'만약 뽀록나면 넌 빠지는 거다'
22일 오후 서울 양천구 남부지방검찰청. 김형식(44) 서울시의원의 '살인교사' 혐의 입증을 위해 조사를 벌여온 검찰은 수사결과를 발표하는 자리에서 그 동안 공개하지 않았던 새로운 카카오톡 메시지를 공개했다.
검찰은 "(해당 메시지는)김 의원의 혐의를 입증할 유력한 정황 증거"라며 "이 외에도 김 의원의 휴대폰을 복원해 김 의원과 팽씨가 과거에 보낸 문자·카카오톡 메시지가 많지만 (재판에 대비해)일부만 공개한 것"이라고 설명했다.
검찰이 공개한 메시지 중에는 팽씨가 지난해 9월 김 의원에게 보낸 '오늘 안되면 내일 할거고 낼 안되면 모레 할꺼고 어떻게든 할꺼니까 초조해 하지마라' 등 메시지와 김 의원이 지난해 11월 팽씨에게 보낸 '다시는 문자 남기지 마라' 등의 메시지도 있었다.
통상 카카오톡을 통한 대화는 서버에 저장해두는 기간이 5∼7일인데 검찰은 어떻게 지난해 9월 메시지 내용까지 '복구'할 수 있었던 걸까.
이 시각 인기 뉴스
검찰 관계자는 "카카오톡 서버 압수를 통해 저장된 메시지를 복원했다면 최장 7일 간 기록만 확보할 수 있지만 김 의원 휴대폰을 복원했기 때문에 가능했다"고 설명했다.
'초기화'하지 않은 김 의원의 휴대폰을 디지털포렌식 기법으로 분석해 김 의원이 과거 팽씨와 메시지를 주고 받은 뒤 삭제한 내용을 복원했다는 것이다.
전문가들에 따르면 이같은 방식으로 과거 지워진 카카오톡 메시지를 복원하는 건 이론적·기술적으로 가능하다.
스마트폰을 이용해 주고 받은 메시지 등은 파일 형식으로 저장장치에 저장되는데 메시지를 '삭제'한다고 해서 해당 파일 자체가 사라지는 게 아니기 때문이다.
최형기 성균관대 컴퓨터공학과 교수는 "일반인들이 컴퓨터나 스마트폰을 다루며 실행하는 '삭제(delete)'의 개념은 저장 매체 안에 있는 파일 자체를 물리적으로 지우는 게 아니고 데이터는 그대로 있는데 거기에 연결되는 연결고리만 끊는 것"이라고 설명했다.
때문에 컴퓨터나 스마트폰 등의 저장 장치에서 '삭제'하더라도 추후 해당 파일을 물리적으로 찾아내 복원(undelete)하면 복구할 수 있다는 것이다.
일반인이 이런 방법으로 카카오톡 메시지를 복원하는 건 쉽지 않지만 전문 장비를 갖춘 업체 등에 데이터 복구 등을 의뢰하면 1~2일 뒤면 비교적 간편하게 복원된 일부 메시지를 받아볼 수 있다는 게 전문가들 설명이다.
다만 저장 장치의 용량이 부족할 때에는 과거 파일 자체가 지워질 수 있다.
최 교수는 "(메시지 등을)삭제한 뒤 스마트폰 등을 사용할 때 저장 매체의 용량이 부족하면 과거 파일에 '덮어쓰기(overwright)'가 되기 때문에 복원력이 떨어진다"고 설명했다.
그러면서도 "휴대폰은 특정 앱을 다운 받아 강제적으로 '오버라이트' 하지 않는 이상 과거 파일들이 대체로 보관돼 있을 가능성이 크다"며 "오버라이트가 됐더라도 기술적으로 사실상 어느 정도 복원은 가능하다"고 덧붙였다.
스마트폰에서 데이터가 저장될 때 물리적으로 연속적인 매체에 하는 게 아니고 저장 장치 내부에 '랜덤식'으로 몇 군데에 나뉘어서 저장이 되기 때문에 '오버라이트'로 인해 한 개의 파일이 온전하게 지워질 가능성은 낮다는 설명이다.
예를 들어 한 개의 파일이 저장 장치 내부에서 5군데로 쪼개져서 '랜덤하게' 저장이 되는데 그 파일을 지운 뒤 추후 5곳 중 2곳이 오버라이트가 됐다면 해당 부분을 제외한 3곳의 파일 '조각'들은 복원할 수 있다는 것이다.
단순히 '삭제'에 그치지 않고 휴대폰을 완전히 초기화한 경우라면 어떨까.
검찰과 전문가에 따르면 초기화한 경우에도 어느 정도 복원이 가능하다.
이상호 남부지검 차장검사는 "초기화를 몇 번 해도 기술력이 있으면 사실상 복원할 수 있다"며 "하드디스크 등을 망가뜨리는 '디가우징'을 하지 않는 이상 거의 모든 자료를 살릴 수 있다"고 말했다.
최형기 교수도 "일반적으로 휴대폰을 초기화한다고 했을 때 몇십분에 걸쳐 초기화 되는 건 사실상 완벽한 초기화가 아니다"며 "그런 경우 저장 데이터들을 완전히 지운 게 아니기 때문에 기술적으로 복원이 가능하다"고 말했다.
