디지털 증거
증거와 증명
- 증거: 사실 관계를 확인하기 위해 사용되는 자료
- 증명: 증거에 의해 사실 관계를 확인
- 증거법의 기본 원칙은 증거재판주의
- 형사소송법 제307조 제1항 "사실의 인정은 증거에 의하여야 한다."
- 형사소송법 제307조 제2항 "범죄사실의 인정은 합리적인 의심이 없는 정도의 증명에 이르러야 한다."
디지털 증거의 정의
- 컴퓨터 또는 기타 디지털 저장 매체에 저장되고나 네트워크를 통해 전송되는 자료로서 법정에서 신뢰할 수 있으며 증거 가치가 있는 정보
- 디지털 형태로 저장되거나 전송되는 것으로 법정에서 신뢰할 수 있는 정보 (IOCE 정의)
- 디지털 형태로 저장되거나 전송되는 증거 가치가 있는 정보 (미국 SWGDE 정의)
디지털 증거의 종류
- 속성에 따른 분류
- 내용물 (문서 내용 등)
- 특성 정보 (파일명, 해시 등)
- 생성 주체에 따른 분류
- 시스템이 자동으로 생성 (인터넷 사용가록 등)
- 사용자가 인위적으로 생성 (문서 파일, 전자 메일 등)
- 휘발성 유무에 따른 분류
- 휘발성 (프로세스, 예약작업, 인터넷 연결 정보 등)
- 비휘발성 (파일 및 파일 시스템, 운영체제, 로그 데이터 등)
디지털 데이터의 특성
- 비가시성, 비가독성
- 디지털 데이터 그 자체는 사람의 지각으로 바로 인식 불가
- 변환을 통해 모니터에 출력하거나 프린터를 통해 인쇄했을 때 인식 가능
- 단, 디지털 증거와 출력된 자료의 동일성을 확인해야 함
- 취약성 (변조 가능성)
- 디지털 데이터는 삭제와 변경이 용이
- 파일을 열어보는 것만으로도 파일 속성이 변경될 수 있음
- 조사자에 의한 증거조작의 가능성도 있기 때문에 무결성 문제가 나타날 수 있음
- 복제 용이성 (매체 독립성)
- 디지털 데이터는 값이 같으면 어느 매체에 저장되어 있든지 동일한 가치를 가짐
- 디지털 증거는 원본과 사본의 구별이 불가능
- 대량성
- 데이터 저장의 증가로 인해 수집할 데이터의 양이 방대해짐
- 전문성
- 디지털 증거를 수집하고 분석하는 것이 포렌식 전문가의 역할
- 전문성의 부재는 디지털 증거의 신뢰성 문제가 발생할 수 있음
- 휘발성
- 컴퓨터 메모리(RAM)나 네트워크 상에서만 일시적으로 존재하는 데이터가 있음
- 휘발성 데이터는 조사 시점의 상태를 판단할 수 있는 중요한 역할을 하므로 사라지지 않도록 주의
- 초국경성 (네트워크 관련성)
- 인터넷과 같은 네트워크를 통해 각 장치들이 연결되어 있음
- 이는 국가 간에도 예외가 아니며, 재판관할권과 주권 문제가 발생할 수 있음
- 매체 독립성
- 어떤 정보든 내용이 같다면 어느 매체에 저장되어 있던지 동일한 가치를 지님
범죄와의 관련성
- 범죄의 도구
- 공격자가 사용한 디지털 기기
- 범죄 혐의자의 행위 분석을 위해 디지털 기기 전체를 획득해야 함
- 범죄의 목표
- 공격자의 목표가 된 피해자의 디지털 기기
- 침해사고 조사 및 피해 복구
- 데이터가 기록된 장소
- 사건과 직접적으로 관련이 없는 제3자의 디지털 기기
- 사건과 관련한 데이터가 기록되어 있다는 의미를 가짐
- 아무런 관련이 없는 데이터 (사적 데이터 등)가 존재할 수 있기 때문에 데이터 선별 작업을 해야 함
법정에서 유효한 디지털 증거
- 증거능력 관점
- 증거 능력: 증거가 엄격한 증거의 자료로 사용될 수 있는 법률 상의 자격
- 증명력: 증거의 실질적 가치, 신빙성의 정도
- 자유 심증주의
- 증거의 증명력을 평사할 때 오로지 법관의 자유로운 판단에 맡기는 것
위법수집증거능력배제원칙
- 위법한 절차에 의해 수집된 증거는 증거능력을 인정하지 않음
전문법칙
전문
- 사실의 진위여부를 알지 못한 상태에서 전해들은 말
전문법칙의 정의
- 전문 증거의 증거능력을 배제하는 증거법상의 원칙
- '
~라고 XX가 그랬어요' --> 어떻게 증명할 건데?
