티스토리 뷰

Digital Forensics/디지털 포렌식 개론

Digital Evidence

Noctis41 2024. 3. 2. 16:16

Digital forensics

1. 디지털 데이터의 특성

  • 일반 증거와는 다르게 디지털 증거만의 독특한 증거 수집, 보존을 위한 절차가 필요하다.
  • 형사소송법 상 증거능력을 부여하기 위한 요건이 존재하는데 이는 디지털 데이터의 특성에 기인
  • 아래 표는 디지털 데이터의 특성과 그로인한 쟁점들을 정리한 것이다.
디지털 데이터 특성 특성 설명 관련 쟁점
비가시성 디지털 데이터는 육안으로 확인이 불가능하다. 전문성, 신뢰성
휘발성 내 외부 영향의 의해 쉽게 사라질 수 있다 진전성, 무결성
복제 용이성 디지털 데이터는 복제가 쉽고 원본과 사본의 구분이 불가능하다. 원본성, 압수방법(이미징)
변조 가능성 위변조 및 삭제가 용이함 진정성, 무결성
대규모성 하나의 물리적 매체에도 다수의 디지털 자료가 저장되어 있다. 압수 방법(선별 압수)
초국경성 디지털 데이터의 영향 범위가 국경을 초월함 압수 방법(원격지 압수)

 

비가시성
  • 0과 1로 이로어져있는 디지털 데이터는 곧바로 인식하기는 불가능하다.
  • 그렇기에 사람이 볼 수 있도록 변환한 후 출력 장치를 통해 출력함으로써 그 내용을 확인해야 한다.
  • 하지만 변환하는 과정에서 디지털 데이터의 누락이나 변경은 없었다는 것을 보장해야한다.

<사진>

 

휘발성
  • 휘발성은 디지털 데이터가 내,외부의 영향에 따라 쉽게 삭제 및 변조될 수 있는 성질을 의미
  • 외부의 영향은 저장매체에 대한 충격, 열 등의 요인을 의미한다.
  • HDD의 경우 충격과 열 등에 취약하여 올바르게 보관되지 않거나 데이터가 삭제 변조가 일어난다.
  • SSD경우 반도체를 이용하여 데이터를 저장하는데 장기간 전원을 연결하지 않으면 손실이 일어난다.
  • 컴퓨터 메모리나 네트워크 상에서만 일시적으로 존재하는 데이터는 활성 데이터라고 부른다.
  • 활성 데이터에는 암 복호화 키와 같은 중요 정보가 다수 포함되어 있지만 휘발성이기 때문에 전원이 꺼지면 정보를 획득할 수 없게 된다.
복제 용이성
  • 디지털 데이터는 물리적 형태를 가진 물체가 아니므로  데이터 그 자체가 가치를 갖는다.
  • 서로 다른 매체에 저장되어 있더라도 동일한 디지털 데이터가 저장되어 있다면 그 가치 또한 동일하다.
  • 예로 스마트폰에서 저장되어 있는 사진 파일을 컴퓨터로 복사하게 되면 매체만 다를 뿐 두 파일을 구성하는 디지털 데이터는 동일하다.
  • 다만 이러한 복제 용이성은 디지털 증거의 '원본'은 무엇인가라는 이슈가 있다.
변조 가능성
  • 디지털 데이터는 삭제와 변경이 용이하다.
  • 간단한 명령어만으로 대량의 파일을 수정하거나 삭제하는 것이 가능하다.
  • 데이터 자체를 변조하여 저장된 정보를 수정하는 것도 가능하다.
  • 이러한 변조 가능성 혹은 용이성은 디지털 증거의 무결성에 대한 여러 논쟁을 유발한다.
대규모성
  • 지금의 저장 매체의 발전은 과거에는 상상하지 못했던 방대한 분량의 정보를 기록할 수 있게 되었다.
  • 이에 따라 대량의 데이터로부터 증거로서 유의미한 정보를 담고 있는 데이터 선별하는 작업의 중요성이 크다.
  • 데이터 복잡성과 처리 시간의 증가는 디지털 포렌식 조사자가 해결해야 하는 주요 이슈이다.
초국경성
  • 디지털 데이터의 초국경성은 국가나 지역의 경계를 쉽게 넘나들며 전 세계적으로 이동할 수 있는 특성을 말한다.
  • 이는 범죄자, 피해자, 디지털 증거가 각기 다른 국가나 지역에 존재할 수 있다는 사실을 시사한다.
  • 특히 사이버 범죄 수사 시 사법관할권이나 국가 주권 문제와 같은 법적, 행정적, 정치적 이슈가 발생하곤 한다.

