17 디지털 포렌식의 증거 수집

17 디지털 포렌식의 증거 수집

디지털 기기 사용이 보편화되면서 디지털 기기 분석을 통한 범죄 수사도 크게 늘고 있습니다.

경찰청의 디지털 매체 정보 감식 분석 현황에 따르면 2005년 274건에 불과했던 분석 건수는 2013년 11만 200건으로 400배 넘게 늘어났습니다.

디지털 기기에 대한 범죄 증거 분석이 이렇게 급증하는 이유는 무엇일까요?

바로 해킹과 같은 온라인 사이버 범죄가 늘어나고 있기 때문입니다. 그리고 스마트폰이 보편화되면서 결정적인 범죄 단서가 휴대폰에 남아 있는 경우도 많아 디지털 포렌식 수사에 대한 수요가 증가하고 있습니다.

가전제품과 일반 사물들에 인터넷이 연결되는 '사물인터넷' 시대가 도래함에 따라 범죄현장에서 디지털 기기가 증거로 채택되는 경우가 많아지고 있습니다. IT 강국에 걸맞게 우리 국민들의 보안에 대한 관심도 높아져야 하지 않을까요?

디지털 포렌식의 조사 모델

1. 디지털 포렌식의 조사 모델의 개념

디지털 포렌식의 조사 모델

디지털 포렌식의 조사 모델이란 디지털 정보를 포함하고 있는 매체를 증거로 확보하여, 법적 가치가 훼손되지 않도록 수집, 보관, 이송, 분석, 보고하는 일련의 수행 절차 입니다. 분석된 결과가 법적인 증거로 허용될 수 있도록 법적 절차를 준수해야 합니다.

2. 디지털 포렌식의 조사 모델 과정

디지털 포렌식의 조사 모델은 일반적으로 조사준비, 현장 대응, 증거 확보 및 수집, 운반 및 확인, 조사 및 분석, 보고 및 증언의 과정을 거치게 됩니다.

3. 포렌식 조사 수행 시 유의 사항

디지털 포렌식 조사를 수행할 때의 몇 가지 유의사항에 대해 알아보도록 하겠습니다.

적법 절차의 준수, 원본의 안전한 보존, 증거의 무결성 확보, 증거의 신뢰성 증명, 분석 결과의 반복성, 진정성 유지를 위한 모든 과정의  기록 등이 있습니다.

먼저 적법 절차를 준수해야 합니다. 피조사자 개인의 인권을 보장해야 하고, 피조사 기관의 영업 비밀이나 중요 자료의 노출이 발생하지 않도록 적법 절차를 준수해야 합니다. 디지털 포렌식 조사의 대상이 되는 저장 매체는 개인의 사생활과 관련된 정보가 저장되어 있을 가능성이 높기 때문입니다. 이를 준수하기 위한 방안은 수사 기관인 경우, 압수·수색 권한 혹은 영장이 한정하는 영역 내에서만 조사를 진행합니다. 민간 기관인 경우, 조사를 수행할 때 발생할 수 있는 책임 여부를 사전에 상호 확인하고, 의뢰인이 위임한 부분에 대해서만

조사를 수행합니다.

그리고 원본을 안전하게 보존해야 합니다. 디지털 데이터는 쉽게 훼손될 수 있기 때문에 데이터를 안전하게 보존할 수 있는 수단을 강구해야 합니다. 특히 물리적인 충격이나 전자기파에 의해 손상을 입지 않도록 주의해야 하는데 증거 분석은 원본의 손상을 막기 위해

반드시 사본에서 수행해야 하며, 생성한 사본이 원본과 동일하다는 것을 증명할 수 있는 절차적, 기술적 수단을 마련해야 합니다.

또한 증거는 무결성을 확보해야 합니다. 디지털 데이터는 완벽히 조작이 가능하므로 데이터 확보 이후에는 어떠한 변경도 없었다는 것을 입증하기 위한 기술적, 절차적 수단을 확보해야 하며 법정에서 무결성을 증명할 수 있는 방법을 준비해야 합니다.

