국정농단 핵심물증·대통령 탄핵 시발점…"증거가 조작되었다면?"
편집국 기자 | 2017-01-31 12:00
JTBC의 태블릿 조작과 검찰 압수절차의 위법
JTBC는 2016. 10. 24. 최순실의 태블릿pc를 처음 보도하였다. 그 태블릿 안에는 200여개의 국가기밀 파일이 들어있다고 했고, JTBC의 보도 이후, 모든 언론은 대통령이 사교에 빠져 무당같은 사람의 지시에 놀아난 것으로 보도했고, 최순실이 온갖 국가기밀문서를 보고받고 대통령에게 지시를 내린 것처럼 보도했다. JTBC의 태블릿PC가 국정농단의 증거로 제시되었고, 박근혜 대통령 탄핵의 시발점이 되었다.
하지만, 지금까지 200여개의 국가기밀이 들어있다는 태블릿PC를 본 사람은 아무도 없다. 검찰은 실물을 내놓지 않고 있고, 태블릿PC를 검증 및 감정하자는 요구에 대해 검찰, 특검, 언론은 온갖 핑계를 대며 이를 회피하고 있다. 헌법재판소 마저 태블릿PC를 감정한 감정결과보고서 송부촉탁요청에 대해 감정결과보고서 존재 여부가 불투명하다는 이유 등으로 증거채택을 보류하더니, 1월 17일에는 태블릿PC와 관련하여 수사기관이 작성한 목록에 대해 증거채택을 하지 않겠다고 함으로써 헌재 탄핵심판절차에서 태블릿PC에 대한 검증 여지를 없애 버렸다.
방송통신심의위원회 역시 허위거짓보도에 대한 심의요청을 받은 지 한 달이 넘었지만, 탄핵심판 이후에 심의를 하겠다며 심의를 미루고 있고, 지난 19일 애국시민들이 방통위 위원장 면담을 요청하였지만, 방통위원장은 연락을 끊고 잠적하기까지 하였다. 현재 어느 누구도 국정농단의 증거이자 대통령 탄핵의 시발점이 된 JTBC 태블릿 조작여부를 밝히려고 하지 않고 그냥 덮으려고만 한다.
검찰은 최순실을 기소할 때, 최순실의 것이 분명하다고 했던 태블릿PC를 증거에 포함시키지 않았고, 최순실의 변호인이 태블릿PC 감정을 요청했지만, 검찰의 거부 등으로 증거채택이 되지 않았다. 다만, 정호성 비서관을 공무상비밀누설죄로 기소할 때, 태블릿PC안에 들어있던 파일 중 3개의 출력물을 증거에 포함시켰는바, 정호성 비서관에 대한 재판과정에서 태블릿PC에 대한 감정이 진행되고 증거능력에 대한 판단이 내려지기를 기대한다.
아래에서는 먼저, 일반론으로 디지털 증거의 성격과 디지털 증거의 증거능력을 인정하기 위한 요건을 살펴본 후, JTBC의 태블릿PC 입수경위에 대한 허위보도와 JTBC 보도화면을 통해 드러난 태블릿PC 조작행위를 지적하고, 증거능력 유무를 살펴보겠다. 또한 검찰의 압수수색과정에서 영장주의 위반과 디지털 증거 압수지침을 위반하였는지 살펴보고, 마지막으로 JTBC 태블릿이 위법수집증거에 해당하여 증거능력을 부정해야 하는지 판례검토를 통해 살펴보겠다.
1. 디지털 증거에 대한 일반론
가. 디지털 증거의 성격
디지털 증거는 ①원본과 사본 구분의 곤란성, ②변개의 용이성, ③익명성, ④대량성, ⑤전문성, ⑥비가시성·비가독성, ⑦네트워크 관련성 등의 특징을 가진다. 이 중, 이번 JTBC 태블릿 조작 사태와 관련된 주요특징은 “변개의 용이성”과 “익명성”이다.
“변개의 용이성”이란 디지털 정보에 대한 수정 및 삭제 등 편집이 용이하다는 것으로 이러한 점 때문에 디지털 정보는 지체없이 신속하게 수집할 필요가 있고, 디지털 포렌식1) 절차를 통하여 수집된 증거가 변경되지 않았음을 입증해야 한다.
“익명성”이란 일반문서와 달리 컴퓨터에 있는 정보들은 작성자의 서명에 의한 확인이 불가능한 것이 대부분이어서 누구에 의해 만들어진 정보인지 확인하기 어렵다. 예를 들어, 전자우편의 경우 작성자(ID 소지자)가 실제로 해당 전자우편을 작성하여 보내지 않았을 가능성이 있고, 특히 사용된 컴퓨터가 소유자뿐만 아니라 타인이 사용하기 쉬운 상태에 있는 경우에 타인이 해당 기기를 사용하여 작성한 정보이거나 타인의 아이디를 이용하여 인터넷 게시판에 명예훼손이나 음란물을 게재한 경우 등이 그러하다. 이러한 익명성 때문에 접속정보, IP주소 추적 등 관련 정보를 분석할 능력이 있는 전문가의 도움이 필요하다. 특검은 장시호로부터 입수한 제3의 태블릿(8월 출시모델을 7월부터 사용한 것이라 함)이 최순실의 것이라는 근거로 이메일 접속사실을 언급했는데, 타인이 최순실의 아이디로 접속하는 것도 가능하므로 그것만으로는 최순실의 것이라 단정할 수 없다(익명성).
나. 디지털 증거의 증거능력 인정을 위한 요건
일반적으로 디지털 증거를 증거로 사용하기 위해서는 수집절차의 적법성이 확보되어야 하고, ① 동일성 내지 무결성, ② 진정성, ③ 신뢰성, ④ 원본성 등의 문제가 해결되어야 한다.
