“삭제된 흔적은 증거가 된다” - 디지털 포렌식 수사가 밝히는 권력기관 기록 삭제 의혹

대통령실 컴퓨터 손괴 의혹, 진실을 추적하다

2025년 6월, 전·현직 대통령실 관계자들이 국가기록물 파기 및 컴퓨터 손괴 의혹의 중심에 섰습니다. 시민단체 ‘적폐청산국민참여연대’가 정진석 전 대통령비서실장과 윤재순 전 총무비서관을 직권남용·증거인멸·국가재산손괴 혐의로 고발하면서 사건이 시작되었습니다.

경찰은 반부패수사대에 사건을 배당하고, 포렌식 수사를 통해 진실 규명에 나섰습니다.

 

삭제해도 남는 흔적, 디지털 포렌식의 시작

디지털 증거는 ‘없애면 끝’이 아닙니다. 삭제 행위는 대부분 흔적을 남기고, 디지털 포렌식은 이 흔적을 추적합니다. 이번 사건의 주요 분석 대상은 대통령실에서 사용된 PC, 서버, 프린터 등의 기록 매체입니다.

포렌식 수사에서는 원본을 훼손하지 않고 복제본을 생성해 분석을 진행합니다. 이때 디지털 해시값을 활용해 원본과 복제본의 무결성이 확인됩니다. 이후 경찰은 삭제된 파일을 복원하고, 삭제 시점과 실행 주체를 분석하게 됩니다.

 

물리적 손괴 vs 논리적 삭제

물리적 손괴

• 하드디스크를 드릴로 천공하거나 산업용 파쇄기를 사용하는 방법
• 데이터 복원이 사실상 불가능
• 법적으로 증거인멸 시도로 간주 가능

논리적 삭제

• 파일 삭제, 디스크 초기화, 운영체제 재설치 등
• DBAN, BCWipe 같은 와이핑 도구 사용
• SSD의 경우 Secure Erase 기능으로 컨트롤러 수준 초기화 가능

하지만 디지털 포렌식 기술은 이러한 시도마저도 추적할 수 있습니다. 시스템 로그, 디스크 명령 기록, 펌웨어 로그 등을 분석해 삭제 행위의 시간과 실행 여부를 밝혀냅니다.

 

홈페이지 소스 삭제, 서버 로그는 말한다

이번 사건의 또 다른 핵심은 대통령실 홈페이지 소스 코드 삭제입니다. 경찰은 다음과 같은 데이터를 분석할 예정입니다.

• SSH 및 관리자 계정의 로그인 로그
• Git 커밋 기록 및 히스토리 변경 내역
• 웹 서버의 /var/www/html 디렉터리 내 파일 활동 로그

Git에서 이뤄진 히스토리 조작(예: git rebase, push --force) 여부는 서버와 로컬 클라이언트 간 불일치로 탐지할 수 있습니다. 또한 서버 접근 IP, 계정, 명령어 실행 이력 등도 삭제 시점을 특정하는 데 중요한 단서가 됩니다.

 

타임라인 재구성, 수사의 핵심

디지털 포렌식 수사의 핵심은 타임라인 분석입니다. 경찰은 복원된 파일, 시스템 로그, 서버 접근 기록을 시간 순으로 배열해 삭제 명령이 언제, 누구에 의해 실행되었는지를 추적합니다.

이와 함께 법리적 판단도 중요합니다. 삭제 명령이 적법한 기록물 관리 절차였는지, 아니면 고의적인 증거인멸이었는지를 가리기 위한 법적 해석이 병행되어야 합니다.

특히 삭제 대상에 대통령기록물법상 보존 의무가 있는 자료가 포함돼 있었다면, 이는 명백한 기록물법 위반이 될 수 있습니다.

 

단순 삭제를 넘어, 디지털 윤리의 문제로

이 사건은 단순한 기술적 삭제를 넘어, 권력기관의 기록 관리와 디지털 윤리 문제로 번지고 있습니다. "삭제하면 끝"이라는 오랜 관행은 이제 더 이상 통하지 않습니다.

디지털 포렌식 기술은 고의적인 기록 삭제 시도조차 분석하고, 책임을 물을 수 있는 도구가 되었기 때문입니다.

 

앞으로의 영향과 전망

수사 결과는 향후 국가기록물 관리 체계 전반에 큰 영향을 미칠 것으로 보입니다.

• 대통령실 내부의 기록 관리 기준
• 공공기관의 디지털 증거 보존 원칙
• 고위직의 정보 윤리 책임 등

모두가 이번 수사의 향방에 주목하고 있습니다.

 

기록은 말합니다. 삭제되었더라도, 그 흔적은 남아 있습니다.
디지털 포렌식은 바로 그 흔적을 통해 진실을 찾아가는 과학입니다.
국가적 사안에서조차, 기술은 진실을 외면하지 않습니다.

 과학수사저널 기사보기

https://www.kfj.co.kr/news/articleView.html?idxno=322