11년간 신뢰를 쌓아온 기업의 개국공신이 30억 원을 횡령하고 완벽한 알리바이를 제시했습니다. 디지털 서명과 예약 결재라는 치밀한 조작 속에서, 디지털 포렌식과 HSM 로그 분석이 어떻게 진실을 밝혀냈는지 그 긴박한 과정을 소개합니다.
2023년 가을, 무너진 신뢰의 시작
2023년 10월의 어느 쌀쌀한 오후, 중견 IT 기업 ‘넥스트솔루션’의 강 대표가 사무실 문을 급하게 열고 들어왔다. 평소 냉철하기로 소문난 그였지만, 그날은 달랐다. 얼굴은 창백했고, 의자를 빼내 앉는 손이 미세하게 떨리고 있었다.
“박변, 30억이야. 회사 예비비 30억 원이 감쪽같이 사라졌어.”
그가 내민 회계 감사 보고서에는 믿기 힘든 숫자가 적혀 있었다. 하지만 강 대표를 더 절망케 한 것은 돈의 액수가 아니었다.
“그런데 더 기가 막힌 건 범인으로 의심되게 박팀장이야. 근데 너무나 당당해. 오히려 나를 쳐다보는 그 눈빛이… 마치 내가 죄인인 것 같더군.”
범인으로 지목된 사람은 재무팀의 박진호(가명) 팀장이었다. 그는 11년 넘게 강 대표의 신임을 받으며 회사의 안살림을 도맡아온 ‘개국공신’이자, 매일 새벽 6시 30분에 출근해 밤 10시에 퇴근하는 성실함의 아이콘이었다. 나 역시 그와 몇 번의 식사와 등산을 함께하며 그의 우직함을 높이 평가했던 터라 충격은 적지 않았다.
첫 번째 공방: “저는 프레임에 갇힌 피해자입니다”
사건의 발단은 회사의 해외 투자 자금 집행 과정이었다. 30억 원이 여러 유령 회사를 거쳐 해외 가상화폐 거래소로 흘러들어간 정황이 포착된 것이다. 자금은 국내 계좌 → 홍콩·싱가포르 페이퍼컴퍼니 → 국내 가상자산 거래소 → 해외 선물거래소로 이동하는 전형적인 세탁 루트를 거쳤다.
나는 강 대표를 대리해 박 팀장을 업무상 횡령(형법 제356조) 및 특정경제범죄 가중처벌 등에 관한 법률(특경법) 제3조 위반 혐의로 고소했다. 횡령액이 5억 원을 넘는 중대 범죄였기 때문이다.
첫 번째 대질 심문에서 박 팀장은 예상보다 훨씬 준비가 되어 있었다.
“그 자금 집행은 강 대표님의 비공식적인 지시였습니다. 여기 대표님의 디지털 서명이 담긴 승인 문건이 있습니다.”
그가 제시한 증거에는 강 대표의 개인인증서로 승인된 자금 집행 결재 로그와 텔레그램으로 주고받은 것으로 보이는 비밀 메시지 내역이 있었다. 순간 수사관의 시선이 강 대표를 향했다. 박 팀장은 오히려 강 대표가 비자금을 조성하려다 자신에게 덮어씌우려 한다며 무죄를 주장했다.
첫 번째 반전: 성실함 뒤에 숨은 비밀
사건은 강 대표에게 불리하게 돌아갔다. 여론은 ‘갑질 경영인의 꼬리 자르기’라며 박 팀장을 동정하기 시작했다. 하지만 나는 판을 뒤집기 위해 오히려 박 팀장의 그 ‘성실함’에 주목했다.
“강 대표, 박 팀장이 최근 3년 동안 단 한 번도 자리를 비우지 않았다는 건 성실함의 증거이기도 하지만 굉장히 이상한 부분이기도 해.”
“나도 그게 처음엔 회사를 위해 애쓰는 고마움으로 느꼈지만, 지금 와서 생각해보면 이상한 점이 있어.”