2. 증거

증거란
  • 형사소송은 사실관계를 확정하고 그에 따른 형법의 적정한 적용을 목적으로 한다.
  • 법률의 적용은 사실관계가 확정되면 법률 지식에 의해 기계적으로 이루어지는 경우가 대부분인 반면 사실관계 확정은 사후에 남아있는 여러 자료들을 통해 추정해야하므로 상대적으로 어려운 작업이다.
  • 사실관계를 확실하게 하기 위해 사용되는 자료를 바로 '증거'라고 한다.
  • 증거에 의하여 사실관계가 확인되는 과정을 '증거'라 하며 증명의 대상이 되는 사실을 '요증사실'이라 한다.

 

  • 증거에는 '증거방법'과 '증거자료'의 두 가지 의미가 포함된다.
  • 증거방법이란 시실인정의 자료가 되는 유형물(증인,감정인,증거물,증거서류 등)을 말하며 증거자료는 증거 방법을 조사하여 증거자료를 획득 및 감지하는 절차를 '증거조사'라 한다.

 

  • 형사소송법 제307조  제1항에서 "사실의 인정은 증거에 의하여야 한다."고 규정하고 있다.
  • 또한 형사소송법 제307조 제2항에서도 "범죄사실 인정은 합리적인 의심이 없는 정도의 증명에 이르러야 한다."라고 규정하며 증거재판주의를 증거법의 기본 원칙으로 삼고 있다.
증거능력과 증명력

1) 증거능력

  • '증거능력'은 증거가 엄격한 증명의 자료로 사용될 수 있는 법률 상의 자격을 의미한다.
  • 사실인정에 대한 증명은 그 자료가 반드시 증거능력이 있어야 하고, 적법한 증거조사를 거쳐야 한다.
  • 법관의 주관적,개별적 판단에 좌우되지 않는 것이 원칙으로 증거능력은 입법자에 의하여 형식적, 객관적으로 결정

2) 증명력

  • '증명력'이란 증거능력의 관문을 통과한 증거가 요증사실을 증명할 수 있는 가치를 의미한다.
  • 이는 문제가 되고 있는 사실을 증명할 수 있는 실질적 가치, 신빙성의 정도에 해당된다.
  • 증명력에 대한 판단은 형사소송법 제308(자유심증주의)에 의해 법관의 자유로운 심증에 맡긴다.

3) 진술증거와 비진술증거

  • '진술증거'는 사람의 진술을 증거로 하는 것이다.
  • 사람의 지각에 남아있는 범죄 흔적의 내용을 구두나 서면 등의 방법으로 외부에 표현하는 경우가 진술증거에 해당
  • 반면 '비진술증거'는 단순한 증거물이나 신체의 성질,상태 등 사람의 진술을 내용으로 하지 않은 증거를 의미
  • 진술증거는 그 진술에 임의성이 인정(외부의 부당한 영향이나 압력이 없음을 의미)되어야 증거능력이 있다 판단
  • 또한 진술증거는 전문증거 여부에 따라 '전문법칙'이 적용된다.

