1. 들어가며
디지털 포렌식이라는 이야기를 많이 들어보셨을 겁니다.
포렌식은 원래 법의학 분야에서 주로 사용되던 용어입니다.
신체나 생명을 해치는 범죄와 관련하여 범죄 현장을 재구성하기 위해 감식을 진행하는데 이와 같은 절차를 통틀어 포렌식이라고 합니다
이제는 구글에 포렌식을 검색하면 원래 어원보다는 디지털 포렌식이 더 많이 나올 정도로 대부분의 범죄가 사이버상에서 많이 이뤄지는 것을 알 수 있습니다.
많은 분들이 궁금해합니다.
텔레그램으로 비밀 대화방을 만들어서 대화한 내용은 포렌식에서 안나오는 것 아닌가요?
텔레그램 방을 폭파해버리면 포렌식에서 안걸리지 않나요?
텔레그램에서 주고 받은 메시지를 모두 삭제했습니다. 이건 포렌식에서 복구가 되나요?
이번 포스팅에서는 복잡한 법률 내용 보다는수사 실무 경험을 바탕으로 수사기관의 텔레그램에 대한 증거 수집 절차 및 방법과 어디까지 수사기관에서 확보가 가능한지에 대해 설명드리고자 합니다.
2. 수사기관에서 텔레그램 증거 수집을 하는 방법
대부분의 텔레그램은 스마트폰에서 어플리케이션을 설치하여 구동됩니다.
물론 PC에서도 텔레그램을 설치하는 경우가 있겠습니다만 이는 모바일과 연동되어 있으므로 사실상 별 차이가 없다 할 것입니다.
스마트폰, 데스크톱, 노트북 모두 수사기관이 증거 확보를 위해 압수수색에 나설 경우 '텔레그램'에 한정해서 이야기 하자면 대부분 '원본 저장매체'를 압수하는 것으로 시작이 됩니다.
다른 파일과 달리 텔레그램 메시지의 경우 압수수색 현장에서 추출하기도 어려울 뿐만 아니라 현장에서 포렌식 장비를 마련해오지 않는 이상 해쉬값을 부여하여 증거로 사용할 수 있는 형태로 만들 수 없기 때문입니다.
따라서 수사기관은 여러분이 가지고 있는 노트북, PC, 스마트폰의 원본을 '통째로' 압수합니다.
이 때 수사기관은 압수가 된 물건의 소유자에게 아래와 같은 문서를 교부하면서, 향후 포렌식 과정에 참여할 지 여부를 확인하게 되는데요
전자정보에 대한 압수는 원본 압수가 원칙이 아니라 전자정보만을 따로 선별하여 압수하는 것이 원칙이나, 이것이 위의 사유로 어렵기 때문에 이처럼 향후 전자정보만을 추출하는 과정에 참여할 수 있다는 참여권을 고지하는 것입니다.
여러분이 예상하지 못한 압수수색을 당하게 되면서 위 확인서를 작성하게 되었다면, 반드시 위 서류 중앙부의 참여 의사 기재란에 '참여하겠습니다'로 체크하셔야 합니다.
여기서 참여하지 않겠다고 할 경우(수사기관의 설득에 넘어가는 경우가 많습니다) 여러분은 원본에서 그 어떤 전자정보를 추출하더라도 이의를 제기하지 않겠다는 일차적 의사를 개진한 것이 되기 때문입니다.
원본이 반출되어 압수된 전자정보매체는 경찰의 경우 "지방청 포렌식 센터", 검찰의 경우 "국가포렌식센터", 군의 경우 "군검찰 포렌식 센터"에서 원본과 똑같은 쌍둥이 파일을 복제하는 과정을 거칩니다.
이 과정을 이미징이라고 하는데요. 이미징을 거쳐서 복제된 파일을 가지고 범죄 혐의와 관련된 전자정보를 찾아내는 과정을 탐색 및 선별이라고 합니다.
이 탐색과 선별 과정에서, "텔레그램"메시지 또한 추출이 되는 것이지요
3. 텔레그램 메세지가 압수(복구)되는 경우와 압수(복구)되지 않는 경우
대표적인 유형 4가지에 대해 바로 답부터 말씀드립니다.
1.
