자료제공 : 셀레브라이트
번역/편집 : CK Blog
www.Cellebrite.com
www.CellebriteKorea.com
2018년의 영국, 한 살인 사건을 수사하던 영국 경찰은 한 용의자의 핸드폰에 대한 모바일 포렌식을 진행하게 됩니다. 그리고 추출된 데이터 중에는, 용의자의 범죄 사실을 증명할 수 있는 WhatsApp 메시지들도 포함돼 있었습니다. 용의자의 핸드폰에서 추출한 디지털 증거 덕분에, 경찰은 살인범을 검거하고, 유죄를 선고할 수 있었습니다.
요점 요약
노스-이스트 앰뷸런스 서비스(North East Ambulance Service)는 어느 날, Middlesbrough의 한 주택에서 숨진 여성의 시신을 발견하게 됐습니다. 그들은 그 즉시 영국 Cleveland의 수사 당국에 이 사실을 신고하였고, 이에 Cleveland의 수사 당국은 즉시 과학 수사에 임할 것을 명령했습니다.
영국 경찰은 수사에 임하는 데 있어서 일반적으로 고전적인 수사 방식을 따랐습니다. 직접 범죄 현장에서 물적 증거를 수집하고, 용의자나 증인들에 대한 심문으로 수사를 진행하는 방식이었습니다. 하지만 이번 사건 수사에서는 이런 고전적인 방식을 고집하지 않았습니다. 이번 사건에서 다음과 같은 새로운 방식을 시도 했습니다.
1. 용의자와 피해자 등, 관련 인물들로부터 수집할 수 있었던 모든 디지털 기기들에 대한 데이터들을 최대한 확보
2. 디지털 기기들로부터 추출한 디지털 증거들과 정보들을 수사 관계자 전체가 공유하고, 공조
3. 용의자의 주장이 수집한 디지털 증거와 모순됨을 보여줌으로써, 용의자의 주장 파훼, 범죄사실 증명
영국 경찰은 이번 사건을 수사하면서, 용의자의 핸드폰에서 용의자가 용의자의 친모와 채팅하며 나눈 대화 내용을 추출해낼 수 있었습니다. 해당 대화 내용은, 용의자의 진술을 정면으로 부정하는 내용이었습니다. 이 사실을 근거로, 경찰은 용의자를 체포할 근거를 마련할 수 있었고, 용의자는 이를 방어할 수 없었습니다.
용의자가 소유한 디지털 기기로부터 추출해낸 디지털 증거들은, 재판에서 용의자의 범죄 사실을 증명하는 데 결정적인 증거로 제시됐습니다. 이 증거들은 법정에서 용의자의 범죄 사실을 훌륭히 증명해냈고, 이에 재판관은 용의자에게 범죄자가 받아 마땅한 유죄 판결을, 자비 없이 선고 할 수 있었습니다.
이와 같은 현대의 형사 사건 해결 과정을 분석해보면, 디지털 포렌식 도구들이 어떤 목적과 사상을 기반으로 설계되고, 사건을 어떻게 해결해 가는 지 엿볼 수 있습니다. 이번 사례에서는. 현대의 수사관들이 “현장” 디지털 증거들을 어떻게 신속히 확보하고, 확보된 증거들을 효과적으로 공유/활용하여 수사관들의 원활한 수사 공조를 실현시켜 그들에게 어떤 강력한 이점을 제공하는지 확인해 볼 수 있을 것입니다.
사건 배경
2018년 8월 29일, 영국 Cleveland 경찰은 노스이스트 앰뷸런스 서비스 소속 구급대원들로부터 한 살인 사건에 대한 신고 전화를 받게 됩니다. 구급대원들의 진술에 따르면, 살인 사건을 신고한 사람은 로나 제임스(Lona James)라는 여성으로, Middlesbrough 소재 Grange Road의 한 주택에서 살인이 일어났다는 신고를 했습니다.
출동 요청을 받은 경찰 병력이 현장에 도착했을 때, 그들을 맞이한 것은 차갑게 식어버린 한 여성의 시신이었습니다. 사체의 머리와 허리 등 몸 곳곳에 날카로운 흉기로 찌른 듯한 여러 개의 자상과 수 많은 찰과상이 있었습니다.
Cleveland 수사 당국은 즉각적으로 노스 요크셔 중요 사건 전담반(North Yorkshire Major Incident Team)과 함께 수사 작전 “Operation Maldon”에 착수할 것을 명령합니다. 그와 동시에, 과학 수사를 필두로 철저한 수사가 시작됐습니다.
