원세훈 집 화염병 투척 사건과 디지털포렌식

이 글은 화염병 투척 사건에 관한 진실을 밝히자거나 기타 다른 의도는 없는 글입니다.

사건 자체를 법원에서 어떠한 시각으로 바라보았는지를 제 나름의 시각으로 살펴보는 정도로 봐주시면 좋겠습니다.

 

사건개요

2013년 5월 5일 06시 20분경 신원불상의 2명이 원세훈 전 국정원장의 집에 화염병 2개를 투척하였으나 화재로 번지지 않았고, 인명피해는 없었다.

 

경찰은 사건 현장과 이동경로의 CCTV를 분석하여 5월 17일 용의자를 긴급체포, 다음날 구속영장을 신청.

 

https://www.joongang.co.kr/article/11466524

http://www.kukinews.com/newsView/kuk201305180025 

https://news.naver.com/main/read.naver?mode=LSD&mid=sec&sid1=102&oid=001&aid=0006265962

 

 

구속영장 기각

서울중앙지법 유재광 판사는 19일 "제출된 증거들만으로는 피의자를 범인으로 특정하기 어려워 범죄혐의에 관한 소명이 부족하다"며 구속영장을 기각. 체포적부심도 기각.

용의자는 진술을 거부하였다.

 

기사들을 검색하여 얻은 정보로 추정하건데 경찰이 제출한 것은 다음과 같습니다.

- 사건 당일 용의자가 대림동 한 원룸에서 나올 때의 복장이 사건 현장의 용의자와 같다.

- 용의자의 스마트폰과 자택 등을 압수수색한 결과 사건 당일 사건 장소로 가는 버스노선을 검색한 기록

- 용의자가 사건 당일 저녁 '원세훈'을 인터넷에서 검색한 기록

 

그러니까 용의자는 사건 당일 사건 현장으로 이동하는 버스 노선을 검색하였고, 원룸에서 나온 복장과 사건 현장 CCTV에 촬영된 복장이 같다는 것 같네요. 그렇지만 이것만으로는 범인으로 특정하기 어렵다는게 법원의 판단인가 봅니다.

 

http://www.kukinews.com/newsView/kuk201305190067

http://news.tvchosun.com/site/data/html_dir/2013/05/20/2013052090335.html 

https://m.khan.co.kr/national/court-law/article/201305192159475/amp

https://www.hankookilbo.com/News/Read/201404271551317606

 

 

구속영장 재청구 및 구속

검찰은 7월 4일 검찰시민위원회에서 구속영장 재청구가 타당하는 결정이 나오자 구속영장을 재청구했다고 6일 밝혔다.

경찰은 CCTV에 찍힌 용의자의 동선 등 증거를 보강해 구속영장을 재신청.

서울중앙지법 전휴재 영장전담판사는 8일 "보강된 증거에 의해 범죄 사실이 소명된다."며 용의자에 대한 구속영장을 발부.

 

여기서 경찰이 보강한 증거에는 걸음걸이 기법(법보행, gait analysis)이 있다고 합니다.

당시 학술세미나 참석차 방한한 영국 런던메디컬센터 족병학과 의사이자 걸음걸이 기법의 세계적 권위자 헤이든 켈리 박사에게 CCTV 분석을 의뢰하여 3회에 걸쳐 CCTV를 분석, "두 화면 속 등장인물 모두 한쪽 다리가 옆으로 벌어진 채 걷는 등 걸음걸이가 비슷해 동일인물로 보인다"는 의견서와 추가로 확보한 CCTV 영상등을 첨부하였다고 하네요.

 

아마도 구속영장 청구에 인정된 최초의 법보행 기법이 아닌가 싶네요.

이 기법은 2년 후인 2015년 금호강 살인사건의 재판에서 최초로 증거로 채택되었습니다.

 

 

http://www.kukinews.com/newsView/kuk201307060011

https://www.nocutnews.co.kr/news/1064003?c1=191&c2=193

https://www.seoul.co.kr/news/newsView.php?id=20130709009024

https://www.hankyung.com/society/article/2013070929921

 

 

1심 무죄

2013고합805

판결선고 2014년 4월 25일

 

사건 발생일로부터 거의 일년이 지나서야 1심 판결이 나왔네요. 구속 이후로 약 10개월.

수사기관이 법원에 제출한 것은,

- 증인들에 대한 신문조서

- 삼성카드에 대한 사실조회

- CCTV 영상이 담긴 CD

- 다수의 진술서

- 감정서

- 금융거래내역

- 디지털증거결과분석보고서

- 신용카드 사용내역, 인터넷 접속기록, 마을버스 노선도

 

등이 있는데 주된 증거는 CCTV 영상이 담긴 CD로 보입니다.