이 중 디지털 증거에 특유한 증거능력에 대하여 언급하고 있는 판례2)가 중요하게 여기는 것은 ① 동일성 내지 무결성과 ③신뢰성이다.
‘동일성 내지 무결성’은 디지털 증거는 다른 증거와는 달리 변개의 용이성으로 말미암아 최초 증거가 생성되어 저장된 매체에서 법정에 제출되기까지 변경이나 훼손이 없었다는 점이 입증되어야 한다는 것인데, 실무상 검찰은 ‘디지털 포렌식 수사관의 증거 수집 및 분석 규정’(대검찰청 예규 제805호)을 마련하여 시행하고 있다. 대검찰청 예규에 대해서는 아래에서 자세하게 살펴보겠다.
‘신뢰성’은 디지털 증거는 변조가 용이하고 의도적, 비의도적 조작에 취약하므로 신뢰성이 보장되어야 할 필요가 있고, 신뢰성을 인정하기 위해서는 디지털 포렌식 전문가의 신뢰성과 디지털 포렌식 도구와 방법의 신뢰성이 요구된다는 것이다.
다. 관련 대법원 판례
(1) 일심회 사건(2007. 12. 13. 선고 2007도7257 판결)
“압수물인 디지털 저장매체로부터 출력한 문건을 증거로 사용하기 위해서는 디지털 저장매체 원본에 저장된 내용과 출력한 문건의 동일성이 인정되어야 하고, 이를 위해서는 디지털 저장매체 원본이 압수시부터 문건 출력시까지 변경되지 않았음이 담보되어야 한다. 특히 디지털 저장매체 원본을 대신하여 저장매체에 저장된 자료를 ‘하드카피’ 또는 ‘이미징’한 매체로부터 출력한 문건의 경우에는 디지털 저장매체 원본과 ‘하드카피’ 또는 ‘이미징’한 매체 사이에 자료의 동일성도 인정되어야 한다”고 하여 디지털 증거의 동일성을 디지털 증거의 증거능력을 부여하기 위한 요건으로 꼽고 있다.
또한 “이를 확인하는 과정에서 이용한 컴퓨터의 기계적 정확성, 프로그램의 신뢰성, 입력·처리·출력의 각 단계에서 조작자의 전문적인 기술능력과 정확성이 담보되어야 한다.”고 하여 신뢰성 요건도 확보되어야 함을 요구하고 있다.
(2) 왕재산 사건’(2013. 7. 26. 선고 2013도2511 판결)
“압수물인 컴퓨터 디스크 그 밖에 이와 비슷한 정보저장매체에 입력하여 기억된 문자정보 또는 그 출력물을 증거로 사용하기 위해서는 정보저장매체 원본에 저장된 내용과 출력 문건의 동일성이 인정되어야 하고, 이를 위해서는 정보저장매체 원본이 압수시부터 문건 출력 시까지 변경되지 않았다는 사정, 즉 무결성이 담보되어야 한다”라고 하여 동일성 및 무결성을 요건으로 하고 있다.
그러한 담보 방법으로 피압수, 수색 당사자가 정보저장매체 원본과 하드카피 또는 이미징한 매체의 해쉬(Hash)값이 동일하다는 취지로 서명한 확인서면을 교부받아 법원에 제출하는 것이 원칙이나 그와 같은 방법에 의한 증명이 불가능하거나 현저히 곤란한 경우에는 정보저장매체 원본에 대한 압수, 봉인, 봉인해제, 하드카피 또는 이미징 등 일련의 절차에 참여한 수사관이나 전문가 등의 증언에 의하여 정보저장매체 원본과 하드 카피 또는 이미징한 매체 사이의 해쉬 값이 동일하다거나 정보저장매체 원본이 최초 압수된 시점부터 밀봉되어 증거제출시까지 사이에 전혀 변경되지 않았다는 등의 사정을 증명하는 방법 등을 사용할 수 있다.
왕재산 사건의 원심법원 및 대법원은 이적표현물 소지로 인한 찬양·고무의 점에 관한 증거로 제출된 MP3 파일에 대하여 압수 수색이 개시된 이후에 위 파일이 저장된 하드디스크에 접속한 흔적이 있고 그 접속 경위에 대하여 납득할만한 해명이 없다는 이유로 정보매체의 원본이 문건 출력시까지 변경되지 않은 것으로 단정할 수 없다고 하여 증거능력을 부정한 바 있다.
2. 태블릿PC 입수경위의 문제점 및 JTBC의 태블릿PC 증거조작
가. 태블릿 입수경위의 문제점
디지털 증거를 증거로 사용하기 위해서는 우선적으로 수집절차의 적법성이 확보되어야 하는데, JTBC 태블릿은 입수경위부터 불투명하다. JTBC가 태블릿을 입수한 경위에 대한 설명을 처음부터 살펴보면 아래와 같다.
(1) 서복현 기자는 2016. 10. 24. JTBC 뉴스프로그램에 나와 서복현 기자가 포함된 취재팀이 최씨의 행적을 추적했고 최씨가 사용하던 사무공간 가운데 한 곳에서 최씨측이 건물관리인에게 처분해 달라고 하면서 두고 간 짐들이 있었고 관리인의 양해를 구하여 그 짐을 확인하는 과정에서 최씨의 PC를 발견했고 해당 PC에는 200여 개의 파일이 들어 있었다고 하였다. 태블릿의 입수 경위에 대한 서복현 기자의 이런 설명은 심수미 기자의 해명보도와 완전히 다르다.
