디지털 증거의 증거능력 판단에 관한 연구

발 간 등 록 번 호 32-9741568-000811-01 사법정책연구원 연구총서 2015-08 디지털 증거의 증거능력 판단에 관한 연구 Judicial Policy Research Institute

디지털 증거의 증거능력 판단에 관한 연구 Research on Determining the Admissibility of Digital Evidence 연구책임자: 손 지 영 ( 前 사법정책연구원 연구위원) 김 주 석 (사법정책연구원 연구위원, 판사)

사법정책연구원은 미래의 사법부가 추구해야 할 바람직한 모습을 정책적으로 설계 하기 위하여 2014. 1. 1. 대법원 산하에 설립된 연구기관으로서 2014년도 연구계획 을 수립하였습니다. 이 연구보고서는 2014년도 연구계획에 따른 연구과제 중의 하나인 디지털 증거 의 증거능력 판단에 관한 연구 의 결과물입니다. 이 연구는 착수, 중간 및 최종 보고의 각 단계마다 연구과제심의위원회의 심의를 거쳤고, 관련 분야 전문가로부터 연구과제 수행 및 결과에 대한 자문과 평가를 받았 습니다. 앞으로 이 연구보고서가 국민을 위한 사법정책의 수립 및 제도의 개선을 위한 좋 은 자료로 널리 활용되기를 기대합니다.

내용 목차 국문요약 11 Abstract 13 제1장 연구의 목적과 방법 15 제2장 디지털 증거 일반론 19 제1절 디지털 증거의 개념 및 종류 21 Ⅰ. 개념과 의의 21 Ⅱ. 디지털 증거와 유사한 개념들 22 1. 전자 증거, 전자적 증거, 전자기록 22 2. 전자문서 23 3. 컴퓨터 기록, 컴퓨터 증거 24 Ⅲ. 소결 24 제2절 디지털 증거의 특징 25 Ⅰ. 디지털 증거 관련 문제의 제기 25 Ⅱ. 디지털 증거의 특징 25 1. 디지털 증거의 성격 25 (1) 매체독립성과 원본과 사본 구분의 곤란성 26 (2) 변개의 용이성 내지 취약성 26 (3) 비가시성 비가독성 및 잠재성 27 (4) 대량성 27 (5) 전문성 28 (6) 네트워크 관련성 28 (7) 익명성 29 2. 디지털 증거의 증거능력 인정을 위한 요건 30 (1) 동일성 내지 무결성(진정성) 31 (2) 진정성 32 (3) 신뢰성 33 (4) 원본성 34 3. 디지털 증거에 특유한 증거능력 요건에 관한 판례의 입장 35 (1) 동일성 내지 무결성의 요구 35 4

(2) 신뢰성의 요구 35 (3) 원본성의 요구 36 4. 디지털 증거의 종류 37 제3장 디지털 증거와 포렌식 41 제1절 개관 43 제2절 디지털 증거의 압수와 포렌식 절차 43 Ⅰ. 디지털 포렌식 43 1. 디지털 포렌식의 개념 및 필요성 43 2. 기본원칙 44 (1) 정당성의 원칙 44 (2) 재현의 원칙 45 (3) 신속성의 원칙 45 (4) 절차의 연속성(Chain of Custody) 원칙 45 (5) 무결성의 원칙 46 3. 대검찰청의 디지털 증거 수집 및 분석 관련 규정 46 Ⅱ. 디지털 증거 압수 대상 선정 과정 48 Ⅲ. 증거 수집 50 1. 데드 시스템상에서의 증거 수집 51 2. 라이브 시스템상에서의 증거 수집 51 (1) 라이브 시스템 메모리 덤프 52 (2) 라이브 시스템 하드디스크 이미징 53 Ⅳ. 디지털 포렌식 도구 55 1. 포렌식 도구의 신뢰성 문제 55 2. 포렌식 도구의 종류와 기능 56 (1) 종류 56 (2) 디지털 포렌식 도구의 기능 56 3. 국내에서 활용되는 포렌식 도구와 표준화 57 (1) 국내 포렌식 도구 57 (2) 분석 도구 표준화 57 제3절 디지털 증거의 분석 58 Ⅰ. 증거물의 획득 및 분석 절차에서의 무결성 58 5

1. 증거물의 무결성 58 2. 증거물 획득 절차 58 3. 증거물 분석 절차 60 Ⅱ. 디지털 증거 분석의 개념과 종류 61 1. 디지털 증거 분석의 개념 61 2. 디지털 증거에 대한 사후 분석의 성격 62 3. 증거 분석 기법의 종류 63 (1) 메모리 덤프 분석 63 (2) Windows 레지스트리 분석 63 (3) Timeline 분석 64 (4) 삭제된 파일 복구 64 (5) 비정상적인 파일 찾기 65 (6) 전자우편 분석 65 (7) 로그 분석 65 (8) 슬랙 공간 분석 66 (9) 스트링 서치와 해쉬 분석 66 (10) 암호 분석(Crypto Analysis) 67 (11) 프로세스 분석(Process Analysis) 67 제4장 디지털 증거와 위법수집증거 배제법칙 69 제1절 디지털 증거의 수집과 증거능력 71 Ⅰ. 디지털 증거의 수집에 관한 문제 71 1. 디지털 증거의 압수 수색 적격성 71 2. 압수 수색의 요건 72 3. 압수 수색의 방법 및 범위 73 4. 압수 수색 방법 및 범위의 사전적 제한 문제 74 Ⅱ. 디지털 증거와 위법수집증거 배제법칙 79 제2절 미국에서의 위법수집증거 배제법칙의 적용 80 Ⅰ. 개관 80 Ⅱ. 디지털 증거와 영장주의 예외 사유의 인정 범위 83 1. 동의(Consent) 83 2. 적법한 체포에 수반된 수색(Search Incident to Lawful Arrest) 84 6

3. 육안 발견(Plain View) 86 4. 그 밖의 예외 사유 87 Ⅲ. 전자적 감시와 수정헌법 제4조 88 1. 초기의 판례 88 2. 입법화와 판례의 태도 변경 88 제3절 독일의 디지털 증거 위법 수집과 증거능력 92 Ⅰ. 개관 92 Ⅱ. 디지털 증거의 수집에 관한 기본원칙: BVerfGE 113, 39 판결 94 Ⅲ. 디지털 증거에 대한 강제처분과 증거능력 95 1. 디지털 증거에 관한 강제처분의 근거규정 95 (1) 압수의 대상인지 여부 95 (2) 전산자료의 투망식 조사(Rasterfahndung) 95 (3) 통신감청 95 (4) 통신사실자료의 확인 96 (5) 디지털 데이터 수색 범위에 관한 규정 96 2. 관련 판례 97 (1) BVerfG, 2 BvR 902/06 Ⅴ. 16. 6. 2009. 97 (2) BGH StB 18/06, Ⅴ. 31. 1. 2007. 97 (3) BverfG, 1 BvR 370/07, 1 BvR 595 07 Ⅴ. 27. 2. 2008. 98 (4) BGH 1 StR 76/09, Ⅴ. 31. 3. 2009. 99 (5) BGH StB 48/09, Ⅴ. 24. 11. 2009. 99 (6) LG Ravensburg, Ⅴ. 9. 12. 2002. - 2 Qs 153/02 100 (7) LG Bremen, Ⅴ. 22. 7. 2005-11 Qs 112/05, StV 2006, 571 100 제4절 국내의 위법수집증거 여부 판단 사례 101 Ⅰ. 개관 101 Ⅱ. 주요 사례 102 1. 영남위원회 사건 102 2. 전교조 시국선언 사건 103 (1) 전교조 본부 사무실 압수 수색 집행에 대한 준항고 사건 103 (2) 전교조 시국선언 본안사건 105 3. 공직선거법위반 사건 107 4. 이 사건 108 7

제5절 소결론 109 제5장 디지털 증거 특유의 증거능력 인정 요건 113 제1절 디지털 증거의 특성과 증거능력 115 제2절 미국 증거법상 디지털 증거의 허용성 115 Ⅰ. 미국 증거법의 개관 115 Ⅱ. 디지털 증거의 허용성에 관한 분석 틀 116 Ⅲ. 관련성의 검토 117 1. 논리적 관련성 117 2. 실질적 관련성 118 Ⅳ. 무결성(진정성) 내지 동일성의 검토 118 1. 외부적 증거에 의한 무결성(진정성) 증명 120 (1) 사실을 알고 있는 자의 증언[제901조(b)(1)] 120 (2) 전문가 증인이나 사실 판단자에 의한 비교[제901조(b)(3)] 120 (3) 확연한 특징[제901조(b)(4)] 121 (4) 공적 기록 및 보고[제901조(b)(7)] 122 (5) 절차 또는 시스템[제901조(b)(9)] 122 2. 당연히 무결성(진정성)이 인정되는 경우(제902조) 123 (1) 공식적 기록[제902조(5)] 123 (2) 상품 표기문[제902조(7)] 124 (3) 정규적으로 수행되는 활동에 대한 인증된 국내 기록[제902조(11)] 124 Ⅴ. 원본성의 검토 125 Ⅵ. 컴퓨터 포렌식과 전문가 증언 문제 125 제3절 국내의 관련 판례 127 Ⅰ. 일심회 사건 127 Ⅱ. 왕재산 사건 129 Ⅲ. 이 사건 131 제4절 소결론 132 제6장 디지털 증거와 전문법칙 135 제1절 개관 137 8

Ⅰ. 증거법상 전문법칙의 의의 137 Ⅱ. 디지털 증거의 전문법칙 적용 문제 138 제2절 미국 증거법상 디지털 증거와 전문법칙 139 Ⅰ. 전문법칙에 관한 검토 순서 139 Ⅱ. 진술증거 여부 139 Ⅲ. 원진술자에 의한 진술 여부 139 Ⅳ. 내용의 진실성을 증명하기 위하여 제출된 법정 외 진술 여부 140 Ⅴ. 전문증거의 정의 배제 여부 141 Ⅵ. 전문법칙의 예외 해당 여부 142 1. 발생 현장에서의 묘사[제803조(1)] 142 2. 흥분 상태의 언급[제803조(2)] 142 3. 진술 당시의 정신적, 감정적 또는 신체적 상태에 관한 진술[제803조(3)] 143 4. 업무상 기록 혹은 정규적으로 수행되는 활동의 기록[제803조(6)] 143 5. 공적 기록[제803조(8)] 144 6. 시장 보고서나 그와 유사한 발간물[제803조(17)] 145 제3절 국내의 관련 판례 145 Ⅰ. 영남위원회 사건 145 Ⅱ. 일심회 사건 146 1. 판시 내용 146 2. 검토 147 Ⅲ. 성매매 메모리카드 사건 149 Ⅳ. 왕재산 사건 150 제4절 소결론 151 제7장 디지털 증거의 증거능력 검토 기준 153 제1절 디지털 증거의 증거능력 검토 기준의 필요성 155 제2절 위법수집증거 배제 여부 155 Ⅰ. 개요 155 Ⅱ. 구체적인 고려 요소 156 1. 영장주의 관련 156 (1) 영장주의의 적용 여부 156 9

