디지털 성범죄는 스마트폰 메신저, 촬영 영상, SNS 기록 등 디지털 증거에 크게 의존하는 범죄 유형입니다.
따라서 이러한 사건에서는 압수수색 영장의 발부부터 디지털 포렌식 진행, 그리고 변호인의 참관과 조력까지 일련의 절차가 중요합니다.
본문에서는 관련 법령과 판례, 대검찰청 지침을 바탕으로 압수수색과 포렌식 절차 전반을 정리하고, 변호사가 어떤 역할로 피의자의 권리를 보호하고 절차의 적법성을 담보할 수 있는지를 살펴보겠습니다.
1. 압수수색영장의 발부 기준 및 절차
ㅇ 헌법과 법률의 원칙: 디지털 기기를 수색하거나 데이터를 압수하려면 원칙적으로 법관이 발부한 압수·수색영장이 필요합니다(헌법 제12조 제3항).
영장은 범죄 혐의 사실과 관련된 증거만을 대상으로 한정하여 발부될 수 있는데, 형사소송법 제106조 제1항에서도 “피고사건과 관계 있다고 인정할 수 있는 것에 한정하여” 압수를 허용하고 있습니다.
다시 말해 영장에 적시된 범죄와 연관성이 있는 자료만 압수하도록 요건이 제한됩니다.
ㅇ 영장의 기재 사항: 압수수색영장에는 압수 대상이 될 물건이나 전자정보가 구체적으로 특정되어야 합니다.
특히 디지털 증거의 경우 범죄 혐의와 관련된 정보의 범위를 명시하도록 요구됩니다.
예를 들어, 영장에 단순히 “전자정보 저장매체”라고만 적혀 있고 구체적 파일이나 데이터 범위가 언급되지 않았다면, 그 범위 해석이 문제가 될 수 있습니다.
실제로 2024년 판례에서는 영장에 휴대전화 내 전자정보가 압수 대상으로 명시되지 않은 경우, 해당 영장만으로는 휴대전화 자체를 압수할 수 없다고 판단하기도 했습니다.
휴대전화는 통신매체의 성격이 강하므로 별도 영장 없이 함부로 압수할 수 없다는 취지입니다.
이처럼 영장 발부 단계에서부터 압수 대상과 범위를 분명히 특정해야 이후의 포렌식 절차가 적법하게 진행될 수 있습니다.
ㅇ 발부 절차: 수사기관은 범죄 혐의를 소명하는 자료를 갖추어 영장을 신청하고, 법원은 범죄사실, 증거자료, 필요성 및 상당성을 심사하여 발부 여부를 결정합니다.
디지털 성범죄의 경우 피해 영상물의 존재, 유포 정황 등에 대한 소명자료가 제출되어야 하며, 법관은 피의자의 프라이버시 침해와 수사의 필요성을 저울질하여 결정합니다.
일반적으로 압수수색영장의 유효기간은 7일 이내로 제한되어 있어(형사소송법 제200조의4 등 참조), 그 기간 내에 집행이 이루어져야 합니다.
발부된 영장에는 압수 장소, 대상 물건(전자기기 또는 파일), 혐의 사실, 영장 유효기간 등이 기재되며, 집행 시 현장에서 영장 사본이 제시되고 교부됩니다.
2. 압수 대상의 범위와 종류
ㅇ 디지털 성범죄에서 흔히 압수되는 대상: 가장 대표적으로 피의자의 휴대전화가 압수 대상이 됩니다.
현대인의 스마트폰에는 사진, 영상, 메신저 대화 등 일상의 모든 디지털 기록이 담겨 있어 범죄 증거가 될 소지가 큽니다.
수사기관은 영장에 따라 휴대전화 기기 자체를 봉인하여 가져간 뒤 그 안의 데이터를 추출·분석하는 절차를 밟는 것이 일반적입니다.
이 외에도 노트북, 태블릿 PC, 외장하드, USB 메모리, SD카드 등 피의자가 사용했을 것으로 보이는 모든 전자 저장매체가 압수 대상에 포함될 수 있습니다.
ㅇ 온라인 계정과 클라우드 저장소: 디지털 성범죄에서는 영상이나 사진을 클라우드에 백업하거나 온라인으로 공유하는 사례가 많으므로, 클라우드 저장소 계정(예: 구글 드라이브, 아이클라우드)이나 이메일, SNS 계정도 수사대상이 됩니다.
원칙적으로는 이러한 원격 서버의 데이터도 영장에 포함되어야 압수할 수 있습니다.
예컨대 피의자의 구글 계정에 저장된 영상이 있다면, 해당 정보를 제공받기 위한 영장이 별도로 필요합니다.