(2) 또한 2016. 10. 25.경 언론은 검찰관계자가 JTBC 취재진이 독일 현지에서 최씨 주거지 쓰레기통에 버려진 태블릿 PC 1개를 확보해 국내에 보내 온 것으로 보이며 최씨가 독일에서 집을 옮기면서 해당 태블릿 PC를 경비원에게 버리라고 줬는데 경비원이 이를 쓰레기통에 버린 것으로 추측된다고 발언한 것으로 보도하였습니다. 2016. 10. 25.경 심수미 기자가 독일 현지에 있었으므로 검찰관계자가 이와 같은 발언을 한 것은 JTBC 취재진과의 의사 소통이 있었던 것으로 추정된다.
(3) 태블릿과 같은 작은 부피의 물건을 이사 가면서 쓰레기통에 버리고 간다는 것이 상식적으로 납득이 되지 않는다는 등의 비판이 일자, JTBC는 2016. 12. 8.자 자사의 뉴스룸 프로그램에서 태블릿PC 입수 경위를 번복하였는데, 10월 18일 더블루K 사무실 책상 위에서 태블릿PC를 처음 발견했고, 20일에 다시 가서 가져왔다고 설명했다.
(4) 그런데, JTBC 손용석 기자가 방송기자연합회보에 11월 28일 기고한 '제97회 뉴스부문 특별상_최순실 게이트_JTBC 특별취재팀 손용석 기자' 취재 후일담 칼럼에서 최순실이 쓰던 태블릿PC를 입수해 아지트에서 200여개의 파일을 분석한 내용을 상세히 서술하였는데, 이것은 JTBC의 위 해명보도와 정면으로 상충된다.
손용석 기자는 전진배 사회2부장을 비롯한 팀원들과 상암동 아지트에 모여 200개가 넘은 파일의 흔적을 분석하는 작업을 한 후에 먼저 10월 19일 고영태 발언인 ‘회장(최순실)이 잘하는 건 연설문 고치는 것’을 토대로 보도한 뒤 반응을 기다렸는데, 청와대에서 ‘지금이 봉건시대냐’는 입장을 내놓자, 10월 24일 ‘대통령 연설문 수정’을 시작으로 최순실 파일을 본격 보도했다고 했다. 손용석 기자의 증언대로라면 JTBC는 최소한 19일 한참 이전에 태블릿PC를 입수, 전진배 사회 2부장이 중심이 되어 상암동 비밀 아지트에서 분석을 해놓고, 먼저 고영태의 ‘최순실 연설문’ 관련 보도를 내보내 청와대의 반응을 기다린 뒤, 청와대에서 부인하자, 10월 24일 태블릿PC 파일을 꺼내 집중 보도했다는 것이다. 손용석 기자의 설명대로, 19일보다 한참 전에 태블릿PC를 구했다면 그건 더블루K 사무실에서 구한 것일 수가 없다.
또한 심수미 기자는 2016. 10. 25. 독일에서의 자신의 보도 내용에서 5일 전인 2016. 10. 20.에 독일에 도착했다고 했으므로, 10월 20일 더블루K 사무실에서 태블릿PC를 입수했다는 보도와 모순된다.
JTBC는 10월 24일 보도 이후, 검찰에 위 태블릿PC를 제출했다고 하는데, JTBC가 10월 19일 훨씬 전에 입수한 후, 검찰에 임의제출할 때까지 자체적으로 파일을 분석하는 등 긴 시간동안 가지고 있었다. 디지털 증거는 변개의 용이성 때문에 지체없이 신속하게 수집되어야 하는데, JTBC가 검찰에 제출하지 않고 자체적으로 분석하는 동안 변개되어 동일성 내지 무결성이 훼손되는 등 오염되었을 가능성이 높다. JTBC 방송보도 화면에서 실제 조작되었다는 증거가 드러났는바, 아래에서 살펴보겠다.
(1) 외부 파일을 태블릿으로 무단 다운로드한 점
2016. 10. 26. JTBC가 방송한 동영상3)을 살펴보면, JTBC가 2016. 10. 18. 임의로 USB 등의 외부 저장장치로부터 파일을 태블릿으로 다운로드 받은 것을 알 수 있다.
▲ 작년 10월 26일 JTBC가 방송한 보도 동영상 모습. 태블릿 외부 다운로드 표시창을 확인할 수 있다./사진=JTBC 뉴스룸 캡처
위 화면의 하단 상태표시바에 삼지창 형태의 마크가 있는데, 이것은 USB가 연결되었을 때 나타나는 마크이고, 아래 방향의 화살표가 2개 보이는데, 이것은 외부로부터 파일이 다운로드 되었을 때 나타나는 표시이다. JTBC가 디지털 증거로 사용될 태블릿을 입수하여 임의로 충전하고 USB 같은 외부 저장장치에 있는 파일을 임의로 태블릿으로 다운로드 하여 이동시켰다는 것이 화면상 명백하다. 디지털 증거는 최초 증거가 저장된 매체에서 법정에 제출되기까지 변경이나 훼손이 없었다는 무결성이 입증되어야 증거능력을 가지는 것인데, 위 화면을 볼 때 무결성은 부정되어야 한다.
(2) 안드로이드 운영체계에서 반복 다운로드된 파일명으로 볼 수 없는 파일의 존재
JTBC가 입수했다는 태블릿은 삼성의 갤럭시탭 SHV-E140S 이며, 그 운영체제는 구글의 안드로이드(Android)이다. 위 운영체제로 동일한 파일을 다운로드 받는 경우, 파일명은 원래의 파일명 다음에 (1), (2), (3),…… 이런 순서로 파일명이 자동적으로 입력되게 되어 있다(예; A(1).hwp, A(2).hwp, A(3).hwp…… 이런 식으로 파일명이 자동적으로 입력됨)
한편, 애플의 태블릿인 아이패드(iPad)는 “iOS”를 사용하는데, 이 경우 동일한 파일을 다운로드 받으면 파일명이 –1, -2, -3…… 형태로 자동적으로 입력되게 되어 있다.
