검찰은 지난 달 29일 투기자본감시센터의 '미르·K스포츠재단 의혹' 관련 최순실·안종범 청와대 정책조정수석 등 고발을 시작으로 최순실씨와 미르재단·K스포츠재단, 관계자 자택 등 압수수색, 관계자 소환 조사, 청와대 연루 관계자 자택 및 사무실 압수수색, 청와대 압수수색에서 서류 7상자를 제출 받는 등 증거 확보에 열을 올리고 있다.
사건의 연결고리를 확보하기 위해서는 주거지와 청와대, 관련 사무실 등의 자료를 압수수색하는 것도 의미가 있지만 이들이 서로 주고받는 휴대폰, PC, 이메일 등 보다 핵심적인 증거들이 필요하다.
여기에 기름을 부은 것이 JTBC가 입수한 태블릿PC다. 최순실씨가 사용한 것으로 검찰이 확인한 이 태블릿에는 200여건의 문건과 주고받은 데이터 경로들이 착실히 쌓여 있다. 세부적인 정보들은 검찰청 디지털 포렌식 센터를 통해 상당부분 복구된 것으로 알려졌다. 이후 대통령은 최순실씨와의 관계를 일부 인정하는 대국민사과와 함께 검찰은 지지부진했던 수사를 확대하기에 이른다.
하지만 청와대는 이른바 '문고리 3인방' 등 핵심정보가 있는 청와대 업무실에 대한 검찰의 압수수색 진입을 막았고, 검찰은 이틀만에 관련 서류 7상자만을 받은 채 돌아섰다.
현재 검찰의 수사는 크게 △고발자와 관련자 소환 조사 △태블릿PC 분석 △압수수색 자료 분석 △첩보 수집 등으로 나뉜다. 이중 결정적인 증거는 청와대의 업무용 PC와 인트라넷 '위민' 시스템에 저장되어 있다. 그리고 연루된 인물들이 사용한 휴대폰과 이메일 등이 있다.
청와대의 '위민 시스템'은 고(故) 노무현 대통령 당시 청와대 국정 자료를 지난 정부가 대부분 가져가거나 폐기하면서 제대로 남아있는 것이 없다는 내부 지적과 디지털 정부를 지향하던 참여정부의 기조에 따라 새롭게 개발한 청와대 디지털 업무 시스템 '이지원(e知園)'을 이명박 정부가 리뉴얼해 만든 2기 시스템이다.
알려진 바에 따르면, 청와대 내부에서 공식적으로 사용하는 모든 업무보고나 업무처리 상황 등을 한 눈에 볼 수 있고, 사용자 정보 접근 레벨에 따라 볼 수 있는 내용이 차등화 되어있다. 내부 인트라넷이어서 외부에서 접근할 수 없고, 접근자 정보는 물론 작성과 수정, 삭제, 출력 등 모든 부분에서 파악할 수 있는 특징이 있다. 검찰도 청와대 압수수색을 통해 이 위민 시스템과 업무용 PC에 접근해 관련 자료를 확보하는 것이 핵심 목표였지만 청와대가 거부해 제대로 접근할 수 없었다.
하지만 위민 시스템은 입력과 출력, 열람, 감시라는 기본적인 과정을 거치기 때문에 위민 시스템에 정보를 입력하는 행위 전까지는 등록되지 않을 가능성이 크다. 이 때문에 청와대에서 사용하는 업무용·개인용 PC나 노트북, 태블릿 등에 방대한 양의 공식·비공식 자료들이 남아 있을 가능성이 크다.
검찰은 청와대에 있는 이들 컴퓨터 하드디스크를 복제하는데 사실상 실패했다. 디지털 증거를 분석하는 '디지털 포렌식' 수사는 불가능한 상황이다. 시간도 상당히 지연됐기 때문에 청와대가 이들 업무용 PC나 노트북, 태블릿 등을 폐기했다면 증거가 인멸될 가능성은 매우 높아진다. 충분히 가능한 시간이 흐른 것도 사실이다.