다만 현실적으로는 피의자의 휴대전화나 PC에 로그인 정보가 저장된 경우 이를 통해 클라우드 데이터를 확보하거나, 서비스 제공자에게 영장을 제시하여 자료를 제출받기도 합니다.
또한 메신저 대화 기록(카카오톡, 텔레그램 등)도 서버 보관분을 제출받거나, 휴대전화 포렌식을 통해 채팅 DB를 추출하는 방식으로 증거화합니다.
ㅇ 압수 가능한 기타 정보: 압수수색은 유형의 저장매체뿐 아니라 해당 기기에 연결된 각종 계정 정보, 앱 데이터, 로그 기록까지 포괄합니다.
예를 들어 피의자의 SNS 프로필이나 IP접속기록도 영장에 기재되면 압수할 수 있고, 인터넷 검색 기록, 위치정보 데이터 등도 범죄와 관련이 인정된다면 대상이 됩니다.
다만 이런 디지털 정보들은 피의자의 사생활과 밀접하므로, 법원은 해당 범죄사실과의 관련성을 엄격히 따져 압수 범위를 한정하고 있습니다.
즉 사건과 무관한 개인정보까지 모두 뒤지는 fishing expedition은 허용되지 않는다는 원칙이 견지되고 있습니다.
3. 선별 압수의 절차 및 방법
ㅇ 현장에서의 선별 압수 원칙: 형사소송법은 디지털 증거를 다룰 때 “원칙적 선별압수, 예외적 매체압수” 원리를 명문화하고 있습니다.
제106조 제3항 본문에 따르면, 압수 대상이 컴퓨터 디스크 등 정보저장매체인 경우 현장에서 범죄사실과 관련된 정보만을 선별하여 출력하거나 복제하여 압수해야 합니다.
즉 수사기관은 현장에서 전자기기를 뒤져 혐의와 직접 관련된 파일만 골라내 그 부분만 복사하거나 인쇄해 가져가는 것이 원칙입니다.
예를 들어 불법 촬영물 공유 혐의라면, 휴대전화에서 불법 촬영 사진·영상 파일들만 추출하여 압수해야 하는 것입니다.
ㅇ 예외적 매체 압수: 그러나 현실적으로 현장에서 필요한 정보를 모두 가려내기 어려운 경우가 많습니다.
용량이 방대하거나 암호 잠금 등으로 현장 선별이 현저히 곤란한 때에는 예외적으로 저장매체 자체를 통째로 봉인하여 가져오거나, 저장된 전자정보 전부를 임시로 복제하여 반출할 수 있습니다.
이런 경우라도 수사기관은 이후 반드시 선별 작업을 거쳐 관련 정보만을 증거로 취해야 합니다.
즉 현장에서는 일단 통째로 가져왔더라도, 사후에 별도 장소에서 유관 정보만 선별 압수하는 절차가 필요합니다.
디지털 증거 이미지 복제: 수사기관은 종종 현장에서 저장매체의 이미지(copy)를 뜨는 방식으로 증거를 확보합니다.
전문 장비를 활용해 저장매체를 비트(bit) 단위로 그대로 복제함으로써, 원본을 그대로 보관한 채 분석용 사본을 얻는 것입니다.
예컨대 현장에서 노트북을 압수하지 않고 하드디스크 이미지 파일을 생성하여 가져오는 방법도 있는데, 이는 피압수자의 업무 지속 등 편의를 고려한 조치입니다.
이미지 파일을 만들 경우 원본 데이터의 무결성을 입증하기 위해 해시(Hash) 값 검증을 거칩니다.
수사기관은 압수 과정에서 원본과 복제본의 해시값을 대조하여 동일함을 확인하고, 이후 복제본을 대상으로만 분석을 진행합니다.
이러한 절차는 원본 증거의 훼손을 방지하고 언제든지 동일 조건으로 재현할 수 있게 하기 위함입니다.
ㅇ 참여형 분석실 절차: 현장에서 통째로 압수한 전자기기의 내용을 사후에 분석할 때는, 피압수자 측에 참여 기회를 보장해야 합니다.
대검찰청은 2020년대 이후 각 지방청에 ‘참여형 디지털증거 분석실’을 마련하여, 피의자나 변호인이 원하면 포렌식 선별 작업에 참관할 수 있도록 제도화했습니다.
실제로 형사소송법은 영장 집행 시 피의자나 변호인에게 미리 일시와 장소를 통지하여 참여하게 해야 한다고 규정하고 있고, 이 원칙이 전자정보의 선별 압수 과정에도 준용됩니다.
수사기관은 기기 봉인 시 피압수자에게 “추후 전자정보 압수 과정에 참관하겠는지”를 확인하고 신청을 받습니다.
