디지털포렌식 조사의 일반원칙

디지털포렌식에서 디지털증거를 수집, 획득하여 조사할 경우 준수되어야 할 5가지 원칙

 

 

 

1. 무결성의 원칙

 

수집증거가 위변조 되지 않았음을 증명하는 것

디지털증거 수집 시 데이터 해쉬(Hash) 값 = 법정제출시점의 데이터 해쉬(Hash) 값 --> 디지털증거의 무결성이 입증됨.

 

* 해쉬(Hash)

디지털증거의 데이터 비트열을 출력하는 값.

MD5는 128bit

SHA-1은 160bit

의 고정된 짧은 길이로 변환하여 출력.

 

 

 

2. 연계보관성(Chain of Custody)의 원칙

 

디지털 증거물을 획득 > 이송 > 분석 > 법정제출  의 각 단계에서 담당자 및 책임자를 명확히 해야함을 이야기 하는 것.

최종 보고 단계까지 디지털 증거물이 손상되지 않도록 조치를 취한 것을 기록, 담당자는 확인, 인수인계과정에서 보고서 작성을 통해 이에 대한 근거를 남기도록 함.

 

 

3. 정당성의 원칙

 

디지털증거를 수집, 획득하는 절차가 적법한 절차를 거쳐서 얻어져야 법적으로 증거 능력이 부여된다는 것을 의미.

- 위법수집증거 배제법칙 : 위법절차를 통해 수집된 증거의 증거능력을 부정한다.

- 독수독과의 이론(독수의 과실이론) : 위법하게 수집된 증거에서 얻어진 2차 증거에 대한 증거 능력 또한 부정한다.

 

 

 

4. 동일성(재현)의 원칙

 

같은 조건에서 항상 같은 결과가 나와야 함을 의미하는 것.

수집된 디지털 증거를 분석 시 동일 조건, 동일 환경에서는 항상 같은 분석 결과 값이 나와야 한다는 것을 의미.

 

 

 

5. 신속성의 원칙

 

디지털포렌식 과정은 지체없이 신속하게 진행되어야 함을 의미하는 것.

디지털 증거는 휘발성(Volatility) 정보의 경우 시간의 경과에 따라 손쉽게 손실될 수 있으므로 디지털포렌식 절차는 신속하게 이뤄져야 한다는 원칙

 

 

디지털 증거의 특징

 

 

* 비가시성
- 눈에 보이지 않는 0과 1의 조합인 디지털 형태로 저장되어 육안 인식이 불가능하며 일정 변환 절차를 거쳐 모니터화면으로 출력, 또는 인쇄된 형태로 가시, 가독성을 가짐. 따라서 디지털 증거와 출력된 자료의 동일성 여부가 중요.

* 취약성(변조 가능성)
- 오류의 의한 손상이나 의도적 변조가 쉬우며, 변조 사실을 찾기 어려운 취약성

* 복제 용이성(매체독립성)
- '유체물'이 아닌 각종 저장매체에 저장되어 있거나 네트워크를 통해 전송중인 정보 그 자체, 원본과 동일한 내용으로 쉽게 복제되며 원본과 구별이 어려움

* 대량성
- 방대한 분량의 정보를 하나의 저장매체에 저장이 가능하며, 기업전산 자료의 경우 매우 방대한 서버와 같은 것이 압수 대상일 경우 업무수행에 지장을 줄 수 있으며, 관련성 없는 데이터도 수집의 가능성이 있음.

* 초국경성(네트워크 관련성)
- 인터넷을 통해 공간의 벽을 넘어 전송 등이 가능하며, 재판관할권을 어느 정도 할 것인지 국경을 넘는 경우 국가의 주권 문제까지도 연관됨.

* 휘발성(추가적인 특징)
- 메모리나 네트워크 상에서 일시적 존재할 증거가 있을 수 있음. 필요하다면 압수과정에서 사라지지 않도록 주의해야 함


* 법정에 유효한 증거
- 디지털 증거는 법정에서 유효한 증거가 되기 위해서 몇가지 사항들이 존재한다.
먼저 로그와 같이 자동으로 생성되는 생성증거는 비진술증거로서 진정성, 무결성, 신뢰성이 인정되면 증거로서 사용할 수 있다.
 그러나 사람이 직접 작성하는 문서파일등과 같은 디지털 증거는 진술증거로서 전문법칙에 적용이 된다. 그렇기 때문에 전문법칙의 예외로 인정되면 증거로 사용될 수 있다.
디지털 증거의 증거능력을 보장하기 위해 진정성, 무결성, 원본성, 신뢰성이 요구되고 있다.

- 진정성은 증거의 저장, 수집과정에서 오류가 없고 의도된 결과가 정확하고 그로 인해 생성된 자료임을 인정해야 한다. - 무결성은 수집 이후 보존 및 분석과정에서 증거가 어떠한 부분도 수정, 변경, 손상치 않아야 하고, 원본성은 가시/가독성이 없는 디지털 증거의 특성상 법원의 인쇄물로 제출될 때, 원매체에 저장된 데이터와 동일함을 의미해야 한다.

- 신뢰성은 충분히 검증된 절차와 사람, 도구 등이 검증되었음을 의미한다.

 

---> 이러한 것들이 잘 지켜졌을 때 과학적 분석 결과에 기초한 디지털 포렌식 자료나 기타 객관적 방법으로 성립의 진정함이 증명되었을 때 증거로 사용할 수 있는 것이다.