4) 전문증거와 전문법칙

  • 전술증거는 '본래증거'와 '전문증거'로 나눌 수 있는데, 전문증거에 해당되는 경우 전문법칙에 의해 증ㄱ능력이 인정되지 않는다.
  • 본래증거란 범죄사실에 관련된 체험을 한 사람이 중간의 매개체를 거치지 않고 직접 법원에 진술하는 것을 의미하고
  • 전문증거는 직접 체험한 사람의 진술이 서면이나 타인의 진술이라는 매개를 통해 법원에 전달되는 것을 뜻한다.
  • 3자가 직접 폭행사건을 목격하고 진술을 한다면 본래증거, 3자를 통해 들은얘기를 다른 사람이 진술할 경우 전문증거에 해당한다.
  • 전문법칙이란 전문증거는 원칙적으로 증거능력이 인정되지 않는다는 증거법칙으로 형사소송법 제310조의2(전문증거와 증거능력의 제한)에 의한다.
  • 전문증거의 증거능력은 다음과 같은 이유를 근거로 제한한다.
    - 원진술자의 잘못된 기억의 가능성
    - 원진술자의 진술을 잘못 알아들을 수 있는 위험성
    - 애매하거나 이해하기 어려운 원진술자의 표현을 잘못 해석할 가능성 
    - 원진술자의 진술을 왜곡할 위험성
    - 경험 전달 과정에서 오류나 허위가 개입될 가능성
    - 반대신문 기회의 결여(신용성 부족 파악 불가능) 등

3. 디지털 증거의 정의

  • 범죄와 관련하여 증거로서의 가치가 있는 전자정보
  • 범죄와 관련하여 디지털 형태로 저장되거나 전송되는 증거로서의 가치가 있는 정보
  • Any information of probative value that is stored or transmitted in a binary for 
  • 범죄가 어떻게 일어났는지에 대하여 입증 또는 반박할 수 있거나 범죄 의도나 알리바이와 같은 범죄의 핵심요소들을 이끌어 낼 수 있는 정보로 컴퓨터를 사용하여 저장되거나 전송되는 데이터

4. 디지털 증거의 증거능력

위법수집증거배제원칙
  • 디지털 증거 또한 일반적인 증거들과 같이 형사소송법 제307조의 제2항에 따라서 적법한 절차에 따르지 아니하고 수집한 증거는 증거로 할 수 없다. 이를 위법수집증거의 배제 원칙

1) 사건 관련 정보 압수수색

  • 우리나라 형사소송법에는 '피고 사건과 관계가 있는' 것에 한정하여 압수할 것을 명시
형사소송법 제106조(압수)
1. 법원은 필요한 때에는 피고사건과 관계가 있다고 인정할 수 있는 것에 한정하여 증거물 또는 몰수할 것으로 사료하는 물건을 압수할 수 있다. 단 법률에 다른 규정이 있을 때에는 예외로 한다.

제109조(수색)
1. 법원은 필요한 때에는 피고사건과 관계가 있다고 인정할 수 있는 것에 한정하여 피고인의 신체, 물건 또는 주거, 그 밖의 장소를 수색할 수 있다.

제215조(압수, 수색, 검증)
2. 사법경찰관이 범죄수사에 필요한 때에는 피의자가 죄를 범하였다고 의심할 만한 정황이 있고 해당 사건과 관계가 있다고 인정할 수 있는 것에 한정하여 검사에게 신청하여 검사의 청구로 지방법원 판사가 발부한 영장에 의하여 압수, 수색 또는 검증을 할 수 있다.

 

  • 사건과 관련있는 것만으로 한정하는 이유는 법익 침해 가능성 때문인다.
  • 디지털 기기를 압수할 경우, 디지털 데이터의 대규모성으로 인해 압수수색 영장의 범죄사실과 관련 없는 정보가 수집될 가능성이 매우 크다