“그래. 단 한 번도 자리를 비우지 않았다는 건, 역설적으로 자리를 비우면 안 되는 이유가 있기 때문이야. 그걸 파헤치는 게 이제부터 우리가 할 일이야.”
나는 디지털 포렌식 전문가와 함께 박 팀장의 업무용 PC가 아닌, 사내 메인 서버의 접속 기록을 초 단위로 분석했다. 그리고 결정적인 모순을 발견했다. 강 대표의 승인 로그가 찍힌 시각, 강 대표는 비행기 안에서 오프라인 상태였다는 사실이다.
박 팀장은 미리 준비했다는 듯 담담하게 대답했다.
“대표님이 비행기 타기 전 예약 승인 기능을 사용하신 겁니다. 제가 설정해 드렸죠.”
치밀한 방어였다. 하지만 그가 간과한 것이 하나 있었다. 바로 HSM(하드웨어 보안 모듈)이었다.
두 번째 반전: HSM이 폭로한 진실
전자서명은 겉으로는 ‘도장 한 번 찍는 것’처럼 보이지만, 법적으로는 그 순간 HSM 내부에서 서명키가 호출되고, 해시값 연산과 서명 생성이 이루어진다. 예약 결재를 했다면 반드시 사전에 예약 서명이 생성되어야 하는데, HSM 로그에는 그런 기록이 전혀 없었다.
“박 팀장님, HSM 로그에 예약 서명 생성 기록이 없습니다. 예약 결재가 아니라 누군가 실시간으로 강 대표님의 인증서를 도용해서 서명했다는 뜻입니다.”
그의 눈동자가 처음으로 흔들렸다.
서버실의 유령과 라즈베리 파이
이제 어떻게 박 팀장이 강 대표의 인증서를 탈취했는지 밝혀내야 했다. 우리는 넥스트솔루션의 스마트 빌딩 관리 시스템(BMS) 기록을 분석했다. 포렌식 전문가는 박 팀장이 주장한 예약 승인 시각에, 서버실의 온도가 미세하지만 유의미하게(0.9℃) 상승한 사실을 발견했다. 이것은 누군가 물리적으로 서버실에 들어가 작업을 했다는 증거였다.
당시 서버실이 위치한 7층의 CCTV는 점검 중이라 기록이 없었지만, 박 팀장의 스마트워치 데이터에서 결정적인 단서를 얻었다. 서버실 온도가 상승했던 그 시각, 박 팀장의 심박수는 140bpm까지 치솟아 있었다. 단순히 책상에 앉아 업무를 보는 사람의 심박수가 아니었다.
그리고 서버실 랙 뒤편에서 박 팀장이 몰래 설치한 라즈베리 파이(Raspberry Pi) 미니 PC가 발견되었다. 그는 이를 통해 강 대표의 디지털 서명을 탈취하고 원격으로 조작했던 것이다. 포렌식 결과는 충격적이었다:
- 강 대표 PC에서 추출된 키로깅 데이터
- 개인인증서 파일과 비밀번호 추정값
- 전자결재 시스템에 자동 로그인 후 결재를 생성하는 스크립트
- 외부 C&C 서버와의 통신 기록
- CCTV 점검 요청과 실패한 회수
우리가 마지막 증인으로 채택한 사람은 보안팀 직원이었다. 그는 법정에서 이렇게 증언했다.
“네, 그날 재무팀에서 서버실이 있는 7층 전체의 CCTV 점검 요청이 있었어요. 불과 한 달 전에 정기점검을 했었기 때문에 별 문제 없다고 했지만, 요청이 들어와서 저희는 회사 지침에 따라 그날 점검을 실시했죠. 22분 만에 끝났어요.”
“그리고 며칠 후 다시 요청이 있었지요?”
