11. 디지털 포렌식
범죄 현장에서 확보한 개인 컴퓨터, 서버 등의 시스템이나 전자 장비에서
수집할 수 있는 디지털 증거물에 대해 보존, 수집, 확인, 식별, 분석, 기록,
재현 연출 등을 과학적으로 도출되고 증명 가능한 방법으로 수행하는 것
12. 디지털 포렌식
컴퓨터 범죄 수사에 입각한 정의
컴퓨터 관련 조사 / 수사를 지원하며, 디지털 자료가 법적 효력을 갖도록
하는 과학적 논리적 절차와 방법을 연구하는 학문
전자적 자료 : 컴퓨터에만 국한되지 않음
법적 효력 : 법규범에 합치되는 논리성을 가져야 함
과학적/논리적 : 보편성과 객관성이 필요한 지식 체계
절차와 방법 : 목표 달성을 위한 과정이 결과만큼 중요
13. 디지털 포렌식
디지털 포렌식은 전자적 증거물 등을
사법기관에 제출하기 위해 데이터를
수집/분석/보고서를 작성하는
일련의 작업을 말한다.
14. 디지털 포렌식 역사
도입기 – (1970년대 후반 ~ 1980년대 초반)
미국을 중심으로 컴퓨터 관련 범죄가 법으로 만들어짐
저작권, 개인정보보호, 사이버 스토킹, 아동 포르노 등을
대처하기 위해 관련 법안 통과
성장기 – (1980년대 ~ 1990년대)
법 집행 기관을 중심으로 디지털 포렌식 관련 기관 설립
서로 간의 커뮤니티를 위해 관련 기구를 조직하거나 심포지엄 개최
15. 표준기 – (2000년대 ~ 2010년대)
국가별로 디지털 포렌식 표준 수립
국가기관을 중심으로 디지털 포렌식 정책, 기술 연구
암흑기 – (2010년대 ~ 현재)
클라우드 기술을 이용하여 증거 수집의 어려움
빅데이터로 분석의 어려움
분석 대상 디지털 기기가 매우 다양함
안티포렌식 기법의 증가
고급 은닉 기법의 증가
관련 법제도로 인해 적용 범위가 제한됨
디지털 포렌식 역사
16. 국내 디지털 수사기관의 변천
1980
군 또는 정보부에서 전자정보 수집
1990 2000 2010
1997- 경찰청 컴퓨터 범죄 수사대
1999-경찰청 사이버 범죄 수사대
2000-경찰청 사이버테러대응센터
2004-경찰청 디지털증거분석센터
2008-대검찰청
디지털 포렌식 센터
2011-대검찰청
사이버수사단
35. 정밀 검토
분석결과는 법정에 증거로 사용될 수 있으므로 보고서 제출 전 정밀 검토가 필요
사본을 대상으로 동일한 과정을 반복하여 결과가 일치하는지 확인
무결성을 입증하기 위한 해쉬값 비교 검증
36. 보고서 작성
증거물 획득, 보관, 이송, 분석 등의 과정을 6하 원칙에 따라 명백하고 객관성 있게 기술
예상치 못한 사고 발생시 관련 내용 및 담당자 목록을 명확히 기재하고 범죄 혐의의 입증
에 무리가 없는지 논리적으로 설득할 수 있어야 함
보고서의 대상이 되는 법관, 배심원 변호사 등은 비전문가이므로 누구나 알기 쉬운
형태로 작성
법정에서 전문가 증언을 할 경우 사전에 비전문가를 대상으로 논리의 타당성이 있는지
연습이 필요
38. 정당성의 원칙
압수된 증거가 법률에서 정하는 적법 절차와 방식으로 입수되어야 하며, 입수 경위
에서 불법이 자행되었다면 그로 인해 수집된 2차적 증거는 모두 무효가 된다는 원칙
으로 형사소송법의 기본 원칙에 충실한 원칙이다.
-> 위법 수집 증거 배제 법칙 : 위법 절차를 통해 수집된 증거는 증거능력이 없다.
-> 독수 독과(과실) 이론 : 위법하게 수집된 증거에서 얻어진 2차적 증거도 증거능
력이 없다.