2) 압수 방법 준수

  • 압수 방법 및 절차가 요건을 충족하지 못한다면 위법 수집에 해당된다.
  • 형사소송법에서는 정보의 범위를 정하여 출력하거나 복제할 것을 기본 원칙으로 삼고 있다.
  • 따라서 디지털 증거를 저장하고 있는지 확인하기 위해 디지털 데이터를 논리적으로 해석할 수 있어야하며 사건과 관련있는 데이터들만을 수집하도록 정보의 범위를 명확하게 지정하는 기술이 필요하다.
형사소송법 제106조(압수)
3. 법원은 압수의 목적물이 컴퓨터용 디스크, 그 밖에 이와 비슷한 정보저장 매체(이하 이 항에서 "정보저장 매체 등"이라 한다)인 경우에는 기억된 정보의 범위를 정하여 출력하거나 복제하여 제출받아야 한다. 다만 범위를 정하여 출력 또는 복제하는 방법이 불가능하거나 압수의 목적을 달성하기에 현저히 곤란하다고 인정되는 때에는 정보저장 매체 등을 압수할 수 있다.
  • 다만 범위를 정한 출력 또는 복제가 불가능한 경우 물리적 매체 그 자체도 압수가 가능하도록 예외를 두고 있다.

3) 참여권 보장

  • 일반 증거와 마찬가지로 디지털 증거를 압수수색할 때에도 수사기관은 피고인의 참여권을 보장해야 한다.
형사소송법 제121조(영장집행과 당사자의 참여)
검사, 피고인 또는 변호인은 압수.수색영장의 집행에 참여할 수 있다.

제122조(영장집행과 참여권자에의 통지)
압수, 수색영장을 집행함에는 미리 집행의 일시와 장소를 전조에 규정한 자에게 통지하여야 한다. 단 전조에 규정한 자가 참여하지 아니한다는 의사를 명시한 때 또는 급속을 요하는 때에는 예외로 한다.

 

디지털 증거와 전문법칙

1) 디지털 증거의 전문증거 여부

  • 디지털 증거는 생성 방식에 따라 크게 컴퓨터에 의해 생성된 증거와 컴퓨터에 저장된 증거로 나눌 수 있다.
  • CGE는 컴퓨터 시스템이 작동하면서 자동적으로 기록된 증거들을 의미한다.
  • CGE는 사람이 작성한 기록을 컴퓨터에 저장한 것으로 대부분 인격적 주체가 생성한 진술적 증거로 전문법칙이 적용된다.
  • 하지만 진술증거라 하더라도 원진술의 존재 자체가 요증사실의 구성요소를 이루는 경우, 그 존재가 증거인 경우에는 비전문증거로 간주하여 전문법칙을 적용하지 않는다.

전문증거 여부에 따른 디지털 증거의 분류

  • 비진술증거에 해당하는 디지털 증거의 예시로는 시스템이 구동되면 자동으로 생성되는 이벤트로그와 같은 시스템 로그파일, 방화벽 로그, 인터넷 웹  히스토리 등이 있다.
  • 진술증거이면서 본래증거인 디지털 증거로는 협박 내용의 이메일, 위조된 전자문서, 이적 표현물, 영업비밀이 담겨있는 유출된 파일 등이 해당된다.
  • 그 외 요증사실이 기록된 각종 파일들은 전문증거에 해당된다.

