.gif&blockId=11b00c82-b138-8050-a58b-dcbceda2ef8f)
디지털 증거의 속성에 따른 분류
•
내용물 (보관 증거)
◦
사건을 직접적으로 증명해주는 증거
◦
문서의 내용, 디지털 이미지, 동영상과 같은 컨텐츠
•
특성정보 (생성 증거)
◦
파일명, 해쉬값, 타임스탬프 등
◦
디지털 증거를 식별하거나 분류하는데 도움이 되는 모든 부가적 정보 : 메타 데이터
▪
자동 생성
•
인터넷 사용기록
•
방화벽 로그
•
운영체제 이벤트 로그 등
•
각종 메타 데이터
▪
인위적 생성
•
문서 파일
•
전자 메일
•
동영상 및 사진
•
소프트웨어
•
암호 데이터
•
휘발성 증거
◦
프로세스, 예약작업, 인터넷 연결 정보, 네트워크 공유 정보, 메모리 정보 등
•
비휘발성 증거
◦
파일 및 파일 시스템
◦
운영체제
◦
로그 데이터
◦
설치된 소프트웨어
디지털 증거의 특성
•
비가시성, 비가독성
◦
디지털 저장매체에 저장된 디지털 증거 그 자체는 사람의 지각으로 바로 인식 불가능
◦
일정한 변환절차를 거쳐 모니터 화면으로 출력되거나 프린터를 통하여 인쇄 형태로 출력되었을 때 가시성과 가독성을 가짐
◦
디지털 증거와 출력된 자료와의 동일성 여부가 중요
•
취약성
◦
디지털 증거는 삭제 · 변경 등이 용이
◦
하나의 명령 만으로 하드디스크 전체 포맷, 파일 삭제 가능, 파일을 열어보는 것만으로 파일 속성 변경
◦
수사기관에 의한 증거조작의 가능성 배제X, 디지털 증거에 대한 무결성 문제 대두
•
복제 용이성(매체독립성)
◦
디지털 증거는 ‘유체물’이 아니고 각종 디지털저장매체에 저장되어 있거나 네트워크를 통하여 전송 중인 정보 그 자체
◦
정보는 값이 같다면 어느 매체에 저장되어 있든지 동일한 가치를 지니며, 디지털 증거는 사본과 원본 구별 불가능
•
대량성
◦
대형 서버 시스템이나 파일 서버가 수사 대상일 경우, 수집할 데이터 양이 방대하며, 압수 대상일 경우 업무수행에 지장을 줄 수 있어 업무 연속성에 지장을 주는 경우
•
전문성
◦
디지털 방식으로 자료를 저장하고 이를 출력하는데 컴퓨터 기술과 프로그램이 사용됨
◦
디지털 증거의 수집과 분석에도 전문적인 기술이 사용되므로, 디지털 증거의 압수 · 분석에 있어 포렌식 전문가가 필수적임
◦
전문성의 부재는 디지털 증거에 대한 신뢰성 문제가 대두
•
휘발성
◦
디지털 증거에는 컴퓨터 메모리나 네트워크 상에서만 일시적 존재
◦
휘발성 데이터는 사건이 발생한 시점의 상태를 파악할 수 있는 중요한 정보이므로, 디지털 증거 압수과정에서 사라지지않도록 각별히 주의 필요
•
초국경성(네트워크 관련성)
◦
디지털 환경은 각각의 컴퓨터가 고립되어 있는 것이 아니라 인터넷을 비롯한 각종 네트워크를 통하여 서로 연결
◦
따라서 디지털 증거는 공간의 벽 넘어 전송
법정에서 유효한 디지털 증거
증거능력을 갖고 충분한 증명력을 갖는다는 것
증거 능력은 증거가 엄격한 증명의 자료로 사용될 수 있는 법률상의 자격
증명력은 증거의 실질적 가치 의미, 신빙성의 정도 가르킴
•
위법수집증거능력배제원칙
◦
위법한 절차에 의해 수집된 증거, 즉 위법 수집 증거는 증거능력을 부정
◦
“적법한 절차에 따르지 아니하고 수집된 증거는 증거로 할 수 없다”라고 명확히 규정
•
전문법칙
◦
사실의 진위 여부는 알지 못한 상대에서 전해들은 말
◦
전문증거의 증거능력을 배제하는 증거법상의 원칙
◦
예외
▪
진술이 진실된 가능성이 큰 경우
▪
잘못된 의미를 전달할 가능성보다 다른 요소가 더 큰 경우
▪
전문가의 증언의 경우 전문가들이 근거로 하는 자료
▪
원진술자가 법정에서 증언할 수 없다는 것을 입증하는 경우
◦
