[Forensic] 디지털포렌식전문가 2급 실기 대비 서술형 정리

디지털포렌식전문가 2급 시험이 코로나19 때문에 연기되는 바람에 작년 2020년도는 15회 실기 시험을 치루지 못했다. 

1급이나 16회 필기시험 또한 무기한 연기된 상태이다. 15회 실기시험이 마지막인데.. 꼭 붙어야 한다.

오늘 기준으로 확진자 수가 400명대로 진입했으나 아직은 갈길이 멀기에.. 언제 치룰 수 있을지 모르겠다.

논문도 써야되고 미뤄둔 공부도 해야되고 할게 많아서 인지 다행인지 모르겠다.

공부한것 안 까먹도록 틈틈히 봐야겠다.

2021년에는 디지털포렌식으로 전직하기 위해서 좀 더 준비된 사람이 될 수 있도록.. 노력하자.

============================================================================

디지털포렌식 실기 대비 도서 및 인터넷 검색 및 블로그에 있는 자료들을 보고 개인적으로 정리해보았다. 

디지털포렌식 절차 문제 - 요약

<관련법률>
형사소송법 제106조 압수
- 법원은 피고사건과 관계가 있다고 인정할 수 있는 것에 한하여 증거물로 압수할 수있다.
- 법원은 소유자, 소지자, 보관자에게 제출을 명할 수 있다.
- 정보저장매체에 대한 선별압수와 예외적 저장매체 압수를 규정하고 있다.

 

사전준비 - 증거수집 - 이송 및 보관 - 증거분석 - 정밀검토 - 보고서 작성

 

1. 사전 준비 단계 (압수수색 집행 전)

- 사전 수사계획 수립 : 압수수색 대상 규모, 압수수색 대상에 대한 정보 확인
- 수사팀 구성 및 디지털포렌식 장비 준비 : 디지털포렌식 자격증을 보유하거나 디지털데이터의 압수수색 및 검증이 가능한 분석관을 대동하여 수사팀을 구성하고, 검증된 포렌식 도구 및 프로그램, 분석용 노트북, 쓰기방지장치, 증거수집 저장매체, 정전기 방지 및 에어갭 봉투 등 필요한 장비를 준비
- 영장 청구 : 압수수색 방법과 내용 및 범위 기술, 원본압수의 필요성 기술, 필요시 야간에 영장집헹 할 수 있다는 내용 기술

 

2. 증거 수집 단계 (압수수색 영장 집행)

- 영장 제시 및 현장통제 : 피처분자에게 압수수색영장을 제시하고 열람케 하여 영장 집행을 고지한다. 압수수색이 시작되면 타인에 대한 출입통제를 실시한다.
- 압수수색 준비 : 압수현장 전체를 촬영, 녹화할 수 있도록 하고, 포렌식테이블을 구축한다. 범죄사실과 관련된 디지털정보가 발견되면 즉시 카메라로 촬영 및 압수조서에 기재하여 압수수색 절차에서의 증거능력 담보를 위한 조치를 취한다. 또한 디지털포렌식 전 과정에서 피압수자의 참여권을 보장하고 절차에 참여할 것을 고지한다. 고지를 거부할 경우 이에 대한 상황을 촬영하여 고지의무 위반에 대비하고, 피압수자가 참여할 수 없는 상황인 경우 디지털포렌식 전과정을 촬영한다. 

 

2-3. 압수수색

1) 현장에서 범죄혐의사실과 관련된 디지털데이터에 한하여 문서로 출력하거나 저장매체에 복제하여 선별압수하는 것이 원칙이다.
2) 선별압수가 불가능하거나 현저히 곤란한 경우 피압수자의 참여하에 저장매체를 하드카피/이미징하여 보관용, 복제본 생성 후 외부로 반출한다.
3) 저장매체 복제가 불가능하거나 현저히 곤란한 경우 피압수자의 참여하에 원본자체를 봉인하여 외부로 반출한다.
4) 현장에서 범죄혐의사실과 관련된 디지털데이터나, 저장매체 복제본, 원본 저장매체 압수 시에는 해시값을 산출하여 압수목록을 교부하고 피압수자 또는 참여인에게 확인 및 서명을 받는다.
5) 외부 반출 후에는 피압수자에게 참여권을 보장한 상태에서 봉인된 복제본 및 원본의 봉인상태를 피압수자에게 재확인시키고, 봉인을 해제한다.
6) 외부 반출 후 수사기관 분석실에서 범죄혐의사실과 관련된 디지털 데이터를 선별하여 출력 및 복제한 후 해시값을 산출하여 압수목록을 교부하고 피압수자 또는 참여인에게 확인 및 서명을 받는다.
7) 압수목록 교부 후 압수목록에 기재된 디지털 데이터를 제외한 나머지 데이터에 대하여 삭제/폐기하고 그 취지를 고지한다.
8) 원본은 특별한 사정이 없는 한 10일 이내에 피압수자에게 반환하고 그 취지를 고지한다.
9) 별건정보 발견 시 즉시 탐색을 중지하고 별도의 범죄혐의사실에 대한 추가적인 영장을 청구 및 발부받아 추가 탐색을 진행한다.