한 보안기술 전문가는 "청와대 내부에서 어떤 방식으로 디지털 기기를 운용하는지는 잘 알려지지 않지만, 기본적으로 일반적인 업무방식은 비슷할 것으로 보인다"며 "보안 시스템을 거치겠지만 청와대에서 인터넷이나 와이파이, 휴대폰 통신도 될 것이고, 조달청을 통해 구입한 업무용 디지털 기기 시스템들은 출처가 확인이 가능할 것"이라고 말했다.
위민 시스템은 폐기나 수정 등이 사실상 불가능한 것으로 알려졌지만 보안상 정확히 어떤 시스템으로 운영되는지 알려져 있지 않아 실제 들여다보지 않는 이상 파악하기는 쉽지 않아보인다.
또한 과거 '청와대 몰카 시계' 사건처럼 조달청을 통하지 않고 구입한 장비들이 상당하다는 점에서 정확한 출처나 사용처를 파악하기 어려울 수도 있다. 검찰의 압수수색 영장에는 압수물품이 지정되어 있기 때문이다.
또 다른 보안기술 관계자는 "청와대에서 직접 정보를 찾을 수는 없지만, 외부에서 관련된 사람들의 통신자료, 디지털 접속 경로 등은 사라질 수 없는 증거여서 의지만 있다면 기술적으로 입증이 가능할 것"이라고 말했다.
최순실씨가 사용한 것으로 알려진 태블릿PC는 와이파이, 블루투스 접속 경로, 위치정보인 GPS 등을 통해 다양한 디지털 정보를 파악할 수 있다. 스마트폰도 마찬가지다. 통신내역이나 스마트폰 조사는 이미 디지털 포렌식으로 대부분의 디지털 정보를 파악할 수 있는 기초적인 단계라는 것이 전문가들의 의견이다.
이미 다양한 사람들의 손을 거쳤을 것으로 보이지만 태블릿PC에서 최순실씨 등 관련자들의 지문이 나올 가능성도 있다. 검찰은 이미 태블릿PC 소유자로 최순실씨 가능성이 높다고 밝힌 바 있다.
검찰은 지능범죄 수사 전문인력을 확보하고 있다. 대검찰청에 국가디지털포렌식센터를, 서울중앙지검에 첨단범죄수사부를 두고 있다. 다양한 수사 경험을 가진 베테랑이라는 점에서 증거 분석 능력은 상당한 수준으로 알려져 있다.
핵심은 수사당국이 이러한 디지털 기기 증거를 확보할 수 있느냐에 달려있다. 통신자료는 이미 검찰이 확보해 관련자들의 연결고리를 파악하는데 사용되고 있는 것으로 알려졌다. 지난 20일 법원을 통해 최순실씨 등 미르·K스포츠재단 관계자 통화내역 조회·확인하는 영장을 발부 받아 분석을 어느정도 끝냈을 것으로 보고 있다.
문제는 스마트폰과 달리 디지털 정보가 없는 '2G 피처폰', '대포폰', '선불폰' 등의 사용이다.
보안기술 전문가는 "지금 대부분 사용하는 스마트폰은 이미 오랜시간 보안 문제를 겪어와서 범죄와 같은 비정상적인 활동에는 디지털 증거가 남는 스마트폰을 거의 사용하지 않는다"면서 "스마트폰을 사용하더라도 전혀 관련 없는 명의의 '대포폰'을 사용하는 경우가 대부분"이라고 말했다.
악성코드로부터 외부 해킹이나 자료 유출을 방지 하기 위해 국정원이 발주해 정부 업무용 스마트폰에 설치한 보안프로그램은 역설적으로 국정원에 상당한 정보가 수집된다는 점에서 오히려 비위에 사용되는 휴대폰은 사설 대포폰을 사용할 가능성이 높다.
국내의 경우 이동통신사를 통해 이용하는 다른 사람 명의의 대포폰을 쉽게 구할 수 있다. 반드시 실명이어야 하지만 신분증과 은행계좌만 있다면 개설이 쉽고 다른 사람이 사용해도 확인할 방법이 없다.
