씬 불리해진다. 

그러면 이런 포렌식 과정을 참관하는 목적은 무엇일까? 여기엔 수사기관의 증거 변조 가능성을 차단하는 목적도 있지만, 더 현실적인 목적도 있다. 수사기관이 압수된 정보저장매체 내의 정보들을 무차별적으로 뒤져, 내키는 대로 증거로 가져가지 못하도록 제지하는 것이다.

압수된 정보저장매체에 대한 포렌식 분석은 먼저 ‘복제 및 해시’ 단계, 그리고 다음으로 ‘증거 탐색∙선별’ 단계로 진행된다. 물론 수사기관의 입장에서는 이후로 더 이어지는 기술적 분석 작업이 있을 수도 있지만, 일단 이 두 단계에는 피압수자의 참관이 필요하다.

전자인 ‘복제 및 해시’ 단계는 기기의 데이터 전체를 하나의 큰 복제본 파일(‘이미지 파일’)로 복사하는 작업인데, 포렌식에서는 이 복제와 동시에 ‘해시’ 작업도 함께 진행된다.

해시 작업의 결과물인 ‘해시 값’은 꽤 긴 하나의 숫자 값으로서, 그보다 훨씬 큰 크기인 복제본 ‘이미지 파일’ 전체를 원본과 대조하는 장시간의 작업을 대체할 수 있다. 문서에 기록할 수 있는 하나의 숫자 값으로 복제본 전체 데이터의 변조 여부를 간단히 알아낼 수 있다는 점에서, 해시 값은 복제본에 대한 기술적 ‘봉인’ 역할을 한다.

수사기관의 증거 변조 가능성을 차단하는 목적의 참관은 이 첫 단계인 ‘매체 복제 및 해시’와 직결되어 있다. 그런데 거꾸로 말하면, 이 복제 과정이나 그 이전 시점에 데이터가 변조된다면, 전자정보의 특성상 차후 어떤 방법으로도 변조 사실을 알아낼 수 없다. 그만큼 이 단계의 참관은 매우 중요하다.

놀랍게도, 많은 형사 변호사들이 이 단계의 참관은 별로 중요하지 않다고 말하고 있는 것으로 보인다. 하지만 가능성이 낮다고는 하더라도 그런 일이 벌어질 경우 그 결과가 너무도 치명적이다.

정경심 교수의 강사휴게실 PC들의 경우 이 복제 및 해시 단계에서 전후 정황상 검찰의 변조 의혹이 짙었음에도, 포렌식 참관이 차단돼 변조 여부에 대한 사후 확인은 전혀 불가능해졌다. (법적으로 변조 여부 증명의 명시적 책임이 수사기관에 있음에도 검찰은 아무런 증명을 내놓지 못했다. 이 부분은 별도로 세세히 따져볼 것이다.)

검찰 개혁의 칼을 들었던 조국이라서, 그 배우자라서 검찰이 그랬던 거라고 쉽게 생각할 문제가 아니다. 정치적 사건, 시국 사건이 아니어도, 매우 사소한 이유로도 증거 조작이 벌어지는 경우가 그리 드물지 않다.

따라서 어떤 이유로든 수사기관의 공정한 수사를 믿을 수 있는 상황이 아니라면, 피의자는 이 ‘매체 복제 및 해시’ 단계 역시 반드시 제대로 참관을 해야 한다.

포렌식 탐색∙선별 절차는 압수 과정의 연장

한편, 포렌식의 두번째 단계는 증거 탐색∙선별 작업이다. PC나 휴대폰 내의 모든 파일이 사건 관련 증거일 리는 당연히 없기 때문에 전체 데이터를 뒤지면서 혐의 사건과 관련이 있는 증거 파일(‘유관 증거’)을 찾는 것이다.

이 단계에서 혐의 관련 유관 정보를 증거로 선별하고 나면 형사소송법의 기본 원칙대로 현장에서 유관 정보만 ‘선별압수’하는 것과 결과적으로 동일해지게 된다. 즉 압수 현장에서 선별압수를 했든, 아니면 매체 통째 압수를 해서 탐색∙선별을 거쳤든 동일하게, 전자정보 압수의 최종 결과물은 선별 압수인 것이다.

