- 오바마 협박글
문: 2015. 7. 14. 경 서울지방경찰청 사이버수사대 디지털증거분석실에서 컴퓨터 분석 프로그램 Encase를 이용하여 피의자 노트북 하드디스크를 별도 이미징 파일로 생성하여 원본은 손상하지 않고 이미징 파일을 분석하여 확인한 바, 피의자 노트북에서 발견된 isis.png, usa.png 파일 내용을 보면 미국 대통령 오바마 딸을 강간하겠다고 협박하고, 미국 리퍼트 대사를 테러하겠다고 협박하겠다는 내용의 글을 미국 백악관 홈페이지에서 직접 작성중인 내용을 캡쳐한 그림파일인데, 위 그림 파일 출처에 대해 진술해 보세요.
문: 피의자 노트북은 OS 운영체제가 프랑스 언어로 설정되어 있고 타임존(시간대)도 파리 시간 기준으로 설정되어 있습니다. 그래서 대한민국하고 -7시간 시간차가 발생합니다. 하지만, 수사기관에서 사용하는 Encase 분석 프로그램으로 분석하게 되면 위 프랑스 시간대를 국내 시간대로 변경하여 생성된 시간과 수정된 시간을 명확히 확인할 수 있고, 따라서 위 생성시간은 국내 시간입니다.
답: ENCAEC 시차 분석하는 부문은 신뢰할 수 있습니다. (사이버 수사대 수사관이라는 컴퓨터 전문가가 ENCASE 프로그램의 스펠링을 계속 ENCAEC로 잘못 쓰고 있다. 수사에 대한 신뢰가 떨어지는 이유 중 하나이다.)
문: 피의자 노트북은 프랑스 시간대로 설정되어 있어도, 컴퓨터 분석 프로그램 Encase를 통해 국내 표준시로 변환하게 되면, 파일의 생성일자, 접근일자 등 모두 국내 표준시로 확인 가능한데, 위 내용에 대해 인정하는가요?
문: 피의자 노트북에서 발견된 아래 5개 파일을 보면, 구글 크롬브라우저를 통해 피의자 노트북에서 직접 캡쳐하여 생성된 파일이고, seencapture-www-whitehouse-gov-contact-submit-questions-and-comments-1432397652564.png 및 seencapture-www-whitehouse-gov-contact-submit-questions-and-comments-1432397921271.png 파일의 경우 2015. 5. 24. 01:14 및 01:17경 백악관 홈페이지에서 추가로 작성한 글 내용으로 확인되며, 캡쳐 파일 이름 옆에 기재된 13자리 숫자에 대해 확인한 바, 캡쳐 파일이 생성된 파일 생성 시간과 동일하고, 위 13자리 숫자는 구글 크롬에서 캡쳐 시 자동 생성되는 시간정보로 unix 타임이며, 각 한국시간대로 변환한 바, 위 캡쳐 파일이 노트북에 생성된 시간과 캡쳐이 생성된 일시가 동일한 것으로 보아, 피의자가 인터넷에서 다운로드 받았다면 노트북에 저장되는 파일 생성시간과 위 캡쳐프로그램으로 캡쳐한 시간이 동일할 수 없는 것으로 보아, 피의자가 직접 백악관 홈페이지에 접속하여 글을 작성한 것으로 확인되는데, 피의자가 직접 글 작성 후, 캡쳐한 것 아닌가요? (수사관은 조서에 Encase 분석 화면을 첨부하였다. 이런 식의 긴 질문은 피의자의 답변을 바라면서 하는 질문이 아니다.)
이때, 피의자에게 컴퓨터 분석 프로그램 Encase 통해 분석된 화면 및 4chan.org에 게시된 화면을 보여주고 본 조서 말미에 첨부한 후, 임의 문답하다.
문: 피의자는 컴퓨터 분석프로그램 Encase에 의해 명확하게 증거가 밝혀졌는데도 부인하는 것에 대해 어떻게 생각하나요? 잘 기억이 나지 않는다고 진술하는 게 합리적인 대답인가요?
답: 사람이 능력을 넘어서는 일이기 때문에 잘 모르겠습니다. (피의자는 앞서 “SuperHideIp의 액세스 타임 분석결과가 사실과 달라, Encase 프로그램의 신뢰도가 떨어졌다.”라고 진술했다.)
이때, 피의자에게 컴퓨터 분석 프로그램 Encase 분석 화면을 직접 보여주고 임의 문답하다. 이때, 변호인도 함께 위 분석 프로그램 화면을 보다. (이때, 수사관이 남OO에서 검은 뿔테 안경을 쓴 사이버수사대 김OO으로 바뀌었다.