해외에서는 선불폰을 사용할 수 있다. 범죄자들이 1회용처럼 사용한 뒤 태워버려 증거를 인멸한다고 해 '버너폰(burner phone)'이라고도 불리는 이 휴대폰은 선불로 구매한 유심칩을 이용해 저렴한 선불폰을 구입거나 임대해 사용한다. 추가로 사용하지 않는다면 일정기간 사용한 뒤 버리거나 폐기, 반납이 쉬운 편이다.
이때문에 범죄나 테러에 자주 사용되면서 해외 수사기관에서는 이를 추적하는데 애를 먹기도 한다. 최근에는 미국 국가안전보장국(NSA) 등의 정보기구에서 범죄 특정자를 찾기 위해 선불폰과 같은 일회용 휴대폰만을 추적하는 기술을 사용하는 것으로 알려졌다.
미국중앙정보국(CIA)와 NSA에서 일했던 미국의 컴퓨터 기술자 에드워드 스노든의 폭로에 따르면, NSA가 운용중인 일부 감시 프로그램은 일회용 전화만을 타깃으로 해당 휴대폰을 켜거나 끌 경우 주변에 있는 다른 전화기에서 이를 인식해 해당 일회용 전화기를 추적하는 방식이다. 이는 NSA가 불특정 다수의 모든 전화 사용자의 메타정보를 수집하기 때문에 가능한데, 스노든의 폭로로 불법 감시라는 지적을 받았다.
애플 아이폰의 경우 FBI가 미국 캘리포니아주 샌버나디노 장애인 복지시설 총기 난사 사건으로 확보한 피의자의 아이폰5C에 들어가기 위해 애플에 백도어를 요구하며 법정 공방을 벌인 사례는 유명하다. 아이폰에 설정된 6자리 비밀번호를 풀지 못했기 때문이다.
백도어 제공을 거부한 FBI가 결국엔 이스라엘의 정보기술 기업이 만든 프로그램을 통해 해킹에 성공했다는 보도가 나왔지만 이는 아직 국내에서는 확보하지 못한 기술로 알려졌다. 해당 관련자들이 사용하고 있는 휴대폰도 아직 제대로 압수하지 못해 디지털 증거는 오직 통신 네트워크를 통해 오간 정보를 찾아내야 하는 어려움에 쳐해 있다.
해당 휴대폰을 직접 확보하는 것이 매우 중요하지만, 노출된 대포폰 번호로 통신내역 추적이 가능해 언제, 어디서, 어떤 내용을 주고 받았는지 어느정도 단서는 찾을 수 있다.
◇ 막지 못하는 증거인멸 시도…'골든타임' 놓쳤다
당장 최순실 관련자들이 당장 대포폰을 사용한 정황이 드러나고 있다. 비선실세 최순실 씨 논란으로 교체된 안종범 전 청와대 정책조정수석이 증거 인멸을 시도한 정황도 포착된 것이다. 한겨레 보도에 따르면, 정현식 전 K스포츠재단 사무총장은 안 전 수석이 자신을 회유하려는 문자를 대포폰으로 보냈다고 주장했다.
안 전 수석이 정 전 사무총장의 아내에게 보낸 메시지에는 "사모님. 저는 경찰도 검찰 쪽도 기자도 아닙니다. 제가 정 총장님 도와드릴 수 있으니 꼭 연락 부탁드립니다"라는 내용이었다.
해당 발신번호의 끝자리는 '3482'였으며, 안 수석이 미리 '안전한 번호'라고 알려준 번호였다.
이에 앞서 24일 오후 K스포츠 경영지원본부장 장모 대리도 정 전 사무총장 부인한테 "안녕하세요 사모님. 총장님께 안 수석이 꼭 드려야 할 말씀이 있다고 하셔서요. 메모 전달 드립니다. 010-○○○○-3482로 연락 원하셨습니다. 안전한 번호라고도 하셨습니다"라는 내용의 문자를 보내기도 했다.
