디지털 포렌식의 기본 원칙 알아보기

안녕하세요 에듀몬입니다. 디지털 포렌식은 디지털(Digital)과 법과학, 법의학을 뜻하는 단어인 포렌식(Forensic)의 합성어입니다. 즉 범죄현장에서 디지털 디바이스에 남아있는 각종 기록들을 분석하여 범죄를 규명하는 수사기법의 하나로 볼 수 있습니다. 이번 시간에는 디지털 포렌식의 기본 원칙에 대해 알아보도록 하겠습니다.

 

 

 

 

* 디지털 포렌식의 기본 원칙

 

1. 적법절차의 준수

 

  적법절차의 준수는 디지털 포렌식의 모든 과정에서 당연히 적용되는 것으로, 일반적인 원칙과 절차를 준수하여야 한다는 것으로, 형사소송법과 같은 절차법에서는 기본적으로 규정되어있고 준수할 원칙입니다. 디지털 포렌식에서는 증거의 수집부터 보관하여 공판 제출의 과정 등 모든 과정에서 준수해야 할 원칙입니다.

 

 

2. 모든 과정의 문서화

 

  디지털 포렌식에 있어서는 반드시 디지털 증거 원본을 확보하되 증거 분석의 모든 과정을 상세히 기록해야 하며, 이를 일반적으로 보관의 연속성(Chain of Custody)이라 합니다. 디지털 증거를 수집하고 분석하는 과정에서는 일시적인 현상이 일어나는 경우가 많으므로 이에 사후 검증을 위해 명확한 문서화 작업이 필요합니다. 나아가 ‘디지털 증거분석 결과 보고서’ 등 체계인 분석 보고서를 작성하여 분석과정과 결과를 사후에 입증할 수 있게 해야 합니다. 이 원칙은 디지털 포렌식 전 과정에서 고려되고 적용되어야 합니다.

 

 

3. 동일성

 

  동일성은 원본이 최초에 수집된 것과 같은지 여부 및 사본인 경우 원본과 사본이 일치하는지 여부를 의미합니다. 종종 후자만을 동일성으로 보는 견해가 있으나, 원본이 증거로 제출된 경우 및 그 원본에 의해 사본이 만들어진 경우 원본이 그 과정에서 변경 되지 아니하였다는 증명이 중요합니다. 사본만이 증거로 제출된 경우 원본으로부터 인위적인 조작 없이 그대로 복제되었음이 증명되어야 할 것입니다. 이는 디지털 증거뿐만 아니라 다른 형태의 증거에도 공통적으로 적용되나 디지털 증거는 비가시성, 취약성으로 인해 동일성의 증명에 한계가 있습니다.

 

 

4. 무결성

 

  디지털 증거는 다른 증거와는 달리 변경, 훼손되기 쉽다는 특징이 있습니다. 그러므로 최초의 증거가 저장된 매체에서 법정에 제출되기까지 변경이나 훼손이 없었다는 것이 입증되어야 합니다. 즉, 무결성은 증거처리 전반에 걸쳐 문제가 될 수 있습니다. 디지털 증거는 수집·분석 등 법정에 제출되기까지 절차 전체과정에서 많은 사람들의 행위가 개입되게 되는데 이 경우 각 행위 시마다 원본 데이터의 무결성이 그대로 유지되고 있다는 절차적 보증이 필요합니다. 따라서 디지털 포렌식 과정에서는 자료의 무결성을 입증하기 위해 암호기술, 문서화 등 기술적 방법들이 사용되어야 합니다. 디지털 증거는 취급자의 의도가 없어도 변경이나 훼손이 가능하다는 점 때문에 처리 과정에서 절차적 입증이 필요합니다.

 

 

5. 신뢰성

 

  ‘신뢰성’은 디지털증거의 증거로서의 가치를 뜻하기도 하나, 디지털 포렌식을 수행함에 있어서 신뢰성이 검증된 분석 장비와 소프트웨어 등을 사용하여 분석과정을 거쳐야 하고, 제삼자의 분석에 의해서도 절차를 수행하더라도 같은 결과가 나와야 한다는 원칙입니다. 이 과정에서는 많은 장비 및 도구들을 사용하게 되는데 신뢰성이 검증되지 않은 장비와 소프트웨어 등을 사용하게 되면 결과물은 당연히 신뢰성을 잃게 되어 추후 증거로 사용할 수 없게 됩니다.

 

 

※ 참고문헌: 사물인터넷(IoT) 범죄에 따른 디지털 포렌식 절차 개선방안(오현서, 2020)