서로 모순되는 증언들
사건 현장에 도착한 경찰이 피해자의 신분을 확인하는 데에는 긴 시간이 필요하지 않았습니다. 피해자는, 두 어린 자녀를 둔 만, 36세의 로라 해리슨(Laura Harrison)씨라고 밝혀졌습니다. 경찰은 신분을 확인하고, 제일 먼저 로라 씨의 애인, 조나단 조셉 로빈슨(Jonathon Joseph Robinson)이란 이름의 남성을 찾아갔습니다.
조나단은, 피해자의 몸에서 발견된 찰과상들에 관해서, 침대에서 떨어져 생겼을 것이라고 진술 했습니다. 하지만, 경찰이 그의 범죄 기록을 조회해본 결과, 조나단이 가정 폭력을 가했던 이력이 있다는 것을 발견했습니다. 이 사실을 확인한 후 조나단은 용의자 선상에 올랐습니다. 경찰은 조나단의 어머니인 로나 제임스 씨에게 찾아가 해당 사건에 대한 탐문 수사를 진행했습니다. 로나 제임스 씨의 진술은 조나단의 진술과 일치하지 않았습니다.
사건의 타임라인
신고자 제임스 씨가 진술한 증언은 다음과 같습니다 :
•전날 밤 : 그녀는 시신이 발견되기 전날 밤 아들과 30분 동안 전화통화를 함
•가정 폭력 : 그녀의 아들은 가정폭력을 가했었던 적이 있음
•전화 연결 실패 : 그녀가 밤새도록 아들에게 전화 통화를 시도했음에도, 아들이 응답하지 않음
•희생자의 사망시각 : 조나단은 사건 당일 오후 2시 45분 경에 어머니의 전화를 받고 어머니에게 로라 씨의 사망 소식을 알림. 해당 시간대는 어머니 로나 씨가 응급구조대에 구조 요청을 한 시간대
•핵심 사진 파일 : 조나단은 로라 씨가 부상 당한 모습이 담긴 사진들을 WhatsApp을 통해 4장 가량 전송함
TeessideLive 에 게재된 온라인 기사에 따르면, 조나단이 피해자의 부상 입은 모습을 촬영한 4장의 사진들을 WhatsApp을 통해 어머니에게 전송했었다고 합니다. 어머니 로나 씨는 피해자 로라와 조나단에게 병원 방문을 간곡히 부탁했지만, 법원에 따르면, 피해자는 아이들을 조나단으로부터 보호하기 위해 병원에 가는 것을 거부했다고 합니다.
사건 현장에, 수사팀은 3개의 모바일 기기를 습득할 수 있었습니다. 각각 조나단(용의자), 피해자, 그리고 로나 제임스 씨의 것이었습니다.
해결을 필요로 했던 수사 난관들
신속한 데이터 수집 능력: 수사관들이 현장에서 기습적으로 용의자를 심문하기 위해서는, 신속하게 데이터를 추출해낼 필요가 있었습니다.
WhatsApp 데이터 복호화 능력: Cleveland 경찰 수사국의 로버트 그리피스(Robert Griffiths) 형사는, “용의자 및 피해자의 핸드폰을 확보하는 것 또한 최우선 사항이었지만, WhatsApp을 통해 주고받은 메시지 내용을 확보하는 것도 매우 중요한 사항이었습니다. 용의자인 조나단이 그의 어머니와 나눈 대화가, 아직 어머니 로나 씨의 핸드폰에 남아 있을 것이라 추정됐기 때문이죠,” 라고 전했습니다.