장 대리의 문자에도 불구하고 통화가 되지 않자, 안 수석이 26일 직접 문자를 보내 전화를 한 것이다. 이날은 정 전 사무총장이 검찰에 출석하기 하루 전이다.
검찰 관계자는 이날 "K스포츠재단 사무실에 압수수색을 나가 보니 재단의 모든 컴퓨터가 싹 다 바뀌어 있어 증거가 될 만한 게 거의 남아 있지 않았다"고 말했다. 최순실 씨 소유의 더블루케이에서는 회사에서 쓰던 메일 계정도 폐쇄됐다.
컴퓨터 증거를 확보하기 위해 디지털 포렌식에 사용되는 하드복제 장비, 암호로 저장된 PC 등을 해제하는 장비 등이 있지만 컴퓨터가 싹 바뀌었다면 이야기는 달라진다.
검찰의 수사가 지지부진한 사이 최순실과 관련되어 노출된 회사나 자택 등지에서는 증거인멸이 광범위하게 이루어지고 있었던 것으로 보여 추후 검찰이나 정치권에서 논의 중인 특검을 통한 입증도 어려워질 것으로 보인다.
현재 가능한 디지털 증거 확보는 통신자료와 이메일 정도가 유일할 것으로 보여진다. 이메일은 이메일 계정이 사용된 서버를 찾아내면 어느 정도 가능하다. 서버가 삭제됐다 하더라도 폐기하지 않는 이상 어느정도 복구가 가능하다.
보안기술 전문가는 "기업용 이메일 서버는 보안에 따라 개별적으로 구축하는 경우도 있는데, 정기적으로 서버를 업그레이드 해줘야 하고 관리비용도 많이 들어 물리적 서버나 클라우드 서버를 임대해 사용하는 경우가 많다"며 "이들 서버를 확보해 증거를 확보할 필요가 있어 보인다"고 말했다.
그는 "검찰이 관련자들의 이메일이나 서버를 먼저 확보했는지는 모르겠지만 시간이 많이 흘러 디지털 증거들이 상당수 사라졌을 가능성이 있다"고 덧붙였다.
검찰은 현재 내부 폭로자들이 제공한 자료나 구술, JTBC가 제공한 태블릿PC, 정윤회 문건 수사 자료, 청와대가 제공한 7상자 분량 문건자료, 미르재단·K스포츠재단 압수자료, 일부 관련자 자택 압수수색 자료 등을 확보해 퍼즐처럼 조각을 맞춰야 하는 상황이다.
한 검찰출신 변호사는 "통상 대형사건의 수사는 매우 광범위하게 이루어지고 퍼즐처럼 조각을 맞춰가는 과정인데, 그 조각이 부족하면 혐의를 입증할 방법이 없게 된다"면서 "이때문에 고발자나 국민들이 생각하는 수준으로 처벌되지 않는 경우가 나오는 것"이라고 말했다.
그는 "과학수사는 불명확한 증거를 명확하게 만들어주지만, 소스(디지털 자료)가 없으면 과학수사든, 디지털 포렌식이든 큰 의미가 없다"고 덧붙였다.
당장 '네티즌 수사대'가 온라인에 노출된 자료들을 토대로 다양한 분석을 내놓는 등 일부에서는 검찰과 네티즌 수사대간 '수사력 검증 대결'이 펼쳐졌다는 우스갯 소리가 나오고 있다.
특히 검찰의 수사 의지에 따라서 언제든 결과가 뒤바뀔 수 있다는 점 때문에 국민들의 등따거운 시선이 이번 '최순실 국정농단 사태 수사'에 쏠려 있다. 우병우 민정수석 후임에 당시 논란을 빚었던 이명박 대선후보 BBK 실소유주 의혹과 세월호 참사 유병언 일가 수사를 지휘했던 최재경 전 인천지검장이 임명되자 야당은 즉각 반발하고 나섰다. 과거 이력을 보면 수사에 충분히 영향을 줄 수 있다는 것이 이유다.