그런데, 검찰이 최순실의 것이라고 주장하고 있는 태블릿에 저장되어 있었다고 하는 파일들 중에는 애플 아이패드의 운영체제인 “iOS”를 사용하는 기기에서 반복하여 다운로드될 때 매겨졌다고 볼 수 있는 파일들이 여러 개 존재하고 있다. 2012. 8. 12. 14:31:09 작성되어 다운로드된 “육영수 여사 제38주기 추도식 인사말씀” 6개, 2012. 11. 30. 13:32:53 작성되어 다운로드된 “11일차 서울유세문” 5개, 2014. 3. 14. 08:51:50 작성되어 다운로드된 ‘드레스덴 연설문’ 5개의 파일명은 –1,-2,-3의 형태로 저장되어 있다.
따라서, 위 드레스덴 연설문을 비롯한 파일들은 검찰이 주장하는 갤럭시탭 SHV-E140S 로 다운받은 것이 아니라, “iOS”를 사용하는 아이패드 기기에 의하여 다운로드 받은 것으로 태블릿 내부 파일을 조작하였다는 사실을 보여주는 증거이다.
(3) 외부 저장장치에 있는 오방낭 사진을 태블릿 속에 있는 파일로 속인 점
JTBC는 10월 25일자 뉴스보도에서 대통령 취임식을 끝낸 대통령이 광화문 광장에 있는 세종대왕상 앞에서 오방낭(오색비단으로 만든 복주머니)을 열고 그 속에 있는 메시지를 낭독하는 행사를 한 바 있는데, 오방낭 사진을 촬영한 지 1시간 정도 뒤에 최순실이 문제의 태블릿으로 그 사진을 열어보았다고 보도하면서 문제의 태블릿의 오방낭 폴더에 오방낭과 귀주머니 사진이 있다고 하였다. 아래 사진은 JTBC 보도영상4)에서 발췌한 것이다.
▲ 작년 10월 25일자 JTBC 보도영상. 오방낭 관련 태블릿 폴더./사진=JTBC 뉴스룸
위 화면을 보면, 오방낭 사진 파일의 위치가 ‘컴퓨터 → … → (G:) → 오방낭’으로 되어 있는데, 이는 USB 저장장치가 태블릿에 연결되어 있고, 그 USB는 G드라이브로 인식되고 있으며, G드라이브의 오방낭 폴더 안에 오방낭과 귀주머니 사진이 저장되어 있다는 것을 말해주고 있다. JTBC는 위 오방낭 사진이 최순실의 태블릿 속에 있다고 보도하였으나, 위 보도당시 오방낭 사진은 태블릿에 설치된 내장메모리에 저장된 것이 아니고, USB 같은 외장메모리에 저장되어 있는 것이 분명하다.
JTBC는 태블릿에 있는 파일을 데스크탑PC의 대형모니터로 옮겨서 보여주었다고 한 바 있어, 데스크탑PC가 태블릿의 메모리를 외부저장장치로 인식한 것이 아닌가 생각할 수 있다. 하지만, 태블릿을 데스크탑PC에 USB 모드로 연결해서 경로명을 확인하면, ‘컴퓨터 → 갤럭시탭 → Tablet’으로 나타나게 되는바, JTBC가 보도 당시 태블릿을 데스크탑PC에 연결하여 태블릿 속의 오방낭을 보여주었다면, ‘컴퓨터 → 갤럭시탭 → Tablet →오방낭’으로 나타났을 것이다.
따라서, JTBC는 오방낭 파일을 보도할 당시, 그 파일은 태블릿 저장메모리에 있었던 것이 아니라, USB 같은 외부 저장장치에 있었던 것이 명백하다.
다. 증거능력 여부
디지털 증거는 다른 증거와는 달리 변개의 용이성으로 말미암아 최초 증거가 생성되어 저장된 매체에서 법정에 제출되기까지 변경이나 훼손이 없었다는 무결성이 입증되어야 증거능력을 가지는 것인데, JTBC의 보도화면에서 변개된 흔적이 나타났으므로 무결성 요건 결여로 JTBC 태블릿과 태블릿 속에 들어있는 파일들은 증거능력이 없다.
3. 검찰의 태블릿 압수과정의 위법
가. 영장주의 위반
검찰 관계자는 2016. 10. 24. 19:30경 JTBC 조택수 기자로부터 최순실이 사용하였다고 주장하는 태블릿을 임의제출 받아 압수하였다.
형사소송법 제218조에서 ‘사법경찰관은 소유자, 소지자 또는 보관자가 임의로 제출한 물건을 영장없이 압수할 수 있다’고 규정하여 임의제출물은 영장주의의 예외를 인정하고 있다.
하지만 소유자, 소지자 또는 보관자가 아닌 자로부터 임의제출받을 경우에는 영장이 있어야 한다. 대법원도 폭처법위반(집단흉기등 상해) 사건에서 경찰관이 피고인 소유의 쇠파이프를 피고인의 주거지 앞마당에서 발견하였으면서도 그 소유자, 소지자 또는 보관자가 아닌 피해자로부터 임의로 제출받는 형식으로 위 쇠파이프를 압수한 후 압수물의 사진을 찍어 증거로 제출한 사안에서, 소유자, 소지자 또는 보관자가 아닌 자로부터 제출받은 물건을 영장없이 압수한 경우 그 압수물 및 압수물을 찍은 사진은 이를 유죄 인정의 증거로 사용할 수 없고, 헌법과 형사소송법이 선언한 영장주의의 중요성에 비추어 볼 때 피고인이나 변호인이 이를 증거로 함에 동의하였다고 하더라도 달리 볼 것은 아니라고 판시하였다(대법원 2010. 1. 28. 선고 2009도10092 판결).