(2) 압수 수색영장에 기재된 장소와 대상에 대한 집행 157 (3) 압수 수색영장에 적시된 방법에 부합한 집행 157 (4) 범죄관련성의 문제 158 (5) 참여권 보장 및 통지 문제 159 2. 관련법 위반 여부 159 3. 위법수집증거 배제법칙의 예외 해당 여부 160 제3절 동일성 무결성에 대한 증명 161 Ⅰ. 개요 161 Ⅱ. 동일성 무결성의 확인 방법 161 Ⅲ. 삭제된 파일의 복구 및 분석과 관련된 문제 163 제4절 전문증거인 디지털 증거의 증거능력 164 Ⅰ. 전문증거 해당 여부 164 Ⅱ. 전문증거인 경우 진정 성립의 증명(형사소송법 제313조 제1항) 165 Ⅲ. 피고인의 진술을 기재한 경우 특신상태의 존재 (형사소송법 제313조 제1항 단서) 165 Ⅳ. 형사소송법 제314조, 제315조 각 호의 예외 해당 여부 166 제5절 내용의 요약 및 한계 166 제8장 결론 171 참고문헌 174 10

국문요약 정보 기술의 발달과 고도화로 인하여 형사법정에서 다양한 형태의 디지털 증거가 제출 되는 사례가 증가하고 있고, 이에 따라 디지털 증거의 증거능력 인정 여부가 문제되고 있 다. 위법수집증거 배제법칙, 전문법칙 등 종래의 증거능력에 관한 규정을 디지털 증거에 적 용함에 있어 그 특성을 어느 정도 고려할 것인지도 문제이고, 디지털 증거의 특성에 착안 하여 다른 증거와 달리 특유한 증거능력 요건을 인정할 수 있을 것인지도 문제이다. 본 연구는 디지털 증거와 디지털 포렌식에 관하여 논의되는 바를 정리하고, 우리나라와 외국의 증거능력 판단 사례를 검토함으로써 디지털 증거의 증거능력 판단에 있어 참고할 만한 실무상 기준을 모색하였다. 먼저 위법수집증거 배제법칙과 관련하여 미국의 사례는 주로 불합리한 압수 수색으로 부터 자유로울 권리와 영장주의를 규정한 연방 수정헌법 제4조를 중심으로 디지털 증거의 증거 배제 여부를 판단하고 있는 점이 주목된다. 독일에서는 미국의 위법수집증거 배제법 칙에 대응되는 개념으로 증거사용금지의 법리가 형성되어 있고, 기본권 침해에 대한 비례 성 원칙에 따라 증거 배제 여부를 판단한다. 우리 대법원 판례에서는 압수 수색영장의 집 행이 영장에 기재된 범죄와 관련성이 있었는지, 영장과 법에서 허용한 범위와 방법을 위반 하였는지 등이 주된 쟁점이 되고 있다. 다음으로 우리 대법원은 최근 일련의 판결을 통하여 디지털 정보에 대해 그 변개가 용 이한 점 등의 특성에 근거하여, 그 압수에서부터 출력에 이르기까지의 무결성 내지 동일성 이 증명되어야 증거로 사용될 수 있다고 판시하고 있다. 이는 미국 증거법상 무결성 내지 동일성 요건에 관한 일부 논의와 유사하다고 보인다. 마지막으로 전문법칙 적용과 관련한 증거 배제 여부를 결정함에 있어 미국의 사례는 해 당 디지털 증거가 전문증거인지, 만약 전문증거라면 어떠한 정황이 있을 때 전문법칙의 예 외를 인정할 수 있을 것인지 등이 주된 쟁점이 되고 있음에 비하여, 우리 대법원 판결에서 는 디지털 증거가 전문증거인 경우 작성자 또는 진술자가 법정에서 그 성립의 진정을 인정 하였는지가 주된 쟁점이 되고 있다. 11

위와 같은 우리나라와 외국의 판단 사례를 참고하여 디지털 증거의 증거능력 인정 여부 가 문제되었을 때 심리에 있어서 유의할 사항 내지 검토 기준을 증거의 유형별로 제시해 보았다. 이 연구를 통하여 디지털 증거의 증거능력 판단에 관한 학계와 실무계의 논의가 더욱 활성화되기를 바란다. 주제어: 정보 기술, 디지털 증거, 증거능력, 위법수집증거 배제법칙, 전문법칙, 연방 수정헌법 제4조, 증거사용금지, 기본권 침해, 비례성 원칙, 무결성, 동일성 12

Abstract Research on Determining the Admissibility of Digital Evidence Kim, Joo-Seok Research Fellow, JPRI Due to the development and advancement of Information Technology, various forms of digital evidence are increasingly submitted in criminal courtrooms, and henceforth the admissibility of digital evidence has become an immediate issue. When we apply the established admissibility rules such as exclusionary rule and hearsay rule to digital evidence, we face the problem of to what extent we need to consider the unique characteristics of it. And we also need to consider the issue of whether any special requirement for digital evidence is necessary for it to be admitted in trial. This study summarizes what has been discussed on the issue of digital evidence and forensics, reviews the cases dealing with admissibility of digital evidence both in Korea and other foreign countries, and suggests guidelines or checkpoints that can be of effective uses in determining the issue. Firstly, in relation to exclusionary rule, it is notable that the U.S. courts mostly decide whether to suppress digital evidence within the framework of the Fourth Amendment, which provides people s right to be secured against unreasonable search and seizure and requires any warrant to be judicially sanctioned. In Germany, there is a legal theory of Beweisverwertungsverbot that corresponds to exclusionary rule of the U.S., which determines whether or not the evidence should be excluded in accordance with the proportionality principle on the infringement of fundamental rights. In Korea, the Supreme Court cases often deal with the issue of responsiveness in execution of warrant and whether the related government action is beyond the scope of warrant. 13

Secondly, the Supreme Court of Korea in recent series of cases ruled that digital information must be identified and authenticated to be admitted as evidence because of its vulnerability to alterations. Such holdings seem to be similar to some discussions about authentication and identification in the U.S. evidence law. Finally, in deciding whether to exclude digital evidence in relation to hearsay rule, the U.S. courts tend to focus on such issues as whether or not the evidence is hearsay, and if so, whether there are any circumstances that allow an exception to hearsay rule. Whereas whether the declarant acknowledged its authenticity in court is often the main issue in Korea. Based on the cases above, we suggest some possible guidelines and checkpoints which might be helpful in deciding the admissibility of various types of digital evidence. We hope this research would help promote further discussions about the issue in both academic and legal professional fields. key words: information technology, digital evidence, admissibility, exclusionary rule, hearsay rule, the Fourth Amendment, Beweisverwertungsverbot, fundamental rights, proportionality principle, authentication, identification 14

제1장 연구의 목적과 방법

제1장 연구의 목적과 방법 오늘날 컴퓨터 등 디지털 기술 및 네트워크의 발전으로 형사법정에서 컴퓨터 저 장기록과 데이터, 전자우편, 문자메시지, 디지털 사진, SNS(Social Network Service) 게시글 등과 같은 디지털 정보의 활용 사례가 증가하고 있다. 디지털 정보는 현대인의 모든 삶의 영역에 존재하고, 사용자가 인식하지 못하는 사이에 디지털 흔적 (Digital Footprint)이 남기도 한다. 1) 형사법정에서도 쟁점이 되는 중요한 사안들을 입증하기 위해 컴퓨터 서버 내에 있는 파일, 휴대전화 내용에 대하여 증거로서의 가 치가 있는 것을 찾아내 제출하는 경우가 생기고 그와 동시에 이에 대한 법정에서의 증 거능력 인정 여부 문제가 발생하게 된다. 최근에는 스마트폰, 태블릿 등 디지털 기기가 다변화되고 SNS의 활성화, 저장 장치의 대용량화 등으로 정보가 범람하게 되면서 법정에 현출되는 디지털 증거의 종류 도 매우 다양해져 이러한 문제를 더욱 가중시키고 있다. 디지털 증거의 종류가 다양해 짐에 따라 그에 대응하는 증거수집의 방법도 다양해지고 각각의 특성을 고려하여야 할 필요성도 생겨나 종래의 증거능력 인정 여부에 관한 이론이나 압수 수색의 방법 및 범위에 관한 이론 등이 그대로 적용될 수 있는지에 관하여 의문이 제기될 수 있다. 유 체물 증거와는 다른 기술적 특성을 지닌 디지털 증거가 사건의 핵심적인 증거가 되어 법정에 제출되면서 종래와는 다르게 증거능력 인정 여부를 문제 삼고 그 증명방법이 문제되는 경우도 종종 발생하고 있다. 일반적으로 디지털 정보는 복사 복제가 용이하고 삭제와 변경 또한 용이하여 증거를 취득하고 보존할 때 훼손이나 조작 가능성을 방지하여야 할 필요성이 제기된 다. 고의적인 훼손, 조작뿐만 아니라 경우에 따라서는 부주의로 인한 증거의 훼손도 발생하는데 피고인 측이 이에 대한 동일성, 무결성 내지 진정성을 문제 삼을 경우 그 확인이 증거능력 판단에 있어서 중요한 쟁점이 된다. 이를 비롯하여 매체독립성, 비가 시성, 무한복제성, 취약성, 대량성, 전문성, 익명성 등 디지털 증거의 고유한 특성과 관련하여 증거능력의 인정 여부 판단에 있어 다양한 문제가 제기될 수 있고, 이에 대 하여 새로운 고찰이 요구된다. 그러나 이와 같은 새로운 유형의 디지털 증거를 법정에서 처리함에 있어 그 증 거능력 요건과 증거조사의 방법에 관한 규정은 포괄적 추상적으로 기재되어 있고 서 면 등 전통적인 매체에 의한 진술이나 유체물인 증거를 상정하고 있어 문언 그대로의 1) Larry E. Daniel Lars E. Daniel, Digital Forensics For Legal Professionals Understanding Digital Evidence From the Warrant to the Courtroom, Elsevier (2012), 3. 17