2) 디지털 전문증거와 전문 법칙

  • 디지털 증거 중 진술증거이면서 전문증거에 해당하는 경우라도 증거로서 효력을 갖지 못하는 것은 아니다.
  • 전문법칙은 진술서에 대해서 형사소송법 제313조의 제1항에서 전문증거는 공판준비나 공판기일에서의 그 작성자 또는 진술자의 진술에 의하여 그 성립의 진정함이 증명된 때에는 증거로 할 수 있다고 명시하여 전문증거이지만 재판에서 증거로 사용할 수 있는 예를 등고 있다.
제313조(진술서 등)
1. 전2조의 규정 이외에 피고인 또는 피고인이 아닌 자가 작성한 진술서나 그 진술을 기재한 서류로 그 작성자 또는 진술자의 자필이거나 그 서명 또는 날인이 있는 것(피고인 또는 피고인 아닌 자가 작성하였거나 진술한 내용이 포함된 문자, 사진, 영상 등의 정보로 컴퓨터용 디스크, 그 밖에 이ㅗ아 비슷한 정보저장 매체에 저장된 것을 포함한다.
이하 이조에서 같다) 은 공판준비나 공판기일에서의 그 작성자 또는 진술자의 진술에 의하여 그 성립의 진정함이 증명된 때에는 증거로 할 수 있다. 단, 피고인의 진술을 기재한 서류는 공판준비 또는 공판기일에서의 그 작성자의 진술에 의하여 그 성립의 진정함이 증명되고 그 진술이 특히 신빙할 수 있는 상태하에서 행하여 진 때에한하여 피고인의 공판준비 또는 공판기일에서의 진술에 불구하고 증거로 할 수 있다<개정 2016. 5 29>
  • 하지만 위 조항은 디지털 전문증거가 특정인 소유의 PC나 스마트폰에서 발견되더라도 당사자의 진술이 없다면 증거로 인정받을 수 없다는 것이 정보화시대에 적합하지 않다는 주장과 전문증거이므로 전문법칙에 적용받는 것이 당연하다는 주장이 첨예하게 대립해왔다.
  • 이러한 사회적 요구에 맞춰 2016년에 형사소송법 제313조의 제2항이 아래와 같이 개정되었다.
제313조(진술서 등)
2. 제1항 본문에도 불구하고 진술서의 작성자가 공판준비나 공판기일에서 그 성립의 진정을 부인하는 경우에는 과학적 분석결과에 기초한 디지털포렌식 자료, 감정등 객관적 방법으로 성립의 진정함이 증명되는 때에는 증거로 할 수 있다. 다만 피고인 아닌 자가 작성한 진술서는 피고인 또는 변호인이 공판준비 또는 공판기일에 그 기재 내용에 관하여 작성자를 신문할 수 있었을 것을 요한다. <개정 2016. 5. 29>

 

디지털 증거의 진정성, 무결성, 신뢰성

1) 진정성

  • 진정성은 디지털 증거가 생성 또는 획득된 이후로 변경되거나 조작되지 않은 채, 디지털 기기나 시스템에서 원래 존재했던 정보를 정확하게 표현하고 있는지에 대해 판단하는 것을 말한다.
  • 법정에 제출된 디지털 증거가 앞서 살펴본 요건들을 만족하면서 표방하는 바 그대로의 데이터임을 인정받으려면 증거가 법정에 제출되는 전 과정에서 변조되었을 가능성이 없음을 입증해야 한다.
  • 여기서 중요한 원칙으로 관리 연속성이 있다.
  • 관리 연속성이란 디지털 증거의 발견 방법과 처리 방법을 비롯하여 증거와 관련된 모든 사항을 명확히 기술하고 보관, 이송 과정에서 인수인계 과정에 대한 기록과 검증이 필요함을 판단하는 것을 말한다.

2) 무결성

  • 무결성은 디지털 증거가 출처로부터 수집되어 보관, 분석되는 과정에서 부당한 수정, 변경, 손상이 없도록 유지해야 하며 이를 검증할 수 있는지에 대해 판단하는 것을 말한다.
  • 무결성을 입증하기 위한 대표적 방안은 암호학적 해시함수를 사용하는 것이다.
  • 입력값이 단 1비트만 변경되어도 변경 전의 해시 값과는 완전히 다른 해시값이 출력된다.
  • 따라서 디지털 증거를 획득한 뒤 해당 증거의 출처, 즉 디짙털 데이터에 대한 해시값을 계산하여 보관해 놓고 법정에서 무결성에 대한 증명을 요하는 경우에 해시값 계산 과정을 재현함으로써 목적을 달성

3) 신뢰성

  • 신뢰성은 디지털 증거가 출처로부터 완전하고 정확하게 표현된 것인지를 판단하는 것을 말한다.
  • 디지털 데이터의 비가시성에 의한 것을 조사자와 디지털 포렌식 도구의신뢰성과 깊은 관련이 있다.