 

이상의 증거 중 이 사건 공소사실을 인정하기 위한 가장 주된 증거는 피고인이 이 사건 범행 당일 자신의 주거지를 출발하여 위 K의 집까지 간 후 다시 돌아오는 과정이 순차적으로 녹화되었다고 검찰이 주장하는 영상들이 담긴 이 사건 CD이다. 피고인의 주된 주장은 이 사건 CD에 담긴 영상 파일들이 증거능력이 없다는 것인바, 아래에서는 먼저 이 사건 CD에 담긴 영상 파일들을 포함한 각 증거들의 증거능력을 판단하고, 증거능력이 없는 증거를 제외한 나머지 증거만으로 이 사건 공소사실을 인정할 수 있는지에 관하여 보겠다.

꽤나 긴 판결문에 이 영상에 대한 판단이 담겨 있습니다.

 

(나) 수사기관이 영상파일의 소유자 내지 보관자로부터 임의제출 받은 것은 특별한 절차를 거치지 아니하고 영장 없이 압수할 수 있으므로 복사과정을 촬영하지 아니하였다거나 입회인의 확인서명을 받지 아니하였더라도 이를 들어 이 사건 복사파일을 수사기관이 위법하게 수집한 증거라 할 수 없다.

(다) 또한 이 사건 재촬영 파일은 수사기관이 새로운 원본을 제작한 것과 다름없으므로, 그 영상 파일의 적법한 소유자는 그 영상을 촬영한 수사기관이라고 봄이 상당하다. 따라서 원 CCTV 영상에 대한 재촬영에 그 CCTV 장치 소유자의 동의를 얻은 이상 어떠한 특별한 절차가 요구된다고 볼 수 없으므로, 이를 들어 이 사건 재촬영 파일을 수사기관이 위법하게 수집한 증거라 할 수 없다.

수사기관은 용의자 동선에 있는 다수의 CCTV를 확인하고 임의제출 받은 것으로 보입니다. 그 중 일부는 CCTV의 영상을 복사한 것이고, 일부는 휴대전화 등으로 재촬영한 것으로 보이네요.

 

(가) 대법원은 "압수물인 디지털 저장매체로부터 출력된 문건이 증거로 사용되기 위해서는 디지털 저장매체 원본에 저장된 내용과 출력된 문건의 동일성이 인정되어야 할 것인데, 그 동일성을 인정하기 위해서는 디지털 저장매체 원본이 압수된 이후 문건 출력에 이르기까지 변경되지 않았음이 담보되어야 하고(무결성), 특히 디지털 저장매체 원본에 변화가 일어나는 것을 방지하기 위해 디지털 저장매체 원본을 대신하여 디지털 저장매체에 저장된 자료를 '하드카피' · '이미징'한 매체로부터 문건이 출력된 경우에는 디지털 저장매체 원본과 '하드카피' · '이미징'한 매체 사이에 자료의 동일성도 인정되어야 한다. 나아가 법원 감정을 통해 디지털 저장매체 원본 혹은 '하드카피' · '이미징'한 매체에 저장된 내용과 출력된 문건의 동일성을 확인하는 과정에서 이용된 컴퓨터의 기계적 정확성, 프로그램의 신뢰성, 입력 · 처리 · 출력의 각 단계에서 조작자의 전문적인 기술능력과 정확성이 담보되어야 한다(대법원 2007. 12. 13. 선고 2007도7257 판결)"라고 판시하여 압수물인 디지털 저장매체로부터 출력된 문건 등이 증거로 사용되기 위해서는 '무결성'과 '동일성'이 인정되어야 하고 무결성 및 동일성을 확보하는 과정에서의 '도구와 방법의 신뢰성', '전문성' 등이 필요하다고 본다.

(나) 사본이라고 하여 그 자체로서 증거능력이 없다고 할 수는 없으나, 디지털 증거가 가지는 조작에 대한 취약성, 매체 독립성, 수집과 분석절차의 전문성 및 복사의 간이성 등으로 인하여 디지털 증거에 있어 '동일성 및 무결성' 요건은 더욱 강하게 요구된다. 이와 같은 '동일성 및 무결성' 요건은 디지털 저장매체로부터 출력된 문건뿐만 아니라 어떠한 형식으로든지 디지털 저장매체에 담긴 증거가 복사 등이 된 경우에 마찬가지로 요구된다고 할 것이며, 이와 같은 요건을 충족시키지 못하는 경우에는 그 디지털 증거는 증거능력을 인정받을 수 없다.

2007도7257 판결을 예로 들어서 디지털증거인 CCTV 영상이 증거로 인정받기 위해서는 '동일성', '무결성'이 강하게 요구된다며 이를 확보하는 과정에서 '도구와 방법의 신뢰성', '전문성' 등이 필요하다고 본다고 하네요.