제1장 연구의 목적과 방법 형식적 적용만으로는 해결할 수 없는 문제가 발생하는 경우가 있다. 이는 결국 관련 규정의 취지를 종합적으로 해석하고 현실적 필요성을 조화시켜 해결할 수밖에 없다. 디지털 증거에 관하여는 선례가 충분히 축적되어 있지 않고 이에 대한 견해가 다양하 게 형성되어 있으므로, 여러 논의를 종합하여 새로운 형태의 디지털 증거의 증거능력 판단과 그 증명방법 등에 관한 실무 기준을 모색하여 정리해 볼 필요가 있다. 이를 위해 이 보고서는 먼저 디지털 증거의 특성에 관하여 논의되는 바를 개관 하고, 포렌식 실무에 대하여 개략적으로 살펴본 다음 이에 대한 이해를 바탕으로 디지 털 증거와 관련한 주요 쟁점인 위법수집증거 배제법칙 적용 문제, 디지털 증거에 특유 한 증거능력 인정 문제, 전문법칙 적용 문제에 관한 외국 및 우리나라의 판단 사례를 차례로 검토한다. 또한 이와 같은 검토 내용을 바탕으로 법원이 형사사건 실무에서 적용할 수 있 는 증거능력 판단의 조사 기준을 모색하여 본다. 18

제2장 디지털 증거 일반론

제1절 디지털 증거의 개념 및 종류 제1절 디지털 증거의 개념 및 종류 I. 개념과 의의 디지털 증거(Digital Evidence)가 활용되는 영역이 계속 확대되고 있고 그에 따른 여러 문제가 발생하고 있음에도 디지털 증거가 무엇인가에 대한 개념적 정의는 아직 확립된 바 없으며, 사용되는 영역이나 사용자 등에 따라 다양하게 정의될 수 있 다. 또 유사한 용어들도 다수 혼용되어 사용되고 있다. 디지털 증거에 대한 개념정의의 예를 살펴보면, 범죄를 입증하거나 범죄와 피 해자 또는 범죄자 사이의 연결 고리를 제공할 수 있는 모든 디지털 데이터(Eoghan Casey), 범죄가 어떻게 일어났는지에 대하여 입증 또는 반박할 수 있거나, 범죄 의도 나 알리바이와 같은 범죄의 핵심 요소들을 이끌어낼 수 있는 정보로 컴퓨터를 사용하 여 저장되거나 전송되는 데이터(W. Jerry Chisum) 라고 정의되기도 하고, 2) 또 디지 털 형태로 저장 또는 전송되는 증거가치 있는 정보(SWGDE 3) ), 법정에서 신뢰할 수 있는 저장되거나 전송되는 이진수 형태의 정보(IOCE 4) ), 각종 디지털 저장매체에 저 장되거나 네트워크 장비 및 유 무선 통신상으로 전송되는 정보 중 그 신뢰성을 보장 할 수 있어 증거로서 가치를 가지는 디지털 정보 로 정의되기도 한다. 5) 디지털 기기의 다양화와 실생활에서의 활용영역의 확대와 함께 현대사회에서 생활의 일부가 되어 정보의 기록과 공유를 위하여 사용되는 디지털 정보가 재판에서 증거로서 활용될 여지를 검토하기 위하여 디지털 증거라는 용어가 사용되고 있다고 보 인다. 이러한 다양한 정의들 중 법률적으로 적합한 것을 찾기 위해서는 디지털 증거와 혼용되어 사용되는 유사 개념들을 검토해볼 필요가 있다. 2) Eoghan Casey, Digital Evidence and Computer Crime(2nd ed.), Academic Press (2004), 12. 3) Scientific Working Group on Digital Evidence: 미국 법무부의 마약수사청, 연방수사 관세청 및 국세청 등의 증거분석 연구소를 중심으로 구성된 디지털 증거에 관한 과학실무그룹. 4) International Organisation on Computer Evidence: 미국, 호주, 홍콩, 영국 등 각국의 실무자들을 중 심으로 만들어진 디지털 증거에 관한 국제기구. 5) 탁희성 이상진, 디지털 증거분석 도구에 의한 증거수집절차 및 증거능력 확보 방안, 한국형사정책연구원 (2006), 31-34. 21

제2장 디지털 증거 일반론 II. 디지털 증거와 유사한 개념들 디지털 증거와 유사개념으로는 전자적 증거, 전자기록, 전자적 기록, 컴퓨터관 련 증거, 컴퓨터 전자기록 등의 용어들이 사용되고 있다. 대략의 혼용되어 사용되는 개념들은 다음과 같다. 1. 전자 증거, 전자적 증거, 전자기록 디지털 증거라는 용어 대신 전자적 증거 또는 전자 증거(Electronic Evidence), 전자기록 등의 용어가 사용되기도 하는데 전자적 증거 또는 전자 증거 6) 는 증거법적 관점에서 바라본 용어로 증거로 사용되는 정보가 전자적 방식, 즉 전기적 자기적 방식 에 의해 처리(저장, 전송)되는 것임을 의미하고, 7) 전자기록 은 형법에서 사용되는 용어 로 집적회로, 자기디스크, 자기테이프 등 매체에 전기적, 자기적 방법으로 저장된 기록을 말하며 형법상 공 사전자기록 위작, 변작, 행사죄의 객체가 된다. 미국에서는 전자적 저장 정보(Electronically Stored Information; ESI) 라는 표현이 자주 사용되는 것으 로 보인다. 8) 전자적 방식에는 카세트테이프나 비디오테이프와 같이 정보를 전자적으로 저장 하나 그 표기방법은 아날로그 방식을 사용하는 경우도 포함되기 때문에 위 전자 증거 등은 디지털 증거보다 외연이 더 넓은 개념이라고 볼 수 있다. 이와 같이 전자 증거의 개념은 디지털 증거의 개념을 포함하는 것으로 양자는 구분되나, 아날로그 방식을 사 용하는 녹음테이프나 비디오테이프가 점차 사라지고 있는 추세에 비추어 현재와 같이 두 방식을 포함하는 개념으로 전자 증거라는 개념을 사용하여도 개념상 혼동의 여지는 적다는 견해가 있다. 9) 반면 디지털 형태로 저장되는 정보를 전자 증거 등으로 부르 6) 검찰청 사무기구에 관한 규정(시행 2014. 8. 27. 대통령령 제25569호), 대검찰청사무분장규정(시행 2014. 5. 13. 대검찰청훈령 제186호)은 전자적 증거 라는 용어를 사용하고 있다[검찰청 사무기구에 관한 규정 제3 조의5(대검찰청 과학수사기획관 등의 설치와 그 사무분장) 3 디지털수사담당관은 다음 사항에 관하여 과학 수사기획관을 보좌한다. 1. 전자적 증거의 분석에 관한 사항 2. 전자적 증거의 분석기법에 대한 연구 개발 에 관한 사항; 대검찰청사무분장규정 제12조(디지털수사담당관) 디지털수사담당관은 다음 사항을 분장한다. 1. 전자적 증거의 압수 및 분석, 지원에 관한 사항 2. 전자적 증거의 압수 및 분석기법에 대한 연구 개발에 관한 사항]. 7) 박혁수, 개정 형사소송법상 디지털 증거의 증거능력 - 관련성, 신뢰성, 진정성, 원본성을 중심으로, 해외 연수검사 연구논문집 제25집 (2010), 21. 8) 예를 들어 Fed. R. Crim. Pro. 41(e)(2)(B). 9) 이숙연, 디지털 증거 및 그 증거능력과 증거조사방안, 사법논집 제53집 (2011), 251. 22

제1절 디지털 증거의 개념 및 종류 는 것은 부적절하다고 하면서 10) 전자 증거 중 아날로그 형태의 증거들은 다분히 매체 의존적이고 매체와 일체화된 유체물로 취급해도 무리가 없기 때문에 새로운 고찰이 필 요 없고, 따라서 디지털 증거와 전자 증거는 구별된다는 점을 강조하는 견해가 있 다. 11) 이러한 견해하에서는 녹음테이프의 경우 저장 방식, 제출 증거물, 증거조사 방 식, 증거설시 방법 등에 차이가 있어 디지털 증거의 진정 성립 문제를 해결하는 데 녹 음테이프의 증거능력 문제를 유추하여 적용할 수는 없다고 하거나, 12) 아날로그 정보 는 매체를 벗어나서는 호환이 어렵고 다른 매체에 복사되거나 이동되면 반드시 물리적 손실이 있어 동일성이 없으므로 양자는 특성이 달라 디지털 방식과 아날로그 방식을 모두 포괄하는 전자적 증거 개념의 실익을 부정하기도 한다. 13) 물론 아날로그 방식과 디지털 방식은 저장매체뿐만 아니라 저장 방식과 처리 방식이 달라 그 특성에 차이가 있으나, 아날로그 방식으로 입력된 녹음테이프나 비디오테이프의 경우도 장기보관이 나 출력을 위해 디지털 형태로 변환하여 저장하는 경우가 있고, 디지털 증거의 경우도 아날로그 방식과 마찬가지로 서명 날인이 적합하지 않은 경우가 다수이고 디지털 증거 의 저장 내용이 동영상이나 음원인 경우 반드시 서류의 형태로 증거물을 제출한다고도 할 수 없으며, 또한 양자의 증거제출 및 조사 절차에서 목적이 되는 것은 전자적 정보 내용 그 자체라는 점에서 매체의 이전, 보관 내지 출력 과정 등에서 발생하는 진정성 내지 동일성 확인 등 문제가 공통적으로 쟁점이 될 수 있어 유사한 측면도 존재함을 부인할 수 없으므로, 전자적 증거라는 표현을 굳이 배척할 이유는 없다고 본다. 14) 2. 전자문서 전산시스템에 의한 업무가 일반화되면서 종래의 종이문서를 대신하여 전자문서 가 활용됨에 따라 전자문서에 대하여 기존의 문서에 대응하는 법률적 효력을 부여할 필요성이 높아지게 되었다. 해당 법률에서 각각 전자문서에 대한 정의도 그 규율 목적 등에 따라 조금씩 차 10) 장상귀, 디지털 증거의 증거능력에 관한 연구, 법학실무연구회 (2009. 5.), 227. 11) 장상귀(주 10), 227, 240. 이윤제, 디지털 증거의 압수 수색과 증거능력, 형사법의 신동향 제23호 (2009. 12.), 172도 같은 견해이나, 다만 아날로그 형태의 전자 증거도 디지털 증거의 속성을 어느 정도 공유하기 때 문에 디지털 증거에서 보는 여러 가지 논의를 유추하여 적용하여야 할 부분이 있을 것이라고 한다. 12) 장상귀(주 10), 240. 13) 양근원, 디지털 증거의 특징과 증거법상의 문제 고찰, 경희법학 제41권 제1호 (2006. 6.), 179. 14) 이숙연(주 9), 251. 23