문: 컴퓨터 분석 프로그램 Encase에서 분석 시, 각 범행에 사용된 파일이 생성된 정확한 시간(국내에서 범행한 시간)을 확인하기 위해 위 분석 프로그램에서 시간대역을 대한민국 국내 표준시(GMT+9)로 변경하여 분석 실시하였으며, 국내 표준시로 변경하여 분석한 결과, 범행과 연관된 usa.png 파일의 경우 마지막 접근일자가 2015. 7. 13. 20:42경으로 확인되었는데, 위 시간은 경찰에서 압수현장에서 위 파일이 열람된 일시인데 어떤가요?
문: 따라서, 피의자 노트북 시간을 파리 시간대역으로 설정하여 사용하더라도 Encase 프로그램에서 국내 표준시로 설정하여 분석할 경우, 피의자가 대한민국에서 범행한 시간을 확인할 수 있는데, 이는 usa.png 파일을 마지막으로 접근한 일자가 압수수색 시간대로 확인되는 점을 볼 때, 위 Encase 프로그램에 의해 확인되는 시간정보가 정확한 것으로 확인되는데 어떤가요?
문: 피의자는 경찰에서, “Encase 프로그램을 신뢰한다는 말은 경찰 측에서 증거자료로 제시한 협박 게시글이 올려졌던 시차를 분석한 증거자료가 맞다는 뜻 아닌가요?”라고 묻자, 피의자는 “예. 그렇습니다.”라고 진술하였는데 어떤가요?
조서 476쪽에 사이버 수사대 수사관인 남OO 경위가 ENCASE 프로그램의 영어 단어 스펠링을 ENCAEC라고 계속 잘못 알고 있다가 4회차 조서 작성부터는 고쳐 쓰기 시작했다.
Adobe Acrobat Pro로 이OO증거기록.pdf 파일을 열은 사진 5개와 EnCase Forensic으로 증거 파일을 분석한 사진 5개
문: 증인이 디지털 포렌식 프로그램인 EnCase를 이용해서 피고인의 노트북 컴퓨터를 분석할 때는 우리나라의 표준시로 표시되도록 설정하여 분석을 진행하였지요?
답: 팔콘 복제장비와 거기에 딸린 여러 가지 부수물과 노트북, 현장 분석을 위한 EnCase라는 전문 분석도구와 원본을 사본화 할 수 있는 하드디스크, 그 다음에 간이 용도로 파일목록 같은 것을 추출해 주는 경찰청에서 개발한 CIP라는 프로그램이 있는데 기본적으로 이렇게 지참하여 현장에 가고 있습니다.
답: 저것은 ‘.txt’잖아요. 노트북에 ‘.txt’라는 파일은 없습니다. 제가 ‘.lnk’를 ‘.txt’로 바꾸면서 저 파일은 피고인 노트북에 있는 파일이 아니고 EnCase로 보여지는 리포팅 화면입니다. 그것을 빼내와서 제가 텍스트 파일로 만든 것입니다.
답: 파일은 아니지만 그 내용을 함축해서 EnCase에서 레포트로 만들어진 파일입니다.
답: s.txt라는 파일의 생성일시나 마지막 수정일시나 마지막 접근일시라는 그런 날짜 속성이 있는데 마지막 수정일시가 저기에 표시되는 것이고, 그 다음에 아까 ‘A숫자.txt’가 원래는 Ink 파일인데 그것을 그대로 뺄 수가 없어서, 빼면 원본 파일에 대한 속성이 나오지 않기 때문에 EnCase라는 도구를 이용하여 EnCase에서 주관하는 원본 파일에 대한 속성들을 표시해 주는 것을 그대로 전체 카피를 해서 제가 텍스트 파일로 제 분석 컴퓨터에 임의로 만들어놨습니다. 그 화면을 보여주기 위해서, 그 글씨를 보여주기 위해서, 그 날짜에.
③ 피고인의 노트북 컴퓨터의 이미징 파일을 디지털증거분석도구인 Encase로 분석한 결과, 이 사건 각 범행과 관련된 백악관 웹사이트 중 'Contact the White House' 페이지의 내용을 캡처한 이미지파일 isis.png, usa.png의 생성 및 최종 수정일시가 이 사건 압수수색 이전으로 확인되었다.
Found 1 matching page out of 7540 total pages
You can also click here to search title.
