엔론 수사의 최대 관건은「디지털 고고학?」

파산한 에너지 기업 엔론(Enron)과 이 회사를 감사한 아더 앤더슨을 둘러싼 이번 스캔들에서, 디지털 사무실은 서류 파기와 회복이라는 측면에서 측정할 수 없는 엄청난 변화를 보여준다. 그 이유는 통상 사무실에서 사용되는 분쇄기가 대부분의 서류 원본이 저장된 컴퓨터에는 영향을 주지 못하기 때문이다.수사관들이 분쇄된 서류 조각들을 거대한 퍼즐처럼 맞출 생각을 하고 있는 동안, 컴퓨터범죄 전문가들은 데스크톱 컴퓨터, 랩톱, 이메일 서버, 백업 테이프, 그리고 엔론의 몰락과 관계된 모든 종류의 디지털 미디어에 저장된 정보와 사건은폐를 위한 증거에 대한 검토를 준비하고 있다. 이는 실제 종이를 갖고 하는 작업보다 훨씬 쉽다.시애틀에 있는 컴퓨터 포렌직스(Computer Forensics)의 설립자이자 대표인 존 펠드맨은 "대부분의 사람은 컴퓨터가 계속 돌아가는 테이프 레코더라는 사실을 깨닫지 못한다. 그러나 사실 그렇다. 컴퓨터는 우리의 문화가 가졌던 것중 우리의 모든 생각과 단어를 기록하는데 있어서 최고의 것이다. 그런데도 우리는 컴퓨터를 이런 측면에서 바라보도록 교육받지는 않았다"라고 말했다.MS 반독점 소송에서 법무부의 변호사들이 이메일 기록을 손상시킴으로써 소프트웨어 황제 빌 게이츠를 당황하게 한 지 3년이 지난 지금, 디지털 흔적은 계속해서 사적인 행위에 관해서 놀라울 정도로 상세한 그림을 제공하고 있다. 비록 엔론의 몰락에 관한 범죄학적인 상세한 사실들은 아직 공개되지 않았지만, 강력한 데이터 복구 기술은 문제점으로 둘러싸인 엔론의 내부구조에 한줄기 빛을 비출 수 있을 것이다. 엔론은 지난 12월 불법적인 회계로 고발을 당하던 와중에 갑자기 파산했다.서류를 파기하려던 시도는 엔론의 몰락과 엔론이 회계 회사인 앤더슨을 어떻게 다뤘는지에 관해서 제일의 관심사가 됐다. 연방 수사관들은 엔론이 사기행위에 관련된 사실을 앤더슨이 인지하고 있었다는 사실을 보여주는 서류를 없애려한 혐의로 앤더슨의 사원들을 고소했다.특히 수사관들은 10월 23일에 있었던 회의에 주목하고 있다. 이 회의에서 앤더슨의 파트너인 데이빗 던컨은 증권거래위원회가 엔론에 재정기록을 요청했다는 사실을 알고 나서 서류를 파기하려는 노력을 요청했던 것으로 알려졌다.지난 달에 있었던 의회청문회는 이메일과 다른 서류의 파기에 관해서 검토했는데, 자신의 역할에 대해서 질문을 받은 던컨은 자신을 범죄자로 만들 수 없다는 헌법 5조를 사용, 이를 회피했다.데이터 솎아내기엔론 수사에서 컴퓨터 증거가 두드러지게 사용될 것이라는 신호중의 하나로 앤더슨은 지난주 텍사스의 컴퓨터 범죄 회사 ASR DAA(Data Acquisition and Analysis) 세다 팍을 고용해 지워지거나 덧씌여진 디지털 데이터를 복구하도록 했다.수사나 재판에 이용될 수 있는 서류를 보존해야한다는 의무는 기업체나 정부기관에 잘 알려져 있다. 그러나 이러한 법적 원칙을 디지털 데이터로 확장하는 것은 수년 전까지는 모호한 문제였다. 많은 변호사들은 그들의 고객이 파일들을 덮어썼을 때 법률을 위반하고 있다는 사실을 깨닫지 못했다고 주장했으며 일부는 성공했다.3년전 이러한 주장은 끝이 났다."