[앵커]
국정원은 계속해서 복구는 시간문제다, 즉 삭제된 파일을 복구하는 것은 금방할 수 있다. 그런 얘기인데요. 그렇다면 과연 복구는 국정원의 주장대로 100% 가능한 것인가에 관심이 모아집니다.
이호진 기자가 디지털 포렌식 전문가와 함께 복구 과정을 시연해봤습니다.
[기자]
안철수 국민정보 지키기 위원장은 국정원이 사용해온 RCS, 원격 감시 해킹프로그램의 4년치 로그 기록을 요구했습니다.
[안철수/새정치민주연합 국민정보지키기 위원장 : 로그 파일을 분석하면 (해킹 프로그램) 타겟 단말기의 소유자가 국내 민간인인지 여부를 확실하게 확인할 수 있게 되는 겁니다.]
로그는 숨진 국정원 직원 임 씨가 유서에서 삭제했다고 밝힌 자료로 추정됩니다.
국정원 말처럼 100% 복구는 가능할까, 전문가와 함께 알아봤습니다.
로그는 보통 텍스트 파일로, 시스템에서 일어난 일들이 모두 기록됩니다.
먼저, 일반적인 방식으로 윈도우 로그 파일을 통째로 삭제해 봤습니다.
복원 프로그램으로 검사해보니, 해당 파일이 삭제돼 있다고 표시됩니다.
복구해보니 원상태 그대로 돌아옵니다.
[김용호/한국포렌식연구소장 : (국정원에서 이렇게 삭제를 했다면?) 100% 복원이 가능하겠죠.]
하지만 overwright, 즉 덮어씌우기 방식은 다릅니다.
로그 파일을 지운 뒤 다른 파일로 덮어봤습니다.
복원 프로그램으로 검사해보니, 파일의 흔적만 보입니다.
복구를 해도 파일이 깨져서 아무것도 알아볼 수 없습니다.
[김용호/한국포렌식연구소장 : 오버라이팅이라고 하면 원본으로 그대로 복구하기는 아무래도 힘들다는…(이 정도면 힘든 단계죠?) 이 정도면 복구하기가 쉽지 않습니다.]
국정원이 보유한 감청프로그램 로그라면 언제 누구를 대상으로 도감청이 이뤄졌는지 내용이 포함됐을 가능성이 큽니다.
국정원은 현재까지 어떤 방식으로 삭제가 이뤄졌는지 공개하지 않고 있습니다.
만에 하나 강한 자력으로 하드디스크를 훼손하는 디가우징 방식을 썼다면 복구는 아예 불가능할 수도 있습니다.
또 복구과정이 투명하게 공개되지 않을 경우 복구 과정에서의 2차 훼손이나 일부 삭제 등도 얼마든지 가능하다는 게 전문가들의 지적입니다.