제2장 디지털 증거 일반론 이를 보인다. 이러한 다양한 정의규정들에서 공통적 사항을 꼽아본다면, 전자문서 란 1 컴퓨터 등 정보처리능력을 지닌 장치를 이용하여 작성되어 송수신, 저장되며, 2 인간에 의하여 작성된 것으로 3 송수신되거나 저장된 디지털 정보를 말한다. 15) 위와 같이 전자문서는 컴퓨터 등 디지털 기기에 인간의 의사에 의하여 작성되어 저장 전송되는 정보로서 컴퓨터상의 정보이기는 하나 컴퓨터 시스템이 작동하면서 자동적으로 생성, 저장되는 로그파일이나 인터넷 접속기록 등과 구별된다. 3. 컴퓨터 기록, 컴퓨터 증거 컴퓨터란 전자회로를 이용하여 자동적으로 계산이나 데이터를 처리하는 기계로 프로그래밍이 가능하다. 컴퓨터 정보란 이러한 기기에 입력자료를 받아들여 처리하고 그 정보를 저장하고 검색하여 결과를 출력하는 것을 말한다. 디지털 정보는 정보의 표 기 및 저장이나 전달 형태가 0과 1의 조합인 이진수 방식으로 구성되는 정보를 뜻하는 데, 이러한 방식으로 데이터를 처리하는 기술은 컴퓨터에서부터 출발한다. 디지털 정 보는 종래 전통적 의미의 컴퓨터를 이용하여 저장되거나 전송되는 데이터로 정의되었 으나, PDA, 스마트폰, 태블릿 등 디지털 기기의 급속한 발달로 컴퓨터뿐만 아니라 다 양한 기기들에서 디지털 정보가 저장, 전송되고 있고 이 또한 증거조사의 대상이 되어 가고 있다. III. 소결 디지털 증거와 유사한 개념들을 살펴보았다. 디지털 증거는 결국 디지털 기기에서 사용되는 디지털 정보를 증거법의 시각에 서 정의한 것으로, 디지털 형태로 저장되거나 전송되는 증거가치 있는 정보(앞서 본 SWGDE의 정의)로 간명하게 정의할 수 있고, 이와 같이 정의할 때 과학기술의 발전 에 따른 다양한 매체의 발달, 정보의 내용, 작성자의 존재 여부 등과 무관하게 논의될 수 있어 유용한 법적 개념이 될 것으로 생각된다. 15) 이숙연(주 9), 253. 24

제2절 디지털 증거의 특징 제2절 디지털 증거의 특징 I. 디지털 증거 관련 문제의 제기 IT의 발달과 활용영역의 확대로 컴퓨터 등 디지털 기기와 인터넷을 배제한 생 활은 이제 거의 상상하기 힘들 정도가 되어 형사절차에서 디지털 증거의 중요성은 날 로 증가하고 있다. 그런데 디지털 포렌식(Digital Forensics) 16) 절차를 거쳐 수집, 분석된 디지털 증거는 일반 증거와는 다른 특성이 있고, 17) 이에 따라 증거의 수집과 보존, 증거능력 등 증거법상의 여러 절차에서 기존의 증거와는 다르게 취급되어야 한다는 주장 18) 이 설득력을 얻고 있다. 그러므로 먼저 디지털 증거의 특징을 살펴보고, 이러한 성격으로부터 나오는 증 거능력 인정을 위한 문제점들을 음미할 필요가 있다. 즉 형사소송법상 증거능력을 부 여하기 위한 요건과의 관계하에서 디지털 증거가 갖는 특징을 먼저 살펴보고, 이에 따 라 디지털 증거에 특유한 증거능력 인정의 요건을 살펴보기로 한다. II. 디지털 증거의 특징 1. 디지털 증거의 성격 16) 디지털 포렌식은 전자적으로 처리되어 보관 전송되는 디지털 데이터를 적법한 절차와 과학적 기법을 사 용하여 수집하고 분석하여 증거로 제출하는 제반행위 라고 정의되고[박상락, 컴퓨터 포렌식과 디지털 증거 의 분석기법에 관한 연구, 컴퓨터수사와 정보보호 제2호 (2003. 9.), 201.], 증거재판주의(형사소송법 제 307조)를 선언하고 공판중심주의를 강화하고 있는 현행 형사소송법에 비추어 볼 때 디지털 포렌식의 궁극 적 목적은 획득한 증거를 법정에 제출하여 실체적 진실을 규명하기 위한 증거자료로 활용하는 데에 있다고 한다[김정옥, 디지털 증거의 증거능력 인정 요건 일심회 판결을 중심으로, 디지털 포렌식 연구 창간호 (2007. 11.), 134.]. 현대인들은 생활 중 자연스럽게 디지털 기기와 접해 있는 관계로 개인에 대한 기록이 상당부분 디지털 정보로 남아 있는 경우가 많고, 디지털 기술의 발달로 범행을 숨기기 위해 삭제한 자료 등 도 복원이 가능한 경우가 많아 디지털 포렌식은 범죄수사에 널리 활용되고 있다. 17) 하기봉, 디지털 포렌식에 의한 디지털 증거의 증거능력, 석사학위 논문, 성균관대학교 국가전략 대학원 (2012), 86. 18) 권양섭, 디지털 증거수집에 관한 연구, 박사학위 논문, 군산대학교 (2009), 1. 25

제2장 디지털 증거 일반론 (1) 매체독립성과 원본과 사본 구분의 곤란성 디지털 증거는 유체물 이 아니고 각종의 디지털 매체에 저장된 혹은 전송 중인 정보 그 자체이다. 19) 이진수의 형태로 변환하여 작성 저장되어 저장된 정보 값은 어느 매체에 저장되든 동일한 가치를 가진다. 아날로그 방식은 복사하는 경우에 복사 본의 신호가 원본의 신호보다 S/N(신호/잡음)비가 감소하므로 이론적으로 원본과 복 사본의 구별이 가능하나, 20) 디지털 신호의 경우 원본의 신호형태를 복사하는 것이 아 니라 신호의 유무만을 검출하여 디지털 형태의 신호를 다시 만들어 기록하게 되므로 이 정보는 값이 같다면 어느 매체에 저장되어 있든지 매체와 독립하여 동일한 가치를 지니게 된다. 따라서 디지털 증거는 매체와 정보의 분리가 용이하지 않은 기존의 증거 들과 달리 매체와 분리된 정보 자체에 대한 수색 및 압수가 가능하게 되었고, 대량의 정보라도 매체를 옮겨 수집, 보관, 분석하는 것이 매우 용이하게 되었다. 또한 디지털 증거는 값만 동일하면 반복된 복사과정에서도 질적 저하가 없어 원 본과 사본의 구별이 곤란한 문제가 발생하게 된다. 따라서 수집된 증거가 범행의 결과 로 나타난 원본인지, 복사본인지 명확하게 하는 것이 요구된다. 21) 복사본을 증거에서 배척하기 위한 것이 아니라, 후술하는 디지털 증거에 증거능력을 부여하기 위한 요건 인 무결성(진정성) 내지 동일성의 요건 충족 여부를 판단하기 위한 전제로 문제가 되 는 것이다. (2) 변개의 용이성 내지 취약성 22) 디지털 정보는 일부 또는 전체에 대한 수정 및 삭제 등 편집이 용이하다. 이 특 징은 실용적 측면에서 디지털 정보를 쉽게 가공할 수 있다는 장점으로 활용될 수 있지 만 증거가치 측면에서는 전부 일부의 삭제, 변개 등이 용이하다는 단점으로 작용한 다. 디지털 증거에 대한 증거수집, 보존, 분석과정에서 각종 소프트웨어나 장비 등을 사용하게 되는데, 이 경우 인위적 조작을 하게 되거나 또는 의도하지 않더라도 시스템 작동과정에서 시스템 내의 파일들에 변화가 일어나는 경우가 있다. 23) 이로 인한 증거 19) 원혜욱, 컴퓨터관련 증거의 증거조사와 증거능력, 수사연구 (2000. 6.), 32. 20) 이숙연(주 9), 256. 21) 양근원(주 13), 182. 22) 노명선, 전자적 증거의 수집과 증거능력에 관한 몇 가지 검토, 형사법의 신동향 제16호 (2008), 78. 23) 양근원, 형사절차상 디지털 증거의 수집과 증거능력에 관한 연구, 박사학위 논문, 경희대학교 (2006), 22. 26

