스마트폰 보안 조치는 최근 수년간 갈수록 첨단화됐다. 비밀번호 입력부터 시작해 지문 인식, 안면 인식 및 첨단화된 암호화 등으로 발전했다. 미국 워싱턴DC 소재 비영리 연구 기관 업턴(Upturn)은 새로 발표한 보고서를 통해 스마트폰의 잠금 설정이 갈수록 복잡해짐에도 불구하고 경찰이 용의자의 스마트폰에 어떻게 접근하는지 공개했다. 바로 보안 해제 전문 디지털 포렌식 기업의 도움으로 용의자의 스마트폰 기기에 접근해, 암호화된 데이터를 복사하는 것이다.
보고서 내용에 따르면, 미국 50개 주의 법률 집행 기관은 셀레브리트(Cellebrite)와 액세스데이터(AccessData) 등과 같은 공급 업체들과 계약을 맺고, 잠금 설정이 된 스마트폰에 접근한 뒤 데이터를 복사한다. 경찰은 잠금 설정이 된 스마트폰에 의존해 공론화된 사건을 종결하고는 했다. 반면, 업턴의 보고서 작성자들은 이와 같은 경찰들의 사건 해결 방식은 매우 비밀스럽게 이루어지며, 경찰의 광범위한 수사가 '기본권의 대사 인적 효력 보호에 대해 용인할 수 없는 위협'을 일으킬 위험성이 있다고 지적한다.
업턴은 2015년부터 2019년까지 경찰이 모바일 기기 포렌식 툴(MDFT)을 사용한 사례가 5만 건 가까이 되는 것으로 확인했다. 보고서에는 모바일 기기 포렌식 툴이 어떠한 조사든 그 범위를 넘어서 개개인의 생활과 관련된 정보를 제공하며, 경찰서에서 툴 사용 범위 및 사용 가능한 때를 제한하는 경우는 극소수라고 작성됐다. 업턴 측은 미국 전역의 각 주와 지방 법률 집행기관에 공공 기록 신청서를 보낸 후, 2,000곳이 넘는 법률 집행기관에서 아무 때나 모바일 기기 포렌식 툴을 사용한다는 사실을 발견했다.
[사진=Freepik]
연구 논문의 제 1저자인 로간 켑키(Logan Koepke) 박사는 "조사 과정에서 주로 다음과 같은 이유로 모바일 기기 포렌식 툴 사용을 정당화한다는 사실을 종종 발견했습니다. 바로 '마약 거래상들이 (마찬가지로) 스마트폰을 사용한다'와 같은 주장입니다. 그런데, 당연히 마약 거래상이 아니어도 누구나 스마트폰을 사용하죠"라고 말한다.
경찰은 사건과 관련이 있는 이들에게 스마트폰 잠금 해제 요청을 할 수 있다. 이는 "합의하에 이루어진 수색"이며, 이 과정을 통한 수사 성공률은 지역별로 격차가 매우 크다. 업턴은 텍사스주 해리스 카운티 보안관 사무실에서 실시된 1,500건 이상의 데이터 취득 절차 중 53%가 합의하에 진행된 것으로 파악했다. 반면, 애틀란타에서는 데이터 취득 절차 1,000여 건 중 고작 10%만이 스마트폰 주인의 합의하에 진행됐다.
스마트폰 주인이 기기 잠금 해제를 거부할 경우 경찰은 반드시 영장을 요청해야 한다. 애플은 2016년, 캘리포니아주 샌버너디노 지역에서 16명을 살해한 것으로 의심되는 괴한 중 한 명이 소지한 아이폰 5C 잠금 해제를 위한 FBI의 수사 요청을 거부했다. 당시 FBI는 애플이 아닌 외부 기업에 의존해 기기의 잠금을 해제했다.
업턴은 보고서 작성을 위해 살인 용의자부터 절도범에 이르기까지 각종 강력 범죄 및 경범죄 사건에 대한 모바일 기기 포렌식 툴 사용 영장 수백 건을 검토했다. 업턴 측은 경찰이 종종 사소한 사유로 기기 잠금 해제를 정당화하려 했다고 말한다. 게다가 영장의 요청 범위는 주로 경찰이 스마트폰 잠금 해제를 하게 되는 특정한 정보에만 국한되지 않았다. 대신 영장과 모바일 기기 포렌식 툴 모두 경찰들이 사건 용의자와 관련된 모든 것을 살펴볼 수 있도록 한다.