“네 맞아요. 일주일 후에 다시 요청이 왔는데, 겨우 일주일 만에 다시 요청을 하는 건 저희가 거부할 수 있거든요.”
“그래서 재요청에는 응하지 않았군요?”
“네 맞습니다.”
나는 돌아서서 판사와 박 팀장을 번갈아 바라보며 발언했다.
“여기서 주목할 것은 일주일이라는 시간입니다. 박 팀장은 한시라도 빨리 PC를 회수하고 싶었지만 곧바로 다시 CCTV 점검 요청을 할 수는 없었습니다. 그래서 최대한 기다린 시간이 일주일이었습니다. 더는 기다릴 수 없었겠죠. 왜냐하면 그 일주일 후에는 회사 전체 서버 점검을 하는 날이었기 때문입니다.”
이 때 박 팀장은 눈을 감았다.
법정 최후변론
“존경하는 재판장님. 피고인은 완벽한 알리바이를 만들기 위해 세 가지를 동시에 저질렀습니다.
첫째, 대표의 전자서명을 탈취·위조했습니다.
둘째, 대표가 물리적으로 불가능한 시점에 서명을 찍히도록 로그를 조작했습니다.
셋째, 그 조작의 흔적을 지우기 위해 직접 서버실에 침투하여 미니 PC를 설치·운영했습니다.
그러나 피고인은 단 한 가지를 간과했습니다. 몰래 설치한 PC를 다시 회수해 올 수 있을 만큼 이 회사의 보안 시스템이 허술하지는 않다는 것이었습니다.”
판결과 후일담
법원은 박 팀장에게 징역 7년을 선고했습니다. 또한, 횡령 금액 전액에 대한 배상 명령이 내려졌습니다. 하지만 이미 사라진 돈 중 회수된 것은 약 8억 7천만 원에 불과했고, 나머지는 해외 선물거래로 탕진된 상태였습니다.
강 대표는 승소 후 내 사무실에서 씁쓸하게 말했습니다.
“박변, 법으로 그놈을 감옥에 보낼 순 있었지만, 내가 그 사람을 11년 동안 믿어준 마음은 어디서 보상받지?”
“강 대표. 이 정도 일로 무너지지 마라. 이번 일을 타산지석으로 삼아 앞으로는 회사 보안을 더 철저히 하면, 다시 크게 일어설 수 있을거야.”
2년이 지난 현재 넥스트솔루션은 다시 살아났다. 그 사건 이후 보안 시스템을 대폭 강화한 것이 오히려 대기업들과의 거래에서 신뢰를 얻는 계기가 되었기 때문이다.
💡 법률적·기술적 시사점
업무상 횡령과 특경법 적용
업무상 횡령죄는 타인의 재물을 보관하는 자가 업무상의 임무에 위배하여 그 재물을 횡령할 때 성립하며, 일반 횡령보다 가중 처벌됩니다. 특히 횡령액이 5억 원 이상인 경우 특정경제범죄 가중처벌 등에 관한 법률이 적용되어 무기 또는 5년 이상의 징역에 처해질 수 있습니다.
디지털 포렌식의 중요성
최근 경제 범죄는 디지털 로그 조작을 동반하는 경우가 많습니다. 특히 HSM 로그는 전자서명의 진위를 판단하는 결정적 증거가 될 수 있으며, BMS 시스템의 환경 데이터, 생체 정보 등 다양한 디지털 증거를 교차 검증하는 것이 범죄 입증에 필수적입니다.
내부 통제 시스템의 필요성
아무리 신뢰하는 직원이라도 자금 집행 권한을 독점하게 해서는 안 되며, 이중 결재, 역할 분리, 주기적인 로테이션, 최소 권한 원칙을 통한 교차 검증 시스템을 갖추는 것이 법적 분쟁을 예방하는 가장 확실한 방법입니다. 특히 중요 직원의 장기간 무휴가 근무는 오히려 경고 신호로 받아들여야 합니다.
