Digital Forensic [디지털 증거]

디지털 데이터 특성

​

1. 비가시성

2. 대량성

3. 휘발성

4. 변조가능성

5. 초국경성

6. 복제 용이성

​

디지털 증거의 분류

1) 비가시성

디지털 정보 자체는 사람의 육안으로 인식할 수 없음

1-1 모니터 화면에 나타내거나 프린터를 통하여 출력하는 등 일정한 변환절차를 거쳐야 비로소 가시성과 가독성 가짐

1-2 가시성, 가독성 확보 위해 변환장치, 출력장치, SW 등을 거치는 과정에서 증거의 진정성 문제 발생

1-3 디지털포렌식 전문가에 의한 증거수집 및 분석이 이루어지지 않는 경우 증거훼손 가능성 큼

​

> 대법원은 ‘디지털 저장매체로부터 출력한 문건의 증거능력’과 관 련, “컴퓨터의 기계적 정확성, 프로그램의 신뢰성, 입력·처리·출 력의 각 단계에서 조작자의 전문적인 기술능력과 정확성 담보

​

2) 대량성

디지털 저장매체 용량의 증가로 대량의 정보가 축적, 유통

2-1 대규모 시스템 압수시 기본권침해 가능성 존재(영업권, 프라이버시 권)

2-2 서버의 경우, 특정인의 자료만 저장ㆍ전송되는 것이 아니라 수 많은 사 람들의 자료가 저장ㆍ전송

2-3 비례의 원칙(과잉금지의 원칙) 준수 필요

2-4 압수수색영장 청구단계에서 특정 문제 발생 , 방대한 정보 중 압수ㆍ수색할 대상, 장소를 사전에 특정하기 곤란

​

3) 변조 가능성

디지털증거는 간단한 조작만으로 삭제, 변경 용이

3-1 신속한 증거보전의 필요성 존재

3-2 디지털증거는 온도, 습도, 충격, 전자기파 등에 쉽게 영향 받을 수 있 음

3-3 대법원도 디지털증거의 “조작가능성”에 대한 우려 표명

 

4) 휘발성

컴퓨터 메모리나 네트워크 상에서만 일시적으로 존재하는 휘발성 데 이터가 존재하며, 디지털 증거 압수과정에서 사라지지 않도록 각별 히 주의해야 함

​

5) 복제 용이성

디지털증거는 어느 매체에 저장되어 있던지 동일한 가치를 가지게 됨

5-1 원본과 사본의 구분 곤란 

5-2 압수방법에 있어서 사본매체압수 가능성 

5-3 사본매체에서 출력한 문건의 증거능력 문제

5-4 사본압수시 동일성 확보를 위한 기술적 조치 필요

​

6) 초 국경성

인터넷 등 각종 네트워크를 통해 서로 연결되어 있는 디지털 환경

6-1 디지털 증거는 물리적 공간을 초월하여 저장, 전송되고 있어 증거수집시 법적 문제 발생

6-2 토지관할을 넘는 법집행을 어느 정도 인정할 것인지 문제되고 국경을 넘 는 경우 국가의 주권문제까지 발생할 소지 있음

6-3 원거리 서버에 대한 압수, 수색 가능성 문제 야기

6-4 신속한 증거수집 필요성에 따라 원격서버에 대한 온라인 수색, 압수 필 요성 제기

6-5 사이버범죄방지협약, 일본 개정 형사소송법상의 ‘온라인 수색’ 규정

​

법정에서의 디지털 증거

법정에서 유효한 증거가 되기 위해서는 증거능력 관점에서 유의 하여 증거를 수집/분석/제출해야 함

​

법정에서 유효한 증거는 2가지로 구분된다 1. 증거능력 2. 증명력

1. 증거능력 은 전문법칙 과 , 위법수집 증거 배제의 원칙 을 충족해야한다.

2. 증명력은 자유심층주의 원칙을 충족해야한다.

​

전문법칙 : 전문법칙(전문증거배제법칙)은 전문증거의 증거능력을 배제하는 증거 법상의 원칙

전문 법칙의 예외 : (디지털 증거)

전문증거의 작성자가 공판준비기일이나 공판기일에서 그 성립의 진정 을 부인하는 경우에도 과학적 분석결과에 기초한 디지털포렌식 자료나 감정 등 객관적 방법으로 진정 성립이 증명되는 때에는 증거능력을 인정

​

전문 법칙의 예외

비진술 증거로서의 디지털 증거 (전문 아님)

1. 주로 컴퓨터에 의해 생성된 증거(Computer-generated Evidence)

2. 컴퓨터 시스템이 작동하면서 자동적으로 기록ㆍ저장되는 디지털 증거들

2-1 시스템 로그파일, 이벤트 기록 및 인터넷 웹 히스토리 파일 등

2-2 이러한 디지털 데이터 자체가 증거로서 제출되는 경우에는 진술증거가 아니므로 전문법칙이 적용될 여지가 없음

2-3 또한 진정성, 무결성, 신뢰성 등이 인정된다면 일반적으로 증거능력이 인정됨

​

증거능력 보장 요건

1. 진정성

2. 무결성

3. 원본성

4. 신뢰성

​

증거능력 보장을 위해선 위의 4가지 요건이 충족되어야 한다.