그렇다면, JTBC가 태블릿PC의 소지자 또는 보관자5)에 해당하는지 문제된다. “교도관이 직무상 위탁받아 소지․보관하는 물건인 재소자 작성의 비망록을 수사기관이 압수하는 절차에 관하여는 형사소송법, 기타 법령에서 특별히 절차적 제한을 두고 있지 않으므로 검사가 교도관으로부터 그가 보관 중이던 피고인의 비망록을 뇌물수수 등의 증거자료로서 임의제출받아 압수한 경우 당해압수절차가 피고인의 승낙이나 영장 없이 행해졌더라도 적법절차를 위반한 위법은 없다”고 판시하여(대법원 2008. 5. 15. 선고 2008도1097 판결), 소지자 또는 보관자가 적법하게 위탁받아 보관하고 있었다면 적법한 처분권한을 가지고 있는지 여부와 상관없이 영장없이 임의제출할 수 있는 자에 해당한다.
하지만, JTBC는 이 사건 태블릿PC를 소유자로부터 적법하게 위탁받은 것이 아니라 절취한 것이기 때문에 소지 또는 보관 자체부터 위법하다. 형법은 범죄로 인하여 얻은 물건을 몰수하게 하고(형법 제48조 제1항), 형사소송법도 압수장물은 피해자에게 환부하도록 하고 있어(형사소송법 제134조제1항), 범죄행위로 물건을 취득한 자는 이를 소지하거나 보관할 권한이 없다. 따라서, ITBC는 태블릿PC의 소지자 또는 보관자의 지위에 있지 않다고 보아야 하므로 검찰은 임의제출물을 압수할 때 압수영장을 발부받아야 하고, 영장없이 태블릿PC를 압수한 행위는 영장주의를 위반한 것이라 본다.
나. 디지털 증거 압수지침 위반
검찰은 디지털 증거에 대해 ‘디지털포렌식 수사관의 증거 수집 및 분석 규정(대검찰청 예규 제805호)’을 제정하여 시행하고 있는데, 검찰은 JTBC 태블릿PC 압수시 위 예규를 준수하지 않은 것으로 보인다.
(1) ‘디지털포렌식 수사관의 증거수집 및 분석규정(대검 예규 제805호)’의 주요내용
위 예규에 의하면, 디지털증거의 수집, 분석 및 현출에 관하여는 따로 정한 경우를 제외하고는 위 지침에 따르도록 하고 있고(제2조), 디지털증거는 압수, 수색, 검증한 때로부터 법정에 제출할 때까지 훼손 또는 변경되지 않아야 하며(제4조) 그 수집 및 분석 과정에서 이용된 도구와 방법의 신뢰성이 유지되어야 하고(제5조), 디지털포렌식 수사관은 일정한 자격이 있는 자들 중 검찰총장이 임명하며(제6조), 디지털증거의 압수 수색은 이러한 디지털 포렌식 수사관이 하도록 하고 있다(제13조).
압수의 목적물이 정보저장매체인 경우 기억된 정보의 범위를 정하여 출력하거나 복사하여 압수하여야 하고(제15조 1항 본문), 이 경우 압수 수색의 대상자 또는 책임자(이하, ‘책임자등’이라 합니다)를 참여시키고 압수 수색한 디지털 증거에 대하여 해쉬값(Hash Value)을 생성하여 책임자 등의 확인·서명을 받아야 하고 그 확인서에는 확인서 작성일시, 장소, 정보저장매체 등의 종류 및 사용자, 해쉬값, 확인자의 인적사항 및 연락처, 확인자와 피압수자의 관계, 기타 진정성, 무결성, 신뢰성을 확인하는데 필요한 사항을 기재하여야 한다(제15조 3항). 범위를 정하여 출력하거나 복제하는 방법이 불가능하거나 압수의 목적을 달성하기에 현저히 곤란하다고 인정되는 때 또는 책임자 등의 동의가 있는 때에는 정보저장매체 등을 압수할 수 있고(제15조 1항 단서), 이 경우 예규에서 정한 별지 제1호 서식의 압수물 확인지를 작성한 다음 압수 대상 정보저장매체 등에 부착하여 책임자 등의 확인 서명을 받고, 별지 제2호 서식의 압수물 봉인지를 이용하여 봉인한 후 책임자 등으로부터 확인 서명을 받아야 한다(제15조 4항).
이렇게 정보저장매체를 압수 수색하는 경우 대상 정보저장매체 등의 봉인을 해제한 후 이에 기억된 정보에 대하여 이미지 파일로 복제하여 이를 ‘디지털수사통합업무관리시스템’에 등록하고 대상 정보저장매체 등은 재봉인하여 지원요청자에에게 인계하여야 하고(제19조 제1항) 이 경우 책임자 등 참여권자의 요청이 있는 경우 참여를 보장하여야 하고 참여한 경우 확인서를 작성하여야 한다(제19조 2항). 정보저장매체 등의 봉인 해제, 이미지 파일로 복제, ‘디지털수사통합업무관리시스템’에 등록하는 과정은 사진을 촬영하는 등 디지털 증거의 진정성, 무결성, 신뢰성 유지를 위하여 필요한 조치를 취하여야 한다(제20조). 디지털 증거의 분석은 신뢰성을 유지할 수 있도록 디지털 포렌식 수사관이 분석에 적합한 장비와 프로그램을 사용하여 행하여야 하고 디지털 증거의 분석은 ‘디지털수사통합업무관리시스템’에 등록된 이미지 파일로 하여야 한다(제22조 1항). 디지털포렌식 수사관은 디지털 증거에 대한 분석을 종료한 때에는 별지 제3호 서식에 따라 분석보고서를 작성하여야 한다(제23조 제1항).