증거의 신뢰성도 증명해야 합니다. 과학적인 방법을 사용하고, 해당 분야 전문가들에 의해 충분히 검토되어 신뢰할 수 있는 기술적 절차로 수행해야 하며 도출된 결과는 신뢰성을 검증이 가능해야 합니다. 그리고 분석 결과는 동일해야 합니다. 동일한 실험 조건이 주어진다면, 오차 범위 내에서 항상 동일한 분석 결과가 나올 수 있어야 합니다.

마지막으로 진정성 유지를 위해 모든 과정을 기록해야 합니다.

디지털 증거 수집, 분석을 비롯한 모든 과정을 기록함으로써 사후 검증할 수 있는 수단을 제공해야 합니다. 또한 디지털 증거의 진정성은 수집 이후부터 법정까지 진행된 증거 처리에 관한 내용을 기록한 문서를 통해 입증해야 합니다.

국내 디지털 증거 압수수색 모델

1. 대검찰청 디지털 증거 압수수색 모델

국내 디지털 증거 압수수색 모델

국내 디지털 증거 압수수색 모델은 사법 기관에 따라 상이한 부분이 있습니다.

먼저 대검찰청 디지털 증거 압수수색 모델은 증거수집 준비 단계, 영장집행 및 증거수집, 운반 및 보관, 분석 및 조사, 보고서 작성 순으로 이루어집니다.

2. 경찰청 디지털 증거 압수 절차

경찰청 디지털 증거 압수 절차에 대해서는 전체 수사 모델에 대해 공개된 자료는 없지만, 경찰청에서 발간한 디지털 증거 처리 가이드라인에서 증거 수집, 증거 분석, 보고서 작성으로 나누어 상세히 설명하고 있습니다.

디지털 포렌식 조사 모델

1. 일반적인 디지털 포렌식 조사 모델

디지털 포렌식 조사 모델

일반적인 디지털 포렌식 조사 모델에 대해서 좀 더 자세히 알아보겠습니다.

포렌식 조사 모델은 조사준비 단계, 현장 대응, 증거 확보 및 수집을 위한 준비, 운반 및 확인, 조사 및 분석, 보고 및 증언 순으로 이루어집니다. 각 항목을 하나씩 자세히 알아보겠습니다.

조사 준비 단계는 위법 행위, IT 보안 시스템의 경보 등과 같이 사건이 발생하면, 본격적인 수사에 앞서 필요한 준비 과정을 수행하는 단계입니다. 신뢰할 수 있는 디지털 증거를 확보하기 위해서는 조사 준비 과정에서 세밀한 준비가 절실히 요구됩니다. 현장 출동 시, 필요한 장비를 준비하지 못하거나, 인원의 부족 등의 문제가 발생하면 원활한 조사 진행이 어려움이 발생할 수 있기 때문에 오랜 조사 경험이나 전문지식이 있는 책임자의 지휘 아래 철저한 조사 준비를 해야 합니다.

조사 준비 과정의 세부 절차로는 우선 도구 개발 및 훈련을 실시하고 사건 발생을 확인한 후에는 조사 권한을 획득합니다. 그 다음에 조사팀을 구성하고 장비와 도구를 준비하게 됩니다. 조사 준비 단계에서는 디지털 기기의 다양성에 따른 적절한 대응을 할 수 있도록 하기 위한 도구 개발 및 교육 훈련 과정이 포함됩니다.

사건 발생 시 이에 대한 포렌식 조사를 수행할 필요성이 있는지 확인해야 합니다.

주요 조사 대상 확인 과정은 주요 조사 대상이 무엇인지를 결정하고 전반적인 수사 계획을 설정하는 과정을 포함됩니다.

