‘최순실 태블릿’에서 잠금패턴과 관련되어 생성된 device_policies.xml 파일이 일반적으로 생성된 파일이 아니라 안드로이드 보안정책을 우회하거나 무력화하는 인위적 행위가 동반되어 생성된 파일일 수 있다는 분석이 나왔다.
21일, 익명을 빌린 한 포렌식 전문가가 “안드로이드를 OS로 채용하는 모바일기기에서 잠금패턴을 잠금장치로 설정하고 사용자가 이를 다섯 번 잘못 입력한 경우에 device_policies.xml 파일의 코드가 어떻게 나타나는지를 확인하는 실험을 해봤다”고 하면서 본지에 자신이 수행한 안드로이드 모바일 기기 잠금패턴 포렌식 실험 결과를 제보해왔다.
앞서 미디어워치는 5월 3일자 단독 보도를 통해 ‘최순실 태블릿’의 device_policies.xml 파일이 JTBC 방송사가 이 기기를 갖고 있던 2016년 10월 24일 오후 5시경에 최초 유일 생성됐으며 이 파일은 잠금패턴과 관련된 파일이기에 ‘최순실 태블릿’의 L자 잠금패턴은 JTBC 방송사에 의해 설정되고 조작된 것이라고 전한 바 있다.
이에 JTBC 방송사는 6월 19일자로 태블릿 명예훼손 민사재판 항소심 재판부에 제출한 의견서를 통해 자신들은 ‘최순실 태블릿’의 잠금패턴을 설정하거나 조작하지 않았다는 입장을 밝혀왔다. device_policies.xml 파일은 사용자가 잠금패턴을 다섯 번 잘못 입력한 경우에도 기존 device_policies.xml 파일을 삭제하고 새로 생성될 수 있기에 2016년 10월 24일 오후 5시경에 새로 생성된 device_policies.xml 파일은 바로 그런 경우라는 것이다.
하지만 JTBC 방송사의 주장은 사이버포렌식전문가협회(KCFPA)에 의해 당일 곧바로 반박됐다. JTBC 방송사가 제시한 포렌식 이론대로라도 지금처럼 ‘최순실 태블릿’에서 device_policies.xml 파일이 2016년 10월 24일 오후 5시경의 것만 단 하나 포렌식 검출되는 일은 정상적이지 않다. JTBC 방송사의 시나리오대로 설사 저 시점에 다섯 번 잠금패턴 입력 오류로 인해 기존 device_policies.xml 파일이 삭제되고 이후 새로운 device_policies.xml 파일이 생성되었다고 해도, 포렌식 감정에서는 삭제된 기존 device_policies.xml 파일의 존재와 새로 만들어진 device_policies.xml 파일의 존재가 모두 확인되어야 한다는 것이다.
이번에 제보자는 사이버포렌식전문가협회(KCFPA)와는 또 다른 관점에서 JTBC 방송사의 주장을 반박했다. 제보자는 ‘최순실 태블릿’에서 2016년 10월 24일 오후 5시경에 생성된 device_policies.xml 파일은 잠금패턴을 다섯 번 잘못 입력한 경우에 의해서 생성된 파일이 아니라고 하면서 이 시점에 생성된 device_policies.xml 파일의 코드에 주목했다.
제보자는 “안드로이드 모바일 기기에서 device_policies.xml 파일은 일반적으로 잠금패턴에 관련된 내용 뿐만 아니라 기기의 보안정책에 관련 내용도 함께 저장하기에 잠금패턴을 다섯 번 잘못 입력하였을 경우에는 두 내용이 모두 기록되어야 한다”면서“하지만 ‘최순실 태블릿’에서 2016년 10월 24일 오후 5시경에 생성된 device_policies.xml 파일 코드에는 오직 잠금패턴에 관련된 내용만 기록돼 있다”고 지적했다.
제보자는 ‘최순실 태블릿’의 device_policies.xml 파일 코드와 동일한 형태의 결과가 생기는 경우를 확인하기 위해 안드로이드 기기의 보안정책을 인위적으로 무력화한 후 device_policies.xml 파일을 다시 생성해봤다고 전했다. 제보자에 따르면 놀랍게도 이 경우에 device_policies.xml 파일의 코드가 ‘최순실 태블릿’에서 2016년 10월 24일 오후 5시경에 생성된 device_policies.xml 에서의 코드와 같았다.
제보자는 “‘최순실 태블릿’에서 2016년 10월 24일 오후 5시경 생성된 device_policies.xml 파일은 사용자가 잠금패턴을 다섯 번 잘못 입력해서 생성된 것이 아니다”라고 하면서 “그뿐만 아니라 이 device_policies.xml 파일은 보안정책을 우회하거나 무력화하는 등의 인위적 행위로 생성됐다고 볼 상당한 이유가 있다”고 말했다.
미디어워치 측은 향후 태블릿 명예훼손 민·형사재판 항소심 재판 과정에서도 JTBC 방송사와 검찰이 device_policies.xml 파일 문제에 대해 승복을 하지 않는다면 제보자의 제보 내용을 공인 포렌식 감정 기관인 사이버포렌식전문가협회(KCFPA)의 감정을 통해 공식화해서 발표할 방침이다.