​

1. 진정성 [Authenticity]

디지털 증거의 저장, 수집 과정에서 오류가 없었으며, 의도된 결과가 정확하고 그로 인해 생성된 자료임이 인정되어야함.

디지털 증거는 다른 증거와 달리 훼손, 변경이 용이한 특성으로 인하여 최초 증거가 저장된 매체에서 법정에 제출되기까지

확실한 인수 인계를 통해 변경이나 훼손이 없어야 함 [연계 보관성 - Chain of Custody]

​

2. 무결성 [Integrity]

디지털 증거가 원본 소스로부터 수집되어 보관, 분석되는 과정에서 부당한 수정,변경,손상이 없도록 유지해야 하며 이를 검증[보장]

할 수 있어야 함

법정 제출 시 디지털 증거를 검증하여 위조 여부를 판별해야 함

고소인 측에서 연계 보관성을 통한 무결성을 증명하더라도, 피고소 인이 디지털 증거의 위조 가능성을 이유로 증거효력을 무력화할 경우,

피고소 인이 디지털 증거의 위조 가능성을 이유로 증거효력을 무력화할 경우, 디지털 증거의 신뢰성을 입증할 수 있어야 함

​

[연계 보관성 - Chain of Custody]

디지털 증거의 발견방법과 처리방법을 비롯하여 증거와 관련된 모든 사항을 명확히 기술하고 보관 , 이송 과정에서 인수인계 과정에 대한 기록과 검증이 필요

​

연계 보관성 유지를 위해 기록할 정보

증거를 발견하고 수집한 사람,장소,시간

증거를 취급하고 조사한 사람,장소,시간

증거를 보관하는 사람,보관,기간,보관 방식

증거 관리가 변경되었을 때의 이송 방법과 날짜 [선적 번호 포함]

​

3. 원본성 [Originality]

디지털 증거 자체로는 가시성 가독성이 없으므로 가시성이 있는 인쇄물로 출력하여 법원에 제출하여야 함

​

​

원본성과 디지털 증거

대용량 시스템에서의 증거 수집은 원본 매체 자제를 다른 저장 매체에 복제 혹은 기타 방법으로 이동시켜 수집함

실제 법정에 제출되는 증거들은 원본 증거와는 다른 형태를 취하게되며, 증거 원본이 제출되어야 하는 증거법상의 원칙상 제출되는 사본

증거, 그리고 가시성,가독성 있는 형태로 변환된 증거를 원본으로 인정할 수 있는가라는 법적 문제가 제기될 수 있음

​

4. 신뢰성

증거 데이터의 분석 등 처리 과정에서 디지털 증거가 위,변조 되거나 의도 되지 않는 오류를 포함하지 않았음을 의미

디지털 증거의 신뢰성은 디지털 증거 자체의 특성이 아닌 디지털 증거를 취급하는 인력,도구,분석,절차 등과 같은 주,객관적인 요소

들의 신뢰성 증명을 통해 간접적으로 증명 가능

​

디지털 증거의 본사본

디지털 증거의 특성상 원본과 사본의 데이터는 완벽히 일치

장기간 보관 또는 취급 부주의로 인한 고장 등으로 데이터 훼손 가능

제 3자의 입회 하에 해쉬값에 대한 공증 필요

해쉬값이 동일한 경우 사본에 대한 증거력 인정 필요

​

네트워크 수집 증거

네트워크 데이터는 실시간으로 변화

데이터의 수집기간에 따라 해쉬값이 바뀔 수 있음

제 3자의 입회 하에 수집 및 해쉬값 계산,공증

이후 동일 해쉬값을 갖는 데이터를 원본으로 인정

​

서버 시스템에서의 디털 증거

대형 시스템의 경우 이미징이 현실적으로 불가능

기업의 업무에 피해를 미침

모든 데이터를 출력물로 생성하는 것은 현실적으로 불가능

논리적 파일로 수집해야 할 필요성 존재

​

임베디드 시스템에서의 디지털 증거

핸드폰,PDA,게임기,PMP 등 다양한 임베디드 시스템 존재

데이터 수집 자체가 어려운 경우가 존재

다양한 수집기법 존재 : 물리적 수집 및 논리적 수집