여기에 정보저장매체의 압수와 관련된 매우 중요한 포인트가 있다. PC나 휴대폰이라는 기기 자체가 범죄 대상이나 수단이 아닌 이상, PC나 휴대폰 등 정보저장매체 자체는 실질적인 혐의 관련 증거가 아니다. 실제 증거는 그 안에 담긴 파일이나 메시지 기록 등의 데이터인 것이다.

이런 배경 때문에, 논리적으로 압수 현장에서 정보저장매체를 압수하는 것만으로는 압수의 모든 절차가 완료되지 않게 된다. 이렇게 상식적으로 매우 당연한 법리는 2015년 대법원 판례로 정립된 바 있다. 전자정보의 압수 관련 법리들 중 가장 중요한 것들 중 하나로 꼽히는 ‘종근당 판례’(‘2011모1839’)다. ☞ 대법원 전원합의체 선고(2011모1839 종근당 압수·수색 관련) 보도자료

“저장매체 자체 또는 적법하게 획득한 복제본을 탐색하여 혐의사실과 관련된 전자정보를 문서로 출력하거나 파일로 복제하는 일련의 과정 역시 전체적으로 하나의 영장에 기한 압수∙수색의 일환에 해당한다”

“그러한 경우의 문서출력 또는 파일복제의 대상 역시 저장매체 소재지에서의 압수∙수색과 마찬가지로 혐의사실과 관련된 부분으로 한정되어야 함”

“전자정보가 담긴 저장매체 또는 복제본을 수사기관 사무실 등으로 옮겨 이를 복제∙탐색∙출력하는 경우에도, (중략) 피압수자나 그 변호인에게 참여의 기회를 보장하고 혐의사실과 무관한 전자정보의 임의적인 복제 등을 막기 위한 적절한 조치를 취하는 등 영장주의 원칙과 적법절차를 준수하여야 한다.”

구체적으로 이 ‘종근당 판례’의 사건에서는, 수원지검 강력부 검사가 현장에서 압수한 PC를 처음 포렌식하는 과정에서 피압수자에게 참여 기회를 제공했으나, 이후 피압수자에게 참여 기회를 제공하기는커녕 알리지도 않은 상태에서 검사가 무단으로 복사본 이미지 파일을 개인 저장장치에 복사하고, 다시 임의로 추가 증거를 탐색하고, 심지어 혐의와 무관한 정보까지 탐색했다.

대법원은 검사의 이런 행위들 중 피압수자의 참여 기회 없이 임의로 복사본을 개인 저장장치에 재복사한 행위와 임의로 정보를 뒤진 행위, 나아가 무관 정보까지 탐색한 점을 중대한 위법이라고 판단하고, 그 위법의 중대성을 감안해 애초 적법했던 압수수색영장의 이전 단계 결과까지 모조리 취소했다. (피압수자가 참여했던 최초 포렌식의 결과까지 모두 위법수집증거로 결정한 것.) ☞ "압수수색 과정 중 피압수자 참여권 보장 안했으면 전체 취소"

요컨대, 수사기관이 압수 현장에서 정보저장매체를 통째로 압수한 경우에는, 그 압수 이후 포렌식으로 그 안의 정보를 탐색하거나 복제하는 과정도 압수수색의 일부이며, 따라서 수사기관에서 포렌식으로 매체에서 증거를 탐색하는 과정에도 피압수자 측에 참여권을 보장해야 한다는 것이다.

이를 다르게 말하자면, 수사기관이 현장에서 정보매체를 압수한 경우 현장에서 철수한 후에도 아직 압수수색이 끝난 것이 아니며, 이후 수사기관 측에서 포렌식으로 매체 내의 데이터를 뒤지는 작업도 압수수색 절차의 일부인 것이다. 또 이런 법리에 따라 포렌식 참관의 본질은 압수수색 참관의 연장인 것이다.

포렌식 참관에서 유념해야 할 포인트들

그러면 이런 중요한 법리가 실제 피압수자의 입장에서 어떤 의미가 되는 걸까.

전자정보가 아닌 유체물(즉 파일이나 데이터 등이 아닌 유형의 물건들) 압수의 경우, 수사기관이 영장에서 지정한 범위를 벗어나거나 혹은 사건과 무관하다고 생각되는 물건, 즉 혐의와 무관한 물건을 압수하려 하면 피압수자로서는 적극 항변해야 하고 항변할 권리가 있다. 압수 현장에 입회하는 변호사가 해야 할 가장 중요한 역할도 이것이다.

