R v F (2025): Addressing the Defence of Hacking

이 논문은 '해킹 방어' (또는 'SODDI 방어') 를 주장한 R v F 사건을 사례로 들어, 디지털 포렌식 조사관이 이 방어를 어떻게 반박하고 법정에 실증적 증거를 제시할 수 있는지에 대한 실용적인 교훈과 기법을 제시합니다.

핵심

🕵️‍♂️ 사건 배경: "누가 내 방에 들어와서 쓰레기를 버렸어요!"

상상해 보세요. 어떤 사람의 집 (스마트폰) 에서 아주 나쁜 물건 (아동 성착취물) 이 발견되었습니다. 하지만 그 집 주인은 이렇게 말합니다.

"아니요, 제가 한 짓이 아닙니다! 누군가 제 집에 몰래 침입해 (해킹) 그 쓰레기들을 가져다 놓았습니다. 저는 무고합니다!"

이것을 법조계에서는 '트로이 목마 방어' 또는 '다른 누군가 (SODDI) 가 했어요' 방어라고 부릅니다. 과거에는 이런 변명이 통할 때도 있었지만, 이번 사건에서는 디지털 수사관들이 그 변명이 거짓임을 증명했습니다.

🔍 수사 과정: 3 단계로 진행된 '진실 찾기'

수사관들은 단순히 "해킹 흔적이 있나?"만 찾지 않았습니다. 대신 3 단계의 과학적 접근법을 사용했습니다.

1 단계: 이론적 검증 (현실성 확인)

먼저, "해킹이 정말 가능했을까?"를 물었습니다.

• 비유: 마치 "도둑이 성벽을 넘으려면 사다리가 필요했을 텐데, 그 사다리는 어디 있죠?"라고 묻는 것과 같습니다.
• 결과: 피고인의 폰은 최신 모델 (아이폰과 안드로이드) 이었습니다. 이걸 해킹하려면 수백만 달러짜리 '제로데이 (아직 발견되지 않은 치명적) 해킹 기술'이 필요했습니다. 그런데 피고인의 폰은 두 가지 다른 시스템으로 되어 있었고, 해킹 흔적은 전혀 없었습니다. 마치 두 개의 서로 다른 자물쇠가 있는 금고에 동시에 침입했다가 아무도 모르게 빠져나갔다는 주장처럼, 현실적으로 불가능한 이야기였습니다.

2 단계: 디지털 발자국 추적 (실제 증거 찾기)

다음으로, 폰 안의 데이터를 자세히 살폈습니다.

• 비유: 집 안의 쓰레기를 살펴봤습니다. 해킹당했다면 '해커의 지문'이나 '도구'가 남아있어야 합니다.
• 결과:
  • 아이폰: 해킹 도구 (백도어) 는 전혀 없었습니다. 다만, 피고인이 '해킹이 어떻게 되는지' 인터넷에서 검색한 기록만 있었습니다. 즉, 해커가 아니라 피고인이 스스로 해킹에 대해 공부한 흔적이었습니다.
  • 안드로이드: 해커가 권한을 얻었다는 흔적도 없었습니다.

3 단계: '어떻게' 쓰레기가 쌓였는지 재구성 (가장 중요한 단서)

그렇다면 나쁜 파일들은 어떻게 수천 개나 쌓였을까요?

• 비유: 피고인은 "누군가 내 방에 쓰레기를 던져 넣었다"고 했지만, 수사관들은 **"아니, 그 쓰레기는 피고인이 직접 '자동 청소기'를 켜서 빨아들인 거야"**라고 증명했습니다.
• 사실: 피고인은 '텔레그램'이라는 채팅방에 들어갔습니다. 이 채팅방에서는 나쁜 파일들이 계속 공유되었습니다. 피고인의 폰은 설정상 새로운 파일이 오면 자동으로 다운로드되도록 되어 있었습니다.
• 결론: 피고인이 하나하나 파일을 클릭해서 저장한 건 아니지만, **해당 채팅방에 가입하고 자동 다운로드 기능을 켜둔 행위 자체가 '나쁜 파일을 받아들이기로 한 의도'**로 간주되었습니다. 마치 "내 우편함에 우편물이 쌓이는 건 우체부가 나쁜 짓을 한 거야"라고 주장하는 것과 비슷합니다.

⚖️ 법정에서의 결정

재판에서 배심원들은 두 가지 질문을 했습니다.