제2절 디지털 증거의 특징 가치 훼손의 문제와 아울러 쟁점이 된 특정부분에 대한 삭제, 변개 사실을 추후에 밝 혀내기가 어려워지는 문제도 따른다. 이러한 취약성 때문에 지체 없이 신속하게 정보를 수집하여야 할 수사상 필요가 생기고, 디지털 포렌식 절차를 통하여 수집된 증거가 변경되지 않은 것임을 법정에서 입증할 필요가 생긴다. (3) 비가시성 비가독성 및 잠재성 24) 디지털 기록매체에 저장된 데이터는 이진수의 신호체계로 작성 보존되어 그 존 재 및 상태를 사람의 지각으로는 바로 인식할 수 없다. 또한 수집된 디지털 증거에는 표 면상 알 수 없고 숨어 있는 잠재 정보가 존재하며 이를 확인하기 위해서는 그에 맞는 적 절한 소프트웨어가 필요하다. 디지털 정보를 증거로 사용하기 위해서는 일정한 판독절 차를 거쳐야 하고, 디코딩(Decoding), 암호 복호(Decrypt), 압축 해제(Decompress)의 과정이 필요하며, 25) 이 과정에는 소프트웨어와 전문가들이 개입한다. 26) 이와 같이 디지털 정보의 확보 과정은 물리적이 아닌 기술적 논리적인 방법이 동원되며, 이러한 측면은 디지털 증거의 증거능력 검토 과정에서 포렌식 도구의 신뢰 성이나 분석관의 전문성 검증과 연결된다. (4) 대량성 과거에는 정보의 생성 및 저장이 종이와 잉크를 매체로 한정적으로 이루어졌으 나, 최근에는 이 과정이 디지털 형태로 급격히 전환되면서 그 정보의 양이 기하급수적 으로 늘어나고 있다. 27) 24) 비가시성 비가독성이란 용어와 함께 잠재성을 특징으로 꼽는 견해에 따르면 디지털 증거는 모니터나 프린 터를 통해서 출력되어야만 가시성과 가독성을 갖는다는 점에서 정보 자체가 비가시성 비가독성의 성격을 갖지만 출력 과정에서도 여러 정보가 누락되고 일정한 가시적 정보만 제공된다는 점을 지적한다. 이 때에 도 데이터 안에는 좀 더 많은 잠재적 정보가 포함되어 있다는 점을 들어 더 포괄적인 용어로 잠재성 (Latent)이란 용어를 사용하고 있다. 탁희성 이상진(주 5), 35-36. 25) 미리 약속된 일정한 규칙에 따라 데이터를 특정 포맷으로 코드화하는 것을 인코딩, 그 반대를 디코딩이라 고 한다. 암호 복호는 암호화된 코드를 원래의 평문으로 복구하는 과정을 말한다. 데이터 압축은 파일이나 통신 메시지와 같은 데이터 집합의 기억 영역을 절감하거나 전송 시간을 단축하기 위해 데이터에 포함되어 있는 중복된 bit열 또는 패턴을 삭제하고 그것들을 좀 더 적은 수의 bit 또는 요약 형식으로 부호화하는 등 여러 가지 방법으로 행해진다. 중복된 bit열 또는 패턴을 복원하면 원래의 데이터가 복원된다. 탁희성 이 상진(주 5), 35. 26) 탁희성 이상진(주 5), 36. 27) 탁희성 이상진(주 5), 37. 27

제2장 디지털 증거 일반론 디지털 증거는 개인이 사용하는 컴퓨터에서 기업의 전산회계자료에 이르기까지 갖가지 종류의 응용프로그램에 의해 생성된 수많은 형태의 자료가 저장되어 있는 경우 가 대부분이다. 아주 적은 저장매체에도 방대한 분량의 정보를 저장할 수 있어 저장매 체의 압수에 있어 범죄와의 관련성이 있는 정보뿐 아니라 그와 관련이 없는 수많은 사 생활 비밀, 영업비밀 자료가 포함되어 있을 수 있다. 특히 다중이 공동으로 이용하는 서버에는 하나의 저장매체나 시스템에 범죄와 관계없는 수많은 사람들의 데이터가 저 장 또는 전송되는 것이 통상이다. 이러한 특성으로 인해 압수 수색의 범위, 방법 등 을 제한할 필요가 더 크다고 볼 수 있다. 또한 대량의 데이터가 대규모로 집적되어 저 장 처리 전송되는 만큼 저장매체를 압수하여 분석하기 위해서는 장기간이 소요되어 당사자의 사회활동에 큰 불편과 재산적 피해를 초래할 수 있다. (5) 전문성 디지털 증거를 처리하는 과정에는 많은 전자적 기술과 프로그램이 사용된다. 따 라서 저장된 자료가 어떤 소프트웨어를 사용하여 저장되었는지 정확하게 규명하지 않 으면 자료에 접근하기조차 어려운 문제가 발생하기도 한다. 28) 이러한 경우가 아니라 고 해도 수집된 자료를 가독성 가시성 있는 자료로 변환하여 제시하고 그 내용을 해 석하는 데 전문적 지식이 없이는 불가능한 경우가 있고, 법정에 제시된 최종 산출물이 원본 증거에 대한 정확한 해석인지 검증하는 것도 필요하다. 29) 따라서 디지털 증거의 수집과 적정한 분석을 위해서는 디지털 정보, 분석 프로 그램이나 도구 등에 대한 전문가의 도움을 필요로 한다. 30) 디지털 증거의 수집과 분 석을 위하여 디지털 포렌식 센터, 경찰청의 사이버테러대응센터, 국가정보원의 국가사 이버안전센터와 같은 전문적인 조직이 설치된 것도 이러한 이유 때문이다. 31) 여기서 디지털 증거분석 전문가와 분석방법에 대한 신뢰성을 확보하기 위한 방안이 문제된다. (6) 네트워크 관련성 28) 최성필, 디지털 증거의 증거능력에 관한 비교법적 연구, 국외훈련검사 연구논문집 제26집 (2011), 57. 29) 양근원(주 13), 183. 30) 박혁수(주 7), 44. 31) 박혁수(주 7), 44-45(각주86). 디지털 증거 수집 및 분석 규정 <대검 예규 616호 2012. 11. 6. 개정>은 제6조 이하에서 디지털 포렌식 수사관의 전문성 제고를 위한 자격, 교육훈련, 조직, 인사원칙 등을 규정하 고 있다. 28

제2절 디지털 증거의 특징 현재의 디지털 환경은 각각의 장치들이나 기기들이 독립적으로 움직이기도 하 지만 서로 네트워크로 연결되어 있는 경우가 더 일반적이다. 네트워크는 일상생활의 수단이자 범죄의 수단이 되기도 한다. 따라서 디지털 증거를 수집하기 위해서는 네트 워크를 통해야 하는 경우도 발생한다. 웹하드, 파일공유 네트워크, 클라우드 서비스 등으로 네트워크상에 대량의 정보가 저장, 공유되기도 한다. 현재의 환경은 디지털 저장매체와 네트워크가 엄격하게 분리되는 것이 아니라 상호 밀접하게 관련을 가지면서 운용되고 있기 때문에 디지털 증거를 수집하는 데에는 이러한 기술적인 특성과 더불어 헌법상 보장되고 있는 자유와 권리를 고려하여야 한다 는 문제가 있다. 32) 네트워크 환경에서는 종래 압수 수색의 범위설정이 장소적 개념을 전제로 한 다는 점에서 문제가 발생하기도 한다. 예컨대 글로벌기업의 디지털 정보를 증거로 수 집하는 과정에서 국제재판관할을 넘어서는 법집행을 인정할 것인지 그리고 본사와 각 지사를 네트워크로 연결하는 회사의 디지털 정보를 압수할 경우 압수 수색의 장소에 서버의 소재지를 추가로 기재해야 하는지 등의 문제가 발생한다. (7) 익명성 일반 문서와는 달리 컴퓨터나 네트워크상에 있는 정보들은 작성자의 서명 등에 의한 확인이 불가능한 것이 대부분이다. 따라서 누구에 의하여 만들어진 정보인지 확 인할 수 없어 증거능력을 인정받는 데에 어려움이 따르는 경우가 많다. 예컨대 전자우 편의 경우 표면상 작성자(ID 소지자)가 실제로 해당 전자우편을 작성하여 보내지 않았 을 가능성이 있고, 특히 사용된 컴퓨터가 소유자 개인뿐만 아니라 타인에 의하여 사용 이 용이한 상태에 있는 경우에 타인이 해당 기기를 사용하여 작성한 정보이거나 타인 의 아이디를 이용하여 인터넷 게시판에 명예훼손이나 음란물을 게재한 경우 등이 그러 하다. 33) 전자서명이 되어 있거나 다른 방법으로 신원인증이 있는 경우라면 실제 작성 자, 게시자의 신원을 찾기가 용이할 것이나 그렇지 않은 경우 이는 쉬운 일이 아니다. 32) 박종근, 디지털 증거 압수 수색과 법제, 형사법의 신동향 제18호 (2009), 35. 33) 이와 관련하여 네트워크상의 익명성에서 오는 폐해와 역기능으로 인하여 우리나라에서도 인터넷 실명제 에 대한 논의가 활발히 진행되었고 그 결과 2007. 1. 26. 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 제44조의5 제1항으로 일정한 규모의 정보통신서비스제공자에게 본인확인조치의무를 부과하는 조항이 신설 되었다. 그러나 헌법재판소는 2012. 8. 23. 2010헌마47, 252(병합) 전원재판부 결정으로써 표현의 자유 를 과도하게 제한한다는 이유로 이를 위헌이라고 판단하였다. 29

다. 38) 일반 증거와 관련된 증거법의 원칙들은 주로 유체물인 증거, 사람에 의한 진술 제2장 디지털 증거 일반론 위와 같은 디지털 정보의 익명성은 증거법상 진정성의 문제로 연결된다. 34) 또 이러한 익명성의 특징 때문에 접속 정보, IP 주소 추적 등 관련 정보를 분석 할 능력이 있는 전문가의 도움이 필요하다. 이는 피고인의 적절한 방어권 행사 차원에 서도 요구되는데, 검찰 측에서 제출한 증거 파일을 받아 이를 분석할 능력이 있는 전 문가의 도움이 필요하기 때문이다. 35) 민사사건이기는 하나 미국 연방법원이 증거개시 절차에서 원고가 피고 측 컴퓨터의 삭제된 파일을 복구하기 위하여 선임한 컴퓨터 포 렌식 전문가를 중립적인 법원의 직원으로 복무하게 하여 피고 측에도 복구된 정보를 제공하도록 한 사례 36) 를 참조할 필요가 있다. 37) 2. 디지털 증거의 증거능력 인정을 위한 요건 일반적으로 디지털 증거를 증거로 사용하기 위해서는 수집 절차의 적법성이 확 보되어야 할 뿐만 아니라 무결성, 진정성, 신뢰성, 원본성 등의 문제가 해결되어야 한 증거 등을 상정하고 있다. 그런데 디지털 증거는 전술한 바와 같은 고유한 특성 때문 에 다른 증거들과 달리 형사소송상 의미 있는 증거로 사용하기 위해 해결되어야 할 문 제들이 발생하고, 이러한 문제가 해결되지 않으면 디지털 증거는 증거능력을 인정받을 수 없게 된다. 39) 즉 디지털 증거는 유체물인 증거물과는 다른 매체독립성, 취약성, 전문성 등의 특성으로 말미암아 기존의 증거에서는 생각할 수 없었던 무결성, 진정성, 신뢰성, 원 본성 등의 문제가 증거능력 인정의 선결요건으로 대두된다. 이러한 선결요건들에 대하여 학계와 실무계의 여러 연구논문들에서 공통으로 제시하고 있는 것들을 중심으로 살펴본다. 34) 박혁수(주 7), 47-48. 35) United States v. Frabizio, 341 F.Supp.2d 47 (D. Mass., 2004). 이 사건은 아동음란물을 받아 소지 한 혐의로 기소된 피고인이 검찰에 증거개시를 청구한 사안으로, 법원은 피고인이 변호인으로 하여금 언제 어떻게 해당 이미지가 그의 컴퓨터에 나타나고 접속되었는지 조사하도록 하기 위해 그의 컴퓨터에서 압수 된 이미지의 사본을 제출받을 권리가 있다고 판단하였다. 36) Simon Property Group v. mysimon Inc., 194 F.R.D. 639 (S.D.Ind., 2000). 37) 노명선(주 22), 121. 38) 김영기, 디지털 증거의 진정성립 부인과 증거능력 부여방안, 형사판례연구 제19호 (2011. 6.), 516. 39) 장상귀(주 10), 233. 30