빌 게이츠가 범죄적인 이메일의 대표로 부각됐을 때 잘 몰라서 그랬다는 대응은 의미가 없어졌다"고 펠드만은 말했다. 전국 TV로 방송된 당시 MS CEO 빌 게이츠 증언의 비디오 테이프에서 반독점 소송의 정부측 변호사들은 MS 경영진들이 보낸 이메일을 복구해 이를 읽어내려 갔다. "이 문제에 있어서 사람들이 잘 몰랐다는 변명이 통할 수 있었던 최후의 희망도 순간 날아가 버렸다."다른 디지털 파일처럼 이메일은 '엔론'이나 '넷스케이프'같은 키워드를 사용해 검색하기가 쉽다. 그러나 다른 디지털 파일과 달리 이메일은 대개의 사용자들이 이를 은폐하려고 하는 경우 생각하지 못한 곳에 복사본이 만들어진 경우가 많다.이메일을 작성하는 과정에서 복사본은 이메일 프로그램의 '송신' 박스에 존재할 수도 있으며, 이 박스는 클라이언트의 하드 드라이브나 회사의 백업 테이프에 남아있을 수도 있다. 이는 그 이메일이 송신되기도 전에 말이다.한 번 배달되면 이메일은 송신 컴퓨터와 수신 컴퓨터 사이에 존재하는 다수의 서버에 남을 수도 있다. 이는 목적지에 도달한 이후 재송신했을 때 생기는 얽히고 설킨 수신자들을 제외한 것이다. 또한 데스크톱 컴퓨터, 랩톱, PDA가 동기화할 때 추가로 복사본이 만들어질 수도 있다.펠드만은 "이해가 잘 안된다면 토끼를 생각하라. 토끼의 어마어마한 생식 본능을 생각하고, 이를 되돌려놓는다고 상상해보라. 이메일을 제거하려는 사람은 비슷한 일을 해야하기 때문에 우리가 이길 수밖에 없다"고 말했다.검색과 파괴엔론과 아더 앤더슨 사건과 같은 상황에 접근하는 컴퓨터 범죄 수사관들은 디지털 파일의 잠재적인 근원을 수집하는 것으로 작업을 시작한다. 기업의 백업 테이프는 하드 드라이브로 복사돼 엄청난 양의 정보가 검색되고 분류된다.그 다음 수사관들은 개개의 컴퓨터로 눈을 돌린다. 수사 대상에 오른 개인의 두 개 혹은 세 개의 컴퓨터가 목표가 된다. 예를 들면, 사무실의 데스크톱, 랩톱, 그리고 집의 컴퓨터 말이다.대상 컴퓨터를 부팅하는 대신에 수사관들은 하드 드라이브의 증거 복사본을 만들어 컴퓨터에 저장된 모든 것(지워진 파일을 포함해서)을 보존한다. 이 복사본은 수사관들이 증거 조작과 관계된 고발을 피할 수 있도록 한다.펠드만은 "컴퓨터에 있는 파일을 직접 조사하는 것에 덧붙여, 그것을 열어서 읽게 되면, 이 파일의 메타 데이터가 변하게 된다. 즉 최근의 접근 시간과 날짜가 변하게 된다. 만약 더 이상의 일을 하면 파일이 수정될 수도 있다. 따라서 검토하기 전에 있던 그대로 내용을 솎아내고 쭉 훑어보는 것은 매우 어렵다. 증언하려면 마치 면도날로 된 바다에서 춤을 추는 꼴이되어 바보처럼 보이기 시작할 것"이라고 말했다.수사관들이 복사본을 갖게 되면, 특수 소프트웨어 툴을 사용해 데이터를 파낼 수 있는 실험실로 이를 보낸다. 인기있는 소프트웨어 스위트의 하나는 엔 케이스(En Case)이다. 캘리포니아주 파사디나에 있는 가이던스 소프트웨어가 제작한 이 툴은 하드 드라이브를 검사하고, 지워진 파일을 인식하고, 그 위치를 찾아내며, 텍스트 검색과 같은 다른 분석 수법들을 지원한다.