top of page

디지털 포렌식과 DNA 분석, 사건을 해결한 두 가지 흔적



사건 배경


2016년 4월 3일 오전 영국, 지역 소방대는 화재 신고를 받게 됩니다. 화재가 난 곳은 하틀풀에 소재한 위탁부모협회 소속 미망인 노마 벨(Norma Bell)씨의 자택이었습니다. 노마 씨는 지난 수년에 걸쳐, 위탁 양육 프로그램에 참여해 50명 이상의 어린 아이들을 도맡아 양육해 오던 분이었습니다. 소방 대원들은 화재 현장에 즉시 진입했지만, 안타깝게도 저택의 주인인 노마 벨 씨는 이미 사망한 상태였습니다. 사망 당시 그녀의 나이는 만 79세였습니다. 화재를 진압한 소방대원을 곧이어 화재 현장 조사에 착수 했습니다. 현장을 조사하던 소방 대원들은, 곧 수상한 점을 발견하게 됩니다. 노마 씨의 목에서, 교살 흔적이 발견 된 것입니다. 이 뿐만 아니라, 사건 현장에는 누군가 인위적으로 방화를 시도했었다는 것을 암시하는 흔적들이 여러 곳에서 발견됐습니다.


사건 현장은, 그 누가 보더라도 명백히 의심스러워 보일 정도로, 매우 부자연스러웠습니다. 거기에 더해, 주변 이웃들의 증언들 또한 매우 심상치 않았습니다. 소방 대원들이 이 사건이 평범한 화재 사고가 아님을 직감하고, 경찰에 사건을 이관하기까지 긴 시간이 필요하지 않았습니다. 경찰은 사건 현장의 의심스러운 정황을 확인하고, 지체 없이 해당 사건의 수사를 개시했습니다. 해당 사건은, 'DALE'이란 작전명을 부여 받았습니다.


수사가 진전됨에 따라, 수사관들은 범죄 현장 여기 저기에 어질러져 있던 물건들 곳곳에서, 동일한 사람의 것으로 보이는 DNA가 공통적으로 남아있다는 사실을 발견하게 됩니다. 수사 팀은 즉각 DNA 검사를 요청했고, 감식 결과, DNA의 주인은 다름 아닌 노마 씨의 친척이었던 게러스 덱(Gareth Dack)(33) 씨 였던 것으로 밝혀집니다. 그는 노마 씨를 자주 방문해왔던 자로, 마약 유통을 업으로 삼으면서 본인도 코카인에 중독된, 마약 중독자였습니다. 나중에 밝혀진 사실이지만, 끔찍하게도, 피의자 덱 씨는 자신의 친척인 노마 씨를 살해하였을 뿐만 아니라, 범죄를 은닉하고자 피해자인 노마 씨의 자택에 방화까지 시도한 것으로 밝혀졌습니다. 큰 화재를 통해 범행 현장을 인멸할 생각이었던 것입니다.


수사팀이 밝힌 바에 따르면, 피의자 덱 씨는 사건 발생 바로 일주일 전에도 노마 씨에게 연락하여 10파운드의 휘발유를 빌려갔었습니다. 하지만 그는 빌린 휘발유를 되갚기는 커녕, 노마 씨의 자택에 몰래 숨어 들어가 박스로 포장 돼 있던 노마 씨의 TV를 비롯해, 현금 700파운드 까지도 훔쳐갔던 것으로 밝혀졌습니다.


이런 몰염치한 도둑질 행위가 계속되는 동안, 피의자는 노마 씨의 집을 여러 번 출입했습니다. 이렇게 여러 번 반복해 방문했던 덕분에, 주변 이웃들은 그가 노마 씨의 집에 언제 방문했는지 확실히 기억하였습니다. 피의자가 지난 수년 간 노마 씨의 몇몇 특이한 심부름들을 도맡아 해왔던 것을 이웃들은 지속적으로 보아왔기 때문에, 피의자를 쉽게 알아볼 수 있었습니다.


여기에 더해, 수사가 진행되면서, 노마 씨 소유의 스마트폰이 피의자 부모 소유의 자택 차고에서 발견 됩니다. 수사관들은 Cellebrite에 도움을 요청해, 피해자의 스마트폰 데이터를 추출, 복호화해 분석 하였습니다. 수사관들의 수사 결과, 피의자가 노마 씨를 살해한 직후, 신원 미상의 인물에 의해 노마 씨의 스마트폰으로 부터 누군가에게 전화가 걸려졌다는 사실을 밝혀낼 수 있었습니다.