1. "자동 다운로드된 파일도 범행으로 봐야 하나요?"
2. "피고인이 정말로 그 채팅방에 들어갈 의도가 있었나요?"

판사는 배심원에게 **"피고인이 나쁜 파일이 있는 채팅방에 들어가고, 자동 다운로드를 허용했다는 사실만으로도 '범행 의도'가 입증된다"**고 설명했습니다.

결론: 피고인은 모든 혐의에 대해 유죄 판결을 받았습니다. "해킹당했다"는 변명은 과학적 증거 앞에서 완전히 무너졌습니다.

💡 이 논문이 우리에게 주는 교훈

이 사건은 디지털 수사관들에게 중요한 교훈을 줍니다.

1. 단순한 도구 검색으로는 부족하다: 해킹 흔적 (IOC) 을 찾는 자동화된 도구만 믿으면 안 됩니다. "이 사람이 실제로 어떻게 행동했을지"에 대한 논리적 추론이 필요합니다.
2. 가설을 검증하라: "해킹당했다"는 주장이 사실일 수 있는지, 아니면 "자동 다운로드" 같은 다른 설명이 더 논리적인지 여러 각도에서 테스트해야 합니다.
3. 진실은 종종 예상과 다릅니다: 이 논문 저자는 나중에 다른 사건에서 경찰이 사용한 자동 분석 도구가 오류를 범해 무고한 사람을 의심하게 한 적도 있다고 합니다. 따라서 전문가의 눈으로 데이터를 다시 한번 꼼꼼히 확인하는 것이 얼마나 중요한지 보여줍니다.

📝 한 줄 요약

"누군가 내 폰을 해킹했다"는 변명은, 그 폰이 어떻게 작동하는지, 그리고 사용자가 실제로 어떤 행동을 했는지를 과학적으로 분석하면 거짓임이 드러난다는 것을 보여주는 현대판 수사 드라마입니다.

기술 요약

논문 요약: R v F (2025) - 해킹 방어 (Hacking Defence) 에 대한 디지털 포렌식 대응

1. 문제 제기 (Problem)

• 배경: 컴퓨터 범죄 재판에서 피고인이 "해킹"이나 "다른 사람이 한 일 (SODDI: Some Other Dude Did It)"을 주장하며 무죄를 피하려는 시도가 빈번하게 발생함. 이는 흔히 "트로이 목마 방어 (Trojan Horse Defence)"라 불림.
• 현황: 20 년 이상 이 방어 기법이 사용되어 왔으나, 디지털 포렌식 조사관이 실제 사례에서 어떻게 이러한 주장을 반증하고 법정에 실증적 증거를 제시하는지에 대한 학술적 사례 연구 (Case Study) 가 부재함.
• 특정 사안: 피고인 F 는 아동 성착취물 (CSAM) 제작 및 소지 혐의로 기소되었으며, 자신의 기기가 해킹당해 불법 자료가 심어졌다고 주장함. 기존 문헌들은 이론적 논의나 과거 사례 나열에 그쳤을 뿐, 모바일 기기 (iOS/Android) 를 포함한 현대적 환경에서의 구체적인 포렌식 기법과 실증 데이터를 제시하지 못함.

2. 방법론 (Methodology)

저자 (Junade Ali 박사) 는 경찰 디지털 포렌식 조사관과 협력하여 **3 단계 접근 방식 (Staged Approach)**을 통해 해킹 주장을 검증함.

• 1 단계: 예비 조사 (Preliminary Investigation)

  • 문서 검토: 피고인이 제출한 통신 요금 청구서와 구금 기간 데이터를 분석.
    • 결과: 청구서의 데이터 사용량은 모바일 네트워크의 집계 (Roll-up) 방식에 따른 오해였으며, 실제 데이터는 구금 기간 중의 배경 트래픽과 일치함.
  • 기술적 타당성 분석:
    • 자격 증명 유출: 계정 해킹 주장은 CSAM 이 모바일 전화번호 제어 권한이 필요한 앱에 저장된 사실과 모순됨.
    • 제로데이 (Zero-day) 취약점: 두 개의 현대적 OS(iOS, Android) 를 동시에 해킹하려면 수백만 달러 가치의 제로데이 취약점이 필요하며, 이는 현실적으로 불가능에 가까움. 또한 기기는 최신 펌웨어 상태였음.