2017년, 미니애폴리스와 30분 거리에 있는 미네소타주 쿤 래피즈 지역 경찰이 70달러 때문에 청소년 두 명이 싸운 사건을 해결한 적이 있다. 업턴이 확보한 당시 수색 영장에서 어느 한 경찰관은 문자에 "70달러가 다툼의 내용이 포함이 됐을 가능성"을 확인하기 위해 스마트폰 데이터가 필요하다는 결정을 내렸다고 주장했다. 경찰은 사건 현장에 출동한 뒤 싸움을 한 청소년 모두 체포했으며, 결국 사건 당사자 모두가 사용하던 스마트폰의 데이터 사본을 모두 확보했다. 그중에는 통화 내역과 텍스트 및 이메일 콘텐츠, 인터넷 검색 내역, GPS 데이터 등이 포함됐다.
보고서에는 경찰이 취득한 데이터 때문에 용의자들이 추가 혐의를 받게 되는지에 대해서는 상세히 기술되지 않았다. 그러나 업턴 측은 경찰이 사건 관계자들의 기기에서 얻은 데이터들이 삭제되는 경우가 매우 드물다는 사실을 확인했다. 뉴멕시코주와 유타주, 캘리포니아주 경찰들은 수사와 직접적인 관련이 없는 데이터를 삭제해야 한다. 그러나 미국 내 거의 모든 주에서는 이를 따르지 않는다. 앞서 언급된 지역 외 다른 주에서는 용의자로 지목된 스마트폰 사용자가 무죄 판결을 받더라도 경찰이 확보한 데이터를 보관하는 것이 합법이다.
켑키 박사는 "(피고 측 변호사들에게서) 들은 바에 따르면, 더욱 강력한 범죄 혐의 기소 혹은 더욱 심각한 범죄 가능성 등과 같은 이유 때문에 경찰이 스마트폰 기기 데이터에 접근할 목적으로 시민을 체포하는 경우도 있습니다"라고 말했다.
켑키 박사는 앞서 언급된 사건의 경찰들은 스스로 '수색 영장 발급 예외'의 부적절한 해석에 해당하는 행위를 취하는 것이라고 설명한다. 수색영장 발급 예외 원칙 때문에 경찰은 수사 과정에서 범죄 증거를 수색해, '수색 영장 발급 예외'에 해당하는 다른 범죄의 증거를 찾을 수 있다. 도난당한 신용카드 때문에 경찰이 차량을 수색하고는 코카인을 발견하는 상황을 상상해보아라.
켑키 박사는 모바일 기기 포렌식 툴이 매우 강력해, 경찰이 한 개인의 개인 정보 데이터에 광범위하게 접근할 수 있다고 말한다. 업턴의 보고서에서 발견된 바와 같이 이러한 영장 때문에 법률 집행기관은 특정 범죄 사건뿐만 아니라 용의자의 삶까지 수사하게 된다.
켑키 박사는 "디지털 왕국에서 수색 영장 발급 예외에 대한 개념은 완전히 복잡하다. 그 주된 이유는 모바일 기기 포렌식 툴을 이용해 원하는 방식으로 데이터를 분류할 수 있기 때문"이라고 전한다.
업턴은 경찰서 44곳에서 스마트폰의 데이터를 획득한 사건이 5만 건에 육박한다는 사실을 확인했다. 그러나 켑키 박사는 실제 사례는 더 많을 것이라고 생각한다. 미국 내 규모가 가장 큰 일부 경찰서에서는 경찰서의 기록 요청을 두고 싸우기도 했다. 뉴욕, 볼티모어, 워싱턴DC, 보스턴 경찰서는 모바일 기기 포렌식 툴 사용 여부와 관련된 상세 정보 제공을 거부했다. 켑키 박사는 지금도 스마트폰 기기의 데이터에 접근하기 위한 합법적인 절차가 지금도 진행 중이라고 말한다.
![[사진=Freepik]](/news/photo/202010/2438_3455_3746.jpg)
뉴스레터 신청