* 디지털포렌식 압수수색 전체의 과정에서 피압수자 등의 참여권은 보장되어야 한다.

 

3) 별건 디지털 정보의 압수

 - 원칙 : 압수수색영장에 기재된 범죄사실과 관련된 디지털 정보를 선별하는 과정에서 영장 기재 범죄사실과 다른 별도의 범죄혐의와 관련된 디지털 정보를 우연히 발견한 경우, 별건정보에 대한 추가 탐색을 중지하고 별도의 범죄혐의에 대한 새로운 압수/수색영장(제2영장)을 발부 받아 추가 탐색을 진행한다.

 - 압수방법

    가. 별건정보에 대한 새로운 압수/수색영장(제2영장) 집행 시에도 피압수자 또는 참여인에게 참여권을 고지

    나. 별건 범죄사실과 관련된 디지털 데이터만을 선별하여 출력/복제한다

    다. 해쉬값을 산출하여 피압수자/참여인에게 확인/서명

    라. 압수목록에 해당 디지털 데이터의 내용을 기록

 

2-4. 압수목록의 교부

   가. 압수목록 유형에는 출력/복제한 디지털데이터에 대한 [전자정보상세목록]과 디지털 저장매체(기기포함)을 압수한 경우 매체에 대한 [압수목록]이 있다.

 

   나. 압수수색영장 집행 현장에서의 교부

      * 영장집행 현장에서 디지털 데이터를 선별하여 압수한 시점에 교부

      * 디지털 저장매체 원본/복제본의 형태로 압수한 시점과 외부 반출 후 수사시관 분석실에서 디지털 데이터를 선별하여 압수한 시점에 교부

   : 디지털 기기를 압수한 시점에 교부

  다. 제외정보 삭제/폐기 통지

: 압수목록 교부 후 전자정보상세목록에 기재된 이외의 디지털 정보는 삭제/폐기되었음을 피압수자에게 통지(필요시 확인시켜줄 수 있음)

: 압수목록 교부 시 목록에서 제외된 디지털 정보는 삭제/폐기 또는 반환하였다는 취지를 명시함으로써 통지에 갈음할 수 있음

 

3. 증거의 이송 및 보관 단계

- 증거물마다 라벨링하여 목록을 작성하고, 안전하게 봉인한다. 겉표지에는 증거물에 대한 간략한 정보를 작성하고, 피압수자 또는 참여인의 서명을 받는다. 이송 시에는 외부충격에 대비하여 스티로폼 또는 스펀지 등 충격 완화용 보호박스를 통해 담아 이송한다. 또한 증거물의 인수인계자의 서명을 확보하여 연계보관성을 확보한다.

 

4. 증거 분석 단계

- 증거분석 의뢰 시, 분석의뢰자 및 증거분석관은 증거물의 무결성과 연계보관성을 유지한다.
- 증거분석 의뢰서를 양식에 맞게 작성하고, 증거분석팀은 증거물 확인 및 증거분석을 접수하여 적법한 증거분석관에 의해 정확성과 신뢰성있는 과학적기법으로 검증된 장비 및 프로그램을 통해 분석을 진행한다.
- 증거 분석 시에도 증거에 대한 안전한 보존과 무결성을 확보하고, 도구의 신뢰성, 분석자의 전문성을 확보한다.

 

5. 결과보고서 작성 단계
- 분석이 완료된 후 지체없이 디지털 증거분석 결과보고서를 작성하여 분석의뢰자에게 통보하고, 통보 시 분석을 통해 획득한 디지털 증거가 손상되지 않도록 신뢰할 수 있는 방법으로 송부한다.
- 증거분석관은 획득/분석을 수행하기 위해 새로운 장비나 소프트웨어가 필요한 경우를 제외하고는 1개월 이내에 분석결과를 회신하여야 한다.
- 디지털 증거는 분석의뢰자에게 반환 후 지체없이 삭제/폐기한다.
- 별건증거 발견 시 분석의뢰자에게 안내하고, 별건사건에 해당하는 분석은 추후 필요 시 진행한다.

 

이 정도 달달외우고 가면 시험에 나오는 서술형 문제는 풀 수 있지 않을까.. 싶다.