(2) 검찰의 디지털증거 압수절차 위반 및 포렌식 분석보고서 미제출
위 내용을 요약하면, ①디지털 증거 중 파일을 특정하여 압수할 때는 그 자리에서 해쉬값을 구하고 이미징 파일의 해쉬값을 구하여 동일함을 피압수자에게 보이고 서명을 받아야 한다. ②이 사건처럼 부득이한 사유로 정보저장매체(태블릿PC)를 압수하는 경우, 바로 현장에서 봉인하고 피압수자 또는 제출자로부터 확인 서명을 받아야 하며, 봉인을 해제한 후 이미지 파일로 복제하여 이를 디지털수사통합업무관리시스템에 등록하여야 한다. ③이 때 피압수자의 요청이 있는 경우 참여를 보장하여야 하고, 봉인해제, 이미지파일 복제, 등록과정은 사진으로 촬영하여야 한다. ④등록된 이미지 파일을 디지털 포렌식으로 분석하고, 분석을 종료하면 분석보고서를 작성하여야 한다.
그런데, 정호성의 수사기록을 보면, 검찰은 위 예규를 위반하여 압수한 것으로 보인다.
첫째, 태블릿을 임의제출받은 경우 즉시 압수조서를 작성하고, 압수물에 대한 압수번호를 부여하여 관리해야 하는데, 정호성 사건기록에 나타난 압수조서는 임의제출 후 무려 4일이나 지난 2016. 10. 28.경에야 작성되었다. 이러한 압수 절차는 정상적인 압수절차가 아니다. 과연, JTBC 보도대로 2016. 10. 24.에 임의제출한 것이 맞는지조차 의심스러운 상황이다.
둘째, 검찰은 압수 당시 즉시 봉인하고 해쉬값을 구하여야 하고, 봉인 해제, 이미징 절차를 밟아 ‘디지털통합수사업무관리시스템’에 등록하고 포렌식 수사 결과를 소정 양식의 분석 보고서에 기재하여 제출하여야 하는데, 수사기록에 이에 대한 아무런 기록이 없다. 검찰은 2016. 12. 8.자 언론보도에서 태블릿pc를 대상으로 디지털 포렌식 작업을 벌인 결과, 기기 속에 저장된 위치 정보가 실제 최순실의 동선과 상당 부분 일치한다며 최순실 pc가 분명하다고 밝힌 바 있다. 검찰 발표에 따르면, 디지털 포렌식 작업을 한 것이 분명한데, 왜 분석보고서를 증거로 제출하지 않은 것인지 의아하다.
3) 형사소송법 개정으로 디지털증거의 증거능력 인정이 용이함에도 분석보고서를 제출하지 않은 점
검찰은 최순실을 기소할 때, 최순실의 것이라는 태블릿PC와 분석보고서 둘 다 증거로 제출하지 않았고, 정호성 비서관에 대해서는 태블릿PC 속에 들어있는 파일 출력물 3개를 증거로 제출하였을 뿐, 분석보고서를 증거로 제출하지 않았다.
지난 해 5. 29. 형사소송법 제313조 제2항6)이 개정되면서 디지털 증거에 대한 증거능력을 보다 쉽게 인정할 수 있게 되었는데, 형사소송법 개정 전에는 피고인이 법정에서 이메일이나 컴퓨터 파일 작성을 부인하면 증거로 인정받지 못했지만, 법 개정으로 인해 피고인이 법정에서 부인하더라도 디지털 전문가의 감정결과를 법원에 제출하고 전문가의 법정 증언을 통해 증거로 쓸 수 있게 되었다. 검찰 발표대로 최순실의 것이 확실하다면 최순실이 내것이 아니라고 부인하더라도 포렌식 분석보고서를 제출하고 보고서를 작성한 전문가가 법정에 출석하여 최순실의 것이 맞다고 증언하면 증거로 사용할 수 있다.
그럼에도 검찰이 분석보고서를 증거로 제출하지 않은 이유는 태블릿pc 분석보고서를 공개하면 안되는 이유가 있기 때문이라고 생각된다. 아마도 추측컨대, 분석보고서에 ‘실제 사용자가 최순실이 아니라거나 실사용자가 누구인지 판단하기 어렵다’ 는 분석 내용이 담겨있기 때문이 아닐까 한다.
4. JTBC 태블릿PC와 위법수집증거
우리 형사소송법은 2007. 6. 1. 법개정시 제308조의2에서 “적법한 절차에 따르지 아니하고 수집한 증거는 증거로 할 수 없다.”고 하여 위법수집증거배제법칙을 명문화하였다. 또한 대법원 2007. 11. 15. 선고 2007도3061 판결(제주도지사 사건)을 통하여 위법수집증거 배제법칙과 그에 기하여 2차적으로 수집한 증거의 증거능력도 배제하는 ‘독수독과(fruit of poisonous tree)’이론을 전면적으로 도입하는 판시를 하였다.
가. 영장주의를 위반한 위법수집증거
전술한 바와 같이, 임의제출물이라 하더라도, JTBC는 태블릿PC를 절취한 자로서 적법한 소지자 또는 보관자가 아니므로, 검찰이 이를 압수할 때는 영장을 발부하여야 한다. 그런데, 검찰은 영장없이 태블릿PC를 압수하였으므로 압수물은 형소법 제308조의2에 의거 위법수집증거에 해당하고, 그에 터잡아 획득한 태블릿 속에 저장되어 있는 디지털 정보와 이를 출력한 문서도 2차적 증거로서 증거능력이 부정되어야 한다.
나. 사인이 위법하게 수집한 증거의 증거능력 문제
(1) 문제점
JTBC가 2016. 12. 8. 해명보도한 내용에 따르면, JTBC는 2016. 10. 20.경 더블루K 사무실에서 태블릿PC를 절취하였다고 한다. 즉, JTBC가 범죄행위로 인하여 취득한 증거물인데, 위법수집증거로서 증거능력이 있는지가 문제된다. 이는 형사소송법 제308조의2의 적용범위에 관한 문제이기도 하다.
