도장을 찍었을 때 빨간 인주로 종이에 찍힌 도장 자국 내지 모양을 ‘인영’이라고 한다. 도장은 인영만 있으면 완벽하게 위조가 가능하다.* 인영을 스캔해서 컴퓨터에 넣고, 도장 파는 기계를 그 인영과 똑같은 문양이 나오도록 컴퓨터로 세팅해서 찍어내면 되는 것이므로 그리 어렵지 않다. 이렇게 만들어진 위조도장은 원본과 모양이 똑같이 때문에, 국과수가 와도 원본 도장으로 찍힌 인영과 위조된 도장으로 찍힌 인영을 구분하는 것은 불가능하다.
이렇게 인영 자체가 똑같으면 국과수는 똑같은 도장이라고 감정의견을 내놓을 수밖에 없다. 사실은 인영이 약간씩 다른 경우에도 국과수는 똑같은 도장이라고 감정하기도 한다.* 그리고 법원은 특별한 사정이 없는 한 국과수의 감정의견을 그대로 따른다.* 사실 특별한 사정이 있는 경우에도 법원은 국과수의 감정의견을 그대로 따른다.* 그 결과 위조도장으로 만들어진 위조문서가 법적으로는 ‘본인이 진짜 도장으로 직접 찍은’ 문서로 취급돼 유효하게 되고, 법정에서 위조도장을 위조도장이라고 말한 사기 피해자는 오히려 역으로 위증죄로 형사처벌을 받는다. 도장 위조꾼을 문서위조 혐의로 경찰에 고소한 사기 피해자는 감히 ‘죄 없는’ 위조꾼을 고소했다는 이유로 무고죄로도 처벌받는다. 이 경우 실형도 종종 선고된다.
이런 어이없는 공격을 당하지 않기 위해서는, 평소에 법원·검찰 고위층에 인맥관리를 잘 해놓고 사건이 생겼을 땐 전관 변호사을 선임하는 것이 최선이다. 그러나 그런 걸 할 능력이 없는 일반인들은 차선책으로 OPSEC이라도 잘 유지해야 한다. OPSEC은 작전보안operations security의 줄임말로, 어떤 목표를 달성하기 위한 작전을 준비하고 수행하는 과정에서 공격자adversary에게 작전 관련 정보가 새어나가지 않게 함으로써 작전목표를 달성할 확률을 높이는 데 기여하는 과정을 말한다. 도장 관련해서는, 공격자는 본인에게 원한이 있거나 본인의 돈을 탐내는 사기꾼들이고, 공격자로부터 숨겨야 하는 것은 도장의 인영이다.
그런데 도장의 인영을 비밀로 유지한다는 것이 도대체 가능하기나 한가? 잠깐 화제를 돌려 ‘주민등록번호’에 대해 생각해 보자. 나는 주민등록번호로 본인인증authentication을 하는 관습에 대해 옛날부터 심대한 의문을 갖고 있었다. 본인인증은 그 사람만이 알고 있는 것(비밀번호), 또는 그 사람만이 소지하고 있는 것(OTP)을 통해 이루어져야 한다는 것이 상식이다. 주민번호가 비밀인가? 아니다. 술·담배를 사거나 22시 이후 PC방에 들어가려면 직원에게 신분증을 제시해야 하고, 그 직원은 신분증 중에서도 주민번호 부분을 특히 유심히 본다. 남의 개인정보에 특별히 관심이 많아서가 아니라 애초에 직원에게 신분증을 보여 주는 이유가 직원보고 내 주민번호를 유심히 보고 나이를 파악해 달라는 것이기 때문이다. 그뿐인가. 주민번호는 모든 사이트에서 동일하게 사용해야 하기 때문에, 꼭 해커에 의해 주민번호가 ‘유출’되지 않더라도 사이트A에 가입하면서 주민번호를 입력하면 사이트A의 운영사의 모든 직원은 내 주민번호에 쉽게 접근할 수 있게 된다. 물론 사이트A가 네이버 같은 대기업이라면 솔트가 가미된 일방향 해쉬함수의 적용, 철저한 내부통제시스템 등으로 주민번호를 보호하고 있을지도 모르겠지만 우리가 인터넷을 하면서 가입하는 모든 사이트가 그런 대기업은 아니지 않은가? 결국 우리의 주민번호는 마치 우리의 ‘이름’과도 같이 누구에게나 공개돼 있는 정보라고 할 수 있다. 내가 아니라도 내 주민번호를 입력할 수 있는 사람은 아주 많다는 뜻이다. 이런 상황에서 주민번호로 본인인증을 하는 것은 별로 좋은 생각이 아니지만, 현실에서는 아직도 주민번호로 본인인증이 이루어지고 있다.