이와 정확히 동일하게, 수사기관이 PC나 휴대폰 등 정보저장매체 내부의 파일이나 데이터를 뒤져서 혐의와 무관관 정보를 압수하려 할 때도, 압수 현장에서와 동일하게 항의할 수 있고 또 당연히 항의해야 한다. 예를 들어 2024년의 특정 사건 혐의로 압수를 하면서 2023년 이전의 다른 위법 행위들이 있는지도 더 뒤져보는 등의 경우다.

바로 이런 이유로 포렌식에 대한 참관은 매우 중요한 것이며, 또 수사기관의 포렌식 참관 기회 보장이 중요하다. 그런데 일반 국민들이 대부분인 피압수자의 입장에서 이런 사실을 제대로 알 수 있을까?

법 전문가가 아닌 평범한 국민들 대부분은 이렇게 포렌식의 ‘증거 탐색∙선별’ 작업도 압수 절차가 계속 이어지는 단계라는 중요한 사실을 알지 못한다. 그래서 PC나 휴대폰 등을 가져간 것으로 압수가 끝났고 압수된 PC나 휴대폰은 수사기관이 마음대로 뒤질 수 있는 것으로 잘못 알고 이후엔 손을 놓고 있게 되는 것이다.

그래서 수사기관은 피압수자에게 포렌식 참관의 의미를 충분히 설명할 의무가 있다. 용의자 체포 시 고지해야 하는 ‘미란다 원칙’과 마찬가지다. 정보매체 압수 시에는 매체 압수의 의미와 참관권에 대해 제대로 고지하도록 되어 있는 것이다.

하지만 이런 의무에도 불구하고 현실 압수 현장에서 수사기관 관계자가 그 의미를 피압수자가 이해할 수 있도록 제대로 설명해주기를 기대하기는 난망이다. 그나마 알아듣기 힘들게라도 설명을 해주면 다행인 현실이다. 도리어 동양대 강사휴게실PC의 경우처럼 설명을 해주기는 커녕 기막히는 거짓말로 피압수자를 기망하기까지 하는 경우도 있지 않은가.

또 한가지, 포렌식 중 탐색 선별 과정을 참관하지 않으면, 포렌식 과정에서 유죄 취지 증거로 어떤 것들이 선별압수 되었는지 제대로 알 수 없게 된다.

물론 법적으로 수사기관이 선별압수가 종료되면 그 결과 목록인 ‘전자정보상세목록’을 즉시 교부하도록 되어 있다. 하지만, 이 목록에는 파일 이름만 줄줄 나열되어 있고 각 파일들의 내용은 전혀 알 수 없기 때문에 거의 도움이 되지 않는다.

아래는 강사휴게실PC의 ‘임의제출자’가 된 동양대 김 조교가 검찰로부터 교부받은 ‘전자정보상세목록’의 상단 일부다. 보다시피 ‘Screenshot_2013-02-15-23-05-33.png’와 같은 파일 이름들만 나열되어 있는데, 이걸 보고 이 파일이 도대체 무슨 내용인지 알 수 있을까? 또 그 아래 ‘직인.jpg’가 있는데, 역시 이 파일 이름만 봐서는 무슨 직인인지 전혀 알 수가 없다.

실제 이 목록의 ‘직인.jpg’ 파일은 가장 이슈가 됐던 동양대 총장 직인이 아닌, ‘어학교육원장’ 직인 파일로서 정 교수가 정상적으로 사용했던 것이다. 또 이와 별도로 ‘총장님 직인.JPG’과 ‘총장님 직인.png’ 등도 이 목록의 아래에 나열되어 있기는 하지만 그 이미지 내용은 이름과 제대로 일치하지 않아 별 도움이 될 수가 없었다.

보다시피 이 전자정보상세목록만 달랑 받아서는 도대체 어떤 정보가 증거로 압수되었는지 거의 아무런 도움이 되지 않는다. 그러니, 혹시라도 사건을 의뢰한 변호사가 ‘참관 안 해도 나중에 목록 받으니까 걱정 마세요’라고 둘러댄다면, 다른 변호사를 구할 것을 권하고 싶다.

실제 ‘전자정보상세목록’이라는 것이 이런 수준인 이유로, 정경심 교수의 경우에도 재판이 시작되고도 검찰이 해당 증거들을 차후 현출할 때까지 정 교수와 변호인들은 이 각각의 파일들이 도대체 어떻게 유죄를 뒷받침한다는 것인지 전혀 알 수 없었고, 뒤늦게 증거를 실제 확인했을 때는 과장되고 조작에 가까운 검사 측 변론에 즉각 제대로 항변하지 못하게 된 것이다.