(2) 위법수집증거로서 증거능력을 부정한 판례
서울고등법원 2015. 2. 9. 선고 2014노2820 판결은, 빅데이터 업체가 트위터 정보를 수사기관에 임의제출한 행위는 개인정보보호법에 반하여 위법하므로, 수사기관이 위 트위터 정보 중 일부를 발췌하여 제출한 증거는 위법수집증거에 해당하여 증거능력이 없다고 판시한바 있다[이 사건의 상고심에서는 원심판결을 파기하였으나, 위 증거능력 부분에 대한 원심판단은 정당하다고 판시하였다(대법원 2015. 7. 16. 선고 2015도2625판결)].
위 판결은 사인(私人)이 수사기관에 증거를 임의로 제출한 행위가 법에 위반되는 경우, 그 증거는 위법수집증거로서 증거능력이 없다는 법리를 분명히 하고 있다. 위 판결은 통신비밀보호법 제4조와 같은 명문 규정이 없는 경우에도 사인이 법에 위반하여 수집한 증거의 증거능력을 부정한 판결로 빅데이터 업체가 개인정보를 수집하는 행위 자체가 적법해도 정보 수집 목적에 위반하여 수사기관에 제출하는 것은 위법하여 증거능력이 없다고 한 것이다.
(3) 증거능력을 인정한 판례
● 대법원 2008. 6. 26. 선고 2008도1584 판결은 <절취한 업무일지를 피해자측이 사문서위조 등 사건의 증거로 제출한 사건>에서 “피고인을 형사소추하기 위해서는 반드시 필요한 증거이므로 설령 제3자에 의하여 절취된 것으로서 소송사기 등의 피해자측이 이를 수사기관에 증거자료로 제출하기 위하여 대가를 지급하였다 하더라도, 공익의 실현을 위하여는 이를 범죄의 증거로 제출하는 것이 허용되어야 하고, 이로 말미암아 피고인의 사생활 영역을 침해하는 결과가 초래된다 하더라도 이는 피고인이 수인하여야 할 기본권의 제한에 해당한다.
● 대법원 2010. 9. 9. 선고 2008도3990 판결은 <고소인이 주거를 침입하여 얻은 간통증거 사건>에서도 피고인의 남편이 피고인의 주거에 침입하여 수집한 후 수사기관에 제출한 혈흔이 묻은 휴지들 및 침대시트를 목적물로 하여 이루어진 감정의뢰회보에 대해 피고인들에 대한 형사소추를 위하여 반드시 필요한 증거이고 공익실현을 위해서 위 감정의뢰회보를 증거로 제출하는 것이 허용되어야 한다. 이로 인하여 피고인의 주거의 자유나 사생활의 비밀이 일정 정도 침해되는 결과를 초래한다 하더라도 이는 피고인이 수인하여야 할 기본권의 제한에 해당한다.
(4) 판례분석 및 본 사안의 검토
1) 사인이 제3자인 경우, 이익형량없이 배제법칙 적용
사인의 위법수집증거와 관련하여 과거 대법원 판례는 기본권보호이익과 형사소추의 이익을 비교형량하는 방법을 택하였는데, 대체로 형사소추의 이익을 우선시하였다7). 이는 증거를 수집한 사인이 피고인을 고소한 당사자로서 피고인과 적대관계에 있는 자이기 때문에 실체적 진실 발견을 위한 증거확보 및 형사소추의 필요성이라는 공익이 강조된 것으로 보인다.
그런데, 위 서울고등법원 판례는 증거를 수집한 사인인 빅데이터 업체는 고소한 당사자도 아니고 피고인과 적대관계에 있지도 않은 제3자에 불과하다. 이런 경우 실체적 진실 발견을 위한 증거확보 및 형사소추의 필요성이라는 공익과 개인의 기본권보호이익을 비교형량할 필요가 적다. 따라서, 위 판례는 개인의 기본권보호를 중시하여 이익형량없이 곧바로 위법수집증거배제법칙을 적용한 것으로 보인다.
본 사안에서 JTBC 기자는 피고인과 적대관계에 있는 자가 아니라 제3적 지위에 있는 자이고, 건조물에 침입하여 절취행위라는 위법한 방법을 통해 증거를 수집한 것인바, 이익형량 없이 곧바로 위법수집증거배제법칙을 적용하여 증거능력을 부정하여야 할 것이다.
2) 타인의 기본권의 본질적 내용을 침해한 경우, 배제법칙 적용
대법원은 “절차 위반행위가 적법절차의 실질적인 내용을 침해하는 경우에 해당하지 아니하고, 오히려 그 증거의 증거능력을 배제하는 것이 헌법과 형사소송법이 형사소송에 관한 절차 조항을 마련하여 적법절차의 원칙과 실체적 진실 규명의 조화를 도모하고 이를 통하여 형사 사법 정의를 실현하려 한 취지에 반하는 결과를 초래하는 것으로 평가되는 예외적인 경우라면, 법원은 그 증거를 유죄 인정의 증거로 사용할 수 있다고 보아야 한다.”라고 판시하였다(대법원 2007. 11. 15. 선고 2007도3061 판결). 따라서 증거 수집 과정에서 적법절차의 실질적인 내용을 침해하였다면 가사 실체 진실발견에 대한 요청이 있다고 하더라도 위법수집증거배제법칙이 적용되어 그 증거능력은 부정된다.