신청이 있으면 포렌식 작업 일시와 장소를 통지하여 참석을 보장해야 하며, 부득이 불참하거나 거부 의사를 명시한 경우를 제외하면 가급적 참여 기회를 주어야 합니다.
만약 피압수자가 연락 두절이거나 반복적으로 지연시키는 등 사유가 있는 경우에는 형소법 제123조에 따라 제3자 입회인을 참여시켜 공정성을 담보한 상태에서 선별 작업을 진행하기도 합니다.
ㅇ 선별 압수 과정의 진행: 참여형 분석실에서 수사관들은 포렌식 전용 컴퓨터와 소프트웨어를 사용하여 압수된 저장매체(또는 그 이미지 복제본)를 탐색합니다.
영장에 적시된 범죄사실과 관련 있는 키워드 검색, 특정 날짜 범위 설정, 파일 유형 필터링 등의 방법으로 필요한 데이터를 추출하게 됩니다.
예를 들어 불법영상물 범죄라면 수사관은 기기 내 사진·동영상 파일 중 피해자 관련 영상만 확인·복제하고, 관련없는 개인 사진이나 영상은 열람하지 않도록 최대한 통제합니다.
변호인이나 피압수자는 모니터 화면을 함께 보면서 수사관의 검색 과정에 참관할 수 있으며, 영장 범위를 벗어나는 자료를 열람하거나 복제하려는 경우 즉시 이의를 제기할 수 있습니다.
이렇게 선별 과정을 마치면 관련 전자정보 목록이 작성되고, 해당 데이터(예: 특정 영상 파일들)를 출력물 또는 저장매체에 복사하여 증거로 확보합니다.
ㅇ 무관한 정보의 처리: 선별 압수 후 범죄와 무관한 정보는 압수하지 않고 남겨두거나 지체 없이 폐기해야 합니다.
수사기관은 전자정보 선별이 완료되면 피압수자에게 압수한 전자정보의 상세목록을 교부하는데, 여기에 포함되지 않은 기타 정보들은 모두 삭제·폐기하거나 원소유자에게 반환하도록 되어 있습니다.
그리고 이러한 조치를 했음을 증빙하기 위해 “정보저장매체 등 반환 확인서” 또는 “전자정보 삭제·폐기 확인서”를 작성하여 피압수자에게 교부합니다.
이는 선별 압수 원칙에 따른 당연한 절차로, 만일 수사기관이 무관한 데이터를 별도로 보관하고 있다면 그 자체로 위법 소지가 큽니다.
실제 대법원은 “수사기관이 관련 정보만 선별 압수한 후에도 무관한 정보를 삭제·폐기·반환하지 않고 그대로 보관하고 있었다면 이는 위법한 압수”라고 판시하면서, 사후에 영장을 추가로 받거나 피고인이 증거로 동의하더라도 그 위법성이 치유되지 않는다고 결정하였습니다.
요컨대 압수 범위를 벗어난 정보는 어떠한 경우에도 계속 보관하거나 들여다봐서는 안 되며, 반드시 삭제하거나 돌려줘야 함을 법적으로도 강조하고 있는 것입니다.
4. 디지털 포렌식의 세부 절차 (복제, 분석, 복구 등)
ㅇ 증거 이미징(Imaging): 포렌식의 첫 단계는 증거 저장매체의 복제본을 확보하는 것입니다.
현장에서 압수된 휴대전화나 하드디스크 등은 바로 원본을 분석하지 않고, 먼저 포렌식 이미지 파일로 만드는 것이 원칙입니다.
디스크 이미징이란 원본 데이터와 똑같은 내용을 가진 디지털 사본을 생성하는 기법으로, 전용 장비나 소프트웨어를 통해 원본의 비트 단위 데이터를 추출합니다.
이때 Write Blocker(쓰기방지장치) 등을 사용하여 복제 과정에서 원본이 변경되지 않도록 보호하고, 복제 후 원본과 이미지의 해시값을 대조하여 일치하면 무결성(Integrity)이 유지되었음을 입증합니다.
예를 들어 휴대전화의 경우 칩을 덤프 떠서 이미지 파일을 만들고, 컴퓨터 하드디스크는 디스크-to-디스크 복제나 디스크-to-파일 이미징을 선택할 수 있습니다.
이러한 과정 덕분에 원본 증거는 그대로 보존한 채, 복제본을 마음껏 분석할 수 있게 됩니다.
ㅇ 포렌식 분석(Analysis): 포렌식 수사관들은 확보된 이미지나 복제본을 전문 소프트웨어로 분석합니다.
