디지털 기기의 보편화와 함께 디지털 성범죄 사건도 지속적으로 발생하고 있습니다. 이러한 범죄의 공통점은 디지털 데이터가 핵심 증거가 된다는 점입니다. 그러나 디지털 증거는 원본과 복사본의 구분이 모호하고, 수정이 용이하다는 특성을 가집니다. 수사 기관이 확보한 디지털 파일이 조금이라도 변경되었다면, 그 증거의 신뢰성에 의문이 제기될 수 있습니다. 이러한 상황에서 디지털 증거의 무결성을 담보하는 기술적 수단인 해시값(Hash Value)이 중요한 역할을 수행합니다. 본 글에서는 디지털 성범죄 수사 영역에서 해시값이 어떻게 법적 신뢰성을 부여하는지 살펴보겠습니다. 보다 넓은 디지털포렌식 개관은 디지털포렌식, 성범죄 수사 증거 대응 글에서 참고하실 수 있습니다.
1. 해시값의 개념과 원리
가. 해시값의 정의
해시값은 디지털 포렌식의 기본 개념으로, 디지털 파일의 고유한 식별값입니다. 어떤 데이터든 해시 함수(Hash Function)라는 알고리즘을 거치면 일정한 길이의 고유한 문자열로 변환됩니다. 예를 들어, 10GB 용량의 동영상 파일이나 짧은 텍스트 문서 모두 SHA-256 해시 함수를 통과하면 64자리의 고유한 영문·숫자 조합으로 출력됩니다.나. 해시값의 주요 특성
- 일방향성(One-way): 원본 데이터로 해시값을 계산하기는 쉽지만, 해시값만으로 원본 데이터를 복원하는 것은 사실상 불가능합니다.
- 결정성(Deterministic): 동일한 데이터는 언제, 어디서, 누가 계산하든 항상 동일한 해시값을 가집니다.
- 눈사태 효과(Avalanche Effect): 원본 데이터에서 단 1비트(bit)만 변경되어도 해시값은 완전히 다른 값으로 바뀝니다. 이로 인해 미세한 위변조 시도도 탐지할 수 있습니다.
- 충돌 저항성(Collision Resistance): 서로 다른 데이터가 우연히 같은 해시값을 가질 확률이 극히 낮습니다. 실무에서는 두 파일의 해시값이 같다면 내용도 동일하다고 보고, 무결성이 유지된 것으로 평가합니다.
해시 알고리즘의 종류
과거에는 MD5, SHA-1 등의 알고리즘이 널리 사용되었으나, 보안 취약점이 발견되어 현재 수사 및 재판 실무에서는 MD5·SHA-1 단독 사용은 점차 지양하는 추세입니다. 일반적으로는 SHA-256 등 보안성이 검증된 알고리즘 사용이 권장되고 있습니다.
| 알고리즘 | 출력 길이(비트) | 현재 사용 현황 |
|---|---|---|
| MD5 | 128비트 | 충돌 취약점 발견으로 단독 무결성 검증 용도로는 부적합 |
| SHA-1 | 160비트 | 충돌 가능성 제기로 주요 기관에서 사용 중단 또는 축소 추세 |
| SHA-256 | 256비트 | 현재 가장 널리 사용되는 표준 해시 알고리즘 |
| SHA-512 | 512비트 | SHA-256보다 높은 보안성, 고성능 시스템에서 사용 |
2. 디지털 성범죄 수사에서 해시값의 역할
디지털 성범죄 수사에서 해시값은 크게 두 가지 역할을 수행합니다.가. 디지털 증거의 무결성 및 동일성 입증
디지털 성범죄 사건에서 피의자의 스마트폰, 컴퓨터, 클라우드 저장소 등에서 발견된 사진, 영상, 채팅 기록 등은 중요한 증거가 될 수 있습니다. 수사기관은 압수·수색 시 원본 저장매체를 직접 분석하는 대신 원본과 동일한 복제본(Forensic Image)을 생성하여 분석을 진행합니다 (디지털포렌식이미징, 디지털 성범죄 수사 증거 대응 글에서 보다 자세히 설명하고 있습니다).- 압수 단계: 압수된 원본 저장매체의 해시값을 계산하여 기록합니다.
- 이미징 단계: 원본 저장매체의 복제본을 생성한 후, 복제본의 해시값을 계산합니다.
- 검증 단계: 원본의 해시값과 복제본의 해시값이 일치하는지 비교합니다. 두 값이 일치하면 복제본이 원본과 동일하다는 것이 수학적으로 매우 높은 확률로 입증됩니다.