현대의 디지털 포렌식 수사는 엄청난 양의 데이터를 조사해야 하므로, 수 많은 잠재적인 증거 자료로부터

사건 해결에 실마리를 제공해 줄 수 있고 중요한 결과를 얻을 수 있는 자료를 우선적으로 수집, 분석할 수 있도록 선정하는 과정이 필요합니다.

현장 대응 단계에서는 사건 조사 준비과정이 완료되면 현장에 출동하여 조사에 필요한 조치를 수행하며, 향후 증거 수집 과정을 시작하기 앞서 모든 준비를 수행합니다. 현장을 통제하고 이를 보존하며, 관계자와의 협조를 얻어 주요 조사 대상 시스템과 매체를 확보해야 합니다. 또한 조사 과정의 신뢰성 확보를 위해 카메라나 캠코더로 이를 촬영하여 기록하는 것이 좋습니다.

현장 대응을 좀 더 자세한 단계로 구분하면 현장 통제와 보존, 관계자 협조 요청, 조사 대상 시스템 및 저장 매체 확보 과정으로 나눌 수 있습니다. 조사를 수행하기에 앞서 최대한 현장을 보존하며, 증거 인멸 시도의 가능성을 고려하여 이를 보존하고 통제해야 합니다.

또한 사건 책임자가 용의자 또는 피조사 기관의 관리자와 면담을 통해 조사 협조를 구하고, 관련 서류를 제시하여 접근 권한을 획득합니다. 그리고 조사가 필요한 시스템, 물리적 증거들을 피조사자의 협조를 통해 확인하고, 확보된 시스템은 사용자를 격리하여 이를 통제합니다. 그리고 전체적인 현장의 시스템 및 네트워크 상황을 파악해야 합니다.

증거 확보 및 수집을 위한 준비 과정 단계는  조사 대상자의 증거물을 확보한 뒤 어떤 종류의 데이터를 어떤 방법으로 수집할 것인지를 결정하고, 수사 기관은 영장의 기재 내용에 의거하여 필요한 증거물을 압수하는 과정입니다. 수사 기관은 영장의 기재 내용에 의거하여 필요한 증거물을 압수하는 과정을 행합니다. 포렌식 서비스 업체는 현장에서 데이터를 수집 및 분석할 것인지, 시스템이나 중요 자료에

대해 사본을 생성하여 이를 확보할 것인지 등에 대한 협의가 필요합니다.

증거 확보 및 수집을 위한 준비 과정은 시스템의 위치를 파악하고 보존한 다음 증거 수집 방법을 결정하고, 시스템을 확보하고 데이터를 수집한 후 증거물을 포장하고 봉인하게 됩니다.

증거물 운반 과정의 최우선 사항은 증거물의 진정성 유지와 훼손 방지할 수 있는 기술입니다. 또한 증거물의 누락 및 도난이 없도록 연계보관 원칙을 면밀히 수행하고, 견고한 인증 과정을 거쳐야 합니다.

증거물 인수인계 시에는 반드시 증거 목록을 함께 전달하고, 이를 비교하여 누락된 증거물이 없는지 확인해야 합니다. 그리고 증거물을 전달받을 때에는 각 증거물의 밀봉 전용 특수 테이프와 봉인지의 상태가 이상 없는지 확인합니다. 만약 특수 테이프나 봉인지가 훼손되었다면 해당 증거물은 증거물 목록에서 제외하도록 합니다. 모든 증거물의 무결성에 문제가 없다고 판단될 경우 운반 책임자는 증거물 목록에 무결한 상태로 전달 받았다는 서명을 합니다.  분석실에 도착한 증거물은 조사 대상자나 참관인도 운반 과정에 동행하여, 분석실에 도착 후 자신이 서명한 목록과 이상이 없는지를 확인해야 합니다.

조사 및 분석 과정에서는 처리해야 할 데이터의 양이 많고, 범죄 유형에 따라 조사해야 할 데이터가 서로 다르므로 많은 시간이 소요됩니다. 따라서 어떠한 방법으로 분석을 수행할 것인지 전략을 수립하여 분석할 전체 데이터를 유형에 따라 분류하고, 그 결과를 검토하여 분석을 수행해야 합니다.