모바일 포렌식 도구나 PC 포렌식 프로그램(EnCase, FTK 등)을 통해 파일 시스템을 탐색하고, 데이터베이스 추출, 계정 정보 추출, 로그 기록 분석 등을 수행합니다.
예컨대 휴대전화에서는 카카오톡, 텔레그램 등의 채팅 DB와 미디어 캐시 파일을 추출하고, PC라면 크롬 등 웹브라우저의 캐시/쿠키, 이메일 저장 파일 등을 뒤집습니다.
포렌식 분석 단계에서 주로 하는 작업은 삭제된 파일 복구, 파일 메타데이터(metadata) 분석, 타임라인 재구성 등입니다.
ㅇ 삭제 파일 복구: 피의자가 지운 사진이나 영상을 복원 소프트웨어로 복구해내는 것입니다.
파일이 삭제되더라도 흔적(메타데이터나 데이터 조각)이 남아 있으면 포렌식 기법으로 복원할 수 있습니다.
특히 윈도우 파일시스템의 경우 삭제 시 파일 목록에서는 사라져도 데이터 영역이 남아 있기 때문에, 디스크 카빙(Carving) 기법으로 이미지, 동영상 파일을 찾아냅니다.
휴대폰의 경우도 채팅 앱의 삭제된 대화나 지운 사진을 복원하는 사례가 많습니다.
단, 저장 공간이 덮어써지거나 암호화된 경우 복구가 어려울 수 있습니다.
ㅇ 파일 및 메시지 분석: 복구든 기존 파일이든, 각 파일의 메타데이터(이름, 생성일시, 수정일시, 크기, 경로 등)를 분석하여 타임라인을 작성합니다.
예를 들어 불법촬영물이 최초 촬영된 시각, 편집 또는 전송된 시각을 밝혀내 범행 일시를 특정하고 공범과의 관계를 입증합니다.
또한 메신저 대화내용을 추출하면 대화 상대, 대화 시각별 정렬표 등을 만들어 사건의 경위를 파악합니다.
포렌식 결과물로는 이런 타임라인 표, 대화 로그 전문, 파일 목록 등이 산출됩니다.
ㅇ 은닉 흔적 탐지: 범죄자들이 흔적을 지우려고 사용할 수 있는 은닉·삭제 프로그램의 사용 여부도 조사합니다.
예컨대 파일 삭제 프로그램이나 앱(App) 숨김 기능이 쓰였는지 로그를 찾아보거나, PC의 레지스트리, 최근 사용 목록 등을 훑어 의심 정황을 찾습니다.
또한 영상·사진 파일의 EXIF 정보를 분석해 촬영 기기나 위치정보를 얻고, 파일 해시를 다른 사건 증거와 대조하여 동일 영상의 유포 여부 등을 확인하기도 합니다.
ㅇ 범위와 한계: 디지털 포렌식은 막대한 데이터를 신속히 분석할 수 있지만, 몇 가지 한계도 존재합니다.
암호화된 기기의 경우 가장 큰 장벽인데, 현대 스마트폰(특히 아이폰 등)은 보안이 매우 강력하여 비밀번호나 암호를 모르면 포렌식 접근이 사실상 불가능한 경우도 있습니다.
예컨대 최신 iOS 기기는 수사기관이 고가의 셀레브라이트(Cellebrite) 장비를 동원해야만 일부 풀 수 있다는 말이 있을 정도로 뚫기 어렵습니다.
또한 클라우드나 원격 서버에만 존재하는 데이터는 기기 포렌식만으로 확보되지 않을 수 있어, 별도로 업체에 자료 제출을 받아야 하는 어려움이 있습니다.
그리고 일부 자폭형 메신저(예: 시크릿챗)처럼 아예 기록이 남지 않는 통신은 포렌식으로도 복구할 수 없습니다.
마지막으로, 개인정보 보호 이슈로 인해 수사기관이 확보한 데이터라 하더라도 활용에 제약이 있을 수 있습니다.
이러한 한계에도 불구하고, 디지털 포렌식 기술은 날로 발전하여 침수된 휴대폰에서 카카오톡 복원을 해내는 등 과거 불가능했던 증거도 찾아내고 있습니다.
포렌식 과정은 반드시 과학적 기법에 따라 논리적·체계적으로 수행되어야 하며, 절차의 위법성이 발견되면 얻어진 증거도 법정에서 활용할 수 없게 됩니다.
(자세한 내용은 다음 포스팅: 변호사 역할 및 증거배제 부분 참고)
로톡의 모든 콘텐츠는 저작권법의 보호를 받습니다.
콘텐츠 내용에 대한 무단 복제 및 전재를 금지하며, 위반 시 민형사상 책임을 질 수 있습니다.