포렌식 현장에 입회해서 선별압수 과정을 참관하면 당연히 분석관과 수사관 등이 파일들을 탐색 선별하는 과정을 함께 볼 수 있게 된다. 그래서 수사기관이 파일들을 뒤지는 시점에서부터 수사관이 열어보는 각 파일의 내용이 뭔지 즉시 알 수 있다. 또 그게 혐의 사실과 무관하다면 증거로 삼는 데에 항의할 수도 있다. 이런 게 제대로 된 포렌식 참관이다.

불성실한 변호인 참관, 문제를 더 키우기도

특히 압수 현장의 참관과 포렌식 과정에 대한 참관의 인식 차이가 매우 크다는 것이 문제다. 일반 국민들의 인식은 물론이고 변호사들조차 포렌식 참관을 압수 현장 참관만큼 심각하게 받아들이지 않는다.

특히 변호사들의 입장에서는 통상 낮 시간 사이에 모두 종료되는 압수 현장에 대한 참관과 달리, 포렌식 과정에 대한 참관은 현장 압수에 이어 추가로 적어도 몇시간, 길면 며칠까지 소요되기 때문에 검사나 수사관, 분석관 등 수사기관 관계자들과의 끈기 싸움, 버티기 싸움 양상으로 흐르는 경우가 대부분이다.

그래서 참관의 심각한 의미를 제대로 알지 못하는 일반인 피압수자들은 초반에 참관을 포기하는 경우가 많고, 경험 있는 변호사들조차 잠깐씩 들여다보고 포렌식 현장을 떠나는 경우도 적지 않다. 이래서는 사실상 포렌식 참관의 의미가 없어진다.

강사휴게실PC보다 먼저 2019년 9월 3일에 임의제출로 압수된 연구실PC의 경우, 당시 정 교수의 변호인이던 이인걸 변호사의 후임인 황 모 변호사가 포렌식을 참관했다. 그런데 포렌식 참관을 다녀온 후 황 변호사는 이인걸 변호사에게 ‘총장님 직인 파일이 나왔다’라고 전했고, 그대로 정 교수에게도 전달됐다. ☞ SBS 오보 이틀 전 "총장 직인 파일"…신내림 받은 검찰?

그런데, 실제로 연구실PC에서 발견된 것은 ‘총장님 직인’ 파일이 아니었다. 발견된 것은 정 교수 아들의 상장 전체 이미지 파일이었고, 파일 이름도 ‘총장’이나 ‘직인’과 아무 상관이 없는 ‘원이 상장.jpeg’이었다.

이렇게 ‘총장님 직인’이 나왔다는 황 변호사의 전언은 사실과 전혀 달랐던 것이다. 황 변호사가 고의로 의뢰인에게 거짓말을 했을 거라고 의심할 이유는 없으니, 상식적으로 황 변호사가 자리를 비운 사이 검찰 관계자들이 ‘총장님 직인’이 나왔다며 그를 속였다고 볼 수밖에 없다.

심지어 이 ‘총장님 직인’이라는 워딩은 신기하게도 며칠 후 강사휴게실PC에서 발견된 띄어쓰기까지 정확히 동일한 이름의 두 개 파일과 일치했다.

요컨대, 연구실PC에 대한 포렌식 현장에서 검찰 관계자들이 황 변호사를 속여 발견됐다고 했던 ‘총장님 직인’은 그야말로 예언이었던 것이다. 며칠 후 발견될 강사휴게실PC에서 나올 파일들의 이름을, 검찰 관계자들은 연구실PC를 포렌식하는 현장에서 미리 알고 있었다.

즉 황 변호사가 포렌식 참관 자리를 비운 사이 검찰은 ‘총장님 직인 나왔다’라고 거짓말을 했고, 황 변호사는 그게 사실인지 확인도 하지 않고 속아넘어갔다는 얘기다. 이로 인해 정 교수 측은 향후 ‘헛발질’을 피할 수 없게 됐고, 검찰은 이를 또다시 언론플레이와 재판에서의 몰이에 악용했다.

다음 회에서는 검찰이 김 조교의 참관을 차단해놓고는 이후 어떤 무도한 일들을 벌였는지 살펴볼 것이다.