같은 논리로, 도장이 찍힌 문서를 볼 수 있는 사람 누구에게나 공개된 정보인 ‘도장 인영’도 본인인증수단으로 삼기에는 부적합하다. 이는 장인이 수공구로 조금씩 조금씩 새겨 만든, 전 세계에 똑같은 문양은 단 하나밖에 없는 고급 도장이라 해도 마찬가지다. ‘글씨’를 생각해 보면 쉽다. 서예가가 그 누구도 흉내낼 수 없는 섬세한 붓놀림으로 예술적인 글씨를 써 내면 그 글씨는 위조가 불가능할까? 그냥 그 종이를 그대로 스캔해서 컴퓨터에 넣고 프린트 돌리면 그런 섬세한 글씨는 몇 개라도 똑같이 복제해 낼 수 있다. 도장도 요즘은 컴퓨터로 파기 때문에 아무리 고도의 기술로 만들어 낸 도장이라 해도 인영을 스캔해서 도장 프로그램으로 포토샵 하듯이 조금씩만 수정해서 기계로 돌리면 복제하는 것은 금방이다.
이런 상황에서 도장으로 본인인증을 한다는 것은, 즉 도장 인영이 일치한다는 이유만으로 그 도장을 찍은 사람이 도장 주인 본인이라고 단정하는 것은 별로 좋은 생각이 아니지만, 그게 현실이다. 현실을 바꿀 수 없다면 현실에 적응할 방법을 찾아야 한다.
도장 대신 지문을 사용하는 것은 해결책이 될 수 없다. 인영만 있으면 아이폰,* 지자체 무인민원발급기*도 속일 수 있을 정도로 완벽하게 위조가 가능하지만, 그럼에도 불구하고 ‘법적으로는’ 지문은 위조가 어렵거나 거의 불가능한 것으로 취급되기 때문이다. 이처럼 법과 현실 사이에 괴리가 있는 게 제일 위험하다.
도장 대신 서명을 사용하는 것도 해결책이 될 수 없다. 흔히들 서명은 사람마다 필압이라든가 그런 게 달라서 위조가 어렵다고 말을 하는데, 그건 실제 펜으로 종이에 서명이 된 원본에 한해서 그런 것이고 사본은 필압이고 뭐고 포토샵으로 쉽게 위조할 수 있다. 사기꾼이 나중 가서 ‘원본은 잃어버렸다’고 둘러대고 위조된 스캔본만 제시하면 위조사실을 어떻게 밝혀낼 것인가? 사기꾼 스스로가 중대한 실수를 저지르지 않는 한,* 현실적으로 밝혀내는 게 불가능하다. 그럼에도 불구하고 ‘법적으로는’ 서명은 도장보다 훨씬 위조가 어려워 본인의 서명이 있으면 그건 확실히 본인이 직접 서명을 한 것으로 취급된다. 위험하다.
내 생각에는, 이 문제는 도장의 부인가능성plausible deniability을 확보함으로써 해결하는 것이 최선이다. 부인가능성이란 ‘네 말이 맞을 가능성도 있지만, 그렇지 않을 가능성도 있다’는 식으로 공격자로 하여금 우리에게 불리한 어떤 가설을 확실하게 증명하지 못하게 만드는 것을 말한다. 예를 들어 신원을 알 수 없는 누군가가 주차장에 있는 남의 차에 동전으로 ‘김갑동’이라는 글씨를 쓰고 도망쳤다고 하자. 다음날 근처에 거주하는 김갑동이 유력한 용의자로 지목돼 경찰서로 끌려왔다. 차에 써 있는 이름이 김갑동이니, 범인은 필시 김갑동일 거라는 이유에서다. 이 때 용의자는 ‘부인가능성’을 가진다. 김갑동이라는 이름 자체는 누구에게나 공개돼 있어서 꼭 김갑동 본인이 아니라도 ‘김갑동’이라는 글씨는 얼마든지 쓸 수 있는 것이기 때문이다. 김갑동이 그걸 썼을 가능성도 물론 배제할 수 없지만, 그렇지 않을 가능성도 상당하다.
도장에 대해서도 동일한 원리를 적용해 볼 수 있다. 어떻게? 인터넷에서 1000원짜리 막도장을 구입해서 그걸로 모든 사무를 처리하면 된다. 모든 도장가게에서 똑같이 사용하는 컴퓨터 폰트로 자동제작된 1000원짜리 도장을 말하는 것이다. 그런 도장은 꼭 김갑동 본인이 아니더라도 누구나 쉽게 인터넷 또는 오프라인 도장가게에서 동일한 제품을 주문제작할 수 있는 것이므로, 문서에 그 도장이 찍혀 있다는 이유만으로 그게 진짜 김갑동이 찍은 거라고 단정할 수가 없다. 김갑동이 그걸 찍었을 가능성도 물론 배제할 수 없지만, 그렇지 않을 가능성도 상당하다.
