디지털 포렌식 정리 #1 (법적 절차)

bd9923d4fc586d094d72facd9c200cae·2022년 1월 1일
1

디지털포렌식

목록 보기
71/115
post-custom-banner

대한민국에서는 민사 재판에서 사인의 위법 수집 증거의 증거 능력을 인정하는데 반해 (위법하게 증거를 수집한 행위를 무죄로 바라보지는 않는다) 형사재판에 있어서는 위법 수집 증거를 인정할 수 없다. 그렇기에 사전 준비단계, 사건 현장 대응, 분석, 보관, 재판 까지의 무결성을 유지해야하며 그 단계 각각에 맞는 행동을 적절하게 취할 필요가 있다.

1. 사전 준비 단계

사전 준비 단계에서는 디지털 포렌식이 필요한 사건의 개요, 증거 수집 대상 기관의 조직도, 정보처리시스템, 네트워크의 유형과 규모 파악, 카메라/증거 수집 도구의 정상 동작 확인, 증거분석용 이미지 저장용 매체의 최대용량 및 완전삭제 여부, 그리고 각종 체크리스트의 확인등이 필요한 단계이다.

2. 현장대응/자료수집

이 단계는 현장에서 디지털 포렌식이 될 각종 전자 매체로부터 휘발성 자료 등을 수집하는 단계이다. 형사소송법 119조, 127조에 근거하여 압수 현장의 사진과 동영상 촬영을 통해 정당성과 무결성을 확보할 수 있을 것이다. 기본적으로 쓰기방지 장치를 활용하는 것은 당연하게 기본적 사항이다. 다만 알아두어야 할 것은 최근 판례들은 가능한 전자정보들의 선별압수를 지향하고 있기에, 개별파일별로 이미지에 대한 해시값을 생성 기록하고, (불가능하다면 전체파일, 이것도 불가능하다면 매체 자체를 압수) 디지털 증거물의 동일성 유지를 위해 증거물의 획득/이송/분석까지의 연계보관성 확보를 위해 각 절차의 문서화 및 확인자 서명등이 필요하다.

  • 현장 수집에서는 키워드 분석, 파일 시스템 분석, 응용 프로그램 분석, 로그 분석, 암호화 및 은닉 파일 분석, 삭제된 파일 분석 등이 이루어진다.
  • 현장 수집에서 데이터를 추출할 때는, 무결성을 훼손하지 않기 위해 쓰기 방지를 수행해야할 것이다. 그 후 검증된 도구를 이용하여 이미지를 생성하고 해시값을 추출한다. Ftk, encase, autopsy도 있을 것이고, 그냥 certutil -hashfile "주소" 해시명 을 통한다면 md5, sha256, sha1등의 해시값을 생성해낼 수 있다.
  • 참여권 보장. 형사소송법 121조에서는 검사, 피고인, 그리고 변호인의 압수/수색 영장의 집행에 참여할 수 있다고 규정하여 "참여권"을 보장하고 있다. 하지만 실제로 참여권을 보장해줬다고 해도, "증거"를 남겨야한다. 참여권을 보장해줬다는 증거를 남기기 위해서는 전자정보확인서 / 압수목록 / 현장조사확인서 등을 작성하고 피 압수자에게 교부하고 서명을 받는다.
  • 고의로 연락을 안 받고, 추 후에 참여권을 보장받지 못했다고 주장할 수도 있는데 이러한 경우를 방지할 수 있다. 어떻게? 동영상 촬영, 형사소송법 123조에 규정된 대로 인거인, 지방공공단체의 직원등의 현장 참여를 통해서 가능할 것.

3. 보관 및 이동

디지털 증거물의 증거물 획득, 봉인, 이송, 분석까지의 연계보관성 확보를 위해 각 절차의 문서화 및 확인자 서명이 필요하다. 또한 저장물 보관 시 온도와 습도를 적절히 유지하고, 물리적으로 또는 전자기파에 대한 손상을 방지할 수 있는 안전한 봉투에 보관한다.

  • https://www.law.go.kr/LSW/admRulLsInfoP.do?admRulSeq=2100000019881 (디지털 증거 수집 및 처리 등에 관한 규칙)
    제19조(결과보고서 작성) 증거분석관은 분석을 종료한 때에는 지체없이 디지털 증거분석 결과보고서를 작성하여야 한다.
    제20조(필요적 기재사항) 증거분석관은 다음 각 호의 사항을 결과보고서에 기재하여야 한다.
  1. 사건번호 등 분석의뢰정보 및 분석의뢰자정보
  2. 증거분석관의 소속 부서 및 성명
  3. 분석의뢰물의 정보 및 의뢰 요청사항
  4. 분석의뢰물의 접수일시 및 접수자 등 이력정보
  5. 분석에 사용된 장비·도구 및 준비과정
  6. 증거분석으로 획득한 자료 등 분석과정 및 결과

제21조(임의적 기재사항) 증거분석관은 필요한 경우 다음 각 호의 사항을 결과보고서에 기재할 수 있다.
1. 상세분석 결과
2. 분석과정을 기록한 사진 및 영상자료의 첨부
3. 그 밖에 분석과정에서 행한 조치 등 특이사항

  • 별건증거
    별건 증거도, 형소법 121조의 참여권을 보장해야한다. 따라서 추가 탐색을 중지하고 압수수색영장을 발부하여 참여권을 고지하고 그 후에야 추가 탐색이 가능하다. 다만 범죄를 저질렀음이 확실한 경우 현행범으로 체포하여 압수수색할 수 있다. 당연히 이 경우에도 48시간이내에 압수 영장을 발부받아야한다.

  • 디지털 포렌식
    정당성 재현성 신속성 보관연속성 무결성

  • 전자 증거
    매체 독립성, 비가시성(비가독성), 취약성, 대량성, 전문성, 네트워크 관련성

  • 만약 전자정보를 선별하지 못해, 수사관의 사무실로 장소를 옮겨 선별할 때에도 압수수색이 종료되지 않은 상태이므로 "참여권"을 보장해야한다.

profile
bd9923d4fc586d094d72facd9c200cae
Forensic/Security/IT
이전 포스트

디지털 포렌식 2급 합격 후기

다음 포스트

디지털 포렌식 정리 #2 (관련 법)

post-custom-banner

0개의 댓글