전문법칙의 예외
- 진술이 진실일 가능성이 큰 경우
- 잘못된 의미를 전달할 가능성보다 다른 요소가 더 큰 경우
- (전문가 증언의 경우) 전문가들이 근거로 하는 자료
- 원 진술자가 법정에서 증언할 수 없다는 것을 입증할 경우
- (예시) 법원이나 법관의 면전조서, 피해자신문조서, 진술조서, 진술 기재서, 진술서 등
전문법칙의 예외 기준
- 신용성의 정황적 보장 성립 - 이 진술의 진실성을 담보할 수 있는 외부 정황이 존재
- 필요성의 요건 성립 - 동일한 가치의 증거를 얻기 어려운 경우 (전문증거인데 이거라도 증거로 쓰자)
디지털 증거와 전문법칙
- 디지털 증거는 사람의 진술과정을 거치지 않고 기계적으로 처리된 증거
- 전문법칙에 근거하여 컴퓨터에 저장된 디지털 자료는 전문증거로 판단하여 증거능력을 인정하지 않을 수 있음
- 이럴 거면 왜 포렌식하는가? ----> 적절한 조건을 갖춘 디지털 증거를 활용하기 위해 전문법칙의 예외가 존재
디지털 증거의 전문법칙 예외
- 비진술 증거로서의 디지털 증거 (전문이 아님)
- 시스템에 의해 자동으로 생성된 증거
- 진정성, 무결성, 신뢰성 등이 인정되면 증거능력 인정
- 진술 증거로서의 디지털 증거 (전문 여부 판단 필요)
- 디지털 기기에 저장된 증거
- 대부분 진술증거이기 때문에 전문법칙이 적용되며, 증거가 되기 위해서는 전문 법칙의 예외 규정에 적용되어야 함
- 단, 많은 국가에서 비즈니스 기록은 전문증거 규칙의 예외로 적용
디지털 증거의 증거 능력 요건
- 디지털 증거의 특수성으로 인해 법정에서 유효한 증거로 인정되지 못하는 경우가 존재
문제 제기 형태
- 디지털 증거의 무결성, 신뢰성 문제 의문 제기
- 디지털 증거에 대한 진술자, 작성자의 신원 확인 문제 의문 제기
디지털 증거의 법적 증거 능력 조건
- 진정성
- 주장하는 바(해당 증거가 특정 시점에 생성되고 특정인에게 전송된 것 등...)가 맞는지 증명하는 것
- 무결성
- 디지털 증거가 수집된 후 부당한 수정과 변경이 없도록 유지하고 검증하는 것
- 신뢰성
- 증거 처리 과정에서 위변조, 의도되지 않은 오류를 포함하지 않음을 검증하는 것
- 원본성
- 가시성과 가독성이 없는 원본 데이터를 변환하고 제출하는 과정에서, 제출된 증거가 원본가 동일하다는 것을 입증하는 것
- 최량증거규칙: 문서의 원본증거가 증거로서 그 내용을 증명하기 위해 제출되어야 하는 것
디지털 증거의 증거능력 보장을 위한 장치
- 연계보관성: 증거와 관련된 모든 사항을 명확히 기술하고 보관, 이송 과정에서 인수인계 과정에 대한 기록과 검증 필요
- 증거를 발견하고 수집한 사람, 장소, 시간
- 증거를 취급하고 조사한 사람, 장소, 시간
- 증거를 보관하는 사람, 보관 기간, 보관 방식
- 증거 관리가 변경되었을 때의 이송 방법과 날짜
- 암호학적 해시 함수
- 해시 함수: 임의의 긴 값data을 입력하여 고정된 길이의 값hash을 출력하는 함수
- 단방향성
- 디지털 증거를 획득한 뒤 해시를 계산하고 별도 보관, 입증이 필요하면 별도 보관된 해시를 이용
디지털 증거의 증거능력
- 디지털 증거의 복사본
- 원본과 사본이 완벽히 일치하기 때문에, 제 3자의 입회 하에 해시 값에 대한 공증 필요
- 네트워크 정보의 증거력
- 데이터의 수집기간에 따라 해시가 바뀔 수 있으므로, 제 3자의 입회 하에 해시 값에 대한 공증 필요
- 대형 시스템에서의 디지털 증거
- 현실적으로 이미징 불가능
- 파일을 선별하여 논리적 파일로 수집해야 함
- 제 3자의 입회 하에 파일로 수집하고 해시 값에 대한 공증 필요
- 임베디드 시스템에서의 디지털 증거
- 물리적 수집, 논리적 수집
디지털 증거의 신뢰성 보장 장치
- 디지털 증거 처리 표준 가이드라인 제공
- 디지털 증거 처리 인력의 신뢰성 인증 (디지털 포렌식 전문가 자격증 등)
- 디지털 포렌식 도구의 신뢰성 검증 (Daubert Test 등)
- 디지털 증거 분석실 인정
'디지털 포렌식' 카테고리의 다른 글
| [디지털 포렌식] 디지털 기기와 저장 매체 (0) | 2025.06.18 |
|---|---|
| [디지털 포렌식] 디지털 데이터 표현 (0) | 2025.06.18 |
| [디지털 포렌식] 디지털 포렌식 개요 (1) | 2025.06.18 |
댓글