4) 민사소송에서의 디지털 증거

  • 민사소송에서는 디지털 증거의 증거능력 요건을 앞서 살펴보았던 형사에서만큼 엄격히 요구하지 않는다.
  • 이는 민사와 형사의 목적과 기능이 본질적으로 다르기 떄문이다.
  • 형사절차의 목적은 실체적 진실을 발견하는 것으로 정의 실현과 오판 우려를 최소화하고자 하는 것이고
  • 민사소송에서는 형식적 진실주의를 원칙으로 한다.
  • 민사소송절차는 개인 상호간의 관계에 개입해 어느 한쪽 편을 들어주기 위한 제도이므로 원고와 피고가 각자의 주장을 위해 제출한 디지털 증거의 증명력에 주로 초점을 맞춘다.
  • 형사에서는 수사기관이 영장에 기반하여 사건과 관련한 증거들을 수색 및 압수할 수 있는 반면 민사에서는 상대방이 소유하고 있는 자료를 획득할 수 있는 강제성이 없다.
  • 특히 디지털 데이터의 경우 직접 디지털 기기나 매체의 내부 정보를 분석하여 관련 증거를 찾아야 하는데 소송 상대방의 적극적인 협조가 없다면 불가능하다.

5. 디지털 증거 관련 쟁점

선별압수
  • 형사소송법 제106조(압수)에서는 피고사건과 관계가 있다고 인정할 수 있는 것에 한해 기억된 정보의 범위를 정하여 출력하거나 복제할 것을 명문화하고 있다.
  • 만일 압수한 증거가 사건과 관련있는 것이라 인정되지 않는다면 적법하게 수집된 증거가 아니라고 판단하여 위법수집 증거배제원칙에 의해 증거가 효력을 잃고 배제될 수 있다.
  • 선별압수는 피압수자의 인권 보호, 개인정보보호 측면에서 취지는 좋으나 이를 수사기관이 엄격하게 적용하기에는 현실적 어려움이 존재한다.
도구의 신뢰성
  • 형사소송법 제313조 제2항에 의해 작성자가 그 성립의 진정을 부인하는 경우에는 과학적 분석결과에 기초한 디지털포렌식 자료, 감정 등 객관적 방법으로 성립의 진정함이 증명되면 디지털 전문증거도 증거로 사용할 수 있다.
  • '과학적 분석결과에 기초한 디지털 포렌식 자료, 감정'은 디지털 증거의 주거능력 인정 요건 중 '신뢰성'과 밀접한 관련이 있다.
온라인 수색
  • 범죄 및 테러 조직들은 일반적으로 은밀하고 암호화된 통신기술을 사용하기 때문에, 사후에 사건 관련 디지털 증거를 확보하더라도 복호화가 불가능하여 해당 조직들을 추적하거나 수사하는 것에 어려움을 겪는 경우가 많다.
  • '온라인 수색'은 이에 대한 해결책으로 제시된 방안이다.
  • 국가가 정보통신망에 연결되어 있는 타인의 시스템에 비밀리에 접근하여 범죄혐의자가 알지 못하게 관련된 정보를 전자적인 방식으로 수색하여 범죄의 혐의를 밝히는 것을 의미한다.
  • 온라인 수색과 관련된 논쟁의 핵심은 '위법수집증거배제원칙'의 적용이다.
  • 온라인 수색의 허용과 관련한 의견으로 제한적 허용론과 부정론이 있다.
  • 제한적 허용론에서 온라인 수색은 국가의 매우 강력한 수사도구로 기능할 수 있지만 동시에 강력한 프라이버시 침해도가 될 수 있으모로 완전히 허용하기 보다는 엄격한 요건을 갖고 혀용을 해야 함을 주장
  • 부정론에서는 온라인 수색을 개인 정보에 대한 자기결정권과 프라이버시에 대한 개인의 기본권을 침해하며 정보시스템의 신뢰성과 완전성을 침해하는 위헌적인 수사방식으로 바라본다.

'Digital Forensics > 디지털 포렌식 개론' 카테고리의 다른 글

디지털 포렌식 증거수집 절차, 포렌식이란?, 파일 시스템, 로카르드의 교환법칙  (0) 2025.01.14
Digital Forensics Framework  (0) 2024.05.11
네트워크와 암호  (0) 2024.02.21
컴퓨터 구조  (3) 2024.02.19
디지털 포렌식 기초 지식  (0) 2024.02.16