이 소프트웨어는 또한 지워진 파일이 부분적으로 덮어씌여 졌는지 여부를 수사관에게 알려주는데 이 경우 데이터의 일부가 복구될 수 있다.그러나 정보를 은폐하려는 사람들은 대개 덮어쓰기를 한 번만 하지는 않는다. 닉슨의 백악관 테이프에서 지워진 18분 30초를 검사했던 것을 비롯해 유명한 사건에서 필수적인 증거들을 검사했던 로스앤젤레스에 위치한 포렌직 오디오 랩(Forensic Audio Lab)의 수사관인 안소니 펠리카노는 정부의 일반적인 관행은 네 번 덮어쓰는 것이라고 말했다. 다른 컴퓨터 범죄 전문가에 따르면, 국방부의 정책은 일곱 번 덮어쓰기라고 말했다.펠리카노는 "휴지통에 파일을 끌어다 놓고 휴지통을 비우면 단지 포인터만 사라지게 된다. 그러나 파일을 지우고 그 위에 덮어쓰면 이를 복구할 길은 전혀 없다"고 말했다.컴퓨터 범죄 전문가들은 정보 위에 덮어쓰는 것과 파일을 고의적으로 없애는 행위를 구분한다. 지워진 파일은 사용자가 모르는 사이에 부분적으로 덮어씌여질 수 있다. 그러나 누군가 파일을 완전히 닦아버릴 결심을 한다면, 노턴 유틸리티의 와이프 인포(Wipe Info)와 같은 소프트웨어의 도움을 받아 반복적으로 처음부터 끝까지 하게 된다.이러한 구분은 범죄학적 이상의 의미를 갖는다. 수사관들, 변호인들, 그리고 하원의원들은 법원이 볼까 우려해 누군가 고의적으로 정보를 지워버렸는지 알아내는 것에 특히 관심이 많다.컴퓨터 포렌직스의 펠드만은 "우리는 자체로는 불법이거나 비윤리적이지 않은 파일 분쇄 프로그램을 누가 사용했는지 시스템 기록을 찾는다"라고 말했다.증거의 보고횡령 문제나 서류파괴를 다루는 프로스카우어 로즈의 변호사 크리스토퍼 월프는 사용자들이 수사나 소송에서 사용될지도 모르는 항목들을 보존해야 한다고 말했다.추후에 소송 관련자들은 판사에게 증거로 서류를 요청할 수 있다. 그러나 수사가 시작된 후 이를 파괴하면 큰 문제에 직면할 수 있다.한 가지 문제는 공무집행방해 혐의를 뒤집어 쓸 수 있다는 것이다. 민사소송에서는 판사가 배심원단에 서류를 파괴한 당사자들의 의도를 질문하도록 허용할 수도 있다. 예를 들어 특정 사건의 판사들은 배심원들에게 서류가 파괴됐다는 이유만으로 없어진 서류들이 불리하다고 판단해야 한다고 말할 수 있다. 배심원들이 서류 내용을 보지 못했어도 말이다.월프는 많은 사건에 있어서 디지털 서류들이 증거의 보고처럼 돼버렸다고 말한다. 그는 "사람들은 복사기 시대에서는 안했을 말도 이메일과 이메일의 파일 추가를 통해 하고 있다"라고 언급했다. 그러나 아더 앤더슨과 엔론의 컴퓨터에서 데이터를 복구하려는 노력의 성공여부는 다른 요인에도 달려있다. 최소한 데이터를 파괴하려 했던 측의 현명함과 결심이 여기에 포함된다."마치 개구리뛰기 경주 같다. 데이터 복구 기술이 발전함에 따라 데이터 파괴 기술도 따라서 발전한다"고 ASR CEO인 앤드류 로센은 말했다.그의 임무를 디지털 고고학에 비유한 로센은 지워진 정보를 복구하는 것보다 이들을 연결해 시간대를 구축하여 실제 어떤 일이 일어났는지 얘기하는 것이 어렵다고 말했다.그는 "단순히 데이터를 복구하는 것은 가장 쉬운 일의 하나다. 그러나 누가 무엇을 어디서 왜 했는지 알아내는 일은 상당한 분석을 요구한다"라고 말했다. @