디지털 포렌식 조사의 일반 원칙은?

증거는 법정에서 채택되지 않으면 무의미하기 때문에 증거를 다룰 때는 매우 신중해야 하며, 합법적 절차에 의거하여 수집·관리해야 한다. 우리나라에서는 별도의 증거법이 존재하지 않고 증거 채택 여부를 판사가 결정하기 때문에 판사가 인정할 수 있는 합리적인 근거가 제시되어야 한다.

​

디지털 증거도 일반 증거와 동일하게 취급되어야 한다. 하지만 이진수로 표현 되어 있어 직관적으로 이해하기 어려우며, 전문적인 도구를 이용하여 분석해야 한다. 현재 디지털 증거에 대한 연구는 미국에서 많이 이루어져 있어 미국 판례 가 국내에서 많이 참조되고 있다.

​

디지털 데이터는 위·변조와 훼손이 용이하기 때문에 특히 세심하게 다루어야 하며, 수집 이후 변경되지 않았음을 입증할 수 있어야 한다. 디지털 데이터가 증 거로 채택되기 위해서 갖추어야 할 요건이 별도로 규정된 것은 없지만 몇가지 참조할만한 사례로 영남위 사건, 일심회 사건 등이 있다. 컴퓨터에 저장된 문건은 전문 법칙이 적용된다는 것이 영남위 사건의 판례에 있으며, 자격있는 자가 검증된 도구를 사용하여 분석한 결과는 신뢰할 수 있다는 것이 일심회 사건 판결에 있다.

​

미국에서는 컴퓨터가 자동으로 생성한 데이터는 진술이 아니므로 전문 증거가 아니며, 사업 수행을 위해 일상적으로 기록하는 데이터는 전문이지만 해당 조직 의 유지 관리를 위한 데이터로 거짓을 작성할 가능성이 적고 신뢰성을 인정할수 있다고 보아 전문 법칙의 예외 사항으로 규정하여 증거로 채택하고 있다. 위에서 언급하였듯이 디지털 데이터는 조작되기 쉽기 때문에 수집 이후부터는 변경되지 않았음을 입증할 필요가 있는데 이를 무결성이라 말하며, 수집할 때 원 저장 상태에서 불가피하게 변경될 경우에는 그 사유와 변경된 부분을 소상히 설 명해야 한다. 무결성은 해당 디지털 데이터에 대한 해쉬 값을 변경이 불가능한 형태로 별도 보관함으로써 추후 해쉬 값이 일치하는지 검사함으로써 데이터의 훼손 여부를 검증할 수 있다.

​

법정에 제출되는 모든 증거는 범죄 현장에 존재한 것이어야 하는데 이를 진정성이라 말한다. 진정성은 수집 이후부터 법정까지 진행된 증거 처리에 관한 내용 을 기록한 문서를 통해 입증하고 있는데, 진정성 유지를 위한 제반 절차를 연계 보관성(chain of custody)이라 말한다.

​

현재 암호학적 해쉬 함수는 보편적으로 사용되고 있으나, 연계 보관성은 엄밀하게 지키고 있지는 않다. 일부 공안 사건을 중심으로 연계 보관성을 엄밀하게 지키려는 노력을 하고 있으며, 향후에는 보편화 될 것이다. 연계 보관성을 지키 지 않았다면 증거가 수집된 이후에 조사 과정에서 다른 것으로 대체되었을 가능성을 제기함으로써 증거 능력이 없다는 주장에 대한 답변을 할 수 없어 증거로 채택되지 않을 수 있다. 따라서 디지털 포렌식 분석을 할 경우에는 반드시 연계 보관성을 유지해야 한다.

​

저장 매체에는 대부분 범죄 관련 데이터가 일상적인 데이터와 혼재되어 있는데 일상적인 데이터에 프라이버시 관련 정보가 많이 있어 최근 국내 법원에서는 디지털 데이터를 압수할 때, 범죄 관련 데이터만을 수집하도록 하는 경향이 강해지고 있다.

 

<출처: 디지털 포렌식 개론 - 이상진 지음>

 

#디지털_포렌식 #포렌식 #디지털포렌식조사의일반원칙

​