디지털 포렌식의 절차 알아보기

안녕하세요 에듀몬입니다. 지난 시간까지는 디지털 포렌식의 기본 원칙, 법적 근거에 대해 알아보았는데요. 국내 디지털 포렌식 수행절차는 다양한 절차를 따르고 있습니다. 다양한 절차를 정리해 보면 국내 디지털 포렌식 일반적 절차는 다음과 같이 크게 나눠 볼 수가 있습니다. 사전 준비 단계, 증거 수집, 사후절차로는 증거물 이송, 분석, 보관, 보고서 작성의 절차로서 이뤄집니다.

 

 

 

 

1. 사전 준비 단계

 

  증거수집을 위한 준비를 하는 단계로서 이 단계에서는 수사기관이 압수· 수색 하기 전 준비하는 과정을 포함하며, 다지털 포렌식 전문지식을 갖춘 전문가를 확보하여 도움을 받아야 합니다. 다음으로 현장에서 증거 수집 단계에서 사용할 도구나 장비를 점검하고 신뢰성을 확보할 수 있는 소프트웨어를 사용하도록 절차를 사전점검해야 합니다.

 

 

2. 증거 수집 단계

 

  증거 수집 단계에는 증거 획득자가 객관적 상황 담보하기 위해 기본권 보장과 적법절차의 원리에 따라 증거를 획득하고, 사전준비 단계에서 준비한 도구 및 장비로 증거를 수집 및 압수하여 이에 압수한 목록을 작성하고, 혐의를 받는 당사자와 참관인의 서명을 받아, 증거물을 봉인하여야 하며 필요 이상의 증거수집은 할 수 없습니다. 이 과정에서는 원본이 손상되지 않아야 하므로 데이터 분석을 위해 이미징 한 사본을 반드시 형성해 두어야 합니다. 증거물 복제 시에는 무결성에 손상이 가지 않도록 쓰기 방지장치를 사용해야 합니다.

 

 

3. 증거 이송 단계

 

  증거 이송 단계에서는 증거물의 봉인상태를 확인해야 하며 증거가 손상 되지 않도록 보존을 잘해야 합니다. 증거수집 과정에서 작성된 증거물 목록을 확인하면서 누락된 부분은 없는지 확인합니다.

 

 

4. 증거 분석 단계

 

  원본을 이미징 하여 형성된 사본을 토대로 수집된 정보 및 디스크, 메모리 이미지 등을 분석하여 데이터로부터 정보를 추출하는 과정입니다.

 

 

5. 증거 보관

 

  증거보관 단계에서는 공판과정에 대비하여 증거물 보존이 되어야 하고, 쉽게 찾기 쉽도록 일목요연하게 보관되어져야 합니다. 증거보관과 관련하여 연계 보관성(Chain of custody)이라는 개념이 있는데 이는 증거 수집시 부터 지금까지 어떠한 변경 사항도 없었다는 것을 보증하기 위한 절차적 방법을 말합니다.

 

 

6. 보고서 작성

 

  보고서 작성 단계에서 확보된 정보에 대한 부연 설명과 그 정보에 대한 의미 결과를 기술하는 단계로서 사 번 번호, 보고서 번호, 증거 처리 절차 등 결론을 기재합니다.

 

 

※ 참고문헌: 사물인터넷(IoT) 범죄에 따른 디지털 포렌식 절차 개선방안(오현서, 2020)