백로그 우회 능력: “저희는 그 데이터가 절실히 필요했습니다. 일반적인 검사를 수행하는 상용 디지털 포렌식 장비에는 이미 대기중인 업무들이 있었습니다. 사건 현장에 있던 수사관들은 신속히 움직여야만 했습니다"
Cellebrite가 제공한 해결책
해당 사건에서 수사 당국이 사용한 도구들과, 사용된 순서는 아래에 서술 돼 있습니다. 또한, 수사 당국이 해당 도구들을 어떻게 활용하여 인력을 효율적으로 운영할 수 있었는지도 같이 설명 하고 있습니다:
•초기 분석: Cleveland 경찰의 스티브 룩스(Steve Rookes) 형사가 수집한 기기의 초기 검사를 수행
•대화 내용 부분 추출: 룩스 형사가 진행한 초기 분석에서, 경찰은 조나단과 로나 씨 사이에서 오고 간 대화의 일부를 추출해냈으나, 이미지나 비디오 데이터를 획득되지 않음
•실시간 캡처: 룩스 형사가 장치 화면에 대한 실시간 캡처를 진행함. 룩스 형사는, "이 작업은 전화기를 비행기 모드로 두고, 전용 장비에 부착된 카메라를 사용하여 출력된 화면을 녹화하면서 WhatsApp 대화 내역을 수동으로 캡쳐하는 과정을 포함하고 있습니다,“라고 진술
•Cellebrite Responder Kiosk 사용: 수사관은 현장에서 해당 장비를 사용, 다음과 같은 유용한 이점을 확보:
-즉각적인 데이터 엑세스와 기기 조작 능력
-연구소에서 (밀린 업무로 인해 몇 주의 시간까지도 소요하는) 전체 데이터를 추출하는 것을 기다릴 필요가 없음
-신속하게 증거를 수집하고, 조사 결과를 사건에 통합하고, 조사 팀과 증거를 공유. 이를 통해 심문 및 탐문에 걸리는 시간을 절약, 용의자의 알리바이를 반박할 증거를 찾아 검거에 이르기까지의 시간을 단축 가능.
-재판에서 피의자 측 변호사가 증거를 탄핵하거나 부정할 수 없도록, 법의학적으로 타당한 절차로 증거를 수집, 보관, 및 제출해 증거력을 보존
그리피스 형사는, "Cellebrite의 Responder Kiosk가 없었다면, 디지털 포렌식 팀은 감당할 수 없을 정도의 업무량에 밀려 용의자와 피해자의 기기를 검사하는 데에만 너무 많은 시간을 허비했을 것입니다. 결국, 진범을 재판대에 세우는 데 실패했을지도 모르지요,"라며 감사를 표했습니다.
결정적인 디지털 증거 추출: 사건 수사에 참여했던 그리피스 형사는,"수사 초기 시점에서는, 8월 28일 저녁에 피해자가 로나 씨와 대화를 가진 이후로, 그 누구도 피해자를 보지 못한 것처럼 보여졌습니다. 암담했죠. Cellebrite의 Responder Kiosk 로 추출해낸 이미지들이 정말 소중했던 것도 그런 이유였습니다," 라고 전함
사건 결과
•범인 체포 성공: 살인을 저지른 조나단 결국 체포됐고, 로라 씨를 살인한 죄로 기소 당했습니다.
•재판 진행: 재판은 Leeds Crown Court법원에서, 2019년 6월에 열렸습니다.
•결정적인 디지털 증거의 제출: 물리적/디지털 증거 모두가 법원에 제출됐고, 담당 검사는 그 증거들을 이용해 조나단의 범죄 행위를 완벽히 입증해냈습니다.
•실형 선고: 조나단은 살인을 저지른 죄로, 최소 21년의 징역이 강제되는 무기징역을 선고됐습니다.
사건 요약 :
2018년의 영국에서 살인 사건을 수사하던 영국 경찰이 한 용의자의 휴대폰에 대해 모바일 포렌식을 진행하여 용의자 범죄 사실을 증명할 수 있는 WhatsApp 메시지들을 확보하였다.
사건과 관련한 모든 인물들로부터 수집할 수 있었던 디지털 기기들에 대해 데이터들을 최대한 확보하였고 디지털 기기들로부터 추출한 디지털 증거들과 정보들을 수사 관계자 전체가 공유하고, 공조하였다.
이를 위해서 신속한 데이터 수집 능력과 WhatsApp 데이터의 복호화, 백로그 우회 능력이 필요하였고,
이는 Cellebrite가 초기 분석, 대화 내용 부분 추출, 실시간 캡처, Cellebrite Responder Kiosk 사용 등으로 결정적인 디지털 증거를 추출하는 해결책을 제공하였다.
Cellebrite Responder Kiosk를 통해 많은 시간을 허비하지 않고 살인 사건 증거 수집
→ 무기징역 선고
WhatsApp 메시지, 살인범을 밝힌 결정적 단서
살인사건의 신고가 발생했고, 경찰의 수사가 진행됨.
피해자의 애인 조나단의 진술 조사는 그의 어머니와 진술 불일치.
수사팀은 피해자, 조나단(용의자), 용의자 어머니의 모바일기기 습득 후 분석,
Responder Kiosk를 사용하여 즉각적인 데이터 엑세스를 하였고,
WhatsApp의 대화내용 확보, 조사팀과 증거를 공유함
결과적으로 탐문, 심문에 걸리는 시간을 절약하여, 의자 검거까지 시간 단축.
용의자의 진술과 디지털 증거의 모순을 통해 범죄사실 증명하여 유죄 선고