기사제보 및 독자의견
후원안내 정기구독 미디어워치샵

폴리틱스워치 (정치/사회)


배너

[단독] ‘최순실 태블릿’ 잠금패턴, 보안정책 무력화와 함께 생성됐나

“2016년 10월 24일에 생성된 ‘최순실 태블릿’ 잠금패턴 관련 파일 ... 보안정책을 우회하거나 무력화하는 등의 인위적 행위로 생성됐다고 볼 상당한 이유 있어”

‘최순실 태블릿’에서 잠금패턴과 관련되어 생성된 device_policies.xml 파일이 일반적으로 생성된 파일이 아니라 안드로이드 보안정책을 우회하거나 무력화하는 인위적 행위가 동반되어 생성된 파일일 수 있다는 분석이 나왔다.


21일, 익명을 빌린 한 포렌식 전문가가 “안드로이드를 OS로 채용하는 모바일기기에서 잠금패턴을 잠금장치로 설정하고 사용자가 이를 다섯 번 잘못 입력한 경우에 device_policies.xml 파일의 코드가 어떻게 나타나는지를 확인하는 실험을 해봤다”고 하면서 본지에 자신이 수행한 안드로이드 모바일 기기 잠금패턴 포렌식 실험 결과를 제보해왔다.

앞서 미디어워치는 5월 3일자 단독 보도를 통해 ‘최순실 태블릿’의 device_policies.xml 파일이 JTBC 방송사가 이 기기를 갖고 있던 2016년 10월 24일 오후 5시경에 최초 유일 생성됐으며 이 파일은 잠금패턴과 관련된 파일이기에 ‘최순실 태블릿’의 L자 잠금패턴은 JTBC 방송사에 의해 설정되고 조작된 것이라고 전한 바 있다.

이에 JTBC 방송사는 6월 19일자로 태블릿 명예훼손 민사재판 항소심 재판부에 제출한 의견서를 통해 자신들은 ‘최순실 태블릿’의 잠금패턴을 설정하거나 조작하지 않았다는 입장을 밝혀왔다. device_policies.xml 파일은 사용자가 잠금패턴을 다섯 번 잘못 입력한 경우에도 기존 device_policies.xml 파일을 삭제하고 새로 생성될 수 있기에 2016년 10월 24일 오후 5시경에 새로 생성된 device_policies.xml 파일은 바로 그런 경우라는 것이다.



하지만 JTBC 방송사의 주장은 사이버포렌식전문가협회(KCFPA)에 의해 당일 곧바로 반박됐다. JTBC 방송사가 제시한 포렌식 이론대로라도 지금처럼 ‘최순실 태블릿’에서 device_policies.xml 파일이 2016년 10월 24일 오후 5시경의 것만 단 하나 포렌식 검출되는 일은 정상적이지 않다. JTBC 방송사의 시나리오대로 설사 저 시점에 다섯 번 잠금패턴 입력 오류로 인해 기존 device_policies.xml 파일이 삭제되고 이후 새로운 device_policies.xml 파일이 생성되었다고 해도, 포렌식 감정에서는 삭제된 기존 device_policies.xml 파일의 존재와 새로 만들어진 device_policies.xml 파일의 존재가 모두 확인되어야 한다는 것이다.

이번에 제보자는 사이버포렌식전문가협회(KCFPA)와는 또 다른 관점에서 JTBC 방송사의 주장을 반박했다. 제보자는 ‘최순실 태블릿’에서 2016년 10월 24일 오후 5시경에 생성된 device_policies.xml 파일은 잠금패턴을 다섯 번 잘못 입력한 경우에 의해서 생성된 파일이 아니라고 하면서 이 시점에 생성된 device_policies.xml 파일의 코드에 주목했다.

제보자는 “안드로이드 모바일 기기에서 device_policies.xml 파일은 일반적으로 잠금패턴에 관련된 내용 뿐만 아니라 기기의 보안정책에 관련 내용도 함께 저장하기에 잠금패턴을 다섯 번 잘못 입력하였을 경우에는 두 내용이 모두 기록되어야 한다”면서“하지만 ‘최순실 태블릿’에서 2016년 10월 24일 오후 5시경에 생성된 device_policies.xml 파일 코드에는 오직 잠금패턴에 관련된 내용만 기록돼 있다”고 지적했다.

제보자는 ‘최순실 태블릿’의 device_policies.xml 파일 코드와 동일한 형태의 결과가 생기는 경우를 확인하기 위해 안드로이드 기기의 보안정책을 인위적으로 무력화한 후 device_policies.xml 파일을 다시 생성해봤다고 전했다. 제보자에 따르면 놀랍게도 이 경우에 device_policies.xml 파일의 코드가 ‘최순실 태블릿’에서 2016년 10월 24일 오후 5시경에 생성된 device_policies.xml 에서의 코드와 같았다.






제보자는 “‘최순실 태블릿’에서 2016년 10월 24일 오후 5시경 생성된 device_policies.xml 파일은 사용자가 잠금패턴을 다섯 번 잘못 입력해서 생성된 것이 아니다”라고 하면서 “그뿐만 아니라 이 device_policies.xml 파일은 보안정책을 우회하거나 무력화하는 등의 인위적 행위로 생성됐다고 볼 상당한 이유가 있다”고 말했다.

미디어워치 측은 향후 태블릿 명예훼손 민·형사재판 항소심 재판 과정에서도 JTBC 방송사와 검찰이 device_policies.xml 파일 문제에 대해 승복을 하지 않는다면 제보자의 제보 내용을 공인 포렌식 감정 기관인 사이버포렌식전문가협회(KCFPA)의 감정을 통해 공식화해서 발표할 방침이다.



배너

배너

배너

미디어워치 일시후원

배너
배너
배너





배너


배너
배너
배너
배너






현대사상

더보기