| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- 코딩테스트
- 스택/큐
- vscode
- DFS/BFS
- level2
- level1
- level3
- pwnable
- Programmers
- 타겟 넘버
- 여행경로
- 동빈나
- 문자열압축
- github
- themida
- 동적계획법
- 개발
- 프로그래머스
- level 2
- 베스트앨범
- 자물쇠와 열쇠
- 전화번호 목록
- 더 맵게
- 선형회귀
- 같은숫자는싫어
- Python3
- level 3
- 2020 KAKAO BLIND RECRUITMENT
- 머신러닝
Archives
- Today
- Total
hoon
Digital Forensic #01 본문
디지털 포렌식
포렌식 (Forensic) : 범죄사실을 규명하기 위해 범죄 현장에서 각종 증거를 과학적으로 분석하는 분야
로카르드의 교환 법칙 (Locard's exchange principle) : 접촉하는 두 물체 간에는 반드시 흔적이 남는다는 법칙
디지털 포렌식 (Digital Forensic) : 범죄 현장에서 확보한 디지털 기기 내에 내장된 디지털 데이터에서 특정 행위의 사실 관계를 규정하고 증명해 법적 증거를 채택하기 위한 절차와 방법
디지털 포렌식에서의 로카르드의 교환법칙
사용자가 디지털 기기를 사용할 때, 디지털 기기에서는 사용자도 모르게 사용자의 흔적이 남음
(ex. 시스템 on/off 로그, 파일 저장, 파일 열람, USB 연결 기록, 인터넷 검색 기록 등)
디지털 데이터의 특성
디지털 데이터 : 0과 1로 처리할 수 있는 이산적 형태의 데이터
휘발성 > 시스템이 켜져 있는 상태에서 휘발성 데이터를 수집
복제 용이성 > 데이터를 복제하여 수집
디지털 포렌식의 기본원칙
정당성의 법칙
- 다른 말로, 적법절차의 원칙이라 하며, 현행 형사소송법 제308조의2(위법수집증거의 배제)에 작성되어 있음
- 정당하지 않은 방법으로 획득한 증거물은 증거 능력을 잃게 됨
- 위법하게 수집된 증거에서 파생된 증거 (Derivative Evidence)가 있다면, 이 역시 증거능력이 배제됨(독수독과 이론 또는 독수의 과실 이론)
재현의 원칙
- 예를 들어, A 분석관과 B분석관이 동일한 증거물을 동일한 방법 또는 동일한 도구를 사용하여 분석하면 동일한 결과가 나와야 함
- 이를 위해, 일선에서는 검증 분석하는 교차 분석(Cross-Analysis)를 수행
신속성의 원칙
- 디지털 포렌식의 전 과정은 외부 요인의 개입을 최소화하기 위해 신속성을 보장해야 함
- 휘발성 데이터 (Volatile Data)는 시간의 흐름에 따라 소멸되기 쉬우며, 라이브 포렌식 또는 클라우드 포렌식의 경우, 시시각각 사용자가 데이터를 은닉, 삭제, 이동 등을 할 수 있어 신속하게 해야함
연계보관성 (Chain of Custody)의 원칙
- 증거가 획득되고 난 뒤 이송, 분석, 보관, 법정 제출이라는 일련의 과정 및 각 과정마다의 담당자가 명확해야 한다는 것을 의미
- 증거의 연계보관성을 유지하기 위해서는 증거물의 이송 또는 불출 등을 통해 인수인계 할 때마다 인수자와 인계자가 해당 증거의 훼손 또는 위변조 여부를 확인하고 연계보관성 양식에 각각 서명 해야함
- 정전기 방지 봉투, 압수물 확인(봉인)지, 보안 스티커 등을 이용함
무결성의 원칙
- 유체물의 무결성을 위해서는 봉인과 연계보관성을 이용함