 

법정에서 증거능력을 인정받기 위해서는 전문가가 신뢰할 수 있는 도구를 사용하여 일련의 과정에서 무결성이 훼손되지 않았음을 입증하여야 할 것으로 보이네요.

 

(나) 한편, 디지털 증거를 압수 · 수색 영장의 집행에 의하여 압수한 것이 아니라 소유자, 소지자 내지 보관자로부터 임의제출 받아 압수한 경우는 영장 집행에 있어서와 같이 엄격한 절차를 요구하기는 어렵다. 하지만 임의제출 받는 경우 영장집행에 비하여 간략한 절차를 취한다고 하더라도 제출자로부터 원본이 조작되지 않았다는 취지의 확인을 받은 후 원본을 압수하여야 하고, 복사 등을 하는 경우 이로 인하여 작성된 사본을 봉인하여, 적어도 법원으로 하여금 그 무결성에 대한 합리적인 의심이 들지 않을 정도의 최소한의 조치를 취하여야 한다.

(다) 동일성에 대한 입증은 기본적으로 원본과 사본의 해쉬값 비교를 통하여 원본과 사본의 동일성을 확인한 후 사본과 출력물 등의 동일성을 검증하는 방법 등으로 판단하면 될 것이나, 한편 위 동일성과 표리(촛홋)의 관계에 있는 무결성(보관의 연속성)이 담보되는 한, 반드시 동일성 입증을 위하여 해쉬값을 비교 확인하는 절차가 요구된다고 할 수 없고, 법정에 제출된 원본과 사본의 출력 · 재생한 결과물 등을 직접 비교한 검증결과 등 제반사정을 종합하여 그 동일성 여부에 관하여 자유심증주의에 따라 객관적이고 합리적으로 판단하면 된다.

(라) 원본이 소멸하였더라도 미리 추출하여 놓은 원본의 해쉬값이 있고 이를 신뢰할 수 있는 경우, 원본과 사본의 해쉬값과 비교하여 원본과 사본의 동일성을 확인할 수 있다. 그러나 원본이 소멸하였고 미리 추출하여 놓은 원본의 해쉬값도 없는 경우에는 원본과 사본의 동일성에 관한 증명이 전혀 불가능하지 않다고 할지라도, 사본 파일에 대한 감정 등을 통하여 인위적 개작의 흔적이 없다는 점이 밝혀지지 않은 이상 파일 복사에 관여한 수사관들의 진술과 사본에 대한 검증결과만으로는 동일성을 인정할 수 없다.

 

○ 이 사건 복사 파일 및 재촬영 파일이 USB 내지 휴대폰 카메라 저장장치에서 수사관들의 컴퓨터로 복사됨에 있어 그 복사된 수사관의 컴퓨터의 저장장치에 대한 봉인조치가 이루어지지 않았다.

○ 현재 위 각 CCTV에 저장된 각 원본 영상 내지 파일들은 CCTV 저장장치의 용량 초과로 인하여 자동 삭제되어 모두 소멸하였다. 그리고 위와 같이 원본 파일을 복제한 USB나 원본 영상을 재촬영한 휴대폰 카매라의 저장장치는 이 법정에 제출되지 아니하였다.

○ 수사관들은 디지털 증거 수집에 관한 교육을 별도로 받은 적이 없고, 이 사건 복사 파일에 관하여 CCTV 원본 영상 파일의 해쉬값을, 이 사건 재촬영 파일에 관하여 휴대폰 카메라에 저장된 재촬영본 원본 파일의 해쉬값을 추출하여 기록하여 놓지도 않았다.

해쉬(Hash)값이 판례에서 최초로 인정한 것이 어떤 것인지 궁금해지네요. '일심회' 사건에서 판결이유에 언급이 되었다는 것까지는 기사로 검색해 보았는데 그 이전에도 언급한 것이 있는지 모르겠습니다. 일심회 사건과 해쉬값에 대한 부분은 다음에 한 번 살펴보아야겠습니다.

 

Hash 함수는 임의의 길이의 데이터를 입력으로 주면, 동일한 길이의 해시값을 출력하는 것인데 입력 데이터가 아주 조금(1bit)이라도 바뀌면 출력되는 해시값은 매우 다르게 나타나는 특징이 있습니다. 이를 눈사태 효과라고 하는데 이러한 특성을 이용하여서 디지털 증거가 변조되지 않았음을 입증하는데 활용하는 것으로 보입니다.

통상 프로그램에서는 검색을 빠르게 하는 용도로 Hash map 등에 활용합니다. 소량 데이터에 대한 해시값 생성은 빠르게 이루어지고, 이를 통하여 탐색을 하면 매우 빠른 속도로 검색이 가능하니까요. 빠르게 데이터를 삽입하고, 검색하는데 유용한 자료구조 중 하나입니다.