여기서 적법절차의 실질적 내용을 침해하는 경우란 영장주의를 위반한 경우, 형벌법규에 위반한 경우, 형사소송법상의 효력규정에 위반한 경우 등을 의미하고, 사인의 증거수집과 관련해서는 사인의 증거수집행위가 사실상 수사기관의 수색 · 압수 · 검증에 해당하는 것으로 평가할 수 있는 경우, 즉 증거의 확보를 위한 목적으로 가택 침입 · 주택 수색 · 물건이나 정보의 절취 등이 이루어지는 경우(절취한 물건 중에 우연히 범죄의 증거가 있었다거나, 절취현장에서 우연히 범죄의 증거를 발견한 것처럼 증거를 손에 넣게 된 경우에는 수사기관의 수색 · 압수에 비견할 수 없는 경우로서 그 증거사용이 가능하다고 할 것이나, 사인이 처음부터 증거 확보 목적으로 절취를 하는 경우에는 이와 달리 평가해야 할 것이다)에는 타인의 기본권을 중대하고도 본질적으로 침해하는 경우로서 적법절차의 실질적인 내용을 침해하는 경우처럼 위법수집증거배제법칙이 적용된다고 할 것이다8)
따라서, 본 사안에서 사인이 증거 확보를 위해 건조물에 침입하여 절도한 것은 타인의 기본권에 대한 ‘중대하고 본질적인 침해’가 있는 경우라고 볼 수 있고, 그 절차 조항 위반의 정도는 매우 중하다고 할 것이므로 JTBC가 제출한 태블릿 및 그 속에 저장되어 있었다고 하는 디지털 정보 역시 모두 위법수집증거에 해당되어 증거능력이 없다.
5. 맺으며
위에서 살펴본 바와 같이 JTBC가 입수한 태블릿PC는 입수경위부터 불투명하고 무결성 요건 결여, 영장주의 위반, 검찰의 디지털증거 압수지침 위반, 위법수집증거배제법칙에 의하여 증거능력이 없고, 태블릿PC에서 얻어진 파일이나 출력물도 2차적 증거로서 증거능력이 부정되어야 한다.
JTBC는 사실을 보도해야 하는 언론의 본분을 망각하고 증거를 조작하는 등 언론자유를 남용하였다. 검찰도 공익의 대변자임을 망각하고, 선동 언론과 한패가 되어 거짓 증거를 은폐하고 있다. 검찰만이 아니라, 특검, 법원, 헌재, 방통위까지 모조리 실체적 진실이 밝혀지는 것을 두려워 하고 있는 듯 하다.
법에 따른 판단을 하지 않고, 모두들 여론의 눈치만 살피고 있다. 실로 법치주의의 위기가 아닐 수 없다. 다른 것은 차치하고서라도, JTBC의 태블릿 조작이 몰고 온 국가내란사태를 타개하기 위해서라도 태블릿 조작의 진실은 반드시 밝혀져야 하고, 국가혼란을 야기한 자는 처벌되어야 할 것이다. /장재원 변호사
1) 포렌식의 정의는 ‘법문제에 대한 과학의 적용’이고, 이는 증거를 수집, 보존, 처리하는 과정에서 법정에서 증거로 사용하기 위해 과학적, 기술적 기법을 사용하여 증거가치가 상실되지 않도록 하는 일련의 절차 내지 과정을 일컫는 말이다. 최근 컴퓨터가 일상생활에 밀접하게 사용되면서 컴퓨터에 저장된 자료가 법정에서 다루어지는 경우가 많이 발생하여 이와 관련된 분야를 컴퓨터 포렌식이라 부르게 되었다.
2) 일심회 사건(대법원 2007. 12. 13. 선고 2007도7257 판결), 왕재산 사건(대법원 2013. 7. 26. 선고 2013도2511 판결)
3) https://www.youtube.com/watch?v=a42w5PDdic8 2016. 10. 26. JTBC가 방송한 동영상이다. 위 동영상의 1분 12초부터 1분 13초 사이 영상을 보면 위 태블릿을 촬영한 일자가 2016. 10. 18.임을 알 수 있고, 1분 45초 부분을 보면 외부 저장장치에 연결되어 있는 것을 알 수 있다. 하단 표시창에 삼지창 형태가 USB 같은 외부 저장장치가 연결되어 있는 것을 의미한다.
4) https://www.youtube.com/watch?v=e_0Sh6u3aG0 위 영상은 JTBC가 2016. 10. 25. 보도한 영상이다.
5) ‘소지’는 ‘휴대’를, ‘보관’은 ‘압수 이전부터 계속적으로 지배범위에서 관리할 수 있는 상태’를 의미
6) 형사소송법 제313조 ② 제1항의 본문에도 불구하고 진술서의 작성자가 공판준비나 공판기일에서 그 성립의 진정을 부인하는 경우에는 과학적 분석결과에 기초한 디지털포렌식 자료, 감정 등 객관적 방법으로 성립의 진정함이 증명되는 때에는 증거로 할 수 있다. 다만 피고인 아닌 자가 작성한 진술서는 피고인 또는 변호인이 공판준비 또는 공판기일에 그 기재 내용에 관하여 작성자를 신문할 수 있었을 것을 요한다.
7) 최영승, 정영일, “사인이 위법하게 수집한 증거의 증거능력 ; 헌법적 근거에서, 그리고 주요 유형을 중심으로”, 경희법학 제48권 제4호(2013), 32면.
8) 서보학, ‘위법수집증거의 쟁점 : 독수독과의 원칙과 예외, 사인이 위법수집한 증거의 증거능력’, 형사정책연구 제20권(2009), 54, 55면.
(이 글은 자유와 통일을 향한 변호사 연대(이하 자변)가 지난 24일 개최한 'JTBC 태블릿 및 검찰수사 절차의 문제점에 대한 세미나'에서 장재원 변호사가 발표한 발제문 전문이다.)
[장재원]