물리적인 증거


다행하게도, 피의자의 증거 인멸 시도는, 피의자의 어리숙함 덕에 실패로 끝났습니다. 사건 현장이 보존된 덕분에, 수사 팀은 사건 현장에서 방화 시도에 사용 됐던 성냥, 노마 씨의 핸드백, 그리고 살인 과정에서 사용된 것으로 추정되는 케이블 등, 몇 가지 물건을 확보했습니다. 그리고 현장에 있던 물건들 곳곳에서 피의자의 DNA가 발견 됐습니다. 그 뿐만 아니라, 사건 현장에는 피의자의 것과 동일한 종류의 신발 자국들이 남아 있었습니다. 수사팀은 수사에 착수한지 오직 48시간 만에, 피의자 덱 씨를 체포하는 데 충분하고도 넘칠 정도의 증거물들을 확보했습니다. 피의자는 그 즉시 체포 됐으며, 유치장에 갇혀 이틀에 걸친 심문을 받았습니다. 하지만, 심문 과정에서 피의자는 오직 묵비권 만을 행사 했습니다.



디지털 포렌식을 통해 새로운 증거를 확보


사건 현장은 피의자의 증거 인멸 시도로 인해 심각히 훼손된 상태였습니다. 그러한 이유로, 수사관들은 '직접 땀을 흘려가며 발로 뛰는' 전통적인 방식으로 수사를 진행할 수 없었습니다. 한계가 뚜렷할 것을 알고 있었기 때문입니다. 이를 해결하기 위해 수사팀은, 디지털 포렌식 분석에 역량을 집중하기로 했습니다. 그리고, 그 결정은 결과적으로 옳은 결정이었습니다.


경찰은 디지털 증거를 확보하기 위해 피의자의 거주지를 수색했고, 침대 아래 숨겨져 있던 피의자의 삼성 GT- S5360 휴대폰을 확보할 수 있었습니다.


모바일 기기에 대한 물리적 추출이 시행되었고, 수사관들은 곧 4월 2일에서 4일사이의 피의자의 행적들에 대해, 상세하게 알 수 있게 됐습니다. 수사관들은 추출한 데이터를 토대로 피의자의 ‘일상적인' 데이터 사용량을 산출해냈고, 해당 사용량을 사건 발생 앞뒤 3일 간의 데이터 사용량과 비교해봤습니다. 피의자는 평소보다 현저히 적은 데이터를 사용 한 것이 밝혀졌고, 이를 토대로 경찰은 해당 기간 동안 피의자가 ‘일상적이지 않은' 사건에 휘말렸었을 가능성이 있다는 것을 간접적으로 확인했습니다.



클라우드 포렌식을 통해 새로운 증거를 확보


수사관들은 덱 씨의 핸드폰에서, 사용자 인증 토큰을 복원하는 데 성공합니다. 이 말은 곧, 경찰이 덱 씨의 클라우드 서버와 소셜 미디어에 접속할 수 있게 됐다는 뜻입니다. 경찰은 이 토큰을 이용해, 인터넷 활동 이력이나, 채팅 메신저 등을 통해 송수신된 메시지 등, 수사에 유용한 수많은 디지털 증거들을 수집할 수 있었습니다.



소셜 미디어 계정을 통해 얻은 새로운 증거


피의자는 연락을 주로 페이스북 VoIP 통화와 DM(디엠, Direct Message)로 하는 인물이었다는 것이 밝혀졌습니다. 수사관들은 피의자의 계정으로 접속해, 피의자 SNS와 클라우드 서버에서 SNS 업데이트 내역, 게시물, 메신저 메시지, 통화 기록 등을 추출, 확보 해냈습니다. 수사관들은 추출해 온 데이터들 중, 통화기록과 메시지 데이터 내용을 통해 피의자가 당시 마약에 중독된 상태였다는 사실을 발견하고, 증명해냈습니다.


또한 수사관들은 피의자가 그의 아내와 나눈 대화 내용 이력에 대한 심층 분석을 진행했습니다. 경찰은 피의자가 핸드폰 상의 통화내역과 메시지를 지웠다는 사실을 밝혔습니다. 수사관들은 Cellebrite UFED Cloud 를 사용해, 클라우드에서 데이터를 추출하여, 피의자가 삭제했던 통화내역 및 기타 데이터들을 복구할 수 있었습니다.



구글 클라우드 데이터에서 얻은 증거


수사관들은 덱 씨가 인터넷에 검색한 검색 기록도 참조했습니다. 수사관들은 그가 살인이 발생한 시점 전후에, 음란물을 검색했다는 사실을 알아냈습니다. 그리고 수사관들은 피의자의 구글 클라우드 데이터에서 흥미로운 사실을 발견했습니다. 덱 씨에게 경찰이 처음으로 연락을 취한 직후부터, 덱 씨가 살해와 관련된 뉴스들을 검색해보기 시작했던 것입니다. 기록을 살펴보면, 덱 씨는 이때 처음으로, 자신이 저지른 끔찍한 범죄 행위가 인터넷 기사를 통해 널리 알려졌다는 사실을 깨닫고, 경찰이 곧 그를 찾아올 것 또한 직감 했을 것 입니다.


