출처 ::https://magazine.hankyung.com/business/article/202304201088b

옵티머스·라임펀드 사건 등을 비롯해 최근 다양한 증권·기업 관련 조사 및 준법 감시 활동에 디지털 포렌식 기법이 등장한다. 검찰 수사 등에서는 이미 몇 년 전부터 디지털 포렌식 기법이 활발하게 사용되고 있고 금융위원회나 금융감독원의 조사, 국세청의 세무 조사, 공정거래위원회 조사 등은 물론 회계 감사에서도 디지털 포렌식이 거의 필수 과정이 되고 있다.

디지털 포렌식 기법의 활용은 휴대전화·컴퓨터·소셜 네트워크 서비스(SNS) 등이 의사소통의 기본이 되고 기업의 업무 문서 형태 역시 실물 문서에서 전자 문서로 변화함에 따른 자연스러운 흐름이다. 기업 내 대부분의 의사 결정 과정 또는 업무 처리 과정이 전자 문서의 형태로 저장돼 있기 때문에 디지털 포렌식 기법을 통해 증거를 확보하거나 객관적인 사실 관계를 확인하는 것 역시 당연한 일이 됐다. 검찰 수사도 피의자의 휴대전화와 컴퓨터를 압수하는 것에서 첫발을 내디딜 정도로 디지털 증거의 파괴력은 압도적이다.

그렇다면 실제 디지털 포렌식은 어떻게 진행될까. 기업들은 회계 감사에서 포렌식 조사를 한다고 하면 일단 거부감과 두려움을 느끼기 쉽다. 특히 경영진은 본인조차 몰랐던 무언가가 포렌식 과정에서 드러나지 않을까 하는 불안감, 개인 사생활과 업무가 혼재된 휴대전화나 컴퓨터가 포렌식되면서 사생활이 공개되는 것에 대해 거부감을 느낄 수밖에 없다.

대부분의 포렌식은 문제를 발견하고 더 많은 문제가 없는지를 검증하기 위해 이뤄지지만 최근 회계 감사에서는 기업이 깨끗하고 감사 의견이 적정하다는 것을 증명하기 위해 포렌식을 활용하기도 한다. 무조건 포렌식을 거부하는 것이 능사가 아니라는 얘기다. 디지털 포렌식이 어떤 방식으로, 어떻게 이뤄지고 어떤 부분까지 드러날 수 있는지 등을 사전에 숙지한다면 포렌식에 대한 과도한 공포감 대신 합리적인 대응을 하는 데 도움이 될 수 있다.

디지털 포렌식 절차는 전자 문서 수집 절차(collection), 데이터 처리 절차(processing), 문서 검토 절차(document review)로 크게 나눠진다. 제일 먼저 하는 일은 전자 문서 수집에 들어가기 전에 조사의 목적이 무엇인지를 명확히 정의하는 일이다. 포렌식에서 집중적으로 살펴보고자 하는 조사 대상과 밝히고자 하는 혐의, 의심이 가는 대목을 입증해 줄 디지털 문서들이 어디에 있을지 고민한다.

목적이 명확해지면 해당 거래와 관련된 업무 부서의 담당자와 잠재적 보고 대상자 등 조사 대상자를 특정하고 수집해야 할 전자 문서의 범위( 컴퓨터·e메일·공유 폴더·클라우드 공간·휴대전화)를 확정한다. 사법 기관 등의 강제 수사와 달리 회계 감사 과정에서 진행되는 포렌식 조사는 회사의 이사회와 경영진, 외부 감사인 등 이해관계인들과의 충분한 사전 논의를 통해 조사 대상자와 수집 기기 범위가 결정되는 것이 보통이다.

수집 절차의 범위에 포함된 대상자의 기기는 디지털 포렌식 전문가에 의해 그 안의 모든 정보가 수집된다. 이는 일반적으로 사용되는 전자 문서의 복사 방식인 ‘복사해 붙이기(copy & paste)’와 달리 저장 장치 전체를 그대로 떠오는 방법인 ‘이미징(imaging)’ 방식으로 진행된다.

이미징 방식으로 수집되는 정보의 범위는 우리가 일반적으로 사용하는 파일뿐만 아니라 컴퓨터 운영 체계(OS) 또는 프로그램이 자동 생성·저장하는 로그파일과 임시 파일 등이 모두 포함된다. 이는 사용자가 삭제한 파일 이력, 삭제된 파일의 데이터뿐만 아니라 USB 접속 이력과 USB로 이동한 파일 내역 등까지 모두 포함된다는 얘기다. 따라서 혹시 포렌식 조사 대상이 돼 불안한 마음에 파일을 대량 삭제하거나 외부 저장 장치로 파일을 이동시키면 포렌식에서 결백이 인정되기는커녕 되레 의심을 사거나 심층 조사 대상이 되는 등 불필요한 역작용을 일으킬 수 있으므로 절대 하지 않는 것이 바람직하다.

수집된 데이터는 프로세싱(processing) 절차를 통해 삭제 파일 복구, 텍스트(text) 추출을 위한 OCR(Optical Character Recognition), DeNIST(일반적인 시스템 및 프로그램 파일 제거) 등의 작업을 거치게 된다. 사용자가 파일을 삭제하고 휴지통을 비운다고 하더라도 해당 데이터가 저장 장치에서 바로 사라지는 것이 아니다. 사용자가 OS를 통해 해당 파일의 존재를 볼 수는 없지만 해당 파일의 기존 저장 장소가 새로운 데이터로 대체(overwritten)되기 전까지는 그 데이터가 그대로 남아 있어 언제든 복구가 가능하다. 따라서 최근 삭제된 파일일수록 복구 가능성이 높으므로 포렌식 조사 직전에 파일을 삭제하는 행위는 득보다 실이 많다.

