증거수집 절차(수집, 보존, 분석, 현출)

컴퓨터 포렌식(컴퓨터 법의학)

전자적 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업

사이버 해킹 공격, 사이버 범죄 시 범죄자들이 컴퓨터, 이메일, IT 기기, 휴대전화 등의 운영체제, 애플리케이션, 메모리 등에 다양한 전자적 증거를 남기며 사이버 범죄자 추적 , 조사에 핵심적인 요소가 되고 있다.

디지털 증거는 훼손되기 쉽기에 디지털 증거를 취급하는 사람은 발생할 수 있는 결과와 위험성을 관리하고 식별할 수 있는 능력을 가져야 하고, 증거 처리에 실패할 경우 증거로 사용하지 못할 수 있기에 모든 행위와 근거는 문서화될 필요가 있다.

디지털 포렌식 수행절차

디지털 기기에 남아있는 디지털 데이터는 "0"과 "1"이라는 비트열로 존재하여 변조(훼손)되기가 굉장히 쉽다.

수집한 데이터가 증거가 되기 위해서는 지켜야 할 절차가 있다.

디지털 포렌식의 절차

각 단계마다 무결성(integrity)을 보장하면서 원하는 데이터를 수집할 수 있는 기술을 필요로 한다.

1 . 사전 준비단계(조사 준비단계)

기업내에 침입 탐지 시스템(IDS)에 이상 징후가 있거나, 네트워크 방화벽 로그의 이상 징후 및 기타 보안 장비의 경고 신호등에 의해 신고가 접수되거나 사건을 인지하여 원인을 파악해야 할 경우에 조사가 시작된다. 사전 준비라는 말에서 알 수 있듯이, 사건이 일어나기 전에 행동하는 것으로 도구, 장비 등을 준비 함으로써 사용법이나 기술, 한계 등에 교육 등 준비를 하는 단계이다. 조사 방법에 대한 연구,  도구 개발 역시 이에 포함된다.

 

* 과잉금지의 원칙

-> 디지털 데이터의 수집은 수사 목적을 달성하기 위해서 가능한 최소한의 범위 내에서 이루어져야 함.

* 공증 인원

-> 현장의 조사 과정을 전체적으로 검증할 자격이 있는 제3자의 입회인을 참석시켜 증거 획득, 포장, 이송 과정을 확인하게 하고, 공증 인원이 필요한 이유는 법정에서 증거물로 제출할 때 현장 대응 과정이 공정하게 이루어졌고 무결성이 입증되는 효과적인 증명 방법이다.

* 디지털 기기를 압수, 수색, 검증하거나 자료를 수집할 때의 계획 수립

-> 사건의 개요, 압수 수색 장소 및 대상을 파악

-> 압수 수색대상자가 운영하고 있는 정보처리 시스템의 유형과 규모를 확인

-> 압수 수색대상자가 운영하고 있는 네트워크의 구성 형태를 확인

-> 스마트폰, PC뿐 아니라 기타 디지털기기의 보유현황을 확인

 

2. 증거 수집단계

사건 현장에서 조사해야 하는 대상을 수집하는 단계.

ex) 디지털 기기의 파악, 네트워크 구성 현황 파악, 압수 대상 선정 후 증거 목록 작성 등

증거물을 파악하고,  기기의 종류마다 어떤 기술로 수집할 것인지, 영장에 의거 필요한 증거물들을 압수, 포렌식 당사자는 현장에서 진행할 것인지 사본을 확보할 것인지등을 결정

-> **모든 것을 기록해야 함 ! 

 

* 로카르의 교환 법칙(에드몽 로카르)

-> 접촉하는 두 개체는 서로 흔적을 주고 받는다. 단서가 현장에 있다는 말. 

* 영장 집행의 방법

-> 디지털 데이터 또는 저장매체를 압수할 경우 영장에 형사소송법 제106조 제 3항과 기재된 압수 대상 및 방법의 제한에 따름.

* 제106조 제3항

 -> 법원은 압수의 목적물이 컴퓨터용 디스크, 그 밖에 이와 비슷한 정보 저장매체인 경우에 기억된 정보의 범위를 정하여 출력하거나 복제하여 제출받아야 한다. 다만, 범위를 정하여 출력 또는 복제하는 방법이 불가능하거나 압수의 목적을 달성하기에 현저히 곤란하다고 인정되는 때에는 정보 저장매체 등을 압수할 수 있다.

 

  쉽게 말해서 영장에 적혀있는 범위 내에서 수색을 하게 되면 정보처리 시스템으로부터 저장매체 만을 분리하여 압수를 하게 되는데, 저장매체를 분리할 경우 수사 목적을 달성할 수 없거나 디지털 자료가 훼손될 우려가 있을 때 정보처리 시스템 전부를 압수할 수 있다.

* 압수 절차

-> 사전 준비 단계에서 준비해온 도구들을 이용해서 압수할 목록을 미리 정하고 증거 압수를 수행

-> 증거를 획득한 사람, 감독, 인증의 역할을 하는 사람들이 각각 있고 참관한 상태에서 증거를 수집한 후 데이터 고유 식별 값인(Hash)값을 생성하여 확인 후 서명 , 날인 함

-> 정보처리 시스템을 압수, 수색, 검증할 경우 정보처리 시스템의 설정시간을 한국 표준시간과 비교하여 기록

-> 디지털 데이터 및 디지털 저장매체를 압수한 경우에 압수를 한 증거물의 교부는 최종적으로 출력물로 남김

-> 디지털 데이터 및 디지털 저장매체를 압수한 경우에 디지털 증거물이 훼손되지 않도록 적절한 조치를 취해야 함

* 증거 수집 대상

-> 휘발성 데이터 , 비 휘발성 데이터, 네트워크 정보

3. 포장 및 이송 단계

수집된 디지털 압수물의 원본 또는 복제본을 포장하여 분석실로 이송 , 외부의 요인에 의해 변조되지 않게 주의

4. 증거 분석 단계

다양한 디지털 포렌식 분석 기술 사용. 복제본을 생성한 후 원본과 복제본의 해시 값을 기록함으로써 위, 변조가 이루어지지 않았다는 것을 증명한다(무결성). 사본 데이터 파일을 통해 분석을 해야 원본 파일의 실행시간이 변경되지 않아 범죄자의 컴퓨터에 존재했다는 것을 알 수 있다. 단, 수사상에 긴박한 사정이 있을 시 원본 파일로 분석할 수 있다. 디지털 증거물은 분석 종료 시까지 별도의 디지털 저장매체에 안전하게 보관한다.

5. 정밀 검토 단계

각 단계의 검증, 분석 결과가 정확한지 검토하는 단계 -> 법정 증거로 채택 될 수 있기 때문에 정확하게 검토해야 한다. 사본으로 분석과정을 재현, 반복해보고 증거가 그대로 나오는지 등 확인해봐야 한다. (재현의 원칙)

6. 보고서 작성 단계

법정에 제출하기 위해 보고서를 작성하는 단계 -> 절차 연속성(증거 수집을 한 디지털 기기가 법정 제출까지 여러 과정을 거치며 위, 변조도 이루어 지지 않았다는 것을 증명하기 위한 절차) 과정을 육하원칙에 따라 작성한다. 비전문가들이 읽는 자료이기 때문에 기술적인 용어들을 최소한으로 하고, 제3자의 전문가가 검증을 하였을 때도 신뢰성을 보장할 수 있는 문서화 작업이 필수이다.