JTBC 방송사가 L자 잠금패턴 조작 문제와 관련 포렌식 근거까지 제시하며 조작을 부인했지만 제시한 포렌식 근거가 자승자박에 가까운 것이었음이 카운터 포렌식으로 밝혀졌다. 결국 ‘최순실 태블릿’ 기기에 대한 감정은 불가피하다는 쪽으로 여론이 모일 것으로 보인다.
지난 19일 JTBC 방송사는 L자 잠금패턴 조작 문제를 공식 부인하는 입장을 밝혔다. 미디어워치와의 ‘최순실 태블릿’ 관련 보도 진위 문제와 관련한 민사소송 항소심 재판부(서울고등법원 제13민사부, 재판장 문광섭)에 제출한 의견서를 통해서다. JTBC 방송사는 이 의견서에서 고려대학교 정보보호연구원 디지털포렌식센터의 감정의견서를 인용해 “‘최순실 태블릿’의 잠금패턴은 2012년 6월 25일 오후 6시경에 설정된 이후 변경된 사실이 없으며 그 이후에 조작되지도 않았다”고 전했다.
‘최순실 태블릿’의 L자 잠금패턴 문제와 관련한 미디어워치와 JTBC 방송사 사이 포렌식 감정 공방의 포인트는 이 태블릿에서 2016년 10월 24일 오후 5시경에 최초 유일 생성된 device_policies.xml 라는 파일과 관련된다. 이 파일은 안드로이드 모바일 기기에서 잠금패턴에 관련된 내용을 기록하는 파일 중에 하나다.
JTBC 방송사는 고려대의 포렌식 감정 결과를 인용해 안드로이드 모바일 기기의 device_policies.xml 파일은 잠금패턴을 설정했을 때 뿐만 아니라 잠금해제시 패턴(비밀번호)을 5회 연속적으로 틀렸을 경우 등에도 생성될 수 있다고 하면서 ‘최순실 태블릿’에서 2016년 10월 24일 오후 5시경 생성된 device_policies.xml 파일은 그와 같은 경우로 볼 수 있다고 주장했다.
JTBC 방송사는 또한 안드로이드 모바일 기기의 잠금패턴과 관련한 파일로는 device_policies.xml 파일 이외에도 password.key , gesture.key , sparepassword.key 파일이 있으며 이 세 개 *.key 파일의 최초 생성 시점인 2012년 6월 25일 오후 6시경을 바로 ‘최순실 태블릿’ 잠금패턴의 ‘최초’ 설정 시점이라고 주장했다.
하지만 JTBC 방송사 주장의 오류는 19일 당일 바로 밝혀졌다. JTBC 방송사가 인용한 고려대 감정의견서 내용에 모순이 있었던 것. 해당 감정의견서에 따르면 “(안드로이드 모바일 기기의) device_policies.xml 은 잠금 옵션을 변경할 때마다 매번 파일을 삭제하고 다시 생성하는 방식으로 데이터를 수정한다”고 적시돼있다. 이는 포렌식 원론이며 정확한 내용이다. 문제는 ‘최순실 태블릿’에서 device_policies.xml 파일은 이 포렌식 원론에 따라서 검출되지 않았다는 것이다.
사이버포렌식전문가협회(KCFPA)는 19일 당일 본지에 전해온 새로운 감정확인서를 통해 “잠금패턴이 설정된 시점을 2012년 6월 25일 오후 6시경으로 확정 지으려면, ‘최순실 태블릿’에서 세 개 *.key 파일과 함께 동일한 시각에 device_policies.xml 파일에 관한 기록이 반드시 있어야 한다”고 밝혔다. 고려대 감정의견서대로라도 device_policies.xml 파일은 이번에 검출된 2016년 10월 24일 오후 5시경의 것만 아니라 2012년 6월 25일 오후 6시경의 것도 반드시 포렌식 감정으로 검출되어야 한다는 것이다.
사이버포렌식전문가협회(KCFPA)는 이어 “device_policies.xml 파일은 패턴의 정보뿐만 아니라 다양한 기기정책의 변경에 따라 수시로 변경되는 파일인데, ‘최순실 태블릿’에는 2016년 10월 24일 오후 5시경 이전에는 단 한번도 생성된 기록이 발견되지 않는다”면서, “잠금패턴 입력의 오류 등으로 device_policies.xml 파일이 변경되었다면, 파일정보에 변경된 기록이 있거나, 이전에 삭제된 device_policies.xml 파일들도 모두 포렌식 획득에서 추출되어야 한다”고도 밝혔다. 즉, 만약 고려대 감정의견서대로 2016년 10월 24일 오후 5시경의 device_policies.xml 파일이 사용자의 다섯 번 잠금패턴 입력 오류 때문에 생성되었다면, 그 이전에 잠금패턴 최초 설정 또는 중도 변경 과정에서 설정/삭제됐던 device_policies.xml 파일들도 최소 하나 이상 반드시 포렌식 감정을 통해 검출되어야 한다는 것이다.
이에 사이버포렌식전문가협회(KCFPA)는 “‘최순실 태블릿’에서 잠금패턴의 최초 설정시점을 2012년 6월 25일로 확정짓는 것은 일반적인 포렌식 이론으로는 무리가 있으며, 보다 정확한 내용을 확인하기 위해서는 태블릿의 상세한 분석이 필요하다”고도 밝혔다.
미디어워치는 20일자로 사이버포렌식전문가협회(KCFPA)의 이번 감정 의견을 태블릿 명예훼손 민사재판 항소심 재판부에 제출하면서 다시 한번 태블릿 이미징파일 문서제출명령과 태블릿 감정을 요청했다.
미디어워치는 “이 L자 잠금패턴 조작 문제는 당사자의 입장과 관점에 따라 다를 수 있는 ‘해석의 문제’가 아니다”라면서 “이 문제는 JTBC 방송사 측 주장대로라도 반드시 ‘최순실 태블릿’에 있어야 하는 파일의 ‘존재/부존재 사실의 문제’이고, 논란의 여지가 전혀 없는 문제”라는 입장을 밝혔다.
계속해서 미디어워치는 “인위적 조작 이외에 ‘최순실 태블릿’에 꼭 있어야 하는 복수(複數)의 device_policies.xml 파일의 부재가 무엇으로 설명이 가능한 것이냐”면서 “불가능한 경우을 제외하고 나면 아무리 믿을 수 없어도 그것이 바로 진실인 것”이라고 말했다.
태블릿 명예훼손 민사재판 항소심 두번째 변론기일은 21일 오후 3시 서울고등법원(서관) 309호 법정에서 열릴 예정이다.