다음 순서는 프로세싱 처리된 파일들을 대상으로 조사 대상 혐의 또는 거래와 관련된 증거 또는 관련 문서를 식별하는 과정이다. 대부분 기업 포렌식은 대상 파일의 수가 조사 인력이 개별적으로 일일이 열어 확인할 수 없을 만큼 방대하다. 이 때문에 신속한 조사 절차 완료와 조사 결과 도출을 위해 키워드(keyword)를 적용해 유의미한 파일을 우선적으로 적출, 검토한다. 

한국 기업을 대상으로 수행했던 포렌식 조사 사례들을 통해 이 같은 디지털 포렌식 절차가 실제 어떠한 결과물로 이어지는지 한 번 살펴보자. 

회계법인은 외부 감사인으로서 주로 ‘주식회사 등의 외부 감사에 관한 법률’ 제22조의 조항에 따라 포렌식 조사를 수행한다. 이는 회계 감사 과정에서 회계감사인이 인지하게 된 회사의 회계 부정 정황에 대해 독립된 외부 전문가로서 조사하고 그 결과를 회사의 지배 기구와 회계감사인에게 보고하는 업무다.

A 기업은 당시 한국 상장 예정 회사의 자회사로 건설업을 영위하고 있었는데 회계 감사 과정에서 건설 프로젝트의 진행률을 의도적으로 높게 인식함으로써 매출 실적을 과다하게 부풀린 의혹이 제기됐다. A 기업의 회계감사인은 내부 감사에 외부 조사를 요청했고 필자가 외부 전문가로 선임돼 포렌식 조사를 진행했다. 먼저 조사 대상자를 선정하기 위해 회사·회계감사인과 논의 끝에 건설 프로젝트 관리 부서의 담당 임원·직원들과 회계 결산을 담당하는 재무 부서 직원들의 PC와 e메일 및 일부 인원의 휴대전화를 디지털 포렌식 대상으로 결정했다.

수집 절차와 데이터 처리 절차를 거쳐 키워드가 포함된 대량의 문서들을 검토한 결과 주간·1일 공사 현장 업무일지가 다수 발견됐다. 회계 결산 자료상의 프로젝트 진행률과 달리 공사 현장의 공사 진행은 상당히 더디게 이뤄지거나 아예 장기간 첫 삽조차 뜨지 않은 사실 등이 확인됐다.

B 기업은 한국 자동차 부품 생산 업체로, 회계 부정 정황이 식별된 경우였다. 디지털 포렌식 조사를 수행한 결과 실적 과대 보고 목적으로 유형 자산, 선급금 등 자산화 처리한 비용 지출 리스트와 이러한 내용이 포함된 경영진 보고 자료, 회의록, 사내 메신저 대화, e메일 등이 다수 발견됐다.

사람은 거짓말을 할 수 있어도 디지털 문서는 거짓말을 하지 않는 법이다.
포렌식 조사를 하다 보면 휴대전화에 저장된 이면 계약서 사진 파일, 부정 행위 관련 카카오톡 대화, 자동 녹음된 대화 녹음 파일, 캘린더 일정, 문자 메시지 등 다양한 형태의 객관적인 증거가 드러난다. 즉, 경영진의 부당한 지시나 조직적인 형태의 부정 행위가 발생하면 실무 담당자들은 이러한 사실을 감추면서 동시에 그 영향을 사후적으로 지속 관리, 모니터링해야 하므로 수많은 노력과 시간을 투입한다. 이는 곧 수많은 전자 문서(작업 파일·e메일·메신저 등) 증거의 생성으로 이어진다. 본인들이 삭제하든, 감추든 디지털 포렌식에서는 이 같은 증거들의 대부분이 적출된다.

현대 사회는 개인의 일거수일투족은 물론 개인의 친구 관계, 생활 패턴, 취미, 관심사, 소비 행태, 금전 거래 및 정치적 성향 등 가공할 만한 수준의 데이터가 어딘가에 차곡차곡 저장되고 쌓여 가는 세상에 살고 있다. 그중 대부분은 본인이 자발적으로 기록하고 제공하는 데이터들이기도 하다. 이 같은 디지털 세상에서는 어떤 사건이 발생했을 때 그와 관련된 데이터도 그만큼 많이 찾을 수 있다는 의미다.

기업 경영진은 기업 내부의 수많은 임직원들, 외부 협력 업체들, 관계 부처들, 소비자들 등 일상적인 업무 수행 과정에서 엄청난 데이터들이 쌓이고 보관되고 때론 유출되기도 하는 세상이라는 점을 명확하게 인식해야 한다. 또한 언제라도 회계 감사만이 아니라 사법 기관·공정위·금융위·국세청 등 수많은 규제 기관들에 의해 디지털 포렌식이 행해질 수 있다는 사실을 알고 대비해야 한다.

과거 발생한 특정 사건과 관련해 디지털 포렌식 기법을 통해 확인 또는 조사하는 과정은 최대한 객관적인 사실을 밝힘으로써 선의의 피해자가 발생하는 것을 방지하는 방법이기도 하다. 따라서 이러한 디지털 포렌식 절차와 방식을 잘 이해한다면 기업 내부 감사 활동과 인사 조치 근거 등으로 활용할 수도 있고 중·장기적으로는 기업 내 부정부패를 근절하고 윤리 기강을 확립하는 성과를 거둘 수 있을 것이다.


임재욱 삼일PwC 파트너