압수수색을 예상하지 못하는 상황에서 한창 텔레그램 메신저를 열심히 사용하던 중 전혀 삭제도 되지 않은 상태로 스마트폰이 압수되었다면 이 경우 "비밀대화"에서 나눈 대화라 하더라도 "모두" 포렌식 과정에서 확인이 됩니다.
2.
자동 삭제 타이머를 설정한 대화방이 있을 경우 아직 삭제되지 않은 메시지들은 위와 같이 여전히 포렌식 과정에서 확인됩니다.
다만, 이미 삭제된 대화 내용의 경우 "비교적 최근 메시지의 경우" 복구가 되나 "상당 기간 경과한 메시지의 경우" 복구가 잘 되지 않는 경향이 있습니다.
100% 다 복구된다, 100% 다 복구되지 않는다 라고 말할 수 없는 것이지요
3.
이미 전송을 마친 메시지 또는 이미 수신한 메시지를 직접 삭제한 경우 이 역시 마찬가지로 삭제한지 시간이 꽤나 경과하였다면 복구가 되지 않는 경향이 있습니다
단, 여기서 주의해야 할 점은,
삭제된 메시지에 대해 "삭제가 된 사실"을 포렌식을 통해 확인할 수 있다는 것입니다.
수사기관은 증거를 훼손하는 행위에 대해 매우 민감한 반응을 보입니다. 자기 자신의 증거를 인멸하는 행위는 별도의 증거인멸죄가 되지는 않지만 증거를 인멸할 우려가 구속영장을 발부하여 신병을 확보해야 하는 사유가 되기 때문입니다.
그러니, 범행 전후나 압수수색을 받기 직전에 섣부르게 메시지를 삭제하는 행위는 메시지도 복구되고 삭제한 사실만 남기게 되어 오히려 불리하게 작용할 수 있습니다.
4.
텔레그램 대화방을 없애고, 모든 멤버가 나가버린 경우 이 경우에도 복구가 잘 되지 않습니다.
방을 나가기 한 경우에는 방을 없앴다는 흔적 자체가 온전히 남는 것은 아니므로 삭제하는 것 보다는 차라리 나은 방법입니다.
다만 이 경우에도 100% 복구가 되지 않는다는 것은 아닙니다.
이 역시 최근의 메세지의 경우에는 복구가 가능한 경우가 있습니다.
5.
텔레그램에 비밀번호가 걸려있더라도 이는 포렌식을 통해 쉽게 풀 수 있습니다.
따라서 어플리케이션에 비밀번호를 설정하였다고 하여 쉽사리 포렌식을 피할 수 있다고 생각하시면 절대 안됩니다.
4. 텔레그램 메시지가 문제가 될 경우 대응방안
내 사건과 관련하여 텔레그램 메세지가 핵심 증거가 된다고 한다면 반드시 사전에 대응 방안을 고민하고 대응하여야 합니다.
무턱대고 삭제만 하고 숨긴다고 능사가 아니며 그렇다고 방치하다가는 불필요한 정보까지 모두 수사기관에 압수가 되게 됩니다.
지금 이 메세지를 삭제할 경우 내가 겪을 수 있는 불이익이 뭐가 있는지?
내가 삭제하는 행위가 적법한지?
지금 해당 메세지가 수사기관에 압수될 경우 어떤 증거력을 가질 수 있는지?
영상이나 사진 자료가 별도로 복구될 수 있는지?
나는 삭제했으나 상대방이 가지고 있을 경우 어떻게 되는지?
스마트폰에서는 삭제했는데 PC에 메세지 기록이 남아 있을 경우 어떻게 되는지?
텔레그램에서 사진과 영상을 받았다가 그 자료를 지운 경우는 어떻게 되는지?..
텔레그램에 대한 질문은 무수히 많을 수 있지만,
구체적인 사례 5가지에 대해서만 우선 답변을 드렸습니다.
모든 사안을 다 답변드릴 수 없는 것은 상황마다 다르기 때문입니다.
(텔레그램 증거능력) 지금은 맞고 그때는 틀릴 수 있습니다
로톡의 모든 콘텐츠는 저작권법의 보호를 받습니다.
콘텐츠 내용에 대한 무단 복제 및 전재를 금지하며, 위반 시 민형사상 책임을 질 수 있습니다.