조사 및 분석 과정은 데이터 추출, 데이터 분류, 상세 분석 과정으로 이루어집니다. 데이터 추출에서는 조사가 필요한 데이터를 추출할 수 있도록 사본을 생성해서 수행하는데 응용 프로그램 파일, 운영체제 사용 정보 등을 분석에 유용한 데이터로 추출합니다.

데이터 분류는 효과적인 분석과 소요 시간을 줄이기 위해 데이터를 특정 기준으로 분류합니다. 시간 흐름, 응용 프로그램 종류 등에 따라 데이터를 분류하고 결과를 검토합니다. 상세 분석에서는 분류된 데이터를 바탕으로 사건 유형에 맞게 본격적인 분석을 수행합니다. 인터넷 사용 흔적 분석, 사용자 활동 정보 분석, 시스템 사용 정보 분석, 응용 프로그램 사용 흔적 분석, 파일 분석 등이있습니다.

조사 시 증거물 원본에 대하여 바로 분석을 수행할 경우, 무결성에 손상을 줄 수 있으므로 원본과 동일한 저장 매체나 이미징 기술을 사용하여 일반적으로 2개의 사본을 생성하며, 하나는 분석용으로 사용하고, 나머지는 만일의 사태에 대비하여 보관합니다.

하드디스크의 보존은 증거 확보 단계에서 수행한 디스크 이미징을 통하여 사본 디스크나 이미지를 생성합니다. 현장에서 확보한 USB

메모리, 메모리 카드, 광학 매체와 같은 휴대용 저장 매체는 디스크 이미징 기술을 활용하여 이미지 파일을 생성하여 분석을 수행합니다.

조사 및 분석 과정에서 데이터 분류를 위해서는 먼저 조사가 필요한 데이터 추출이 먼저 수행되어야 합니다. 데이터 추출은 원본 증거물에 대한 무결성을 유지하면서 수행합니다.

물리적 추출 시에는 파일 시스템과 무관하게 물리적인 매체에서 데이터를 복구하고 식별하여 데이터 추출하며, 논리적 추출 시에는 설치된 운영체제, 파일 시스템, 응용 프로그램에 기반을 두어 파일과 데이터를 복구하고 식별하여 데이터 추출하게 됩니다. 물리적 추출에는 키워드 검색, 파일 카빙, 파티션 테이블 추출, 미할당 영역에서 삭제된 파일 복구, 조각난 데이터 복구 등이 있으며 논리적 추출에는 정상 파일 추출, 응용프로그램 별 파일 추출, 파일시스템에서 삭제된 파일 복구, 파일 슬랙 데이터 추출 등이 있습니다.

결과 보고서는 조사, 분석자의 모든 행동과 관찰 내역, 분석 과정 등의 내용을 객관적이고 명확하게 기록하고, 분석 결과를 증거 자료로 인정받기 위해 분석 결과를 재현하였을 경우에도 완벽히 일치해야 합니다. 보고서의 내용은 쉽게 이해할 수 있는 용어를 사용하며, 정확하고 간결하며 논리 정연하게 작성하여야 합니다.

또한 작성자는 결과 보고서에 서명하고 작성 내용에 대해 책임이 따릅니다.

분석 보고서에 최종 날인하고 확인한 조사 책임자는 향후 법정에 출두할 가능성이 높습니다. 법정에서 결과에 대한 증언 시, 전문가로서 경력에 따라 분석 결과의 신뢰성이 판단될 수 있으므로 사건 책임자나 분석팀장 등이 증언하게 됩니다. 증언 시에는 객관적이고 분명한 어조로 설명해야 하며, 조사 및 분석 내용은 비전문가도 이해할 수 있도록 이해하기 쉽게 설명해야 합니다.