• 2 단계: 포렌식 조사 (Forensic Investigation)

  • 이미징 및 암호화: Cellebrite UFED 와 Magnet Forensics Graykey 를 사용하여 기기의 포렌식 이미지를 생성하고, 암호화하여 저자 (전문가 증인) 에게 전달.
  • IOC(침해 지표) 분석:
    • 수동 조사 및 Amnesty International 의 **Mobile Verification Toolkit (MVT)**을 활용.
    • iPhone: Safari favicon 모듈에서 발견된 IOC 는 사이버보안 연구에 따른 웹 브라우징 결과였으며, Jailbreak(탈옥) 나 백도어 흔적은 없음.
    • Android: 루트 (Root) 접근, 고급 디버깅 기능, 의심스러운 권한을 가진 비표준 앱은 발견되지 않음.
  • 데이터 유입 경로 분석 (핵심):
    • 대량의 CSAM 이 어떻게 기기에 존재했는지 규명.
    • Telegram 캐시 메커니즘: 피고인이 Telegram 그룹에 가입하자, 그룹 내 공유된 미디어 파일이 자동 다운로드되어 캐시 (Autoplay 및 앱 전용 미디어 폴더) 에 저장됨.
    • 결론: 사용자가 일일이 다운로드 버튼을 누르지 않아도 앱의 자동 다운로드 기능으로 인해 대량의 자료가 기기에 축적되었음을 확인.

• 3 단계: 공동 보고서 및 동료 검토 (Joint Report & Peer Review)

  • 경찰 조사관과 저자가 포렌식 결과를 공유하고 공동 성명서를 작성.
  • 검찰과 변호인단이 전문가의 결론에 합의하여 사실 관계 (Agreed Facts) 로 확정.

3. 주요 기여 (Key Contributions)

• 실증적 사례 연구: 해킹 방어에 대응하는 디지털 포렌식 조사의 첫 번째 실제 사례 연구 제공.
• 실무 기법 제시:
  • 단순한 포렌식 도구 추출을 넘어, 가설 검증 (Hypothesis Testing) 접근법의 중요성 강조.
  • 모바일 포렌식 도구 (MVT, Cellebrite 등) 와 수동 분석을 결합하여 IOC 를 식별하고, 앱의 동작 원리 (Telegram 캐시 등) 를 기술적으로 규명하는 구체적인 방법론 제시.
• 도구 한계 지적 및 개선: 후속 사례 (R v M) 를 통해 자동화된 포렌식 도구의 파싱 (Parsing) 오류가 잘못된 결론을 초래할 수 있음을 보여주었으며, 이를 교정하기 위한 심층 분석 (SQLite DB 검토, 타임라인 분석) 의 필요성을 강조함.

4. 결과 (Results)

• 재판 결과: 배심원은 피고인의 해킹 주장이 기각되고, 피고인이 Telegram 그룹에 자발적으로 가입하여 CSAM 을 다운로드 (자동 및 수동) 했다는 전문가의 결론을 받아들임.
• 유죄 판결: 피고인은 모든 기소 내용 (아동 성착취물 소지 및 제작 등) 에 대해 유죄 판결을 받음.
• 법적 쟁점 해결: 배심원은 "의도 (Mens Rea)"에 대한 질문을 제기했으나, 법원의 지시에 따라 각 카테고리의 불법 자료에 대한 의도적 다운로드가 입증되면 유죄가 성립함을 확인하고 유죄를 확정함.

5. 의의 및 중요성 (Significance)

• 사법 정의 실현: 무고한 자는 면죄하고 유죄자는 처벌하기 위해, 디지털 포렌식 조사관이 '해킹'이라는 모호한 주장을 과학적, 실증적으로 반증할 수 있는 체계적인 접근법을 제시함.
• 전문성 강화: 단순한 도구 사용 (Artifact Extraction) 을 넘어, 기술적 맥락 (OS 보안, 앱 동작 원리, 네트워크 구조) 을 이해하고 가설을 검증하는 **종합적 사고 (Holistic Thinking)**의 중요성을 강조.
• 미래 방향:
  • "패턴 오브 라이프 (Pattern-of-life)" 식별 기술을 디지털 포렌식에 접목할 필요성 제기.
  • 실제 재판 결과와 전문가 증언의 연계가 부족한 현실을 지적하며, 향후 유사 사례의 보고와 지식 공유의 중요성을 역임.

이 논문은 디지털 포렌식 조사관이 법정에서 해킹 방어 기법을 효과적으로 무력화하고, 기술적 증거를 통해 사건의 진실을 규명하는 데 있어 필수적인 실무적 통찰력을 제공합니다.