사안의 개요
법무법인 더프라임에는 다른 법무법인에서 사설 디지털포렌식 업체에 증거복구 및 분석을 맡겼다가 ‘이건 다 지워져서 복구가 안된다’는 말을 듣고 지푸라기라도 잡는 심정으로 저희에게 의뢰하는 경우가 종종 입니다.
이 사건 또한 내부직원들이 수십억원의 물품을 수년간 횡령하였음이 의심되나, 본인들이 결백함을 주장하며 해당 직원들이 제출한 휴대전화 내에서 혐의와 관련된 증거를 발견할 수 없어 저희에게 디지털포렌식을 의뢰한 사안이었습니다.
휴대전화의 안티포렌식 정황 확인
의뢰받은 휴대전화를 확인하니 우선 가장 눈에 띄는 것은 ‘개발자모드’가 활성화되어 있는 것이었습니다.
안드로이드 기반 휴대전화의 개발자모드는 특수한 조작을 통하여만 활성화 할 수 있는데, 일반적으로는 활성화할 이유가 없으며, 보통 포렌식 또는 안티포렌식을 위해 사용되는 경우가 많습니다.
아니나 다를까 세부적으로 분석해본 결과, 휴대전화의 주인이 최근에 사설 디지털포렌식 업체에 방문한 사실과 카카오톡 대화를 삭제한 흔적이 발견되었습니다.
따라서 카카오톡 내에 정상적으로 남아있는 대화에서는 범죄에 관련된 흔적이 발견되지 않는 것은 너무나도 당연한 결과였습니다.
카카오톡으로 주고받은 멀티미디어 파일 흔적의 확인 및 분석
카카오톡을 통해 대화를 주고받으면서 각종 사진이나 동영상을 함께 주고받는 경우가 많습니다.
이들 멀티미디어 파일은 별도의 장소에 일정한 명명규칙에 따라 네이밍되어 저장되며, 이들 파일 또는 이들이 캐쉬된 파일들은 대화가 삭제되더라도 흔적으로 남아있는 경우가 많습니다.
더프라임은 휴대전화 내의 멀티미디어 파일을 전수 분석하여, 대화는 삭제되었으나 이미지는 남아있는 경우를 추출하여 분석하였습니다.
범죄혐의에 부합하는 디지털증거의 선별
위와같은 방법으로 상세분석 결과 특정 대화방에서 주고받은 것으로 확인되는 다수의 이미지 파일을 추출할 수 있었습니다.
이후 해당 이미지 파일들의 내용을 재차 전수검토하여, 본 건과 관련있을 것으로 보이는 반출 리스트에 관한 사진, 대가 거래에 관한 사진 등 혐의에 관련된 증거들만 최종 선별할 수 있었습니다.
또한 고객은 단순히 카카오톡에 대한 분석만을 요청하였으나, 분석결과 카톡 뿐만 아니라 통화녹음, 그외 멀티미디어 파일 등에서도 주요증거로 활용될 자료가 발견되어 이또한 함께 분석, 선별하였습니다.
결어 [단순한 자료복구가 아닌 사건해결을 위한 분석]
저희에게 디지털포렌식을 의뢰한 법무법인은 저희가 추출, 분석하여 선별한 증거자료로 인해 사건을 매우 유리하게 이끌어갈 수 있게 되었습니다.
이처럼, 더프라임에서 실시하는 디지털포렌식은 단순한 자료복구가 아니라 실질적인 사건해결을 위한 사건에 맞춘 자료의 분석 및 검토과정이라고 할 수 있습니다.
여러분이 사건의 해결 및 진행을 위해 디지털포렌식이 필요하다면 주저하지 말고 저희 더프라임에 문의해보시기 바랍니다.