- 유체물의 경우, 불출의 매 단계마다 봉인이 정상적으로 유지되어 있는지 인수자와 인계자가 각각 확인한 후, 연계보관성 양식을 작성
- 무체물의 무결성을 위해서는 유체물 증거에 비해 내용을 위변조하기 쉬우며 육안으로 훼손이나 위변조 여부를 탐지하기 어렵다는 특징을 가지고 있음
디지털 증거(Digital Evidence) : 컴퓨터 시스템에서 그와 유사한 장치에 의해 전자적으로 생성되고 저장되며 전송되는 일체의 증거
디지털 증거 (Digital Evidence)의 분류
- 저장 매체로 분류하는 방법, 증거의 내용에 따라 구분하는 방법, 법적 효력에 의해 구분하는 방법, 휘발성 정도에 따라 분류하는 방법 등 다양한 방법들이 존재함
- 보관 증거와 생성 증거
- 보관 증거: 디지털 기기에 저장된 증거
- 사람의 사상이나 감정 등을 표현하기 위하여 사람이 직접 작성한 증거
- 내용물(Contents)
- 생성 증거: 디지털 기기에 의하여 자동으로 생성된 증거
- 인간의 개입 없이 디지털 기기가 동작하는 과정 중에 자동으로 생성된 증거
- 특성 정보(Metadata)
- 보관 증거: 디지털 기기에 저장된 증거
디지털 증거의 법적 허용성
- 위법수집증거능력배제원칙(Exclusionary Rule of the )
- 위법한 절차에 의하여 수집된 증거의 증거 능력 부정
- 미국 연방대법원의 판례를 통하여 형성된 이론
- 미국 헌법의 절차를 보장하고 인권을 보호하기 위한 목적
- 독수의 과실이론
- 위법하게 수집된 증거에서 얻어진 2차 증거도 증거능력이 없음
전문(傳聞, Hearsay)
- 사실의 진위여부는 알지 못한 상태에서 전해들은 말을 의미
- 진실을 입증하기 위해 법정 밖에서 진술된 것
전문 법칙(Hearsay Rule)
- 전문법칙(전문증거배제법칙)은 전문증거의 증거능력을 배제하는 증거법상의 원칙
- 원 진술자가 말한 진술상의 취약점을 파악할 방법이 없음
- 현행 형사소송법 제310조의2에서는 이러한 전문증거의 증거능력을 원칙적으로 부인
전문법칙의 예외
- 진술이 진실일 가능성이 큰 경우
- 잘못된 의미를 전달할 가능성보다 다른 요소가 더 큰 경우
- 전문가 증언의 경우 전문가들이 근거로 하는 자료
- 원 진술자가 법정에서 증언할 수 없다는 것을 입증할 경우
일반적인 전문법칙의 예외들
- 법원 또는 법관의 면전조서
- 피의자 신문조서
- 진술조서 및 진술 기재서
- 진술서, 검증조서, 감정서, 당연히 증거능력이 있는 서류 등
전문법칙의 예외 기준
- 신용성의 정황적 보장
- 해당 진술의 진실성을 담보할 수 있는 구체적이고 외부적인 정황이 있음
- 필요성의 원리
- 원 진술과 동일한 내용의 진술을 구하는 것이 불가능하거나 현저히 곤란하기 때문에 비록 전문증거라고 하더라도 이를 사용하여 실체적 진실을 규명할 필요가 있을 경우
디지털 증거와 관련된 예외
- [형사소송법 315조] 신용성의 정황적 보장과 필요성 원리를 적용하여 당연히 증거능력이 있는 서류를 전문법칙의 예외로 둠
- 따라서 315조에 해당되는 디지털 증거의 출력 문건
- 무결성, 신뢰성이 인정된다면 증거능력이 인정됨
- 형사소송법 제315조(증거능력이 있는 서류)
- 다음에 게시한 서류는 증거로 할 수 있다.
- 가족관계기록사항에 관한 증명서, 공정증서등본 기타 공무원 또는 외국공무원의 직무상 증명할 수 있는 사항에 관하여 작성한 문서
- 상업장부, 항해일지 기타 업무상 필요로 작성한 통상문서
- 기타 특히 신용할 만한 정황에 의하여 작성된 문서
- 다음에 게시한 서류는 증거로 할 수 있다.
