[디지털 포렌식] 1.디지털 포렌식의 배경 및 의의

디지털 포렌식의 배경

포렌식 이란 개념은 법의학 분야에서 주로 사용되었고, 지문, 모발, DNA감식, 변사체 검시 등에 주로 이용되었다.

이후 물리적 형태의 증거(유형의 증거)뿐만 아니라 전자적 증거를 다루는 "디지털 포렌식" 분야로 점차 확대되었다.

<전자적 증거>

컴퓨터 시스템 또는 그와 유사한 장치에 의해 전자적으로 생성되고 저장되며 전송되는 일체의 증거.

문서, 도화, 사진, 녹음, 동영상 등 다양한 형태로 존재하는 것으로 '전자적 증거', '컴퓨터 증거', '전자기록' 등으로 혼용되어서 사용된다.

디지털 포렌식은 

정보기기에 내장된 디지털 자료를 근거로 삼아 그 정보기기를 매개체로 하여 발생한 어떤 행위의 사실 관계를 규명하고 증명하는 신규 법률 서비스 분야이다.

검찰, 경찰 등의 국가 수사기관에서 범죄 수사에 활용되며, 일반 기업체 및 금융회사 등의 민간분야에서도 디지털 포렌식 기술의 필요성이 증가 되고 있다.

1980년대에 군 또는 정보부에서 전자정보를 수집, 수사과정에서 전자적 증거의 중요성이 두각되면서 국제 컴퓨터 수사 전문가 협회가 출범 및 forensics 라는 용어를 사용.

그 이후에 경찰청 컴퓨터범죄 수사대, 경찰청 사이버테러 대응센터, 대검찰청 산하의 디지털포렌식센터 등 전자적 증거를 수집,분석하기 위한 기관들이 생김

현재 디지털 포렌식은 정보매체에 존재하는 전자적 증거를 자료로 삼아 과거 어떤 행위의 사실 관례를 역으로 규명하고 증명하는 새로운 절차로써 자리매김, 또한 검찰, 경찰 등의 국가 수사기관에서 범죄 수사에 활용되며, 흔적을 찾는 디지털 포렌식 기술의 필요성이 날로 증가되고 있다.

특히 사이버범죄에 대한 법적 증거자료 수집, 내부 정보의 유출방지, 회계 감사 등의 내부 보안 강화에 대한 활용이 주목받으면서 기업의 새로운 보안 솔루션까지 포렌식의 영역이 확대되고 있는 상황.

---

디지털 포렌식의 유용성

> 포렌식이라는 것이 범죄의 증거를 법정에 제출하는 것에 초점을 두고 진화되어왔다. 하지만 여라가지 업무를 수행하는데 포렌식이 유용한 점을 보인다.

[로그기록 감시]

다수 시스템의 로그를 추출하고 분석하여 상호 연관성을 판단하고, 사고처리, 정책위반사실 적발, 감사 등에 활용.

(메시지 서버의 로그를 분석, 데이터베이스화하여, 피싱 메시지의 패턴을 파악하여 차단 시스템을 구축할 수 있다.)

[데이터 복구]

툴과 기술을 사용하여 의도적으로나 변조된 데이터를 복원

[데이터 추출 및 파기]

툴을 사용하여 데이터를 재배치 또는 폐기하는 시스템으로부터 데이터를 추출하여 보관 및 추후에 활용 가능

민감데이터가 확실히 파기되었는지에 대한 여부를 검사하는데에도 활용 가능 ( 포렌식을 통한 복구로 복구되지 않으면 완전삭제 확인 가능)

[법적 책임 이행태세 확립]

다양한 법령과 규정에 의하여 각 기관들에게는 추후 감사에 활용할 수 있도록 민감한 데이터를 보호하고 특정한 기록을 보존할 책임이 부여된다.

또한 민감정보가 자칫 유출된 경우 다른 국가기관이나 피해당사자에게 이를 통지한 의무가 있다.

포렌식 절차가 수립되어 있는 경우 이러한 정보유출 사고에 원활하게 대응할 수 있으며, 법적 책임과 의무를 수행하는 데에 큰 도움이 된다.

[업무운용상 문제해결]

네트워크 설정이 잘못 잡혀 있는 시스템의 위치를 파악한다던지, 응용 프로그램의 기능오류를 해결한다던지 현재 설치된 운영체제를 검토하고 설정을 확인 하는데에도 사용이 가능하다.

---

디지털 포렌식의 일반원칙

적법성 : 입수 증거를 적법한 절차를 거쳐 얻었는가?

검증가능성 : 같은 조건에서 항상 같은 결과가 나오는가?

신속성 : 전 과정은 지체 없이 신속하게 진행되어야 한다.

연계보관성 : (무결성) 증거물 획득에서 법정제출까지 무결하며, 담당책임자가 명확해야한다.

동일성 : 수집 증거가 위/변조 되지 않았음을 증명

> 형사소송법 상 증거로 사용하기 위해서는 엄격한 절차에 의해서 수집되어야하며

  형사소송법 제 308조의 2에서 "위법수집증거배제법칙" {위법하게 수집된 증거는 증거로 사용할 수 없다} 

  또한, 위법하게 수집한 증거로부터 파생된 증거 또한 증거능력이 없다는 원칙을 '독수독과의 원칙'이라 한다.

> 전자적 증거는 같은 조건에서 증거를 수집하였을 때 항상 같은 결과가 나와야 해당 증거가 신뢰성을 가질 수 있다. (검증가능성)

> 전과정은 외부 요인의 개입을 최소화 해야한다. (신속성)

> 증거물 획득, 이송, 분석, 보관, 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야한다. (연계보관성)

  이송에서 문제가 발생시 이송 담당자가 이를 확인하고, 해당 내용을 인수인계, 이후 과정에서 복구 및 보고서 작성등 적절한 조치를 취할 수 있어야 한다.

> 수집된 증거가 위.변조 되지 않음을 증명 할 수 있어야 한다. (동일성)