제2절 디지털 증거의 특징 (1) 동일성 내지 무결성(진정성) 40) 디지털 증거는 다른 증거와는 달리 앞서 본 변개의 용이성 내지 취약성으로 말 미암아 최초 증거가 저장된 매체에서 법정에 제출되기까지 변경이나 훼손이 없었다는 점이 입증되어야 한다. 디지털 증거에 대한 수집 분석 보관 처리 법정제출 과정 에서 많은 사람들의 행위가 개입되는데 이 경우 각 행위 시마다 원본 데이터의 무결성 이 그대로 유지되고 있다는 절차적 보증이 필요하다. 41) 디지털 포렌식 과정에서도 자 료의 무결성을 입증하기 위해 기술적인 방법들이 사용되어야 한다. 실무상 국내 수사 기관에서는 디지털 증거의 무결성을 증명하기 위한 지침을 마련하고 다음과 같은 절차 를 시행하도록 하고 있다. 즉 1 하드디스크 등의 저장매체를 압수한 다음 피의자의 서명을 받아 봉인한다. 2 서명, 봉인과정을 비디오카메라로 녹화한다. 3 피의자가 입회한 가운데 봉인을 풀고, 통합 포렌식 프로그램인 인케이스(EnCase)를 이용하여 압수한 저장매체에 대한 이미지 파일을 생성한 후 별도의 저장장치에 이미지 파일을 저장한 다음, 이미지 파일을 이용하여 복구 등의 분석 작업을 실시한다. 4 쓰기방지 장치(Fastblock)를 압수한 저장매체에 연결한 상태에서 이미지 파일 생성 작업을 실 시하고, 이미지 파일에 대한 해쉬(Hash) 값 42) 을 계산하여 피의자로 하여금 해쉬 값이 기재된 서면에 서명 날인케 한다. 5 피의자가 공판과정에 무결성을 부정하는 경우 40) 위 용어는 미국 연방증거규칙(Federal Rules of Evidence) 제901조의 증거능력 인정 요건인 Authenticating or Identifying 에서 비롯된 용어로 생각된다. 또는 디지털 포렌식 문헌에서 사용하는 Integrity(of Evidence) 를 위와 같이 번역하기도 하는 듯하다. 그런데 위 Authentication 또는 Authenticity를 진정성 으로 번역하거 나[예를 들어 노명선(주 22), 91.], 진정 성립 으로 번역하는[예를 들어 이규호, 미국에 있어 디지털 증거의 증 거능력, 민사소송: 한국민사소송법학회지 제11권 제2호 (2007), 157.] 등으로 용어 사용에 혼란이 있어 주의가 필요하다. 이른바 일심회 사건(대법원 2007. 12. 13. 선고 2007도7257 판결)과 왕재산 사건(대법원 2013. 7. 26. 선고 2013도2511 판결)에서는 동일성, 무결성을 사실상 같은 개념으로 사용하는 듯 보인다. 무결성과 동일 성은 동전의 양면과 같다고 하면서 무결성은 디지털 증거의 압수에서 법정에 제출되기까지의 일련의 과정에 주 목한다면, 동일성은 원본과 복사본 혹은 출력물 간, 또는 같은 저장매체의 압수 수색 당시와 증거로 제출될 때 의 비교에 주목하는 개념이라고 하고, 위 두 요소를 합하여 진정성 이라 칭하자는 방안도 제시된다(이숙연 디지 털 증거를 둘러싼 형사법적 쟁점, 2014년도 법관연수 자료, 28.). 뒤에서 보는 바와 같이 진정성은 사람의 행위 가 개입된 증거의 무결성 동일성을 의미하는 것으로 통상 사용되는 듯하다. 41) 권양섭(주 18), 114; 양근원(주 13), 188. 42) 해쉬 값은 해쉬함수의 결과로 만들어진 코드이다. 무결성 입증 방법은 수학적 해쉬함수를 이용한 원본과 사본의 결과 값을 비교하는 방법이 가장 일반적이라고 하며, 해쉬함수의 특성상 입력 데이터가 한 bit라도 변경되면 다른 결과 값이 출력되므로, 쉽게 변조가 되는 디지털 데이터라도 무결성을 입증할 수 있다고 한 다. 무결성이 보장되기 위해서는 원본 디스크의 해쉬 값, 원본 디스크 이미지의 해쉬 값, 사본 디스크 이미 지의 해쉬 값, 사본 이미지의 해쉬 값이 모두 동일하여야 한다고 한다. 그 밖에 대표적 포렌식 프로그램인 EnCase 등을 이용한 증거수집, 획득, 분석 과정과 해쉬 값 검증을 이용한 무결성 확보 및 입증 방법 등 실무와 관련된 상세한 내용은 정교일, 디지털 증거의 압수와 공판정에서의 제출 방안, 형사법의 신동향 제25호 (2010. 4.) 참조. 31

제2장 디지털 증거 일반론 에는 압수한 저장장치의 해쉬 값과 이미지 파일의 해쉬 값을 비교할 수 있도록 법원에 검증을 요구한다. 라고 한다. 43) (2) 진정성 진정성은 특정한 사람의 행위 결과가 정확히 표현되었고 그로 인해 생성된 자료 인 것임이 인정되어야 한다는 것이고, 동일성 내지 무결성은 최초 증거가 생성되어 법 정에 제출되기까지 변경이나 훼손이 없었다는 것을 의미한다고 하면서, 진정성은 압수 한 디지털 증거의 수집과 보존까지를 다루는 문제이고, 무결성 내지 동일성은 디지털 증거의 수집과 보존을 포함하여 분석, 법정제출 등 전 과정에 걸친 문제로 파악되어야 한다고 보는 견해가 있다. 44) 이에 대해 디지털 증거의 경우 익명성과 대량성으로 인하여 작성자의 진정성에 문제가 제기되고 이에 대한 입증이 요구되는데, 이러한 진정성의 문제는 동일성의 문 제 또는 원본성의 문제와도 관련이 있다고 보면서 전자우편과 설계도면 파일을 주고 받은 적은 있지만 압수된 전자우편과 설계도면 파일은 자신들이 보낸 것이 아니라는 주장은 진정성을 부인하는 취지이나 자신들이 실제로 보냈던 전자우편과 설계도면 파 일이 불상의 방법으로 변경되었다는 주장으로서 동일성을 부인하는 취지이기도 하다. 그러나 이러한 측면의 동일성 요건 을 진정성 요건에 포함시켜 검토하여도 무방하다 고 본다. 진정성의 일부 부인 주장으로 볼 수도 있을 뿐만 아니라 무엇보다도 원본 데 이터, 사본 데이터, 출력물의 내용이 완전히 일치해야 한다는 원래 의미의 동일성 요 건과 혼동될 가능성이 있기 때문이다. 45) 라고 하여 진정성 요건을 동일성 요건과 결 부된 문제로 보는 견해도 있다. 이는 외국의 법령, 판례 및 문헌의 번역에서 오는 혼란에서 초래되었다고 보인 다. 생각건대 진정성 문제는 사람의 행위가 개입된 증거에 관한 동일성 무결성의 문 제로서 그에 포함되어 논의될 성질의 것이며, 우리 형사소송법에서 전문증거 예외를 인정하기 위한 요건인 성립의 진정 인정 문제(형사소송법 제312, 313조)와 사실상 같 거나 유사하여 혼동을 초래할 수 있으므로, 동일성 무결성의 문제와 분리된 진정성 43) 김영기(주 38), 516-517; 최성필(주 28), 90; 하기봉(주 17), 89. 보다 상세한 내용은 디지털 증거 수집 및 분석 규정 <대검예규 616호 2012. 11. 6. 개정> 참조. 44) 양근원(주 23), 217. 45) 박혁수(주 7), 77(각주147). 참고로 이 글에서는 진정성을 Authenticity, 무결성은 Integrity로 구분하여 표기하고 있다. 32