예외 기준
▪
신용성의 정황적 보장 : 해당 진술의 진실성 담보 가능 정황 유
▪
필요성의 원리 : 전문 증거라 해도 이를 사용해 실체적 진실을 규명할 필요가 있을 경우
◦
디지털 증거와 관련된 예외
▪
[형사소성법 315조] 신용성의 정황적 보장과 필요성 원리를 적용하여 당연히 증거능력이 있는 서류를 전문법칙의 예외로 둠
◦
디지털 증거의 증거 능력 보장
디지털 증거가 법적 효력을 가지고 증거능력을 인정받기 위해서는 디지털 증거의 진정성, 무결성, 신뢰성, 원본성이 기본적으로 보장되어야 함
진정성과 무결성
•
진정성 (Authenticity)
◦
디지털 증거의 저장, 수집 과정에서 오류가 없었으며, 의도된 결과가 정확하고 그로 인해 생성된 자료임이 인정되어야 함
◦
디지털 증거는 다른 증거와 달리 법정에 제출되기까지 변경이나 훼손이 없어야 함 (연계 보관성)
•
무결성(Integrity)
◦
디지털 증거가 원본 소스로부터 수집되어 보관, 분석되는 과정에서 부당한 수정, 변경, 손상이 없도록 유지되어야 하며 이를 검증(보장) 할 수 있어야 함
◦
법정 제출시 디지털 증거를 검증하여 위조 여부를 판별해야 함
◦
고소인 측 연계 보관성을 통한 무결성을 증명하더라도 , 피고소인이 디지털 증거의 위조 가능성을 이유로 증거효력을 무력화 할 경우, 디지털 증거의 신뢰성을 입증할 수 있어야 함
디지털 증거 무결성
•
입증 방법
◦
암호학적 해쉬 함수
◦
인케이스 디지털 증거 무결성 확보 방
•
문제점
◦
디지털 증거의 신뢰성
▪
위조 후 법정 제출 경우
▪
위조되지 않았음에도 증거 효력을 무력화 시키려는 경우
연계 보관성 (Chain of Custody)
•
디지털 증거의 발견 방법과 처리 방법을 비롯하여 증거와 관련된 모든 사항을 명확히 기술하고 보관 · 이송 과정에서 인수인계 과정에 대한 기록과 검증 필요
•
대 검찰청 디지털증거수집 및 분석규정의 2조
•
기록해야 할 정보
◦
증거를 발견하고 수집한 사람, 장소, 시간
◦
증거를 취급하고 조사한 사람, 장소, 시간
◦
증거를 보관하는 사람, 보관 기간, 보관 방식
◦
증거 관리가 변경되었을 때의 이송 방법과 날짜 (선적 번호 포함)
디지털 증거의 원본성(Originality)
•
디지털 증거 자체로는 가시성, 가독성이 없으므로 가시성 있는 인쇄물로 출력하여 법원에 제출할 수 밖에 없음
•
대용량 시스템에서의 증거 수집은 원본 매체 자체를 다른 저장 매체에 복제 혹은 기타 방법으로 이동시켜 수집
•
실제 법정에 제출되는 증거들은 원본 증거와는 다른 형태를 취하게 되며, 증거 원본이 제출되어야 하는 증거법상의 원칙상 제출되는 사본증거, 그리고 가시성, 가독성 있는 형태로 변환된 증거를 원본으로 인정할 수있는가라는 법적 문제가 제기될 수있음
•
최량증거규칙 (The Best Evidence Rule)
◦
영미권에서 발달한 증거원칙으로 문서의 원본증거가 증거로서그내용을증명하기 위해 제출되어야 한다는것
◦
미국 최량증거규칙은 연방증거규칙(Federal Rules of Evidence)에서 명시
◦
연방증거규칙 1002조는 "서류, 기록물 또는사진의 내용을 증명하기 위하여 문서, 기록물, 사진의 원본이 요구된다."고 최량증거원칙을 규정
◦
1001조 1호에 의하면 디지털 증거는 자기적 혹은 전기적 방식에 의한 기록물로서 1002조의 서류, 기록물 등에 포함되므로, 디지털 증거도기본적으로 당연히 원본으로 제출될것을 요구받음
◦
1004조에는 다음과 같은경우에는 복제물도 Best Evidence로 법정증거로 허용된다고 명시
FRE 1004 (Federal Rules of Evidence)
1.