나. 불법 촬영물 유통 및 재확산 방지
해시값은 이미 확인된 불법 촬영물이 온라인상에서 유통되는 것을 기술적으로 차단하는 데에도 활용됩니다. 「전기통신사업법」 제22조의5는 일정 규모 이상의 부가통신사업자에게 불법 촬영물 등의 유통을 방지하기 위한 기술적·관리적 조치 의무를 부과하고 있습니다. 이 조항은 구체적인 기술 방식을 한정하지 않지만, 실무에서는 해시값 비교 등 다양한 필터링 기술이 대표적인 수단으로 활용되고 있습니다.- 수사기관이나 방송통신심의위원회 등에서 특정 영상이 불법 촬영물임을 확인하면 해당 영상의 해시값을 추출하여 데이터베이스(DB)를 구축·관리하는 방식이 널리 사용됩니다.
- 온라인 서비스 제공자는 사용자가 업로드하는 영상의 해시값을 계산하여, 불법 촬영물 해시값 DB와 비교합니다.
- 계산된 해시값이 DB에 등록된 값과 일치하는 경우, 해당 영상의 업로드 및 유통을 차단하는 방식으로 피해 확산을 방지합니다.
3. 해시값의 법적 요건과 증거능력
해시값을 통해 무결성이 입증된 디지털 증거라 하더라도 무조건 법정에서 증거로 인정되는 것은 아닙니다. 우리 형사소송법은 일반적인 증거법 원칙을 규정하면서, 정보저장매체와 전자정보의 특수성을 고려한 규정을 일부 두고 있습니다. 이러한 규정과 축적된 판례를 통해 디지털 증거의 증거능력 인정 요건이 구체화되고 있습니다.가. 증거능력 인정을 위한 주요 요건
- 적법한 압수 절차: 증거 수집의 첫 단계인 압수·수색이 영장주의 등 형사소송법상 절차를 준수하여 적법하게 이루어져야 합니다.
- 참여권 보장: 디지털 저장매체를 복제(이미징)하고 그 안의 전자정보를 탐색·출력하는 과정에서 피압수자(피의자 또는 변호인 등)에게 참여의 기회를 보장해야 한다는 것이 대법원과 학설의 공통된 입장입니다.
- 정확한 기록 및 문서화: 언제, 누가, 어떤 장비와 소프트웨어를 사용하여 해시값을 추출했는지, 그 결과값은 무엇인지 등을 상세히 기록한 수사 보고서가 작성되어야 합니다. 이를 일반적으로 ‘연계보관성(Chain of Custody)’의 문서화라고 부릅니다.
- 신뢰할 수 있는 해시 알고리즘 사용: 충돌 취약성이 보고된 MD5·SHA-1보다는 SHA-256 등 보안성이 검증된 해시 알고리즘을 사용하는 것이 무결성 입증 수단의 신뢰성을 위해 바람직하며, 수사·재판 실무에서 일반적으로 권장됩니다.
4. 관련 법률 및 판례
해시값의 법적 의미와 활용은 여러 법률 조항과 사법부의 판례를 통해 구체화되고 있습니다.가. 관련 법률
| 법률 | 관련 조항 | 주요 내용 |
|---|---|---|
| 형사소송법 | 제106조(압수), 제121조(참여), 제313조(진술서등) | 압수의 대상과 절차, 정보저장매체에 대한 선별 압수 원칙 등을 규정합니다. 디지털 증거의 경우 판례와 실무에서는 원본과 동일성이 입증된 사본(이미지 파일, 출력물 등)을 제출하는 방식이 허용되며, 이때 해시값이 동일성 입증 수단으로 활용됩니다. |
| 전기통신사업법 | 제22조의5(불법촬영물등의 유통방지) | 일정 요건을 갖춘 부가통신사업자에게 불법촬영물 등의 유통을 방지하기 위한 기술적·관리적 조치 의무를 부과하며, 그 이행 수단으로 해시값 필터링 등 다양한 기술이 활용되고 있습니다. |
| 성폭력처벌법 | 제14조(카메라 등을 이용한 촬영) | 불법 촬영 및 유포 행위를 처벌하는 근거 조항으로, 이 범죄의 증거물인 디지털 파일의 무결성을 입증하는 데 해시값과 디지털 포렌식 절차가 활용됩니다. |
나. 주요 판례 동향
법원은 디지털 증거의 증거능력에 대해 비교적 엄격한 입장을 취하고 있습니다. 대법원 2017. 9. 21. 선고 2015도12400 판결은 디지털 증거 압수·수색 절차의 중요성을 강조한 대표적인 사례입니다. 이 판결에서 대법원은 전자정보가 담긴 저장매체를 수사기관 사무실 등으로 옮겨 복제·탐색·출력하는 경우에도 피압수자나 변호인에게 참여 기회를 보장하고 적절한 절차를 거쳐야 한다고 보았습니다. 이러한 조치가 이루어지지 않은 경우에는 압수·수색의 적법성 및 그에 따라 확보된 디지털 증거의 증거능력에 중대한 문제가 생길 수 있다고 판시하였습니다. 하급심 판례에서도 수사관이 임의로 파일을 복사하거나 해시값 비교 절차를 누락한 경우, 해당 디지털 증거의 증거능력을 배척하는 사례가 보고되고 있습니다. 이는 해시값 비교 절차가 단순한 기술적 확인을 넘어, 적법절차 원칙을 실현하는 핵심적인 법적 절차임을 보여줍니다.5. 실무에서의 해시값 활용
실제 디지털 포렌식 수사 현장에서 해시값은 체계적으로 활용됩니다.디지털 증거 처리 5단계
- 1단계 – 증거 수집 및 봉인: 압수 현장에서 증거물을 확보하고, 위변조 방지를 위해 봉인합니다.