다. 47) 디지털 증거를 분석하는 인력도 일정한 수준의 전문적인 지식을 갖추어야 하는 제2절 디지털 증거의 특징 의 개념을 별도로 인정하여 검토할 실익은 적다고 보인다. 대법원도 대법원 2007. 12. 13. 선고 2007도7257 판결 (소위 일심회 사건)이나 대법원 2013. 7. 26. 선고 2013도2511 판결 (소위 왕재산 사건)에서 각각 문제가 된 디지털 증거의 증거능력 인정 여부를 검토하면서 이를 무결성 동일성 인정 여부 문제 와 전문법칙의 적용 여부 문제로 나누어 검토하고 있을 뿐 이와 별도로 디지털 증거에 특유한 증거능력 인정 요건으로서 진정성이 확보되었는가를 검토하고 있지는 않다. (3) 신뢰성 디지털 증거는 위와 같이 변조가 용이하고 의도적, 비의도적 조작에 취약하므로 그 신뢰성이 보장되어야 할 필요가 있다. 신뢰성을 인정하기 위해서는 절차적으로 보 관의 연속성 을 보장하는 방법이 사용되어야 하고, 이와 관련하여 디지털 포렌식 전문 가의 신뢰성과 디지털 포렌식 도구와 방법의 신뢰성이 요구된다. 위 일심회 사건, 왕 재산 사건에서 대법원은 디지털 증거의 동일성 무결성을 인정하기 위해서는 정보저 장매체 원본과 하드카피, 이미징 46) 한 매체 사이에 자료의 동일성과 아울러 이를 확 인하는 과정에서 이용한 컴퓨터의 기계적 정확성, 프로그램의 신뢰성, 입력 처리 출력의 각 단계에서 조작자의 전문적인 기술능력과 정확성이 담보되어야 한다고 설시 하고 있다. 현재 우리나라의 수사기관은 통합 포렌식 프로그램으로 미국에서 신뢰성이 입 증된 EnCase 를 사용하고 있는 것으로 보인다. EnCase의 주요기능은 증거자료의 무 결성 보장, 유연한 이미지 추출 방법 제공, 정확한 시간대 추적, 삭제된 파일, 폴더 및 비할당 클러스터 영역 검색 및 복구, 컴퓨터 포렌식 결과 보고서 작성 등이라고 한 데, 현재 검찰에서는 대검찰청 및 각 고등검찰청 또는 지방검찰청에 별도의 기구로 교 육훈련 등 일정한 자격을 갖춘 디지털 포렌식 수사관으로 구성된 전담 팀을 설치하여 수사 일선에서 지원 요청을 받아 압수 수색, 분석, 현출, 기술적 자문, 법정 증언에 46) 하드카피 란 특수장비(디스크 이미징 장비)를 이용하여 하드디스크를 물리적으로 그대로 복사하는 방법이 고, 이미징 이란 소프트웨어를 이용하여 대상 하드디스크 전체를 하나의 파일 형태로 복사하는 방법을 말 한다. 서울중앙지방법원 형사부, 디지털 증거 조사방법 모델(안) (2012. 12. 12.), 2-3(각주5). 47) 최성필(주 28), 91. 33

제2장 디지털 증거 일반론 이르기까지 디지털 증거의 수집 및 분석과 관련된 수사 및 공소유지 업무의 전 과정에 참여하도록 하고 있는 것으로 보인다. 48) (4) 원본성 디지털 증거의 경우 원본과 사본을 구별하기 힘들고, 미국에서 이른바 최량증 거의 원칙(Best Evidence Rule) 으로 원칙적으로 원본에 의한 입증을 요구한 데에 따 라 그 원본성 문제가 논의되고 있는 듯 보인다. 그런데 미국 연방증거규칙 49) 제1001 조 제3호에서는 데이터가 컴퓨터 또는 동종의 기억장치에 축적되어 있는 경우에 가 시성을 가지도록 출력된 인쇄물 또는 산출물로서 데이터의 내용을 정확히 반영하고 있 다고 인정되는 것은 원본으로 본다. 50) 라고 규정하고 있어 디지털 증거를 출력한 문 건의 원본성을 입법적으로 인정하고 있다. 디지털 증거는 일반적 증거와 달리 유체물이 아닌 정보 그 자체를 의미하는 것 으로 매체독립적이고 원본과 사본의 구분이 곤란한 특성을 지닌다. 디지털 증거는 원 본의 완벽한 복제가 가능하기 때문에 특별한 사정이 없는 한 원본 데이터와 사본 데이 터가 정확히 일치하고, 그 출력물도 완벽히 데이터와 등가를 이룬다. 51) 우리의 경우에 도 2007년 개정 형사소송규칙이 제134조의7로 컴퓨터용 디스크 등에 기억된 문자정 보 등에 대한 증거조사 방법에 관한 규정을 신설함으로써 기존에 문제되었던 저장매체 에서 출력된 문건의 원본성 문제를 입법적으로 해결하였다고 보이나, 원 저장매체에 있는 데이터를 다른 저장매체에 복사 또는 이전하는 방법으로 디지털 증거를 수집하는 경우 그 다른 저장매체를 원본으로 인정할 수 있는지의 문제에 대하여 우리 형사소송 법이나 형사소송규칙은 아무런 언급을 하고 있지 않으며, 이로 인하여 증거법의 일반 원칙상 복사된 디지털 증거의 원본 문제는 여전히 논란이 될 수 있다고 보는 견해도 있다. 52) 48) 디지털 증거 수집 및 분석 규정 <대검예규 616호 2012. 11. 6. 개정>. 49) Federal Rules of Evidence, 미국 연방법원에 적용되는 성문법으로 연방증거법 혹은 연방증거규칙으로 번역된다. 50) If data are stored in a computer or similar device, any printout or other output readable by sight, shown to reflect the data accurately, is an original. 51) 박혁수(주 7), 77. 52) 최성필(주 28), 93. 34

제2절 디지털 증거의 특징 3. 디지털 증거에 특유한 증거능력 요건에 관한 판례의 입장 디지털 증거에 특유한 증거능력에 대하여 언급하고 있는 대표적 판례들은 일심 회 사건 (대법원 2007. 12. 13. 선고 2007도7257 판결), 왕재산 사건 (대법원 2013. 7. 26. 선고 2013도2511 판결)이다. 그 판시 내용에 나타난 디지털 증거의 증거능력을 부여하기 위한 요건을 정리해 보면 다음과 같다. (1) 동일성 내지 무결성의 요구 대법원은 2007. 12. 13. 선고 2007도7257 판결(일명 일심회 사건 )의 이유에 서 압수물인 디지털 저장매체로부터 출력한 문건을 증거로 사용하기 위해서는 디지털 저장매체 원본에 저장된 내용과 출력한 문건의 동일성이 인정되어야 할 것인데, 그 동 일성을 인정하기 위해서는 디지털 저장매체 원본이 압수된 이후 문건 출력에 이르기까 지 변경되지 않았음이 담보되어야 하고, 특히 디지털 저장매체 원본에 변화가 일어나 는 것을 방지하기 위해 디지털 저장매체 원본을 대신하여 디지털 저장매체에 저장된 자료를 하드카피 이미징 한 매체로부터 문건이 출력된 경우에는 디지털 저장매체 원본과 하드카피 이미징 한 매체 사이에 자료의 동일성도 인정되어야 한다. 라고 판 시함으로써 디지털 증거의 동일성을 디지털 증거의 증거능력을 부여하기 위한 요건으 로 꼽고 있다. 대법원은 2013. 7. 26. 선고 2013도2511 판결(일명 왕재산 사건 )에서도 압 수물인 컴퓨터용 디스크 그 밖에 이와 비슷한 정보저장매체에 입력하여 기억된 문자정 보 또는 그 출력물을 증거로 사용하기 위해서는 정보저장매체 원본에 저장된 내용과 출력 물건의 동일성이 인정되어야 하고, 이를 위해서는 정보저장매체 원본이 압수 시 부터 문건 출력 시까지 변경되지 않았다는 사정, 즉 무결성이 담보되어야 한다. 라고 하여 동일한 입장을 취하고 있고, 동일성 을 담보하기 위한 요건으로 무결성 이라는 용어를 사용하였다. 양자는 사실상 표리( 表 裏 )의 관계에 있다고 보인다. (2) 신뢰성의 요구 위 대법원 판결들은 법원에 제출된 디지털 증거의 증거능력을 인정받기 위한 요 건으로서 동일성 내지 무결성을 요구하고 이를 담보하기 위한 조건으로 다시 디지털 35

제2장 디지털 증거 일반론 포렌식 전문가의 신뢰성과 디지털 포렌식 도구와 방법의 신뢰성을 요구하고 있다. 53) 즉 일심회 사건에서 대법원은 디지털 증거를 확보하고 분석하여 그 내용을 확인 하는 과정에서 수사관 등 관여자들의 전문성과 아울러 컴퓨터와 관련 프로그램 등 도 구의 신뢰성도 확보되어야 함을 원론적으로 확인하였고 이와 같은 판시는 왕재산 사건 의 판결에서도 그대로 이어지고 있다. 그러나 디지털 포렌식 도구의 신뢰성과 관련하여 재판과정에서 프로그램 등의 신뢰성 자체가 본격적으로 문제가 된 사례는 아직까지 없는 것으로 보이고, 관여자들 이 신뢰성을 인정받기 위해 갖추어야 할 전문성, 기술적 능력의 정도에 관해 본격적으 로 판단한 사례도 보이지 않는다. 54) (3) 원본성의 요구 종래 우리나라에서 디지털 증거의 출력물을 원본으로 인정할 수 있는지에 대하 여 여러 학설이 나뉘어 있었으나, 우리 형사소송법은 미국과 같이 최량증거원칙을 채 택하고 있지 않으므로 디지털 증거의 원본성에 대하여 다툴 실익은 그다지 많지 않다 고 본다. 55) 더구나 형사소송규칙은 제134조의7로 디지털 증거 중 문자정보에 관하여 이를 증거자료로 하는 경우에는 읽을 수 있도록 출력하여 인증한 등본을 낼 수 있다는 내용을 신설하였는바, 그 논의의 실익은 더욱 감소하였다고 할 것이다. 일심회 사건 및 왕재산 사건 판시 내용에서도 알 수 있듯이 대법원도 디지털 증 거의 원본성 문제를 무결성 동일성의 문제와 분리하여 별도로 고찰하고 있지는 않은 것으로 보인다. 53) 특히 디지털 저장매체 원본을 대신하여 저장매체에 저장된 자료를 하드카피 또는 이미징 한 매체로부 터 출력한 문건의 경우에는 디지털 저장매체 원본과 하드카피 또는 이미징 한 매체 사이에 자료의 동일 성 도 인정되어야 할 뿐만 아니라, 이를 확인하는 과정에서 이용한 컴퓨터의 기계적 정확성, 프로그램의 신 뢰성, 입력 처리 출력의 각 단계에서 조작자의 전문적인 기술능력과 정확성이 담보되어야 한다. (위 일 심회 사건 판결) 54) 장상귀(주 10), 235-236; 최성필(주 28), 91. 위 일심회 사건에서 대법원은 우리나라 수사기관에서 이미 징 작업에 이용하는 EnCase 프로그램을 세계적으로 인정받는 프로그램 이라고만 하고 있다. 위 사건의 제1심[서울중앙지방법원 2007. 4. 16. 선고 2006고합1365, 1363, 1364, 1366, 1367(각 병합) 판결]에 서도 EnCase 프로그램이 전 세계적으로 많이 사용되고 있다 는 점만을 언급하고 있다. 위 제1심판결에서 는 위 프로그램을 이용한 검증 절차가 적절한 방법으로 진행된 점 등을 들어 컴퓨터의 기계적 정확성, 프로 그램의 신뢰성, 입력, 처리, 출력 각 단계에서의 정확성, 조작자의 전문적 기술능력 등 요건이 구비되었다 고 설시하였다. 55) 장상귀(주 10), 237. 36