Hash는 이외에도 암호화에도 활용을 하기도하고, 근래 비트코인을 선두로 가상화폐로 알려진 다수의 가상화폐가 이를 이용하여 Block Chain의 개념을 이용하여 만들어졌습니다.

 

 

위 판결문으로 보아 수사기관은 수집한 CCTV 영상을 저장한 USB 등에 대한 봉인조치를 하지 않았고, 제출한 영상 원본의 해쉬값을 생성하지 않았거나 관리하지 않은 것으로 보입니다. 이로인해 CCTV 영상은 원본과의 동일성을 인정할 수 없어 증거능력이 없다고 했네요.

휴대전화로 재촬영한 CCTV 영상 역시 관리의 무결성을 인정할 수 없고, 해쉬값이 없고, 촬영한 원본 휴대전화를 제출하지 않는 등으로 무결성과 동일성을 인정할 수 없어 증거능력이 없다고 했네요.

 

영상에 대한 증거능력이 인정되지 않으니 앞서 언급한 법보행 또한 인정되지 않을 것 같네요.

판결문의 초반에 언급한 것처럼 가장 주된 증거는 CCTV 영상을 담은 CD이므로 이에 대한 증거능력이 인정되지 않았으니 다른 증거로 법죄사실을 입증해야 할터인데 통신자료제공, 감정소견, 디지털증거분석결과보고 등 모두 인정하지 않았네요.

 

위와 같이 적법하게 채택되어 조사한 증거에 의하면, ① 피고인이 국정원의 선거개입 의혹을 강하게 제기하였던 E 소속인 사실, ② 피고인이 사건 당일인 2013. 5. 5. 01:11경 영등포역에서 대림역으로 가는 버스 등을 휴대폰으로 검색하였다는 사실, k그 피고인이 사건 전날인 2013. 5. 4. 17:00경부터 2013. 5. 5. 12:00경까지 자신의 휴대폰을 전혀 사용하지 아니한 사실, ④ 피고인이 2013. 5. 5. 20:35경 인터넷에서 'K'이라고 검색한 사실, ⑤ 피고인이 수사 개시후인 2013. 5. 22. 자신의 테뷸릿 컴퓨터인 '갤럭시 탭' 메모리를 초기화시킨 사실 등을 인정할 수 있다. 그러나 위 인정사실만으로는 피고인이 이 사건 범행을 저질렀다는 사실을 인정하기에 부족하고, 달리 이를 인정할 만한 증거가 없다.

6. 결론
그렇다면 위 공소사실은 결국 범죄의 증명이 없는 때에 해당하여 형사소송법 제325조 후단에 의하여 피고인에 대하여 무죄를 선고하고, 형법 제58조 제2항에 따라 무죄취지를 공시한다.

피고인이 국정원 선거개입 의혹을 강하게 제기한 단체의 소속이며, 사건 당일 휴대폰으로 버스 노선을 검색하였으며, 당일 저녁에는 '원세훈'을 검색하였다는 점 등은 인정하지만, 이들 증거만으로 이 사건 범행을 저질렀다고 단정하기 어렵다는 취지로 무죄 선고하였네요.

만약 수사기관이 CCTV 영상에 대한 해쉬값을 생성하는 등의 조치를 철저히 했더라면 판결이 어떻게 바뀌었을까 궁금하기도 하네요. 판결문의 상당수를 차지하는 CCTV 영상의 증거능력에 대한 판단이 아닌 영상에 등장하는 인물과 피고인이 동일인인지의 여부에 대한 판단이 판결문의 상당수를 차지하지 않았을까 싶네요. 

 

https://casenote.kr/%EC%84%9C%EC%9A%B8%EC%A4%91%EC%95%99%EC%A7%80%EB%B0%A9%EB%B2%95%EC%9B%90/2013%EA%B3%A0%ED%95%A9805

http://mnews.koreanbar.or.kr/news/articleView.html?idxno=11587

http://news.koreanbar.or.kr/news/articleView.html?idxno=10505

https://www.koreascience.or.kr/article/CFKO201114258942854.pdf

 

 

 

2심 무죄

2014노 1268

판결선고 2014년 8월 21일

 

1심으로부터 약 4개월 후 2심 판결이 나왔네요.

검사는 CCTV 영상과 통신자료, 감정서 등을 증거로 인정해 달라고 주장하였으나 모두 인정되지 않았네요.

 

https://casenote.kr/%EC%84%9C%EC%9A%B8%EA%B3%A0%EB%93%B1%EB%B2%95%EC%9B%90/2014%EB%85%B81268