디지털 증거와 전문법칙
- 디지털 증거는 직접적으로 사람의 지각·기억·표현·서술이라는 진술과정을 거치지 않고 그것이 기계적으로 처리되어 작성된 것
- 전문법칙에 근거하여 컴퓨터에 저장되어 있는 디지털 자료는 전문증거로 판단되어 증거능력을 인정하지 않을 수 있음
- 압수한 디지털 증거가 무결성의 문제, 신뢰성의 문제 및 원본성의 문제를 모두 통과하였다고 하더라도 디지털 증거가 진술증거로 인정되는 경우에는 전문법칙이 적용되어 증거능력이 부정될 수 있음
전문법칙 예외 조항에 디지털 증거 적용
- 디지털 증거는 특정 프로그램을 이용, 사람이 표현하고자 하는 내용의 자료를 입력하여 처리·생성된 부분이 존재
- 따라서 내용의 진실성을 입증하기 위해서는 전문법칙의 관계에 유의하여 증거능력에 대한 검토가 필요
- 디지털 증거도 적절한 조건을 갖출 경우 전문법칙의 예외로 적용됨
비 진술 증거로서의 디지털 증거(전문 아님)
- 주로 컴퓨터에 의해 생성된 증거(Computer-generated Evidence)
- 컴퓨터 시스템이 작동하면서 자동적으로 기록·저장되는 디지털 증거들
- 시스템 로그파일, 이벤트 기록 및 인터넵 웹 히스토리 파일 등
- 디지털 데이터 자체가 증거로서 제출되는 경우에는 진술증거가 아니므로 전문법칙이 적용될 여지가 없음
- 진정성, 무결성, 신뢰성 등이 인정된다면 일반적으로 증거능력이 인정됨
진술 증거로서의 디지털 증거(전문 여부 판단 필요)
- 주로 컴퓨터에 저장된 증거(Computer stored Evidence)
- 대부분 진술증거로서 전문법칙이 적용됨
- 전자문서로 된 비즈니스 기록은 진술증거임에도 일정 요건이 만족되는 경우 전문법칙의 예외로 인정
- 비즈니스 기록
- 기업의 일상적인 비즈니스 과정에서 비즈니스와 관련된 어떤 사실을 기록하기 위해 준비되거나 이용되는 모든 회계장부나 기타 문서들
- 많은 국가에서 비즈니스 기록은 전문증거 규칙의 예외로 적용
- 비즈니스 기록
디지털 증거의 법적 허용성 조건
진정성(Authenticity)
- 디지털 증거의 저장, 수집 과정에서 오류가 없었으며, 의도된 결과가 정확하고 그로 인해 생성된 자료임이 인정되어야 함
- 디지털 증거는 다른 증거와 달리 훼손, 변경이 용이한 특성으로 인하여 최초 증거가 저장된 매체에서 법정에 제출되기까지 확실한 인수인계를 통해 변경이나 훼손이 없어야 함(연계 보관성-Chain of Custody)
- 진정성 구성요소 중 가장 중요한 요소
- 기록의 생산주체, 생산주체에 의한 발신, 생산 시점
- 진정성을 가용성, 무결성, 해독가능성까지 포괄하는 광의의 개념으로 정의
- 진정성을 전자기록이 갖추어야 할 가장 기본적인 조건으로 파악하기도 함
연계 보관성(Chain of Custody)
- 디지털 증거의 발견방법과 처리방법을 비롯하여 증거와 관련된 모든 사항을 명확히 기술하고 보관·이송 과정에서 인수인계 과정에 대한 기록과 검증 필요
- 대검찰청의 디지털증거수집 및 분석규정의 2조
- "디지털기기를 압수·수색·검증하거나 디지털 자료를 수집·분석할 때에는 디지털기기 또는 디지털 자료를 수집한 때로부터 법정에 증거로 제출할 때까지 변경 또는 훼손하지 않도록 절차의 연속성을 유지하여야 하며 그 과정을 기록하여야 한다."라고 연계보관성원칙을 가장 먼저 명시
- 연계 보관성 유지를 위해 기록할 정보
- 증거를 발견하고 수집한 사람, 장소, 시간
- 증거를 취급하고 조사한 사람, 장소, 시간
- 증거를 보관하는 사람, 보관 기관, 보관 방식
- 증거 관리가 변경되었을 때의 이송 방법과 날짜(선적 번호 포함)
무결성 (Integrity)
- 디지털 증거가 원본 소스로부터 수집되어 보관, 분석되는 과정에서 부당한 수정, 변경, 손상이 없도록 유지해야 하며 이를 검증(보장)할 수 있어야 함
- 암호학적 해시함수
- 법정 제출 시 디지털 증거를 검증하여 위조 여부를 판별해야 함