- 2단계 – 원본 해시값 획득: 쓰기 방지 장치(Write Blocker)에 원본 저장매체를 연결하고, 공인된 포렌식 도구를 사용하여 해시값을 계산합니다.
- 3단계 – 사본(이미지 파일) 생성: 원본 저장매체의 모든 데이터를 비트 단위로 복제합니다.
- 4단계 – 사본 해시값 획득 및 비교: 생성된 이미지 파일의 해시값을 계산하고, 원본의 해시값과 일치하는지 검증합니다.
- 5단계 – 분석 및 보고서 작성: 무결성이 입증된 사본을 대상으로 분석을 수행하고, 모든 절차를 상세히 기술한 ‘디지털증거분석보고서’를 작성합니다.
자주 묻는 질문
Q. 해시값이란 무엇인가요?
A. 해시값은 디지털 파일의 고유한 식별값입니다. 어떤 파일이든 특정 해시 함수를 거치면 일정한 길이의 문자열이 출력됩니다. 파일 내용이 한 글자만 바뀌어도 해시값은 완전히 달라지기 때문에, 일반적인 수사·재판 실무에서는 두 파일의 해시값이 같다면 내용도 동일하다고 보고 무결성이 유지된 것으로 평가합니다.
Q. 디지털 성범죄 수사에서 해시값은 왜 중요한가요?
A. 디지털 증거(사진, 영상 등)는 수정이 매우 용이합니다. 해시값은 수사기관이 압수한 증거가 법정에 제출될 때까지 위·변조되지 않았다는 ‘무결성’을 객관적으로 입증하는 역할을 합니다. 또한, 확인된 불법 촬영물의 해시값을 이용해 온라인 유포를 차단하는 데도 활용됩니다.
Q. 모든 해시 알고리즘이 법적 증거로 인정받나요?
A. 그렇지 않습니다. 과거에 사용되던 MD5나 SHA-1 같은 알고리즘은 보안 취약점이 발견되어 현재는 단독으로 무결성을 입증하는 용도로 사용하기에 부적절하다는 견해가 많습니다. 현재 수사 및 재판 실무에서는 보안성이 검증된 SHA-256 등의 알고리즘 사용이 일반적으로 권장되고 있으며, MD5·SHA-1 단독 사용은 점차 지양되는 추세입니다.
Q. 해시값 비교 절차를 거치지 않은 디지털 증거는 어떻게 되나요?
A. 해시값 비교 절차를 거치지 않은 디지털 증거는, 특히 대량의 전자정보나 사건의 핵심이 되는 디지털 파일인 경우 법원에서 증거능력을 인정받지 못할 위험이 커집니다. 대법원과 학설은 원본과 사본의 동일성 입증을 매우 중요하게 보고 있고, 해시값 비교는 이를 위한 대표적인 절차입니다. 이 절차를 누락하면 수사 과정에서 증거가 오염되거나 변조되었을 가능성을 완전히 배제하기 어렵다고 평가될 수 있습니다.
Q. 일반인도 파일의 해시값을 확인할 수 있나요?
A. 네, 가능합니다. 인터넷에서 ‘해시값 계산기’ 등의 이름으로 제공되는 무료 프로그램을 사용하면 누구나 파일의 해시값(MD5, SHA-256 등)을 확인할 수 있습니다. 이를 통해 중요한 파일을 주고받을 때 파일이 변조되지 않았는지 직접 확인할 수 있습니다.