원본이 삭제되거나 멸실된 경우 : 해쉬 함수와 적절한 이미지로 검증된 복제본임을 쉽게 입증할수 있음
2.
원본을 획득하기 힘들 경우 : 상대편에게 장비를 돌려줘야 하거나 상대편이 원본을 파괴한 경우
3.
상대편이 원본을 소유하고 있는 경우 : 상대편이 해당 원본증거에 접근하는 것을 거부한 경우
디지털 증거의 증거능력
•
디지털 증거의 복사본
◦
디지털 증거의 특성상 원본과 사본의 데이터는 완벽히 일치
◦
장기간 보관 또는 취급 부주의로 인한 고장 등 데이터 훼손 가능
◦
제 3자의 입회 하에 해쉬 값에 대한 공증 필요
◦
해쉬 값이 동일한 경우 사본에 대한 증거력 인정 필요
•
네트워크 정보의 증거력
◦
네트워크 데이터는 실시간으로 변화
◦
데이터의 수집기간에 따라 해쉬값이 바뀔 수 있음
◦
제 3자의 입회 하에 수집 및 해쉬 값 계산, 공증
◦
이후 동일 해쉬 값을 갖는 데이터를 원본으로 인정
•
대형 시스템에서의 디지털 증거
◦
대형 시스템의 경우 이미징이 현실적으로 불가능
◦
이미징을 위해 시스템을 정지시킬 수 없음
◦
기업의 업무에 피해를 미침
◦
모든 데이터를 출력물로 생성하는 것은 현실적으로 불가능
◦
논리적 파일로 수집해야 할 필요성 존재
◦
제 3자의 입회 하에 파일로 수집하고 이에 대한 해쉬값을 공증
◦
이 후동일한 해쉬 값을 갖는 파일에 대해 증거력 부여
•
임베디드 시스템에서의 디지털 증거
◦
핸드폰, PDA, 게임기, PMP 등다양한 임베디드 시스템 존재
◦
데이터의 수집 자체가 어려운 경우가 존재
◦
다양한 수집기법 존재 : 물리적 수집 및논리적 수집
◦
따라서 물리적 수집과 논리적 수집된 각 디지털 증거에 대해 증거력 부여가 필요
신뢰성
•
디지털 증거의 신뢰성
◦
증거 데이터의 분석 등 처리 과정에서 디지털 증거가 위 · 변조되거나 의도되지 않은 오류를 포함하지 않았음을 의미
◦
디지털 증거의 신뢰성은 디지털 증거 자체의 특성이 아닌 디지털 증거를 취급하는 인력, 도구, 절차 등과 같은 주 · 객관적인 요소들의 신뢰성 증명을 통해 간접적 증명 가능
•
신뢰성 관점에서 디지털 증거의 법적 활용
◦
행위자에 의한 원본 생성부터 조사 과정에서의 수집, 분석, 법정 제출까지의 신뢰성 확보를 위한 관리가 필요
◦
신뢰성 확보를 위한 제도적, 과학적 절차의 마련이 필요하며, 이는 곧디지털 포렌식 연구 목표와 동일
•
디지털 증거의 법적 허용성 보장을 위한 제도적 장치