이 밖에도, 수사관들은 피의자의 구글 클라우드 계정에서, 피의자 소유의 모바일 기기를 하나 추가로 발견했습니다. 수사관들은 즉시 해당 모바일 기기를 확보했고, 데이터 추출 분석을 시행했습니다. 그 결과, 해당 모바일 기기는 피의자가 인터넷에 접속하기 위해 사용한 기기이며, 지난 4일간의 데이터가 아직 남아있다는 사실을 밝혀냈습니다.


위에 나열된 것 같이, 수사관들이 디지털 기기에서 추출해낸 이런 결정적인 정보들은, 법정에서 피의자의 범죄 사실을 입증하는 데 결정적인 증거로 사용됐습니다. 살인범을 체포하는 데, 가장 큰 공헌을 한 것입니다.



범죄자의 최후


법재판을 통해 법원의 판결이 선고되는 데에는 약 3 주간의 시간이 소요됐습니다. 모든 증거가 피의자의 범죄 사실을 명명백백히 증명해 주고 있었기에, 피의자가 법망을 피해 빠져나가는 일은 발생하지 않았습니다. 법원은 피의자에게 노마 벨 씨를 살해하고, 살해 증거를 인멸하기 위한 목적으로 노마 벨 씨의 거주지에 방화를 시도한 혐의로, 최소 33년의 복역을 기본으로 하는 징역형을 선고 했습니다.






조회수 18회댓글 3개

최근 게시물

전체 보기

3 Comments


WB
WB
Feb 21

2016년 4월 영국, 지역소방대는 화재신고를 받아 즉시 진입했지만, 안타깝게도 노마 벨씨는 이미 사망했다.

이에 화재를 진압한 소방대원이 화재 현장을 조사하였고 인위적인 방화였다는 사실을 밝힌다.

피의자는 증거 인멸을 시도하였지만, 피의자의 어리숙함 덕에 증거들이 남아있었고 즉시 피의자 덱씨를 체포하였다.

하지만 덱은 심문 과정에서 묵비권만을 행사하였고 수사관들은 새로운 증거를 확보하기 위해 피의자의 거주지를 수색하여 침대 아래에 숨겨져있던 피의자의 휴대폰을 확보한다.

모바일 기기에 대한 물리적 추출과 클라우드 포렌식을 통한 SNS, 구글 클라우드의 데이터에서 얻은 통화내역과 메시지를 바탕으로 당시 마약에 중독된 상태임을 밝혔다.

이렇게 나열된 증거들로 법정에서 피의자의 범죄 사실을 입증하는데 결정적인 증거로 사용되었고 살인범을 체포하는데 가장 큰 공헌을 하였다.

Like

영아 김
영아 김
Sep 18, 2023

[디지털 포렌식 + DNA]

화재신고 접수, 저택의 주인 ‘노마’ 사망 → 시신의 목에서 교살 흔적 발견

현장 어질러져 있던 물건에서 공통적으로 노마의 친척 ‘덱’의 DNA 발견, 주변 이웃들의 덱 방문 증언

노마의 스마트폰이 덱 부모의 자택 차고에서 발견, 현장 덱의 DNA 등 여러 증거 48시간 만에 확보 후 체포

덱의 삼성 휴대폰 확보 후 물리적 추출 시행 → 일상 데이터 사용량, 사건 날 데이터 사용량 비교 → 사건 날 현저히 적은 데이터 사용량 → 일상적이지 않은 사건 가능성 확인

디지털 기기 추출 후 결정적인 증거로 사용

최소 33년 복역하는 징역형 선고

Like

JM
JM
Jul 04, 2023

화재신고를 받고 출동한 영국 지역 소방대는 화재 진압 후 주인이 사망한 것을 발견

화재 현장 조사에서 사망한 집주인이 교살되었다는 것과 고의 방화 흔적을 파악

의심스러운 사건 현장과 주변이웃의 증언으로 해당 사건을 경찰에 이관

경찰 수사에서 DNA흔적을 발견하였고 해당 DNA 검사 요청

DNA검사를 통해 피의자를 감식하였고 피의자 부모의 집에서 피해자 휴대전화 발견

사건현장에서는 곳곳에 피의자와 일치하는 DNA를 확보 함


피의자 거주지 수색하여 피의자 휴대폰 발견하여 디지털 포렌식 진행

사용자 인증 토큰을 복원하여 SNS, 클라우드에 접근함

인터넷 기록, 채팅, 메시지등 데이터 확보 결과 당시 마약에 중독된 상태임을 발견,

피의자가 고의로 삭제한 기록을 복구하였으며, 클라우드 계정에서 또 다른 모바일 기기를 발견

기기의 추출 분석으로 법정에서 피의자의 범죄 사실을 입증함

Like
bottom of page