이런 경우에 문서의 진위 판단은, 문서의 내용, 문서가 작성된 경위, 문서 작성일시 및 그 당시 상황에 대한 참여자들의 진술 등 제반 사정을 모두 고려해서 할 수밖에 없을 것이다. 그리고 이게 원래 맞는 거다. ‘도장 인영의 일치여부’라는 것에 지나치게 큰 증거가치를 부여함으로써, 제반 사정이 모두 위조문서라는 결론을 가리켜도 국과수가 동일인영이라고 감정해 버리면 위조문서가 아니라고 판결하는 관행이 오히려 잘못된 것이다. 1000원짜리 컴퓨터 도장을 쓰면 부인가능성이 생겨, 이런 잘못된 관행으로 인해 뜻밖의 낭패를 볼 확률을 줄일 수 있을 것으로 여겨진다.
컴퓨터 도장을 구입할 땐 가장 평범한 것을 구입하는 것을 추천한다. 위조를 막기 위해 도장 폰트에 뒤틀림, 기울기를 넣어 제작한다? 본인만 아는 곳에 흠집을 내 둔다? 그런 건 하면 안 된다. 부인가능성이 떨어지기 때문이다.
왜냐하면 장인이 수공으로 제작한 도장을 복제하기가 쉬운 것과 마찬가지로, 컴퓨터 폰트에 뒤틀림, 기울기를 넣어 제작한 도장도 복제하기가 쉽기 때문이다. 흠집도 마찬가지다. 흠집을 내 둔 도장을 아예 안 쓰고 집에만 모셔둘 거라면 흠집의 위치, 크기, 모양이 비밀로 유지되겠지만, 그 도장을 실제 계약서에 찍고 다니는 순간 계약서에 접근할 수 있는 모든 사람이 그 흠집의 위치, 크기, 모양을 다 알게 되고 그걸 똑같이 복제할 수 있게 된다. 그럼에도 불구하고 ‘법적으로는’ 도장 폰트에 변형을 주어 제작하거나 본인만 아는 위치에 흠집을 내 놓으면 위조가 매우 어려운 것으로 평가된다. 이렇게 법과 현실이 괴리되는 지점이 제일 위험하다. 우리가 해야 하는 것은 현실적으로도 위조가 쉬운 동시에 법적으로도 위조가 쉬운 도장이라고 평가받을 수 있는 그런 도장을 만드는 것이다.
컴퓨터 폰트도 ‘누가 봐도’ 컴퓨터 폰트라고 인식할 수 있는 가장 평범무난한 것을 고르는 것이 좋다. 예를 들어 다음과 같은 3가지 전서체 폰트가 있다면 직선으로 쭉쭉 뻗은 가장 오른쪽 것을 선택해야 한다.
왼쪽과 중앙 것은 폰트에 약간의 굴곡과 두께변화 등 예술성이 있어서, 판사에게 ‘저런 세밀한 굴곡과 두께까지 완벽하게 일치하게 위조하기는 어렵겠다’라는 인상을 줄 수 있어 부인가능성이 낮아진다. 반면 오른쪽 것은 딱 봐도 컴퓨터 폰트처럼 생긴, 굵기도 일정하고 완전히 직선으로 뻗은 폰트여서 위조가 쉬울 거라는 인상을 줄 수 있어 부인가능성이 높아진다.
이렇게 막도장을 구입했으면, 그걸로 본인의 ‘모든’ 법률사무를 다 처리하는 것을 추천한다. 중요한 일에 쓰는 도장, 안 중요한 일에 쓰는 도장을 구분하지 말고 집문서, 땅문서에도 1000원짜리 막도장을 찍으라는 이야기다. 인감도장을 등록하는 경우에도 이 1000원짜리 막도장으로 등록하는 것이 좋다. 인감도장을 너무 위조가 쉬운 걸로 만들면 위험하지 않을까?라고 생각할 수도 있지만, 장인이 수제작한 도장을 사용하더라도 어차피 위조는 쉽다. 어차피 위조가 쉬울 바에는 차라리 ‘법적으로도’ 위조가 쉽다고 평가받을 수 있는 도장을 사용해서 부인가능성이라도 확보하는 게 낫다.
중요한 계약에서는 만약 할 수만 있다면 공인인증서를 이용한 전자서명을 활용하는 게 제일 좋다. 전자서명은 본인의 공인인증서 파일 자체가 유출되지 않는 한 위조가 불가능하다. 다만 공인인증서 파일이 유출되면 비밀번호를 정말 무식하게 길고 무식하게 랜덤한 것으로 정해 놓지 않은 한 낮은 수준의 브루트포스 공격으로도 쉽게 뚫릴 수 있으니 주의할 필요는 있다.
잡동사니 블로그 