- 고소인 측에서 연계 보관성을 통한 무결성을 증명하더라도, 피고소인이 디지털 증거의 위조 가능성을 이유로 증거효력을 무력화할 경우, 디지털 증거의 신뢰성을 입증할 수 있어야 함
무결성 보장 방법
- 권한이 없는 사람의 허가 받지 않은 변경을 위한 정책과 절차를 확보
- 정책과 절차를 상세하게 수립하고 지속적으로 적용하여 언제, 누가 ,어떤 근거로 접근, 추가, 삭제하였는지를 기록으로 남겨야 함(로깅)
무결성 입증방법(현재)
- 암호학적 해시함수
- 임의의 긴 입력 값을 적절하게 처리하여 고정된 길이의 값을 출력
- 해시 함수의 출력 값을 이용하여 역으로 입력 값을 유추할 수 있음
- 같은 출력 값을 갖는 임의의 입력 값 2개를 찾는 것은 계산상 불가능
- 디지털 증거의 무결성 입증을 위한 해시함수 사용
- 디지털 증거를 획득(하드디스크 이미지)
- 획득한 증거에 대한 해시함수 적용
- 해시함수의 출력 값을 별도 보관
- 이 후 법정에서 디지털 증거의 해시 값을 계산하여 별도 보관된 해시 값과 비교하여 일치하면 무결성이 입증됨
신뢰성(Reliability)
- 증거 데이터의 분석 등 처리 과정에서 디지털 증거가 위·변조되거나 의도되지 않은 오류를 포함하지 않았음을 의미
- 디지털 증거의 신뢰성은 디지털 증거 자체의 특성이 아닌 디지털 증거를 취급하는 인력, 도구, 분석, 절차 등과 같은 주·객관적인 요소들의 신뢰성 증명을 통해 간접적으로 증명 가능
신뢰성 관점에서 디지털 증거의 법적 활용
- 행위자에 의한 원본 생성부터 조사 과정에서의 수집, 분석, 법정 제출까지의 신뢰성 확보를 위한 관리가 필요
- 신뢰성 확보를 위한 제도적, 과학적 절차의 마련이 필요하며, 이는 곧 디지털 포렌식 연구 목표와 동일
신뢰성 판단
- 해당 디지털 증거가 업무나 활동 및 사실에 대한 완전하고 정확한 표현물인가?
- 해당 디지털 증거를 통해 과거의 업무활동이나 사실을 증명하거나, 그 기록을 근거로 하여 이후의 업무활동에 관련된 의사 결정을 내릴 수 있는가?
신뢰성 판단 요건
- 신뢰할 수 있는 기관
- 업무활동에 대한 직접적 지식을 가진 사람, 즉 해당 증거 관련 업무활동의 담당자가 생산하였는가?
- 신뢰할 수 있는 시스템
- 업무 처리를 위해 일상적으로 사용되는 그 도구에 의해 생산되었는가?
- 신뢰할 수 있는 시간
- 그 업무활동이 수행된 시점이나 그 직후에 생산되고 확보된 기록인가?
디지털 증거의 신뢰성 보장 장치
원본성(Originality)
- 디지털 증거 자체로는 가시성, 가독성이 없으므로 가시성 있는 인쇄물로 출력하여 법원에 제출할 수밖에 없음
원본성과 디지털 증거 사본
- 대용량 시스템에서의 증거 수집은 원본 매체 자제를 다른 저장 매체에 복제 혹은 기타 방법으로 이동시켜 수집함
- 실제 법정에 제출되는 증거들은 원본 증거와는 다른 형태로 취하게 되며, 증거 원본이 제출되어야 하는 증거법상의 원칙상 제출되는 사본 증거, 그리고 가시성, 가독성 있는 형태로 변환된 증거를 원본으로 인정할 수 있는가라는 법적 문제가 제기될 수 있음
원본성-최량증거규칙(The Best Evidence Rule)
- 영미권에서 발달한 증거원칙으로 문서의 원본증거가 증거로서 그 내용을 증명하기 위해 제출되어야 한다는 것
- 미국 최량증거규칙은 연방증거규칙(Federal Rules of Evidence)에서 명시
- 연방증거규칙 1002조는 "서류, 기록물 또는 사진의 내용을 증명하기 위하여 문서, 기록물, 사진의 원본이 요구된다."고 최량증거원칙을 규정
- 1001조 1호에 의하면 디지털 증거는 자기적 혹은 전기적 방식에 의한 기록물로서 1002조의 서류, 기록물 등에 포함되므로, 디지털 증거도 기본적으로 당연히 원본으로 제출될 것을 요구 받음
- 1004조에는 다음과 같은 경우에도 복제물도 Best Evidence로 법정 증거로 허용된다고 명시
Comments