39. 무결성의 원칙
수집된 증거가 수집, 이송, 분석, 제출 과정에서 위조/변조되지 않았음을 증명할 수
있어야 한다.
40. 연계 보관성의 원칙
수집, 이동, 보관, 분석, 법정 제출의 각 단계에서 증거가 명확히
관리되었는가?
41. 신속성의 원칙
디지털 포렌식의 전 과정이 신속하게 진행되었는가?
컴퓨터 시스템의 휘발성 정보수집 여부는 신속한 조치에 의해 결정되므로 모든
과정은 지체 없이 진행되어야 한다.
그 이유는 서서히 도입된 것도 있지만 기반이 되는 학문의 특성도 한 몫을 했다고 본다. 반면, ‘digital forensics’은 도입이 빨랐고 기반도 IT 이기 때문에 원문 그대로 발음하는 것에 거부감이 덜 하여 그냥 ‘디지털 포렌식’이라고 부르게 된 것으로 생각한다. 그런 이유로 국내에서 ‘포렌식’이라는 단어는 ‘법의학’을 지칭하기 보다는 ‘디지털 포렌식’을 지칭하는 용어로 사용되고 있다.
전자적 증거물 – 문서파일, 인터넷 사용기록, 방화벽 로그, 사진, 동영상 파일 등
사법기관 제출 – 형사소송법의 증거 능력에 부합하도록 조사
데이터 수집/분석/보고서 작성 – 전자적 증거물의 적법성, 검증가능성, 신속성, 연계보관성, 동일성을 증명
전자적 증거물 – 문서파일, 인터넷 사용기록, 방화벽 로그, 사진, 동영상 파일 등
사법기관 제출 – 형사소송법의 증거 능력에 부합하도록 조사
데이터 수집/분석/보고서 작성 – 전자적 증거물의 적법성, 검증가능성, 신속성, 연계보관성, 동일성을 증명
전자적 증거물 – 문서파일, 인터넷 사용기록, 방화벽 로그, 사진, 동영상 파일 등
사법기관 제출 – 형사소송법의 증거 능력에 부합하도록 조사
데이터 수집/분석/보고서 작성 – 전자적 증거물의 적법성, 검증가능성, 신속성, 연계보관성, 동일성을 증명
디지털 포렌식은 법률적인 요소와 기술적인 요소로 나뉠수 있다.
네트워크, 시스템, 보안
네트워크 / 시스템 전문가들은 대체로 개발에 대한 지식이 없거나 얕고 개발에 필요한 부분을 그들에게 맡길수 없다.
네트워크 / 시스템 전문가들은 대체로 개발에 대한 지식이 없거나 얕고 개발에 필요한 부분을 그들에게 맡길수 없다.
디지털 포렌식 도구 준비, 디지털 기기 및 데이터 유형 숙지, 수집대상 파악,
압수대상 선정, 방법론 숙지.
증거물 획득 -> 이송 -> 분석 -> 보관 -> 보고서 작성 및 법정 제출의 각 단계에서 담당자와 책임자를 명확히 하고 증거물의 변조, 손실 등에 대비해야 한다.
-> 봉인, 봉인 해제, 재봉인 과정에서 담당자와 사건 관계자가 입회하고 서명, 날인해야 변조되지 않았음을 상호 확인할 수 있으며 증거물 보관소의 경우 24시간 CCTV를 설치해 감시한다.
-> 수집된 저장매체가 이동 단계에서 물리적 손상을 입었다면, 이동 담당자는 이를 확인하고 해당 내용을 정확히 인수인계해 이후의 단계에서 적절한 조치가 취해지도록 해야 한다.
피해 직전과 같은 조건에서 현장 검증을 실시했다면 피해 당시와 동일한 결과가 나와야 한다. 그리고 현장에서 수집한 증거물을 분석실로 이송해 분석했을 때, 분석 과정과 동일한 상황을 연출해 재판이나 법원의 검증 과정에서 동일한 결과가 도출되어야 한다.
-> 불법 해킹 용의자의 해킹 툴이 증거능력을 가지기 위해서는 같은 상황의 피해 시스템에 툴을 적용할 경우 피해 상황과 일치하는 결과가 나와야 한다.