제2절 디지털 증거의 특징 4. 디지털 증거의 종류 디지털 증거의 종류에 대하여 논자에 따라 다양한 기준이 사용되고 있다. 1) 먼저 디지털 증거의 존재형식에 따라서 (ⅰ) 휘발성 증거, (ⅱ) 매체에 저장 된 증거, (ⅲ) 전송 중인 증거로 나누는 방법이 있다. 휘발성 증거는 저장매체에 고정 되어 있는 것이 아니라 특정한 프로그램이 실행될 때에만 임시로 저장되어 있다가 프 로그램이 종료되거나 하드웨어 장치의 전원이 꺼지면 사라지는 데이터를 말하고, 수집 된 이후 동일한 상태를 지속적으로 유지할 수 없다는 문제가 있다고 한다. 매체에 저 장된 증거는 하드디스크, 자기테이프, CD-ROM, 플래시 메모리 등에 저장된 것으로 서 영구적이지는 않으나 인위적 손상을 가하지 않는 한 저장된 상태를 지속적으로 유 지하는 특성이 있고, 응용소프트웨어에 따라 저장형식(file format)이 다르다. 데이터 파일에는 사람의 의지에 의한 작업의 결과로 저장되는 것과 서버의 로그처럼 시스템 설정에 따라 자동화된 방식에 의해 저장되는 것이 있다. 저장된 데이터를 사람이 인지 할 수 있는 형태로 제시하기 위해서는 나름대로 데이터를 해석해서 표현해 주는 과정 이 필요하게 되고, 이 때문에 저장된 원본데이터와 가시성 가독성 있는 형태로 산출 된 데이터 사이에 동일성을 증명하는 문제가 제기될 수 있으며, 현출에 사용된 소프트 웨어의 성능에 대한 신뢰성 문제도 제기될 수 있다. 전송 중인 증거는 데이터 통신망 을 통하여 전송규약(Protocol)에 따른 자료를 덧붙여 회선 상으로 전송되는 것으로, 패킷 단위로 전송되어 목적지에 도착하면 부가적으로 첨부된 자료들이 제거되어 목적 지의 기기에서 처리할 수 있게 된다고 한다. 56) 2) 증거수집 방법 및 절차에 영향을 미치는 디지털 정보의 휘발성 정도에 따라 유형을 구분하여 (ⅰ) 휘발성 정보, (ⅱ) 준휘발성 정보, (ⅲ) 비휘발성 정보로 나누기도 한다. 휘발성 정보는 네트워크 장비 및 유무선 통신 매체를 통해 전송 중인 통신 정보 (웹 서버의 IP 주소, 통신규약 등), 컴퓨터의 주기억 장치로 사용되는 RAM(Random Access Memory) 메모리 등을 예로 들 수 있고 휘발성의 정도가 높아 증거 수집 단계 에서 높은 우선순위를 차지하게 되며 수사관에서 의하여 파일형태로 별도 저장되거나 사진촬영 등의 방법으로 수집된다고 한다. 준휘발성 정보는 휘발성 메모리에 저장되어 있지는 않지만 운영체제가 계속 작동되거나 종료되면 사라지는 정보를 의미하고, 임시 파일(Temp File), 57) 메모리의 정보를 임시로 저장하는 스왑파일(Swap File), 프린터 56) 양근원, 앞의 글, 183-185. 37

한다. 59) 3) 디지털 증거의 증거로서의 의미에 따라 (ⅰ) 디지털 증거의 존재 자체가 유 제2장 디지털 증거 일반론 전송 정보를 기록한 스풀파일(Spool File), 웹 접속기록 및 웹페이지 임시 저장 파일 (Temporary Internet File), 윈도우즈 시스템의 설정 상태 및 운영 현황을 기록하는 레지스트리 파일(Registry File), 시스템, 네트워크 장비, 정보보호 장비, 프로그램, 서 비스의 작동 내역을 기록하는 로그파일(Log File) 등이 이에 속하며, 정상적인 방법으 로 파일 복사 또는 이동을 할 수 없는 특징이 있다고 한다. 비휘발성 정보는 컴퓨터에 전원이 차단되거나 정상 종료되더라도 계속 유지되는 정보를 말하고, 대부분 하드디스 크 또는 플래시 메모리 등에 존재하기 때문에 매체에 저장된 증거라고 할 수 있으며, 파 일 삭제 후 복구하는 작업이 가능하다고 한다. 따라서 휘발성 정보의 경우 신속한 수집 이 관건이고, 비휘발성 정보의 경우 정확한 수집이 관건이다. 58) 그런데 대부분은 저장 매체의 종류에 따라 휘발성 정도가 결정되지만, 비휘발성 저장매체에 저장되어 있더라 도 운영체제 및 소프트웨어의 운영에 따라 휘발성을 가지게 되는 정보들이 존재하기도 죄의 증거인 경우, (ⅱ) 디지털 증거의 내용이 유죄의 증거인 경우로 나눌 수도 있 다. 60) 전자의 경우 저작권법 위반죄에서의 정품이 아닌 컴퓨터프로그램, 성폭력범죄 의처벌등에관한특례법 위반죄에서 피해자의 승낙 없이 촬영한 사진 파일, 협박 내용의 전자우편, 위조된 전자문서, 국가보안법상 이적표현물소지죄에서 이적표현의 전자문서 파일, 부정경쟁방지및영업비밀보호에관한법률 위반죄에서 영업비밀이 담긴 전자문서 파일, 인터넷 접속기록 등 컴퓨터에 의해 생성된 기록 등을 예로 들면서 전문법칙이 적용되지 않는다고 하고, 후자의 경우에는 피고인이 자신의 범죄사실을 일기 형식으로 작성하여 놓은 파일이 압수된 경우를 예로 들면서 전문법칙이 적용되어 성립의 진정이 인정된 경우에 한하여 증거능력이 부여될 수 있다는 점을 구분의 실익으로 삼는다. 61) 4) 미국에서는 정보의 생성과정이 사람에 의하여 주로 이루어진 것인지 또는 컴 퓨터에 의하여 이루어진 것인지에 따라 (ⅰ) 컴퓨터에 저장된 증거(Computer stored 57) 새로운 파일이 만들어지는 동안 임시로 정보를 저장하기 위해 만들어진 파일이다. 프로그램이 충분한 메모 리를 할당할 수 없을 때나 전송 중인 통신의 초기 형태 등 다양한 목적으로 생성된다. 위키피디아, Temporary file. <http://en.wikipedia.org/wiki/temporary_file>, (2015. 4. 27. 최종 확인). 58) 탁희성 이상진(주 5), 39-44. 59) 탁희성 이상진(주 5), 40. 60) 이숙연(주 9), 259. 61) 이숙연(주 9), 259-260. 다만 전자의 경우에도 해당 파일의 존재만으로는 다른 사람이 아닌 피고인이 범 죄행위를 하였다는 점이 바로 입증되지는 않으므로, 이를 입증하기 위해서는 별도의 증거가 필요할 것이라 고 한다. 38

제2절 디지털 증거의 특징 Evidence)와 (ⅱ) 컴퓨터로 생성된 증거(Computer generated Evidence)로 나누는 것이 일반적이라고 한다. 전자의 경우 전문증거와 관련된 논의가 있을 수 있으나 후자 의 경우 전문법칙의 적용이 없다는 점에서 분류의 실익이 있다고 한다. 62) 위와 같이 디지털 증거를 구분하는 방식은 증거 수집과정에서의 증거가치의 보 존이나 전문법칙 등 증거능력에 관한 규정 적용을 염두에 두고 구분한 경우가 많은데, 사실상 전문법칙이 적용되느냐의 여부는 각각의 디지털 증거가 어떻게 생성되었느냐 에 따라 구분되는 것이 아니라 수집된 증거가 진술증거인지 아니면 비진술증거인지 혹 은 진술증거라 할지라도 전문증거인지 원본증거(비전문증거)인지에 따라 구분해야 할 것이고, 63) 이는 기본적으로 디지털 증거라고 하여 다른 증거들과 달리 보아야 할 점 이라고 할 수는 없다. 62) 최지석, 미국 증거법상 디지털 증거의 증거능력, 국외훈련검사 연구논문집 제26집 (2011), 252. 63) 양근원(주 13), 184. 39

제3장 디지털 증거와 포렌식 64) 64) 이 부분은 정교일 작성 2014년 사법정책 연구원 자문자료의 내용을 편집 수정하 여 작성하였음을 밝혀 둔다.

제2절 디지털 증거의 압수와 포렌식 절차 제1절 개관 법정에 제출되는 디지털 증거의 유형과 기본적인 기술구조 및 포렌식에 대한 이 해는 디지털 증거의 증거능력 판단의 기초가 된다. 이 부분에서는 디지털 포렌식의 개념과 기본원칙을 알아보고 또 증거물 획득 단 계(압수, 수색)와 증거물 분석 단계를 나누어 포렌식의 도구 및 방법에 관하여 고찰한 다. 특히 디지털 증거분석과 관련해서는 디지털 증거의 종류와 범죄의 유형에 따라 사용되는 여러 가지 증거분석 기법에 관하여 상세히 검토한다. 제2절 디지털 증거의 압수와 포렌식 절차 I. 디지털 포렌식 1. 디지털 포렌식의 개념 및 필요성 65) 포렌식은 법 문제에 대한 과학의 적용 으로 정의된다. 66) 이는 증거를 수집, 보 존, 처리하는 과정에서 법정에서 증거로 사용하기 위해 과학적, 기술적 기법을 사용하 여 증거가치가 상실되지 않도록 하는 일련의 절차 내지 과정을 일컫는 말이다. 그런데 최근 들어 컴퓨터가 일상생활에 밀접하게 사용되면서 컴퓨터에 저장된 자료가 법정에 서 다루어지는 경우가 많이 발생하여 이와 관련된 분야를 컴퓨터 포렌식이라 부르게 되었다. 초기 컴퓨터 포렌식은 법집행기관에서 컴퓨터 기기를 중심으로 압수 수색하는 문제와 압수된 기기로부터 잠재적 증거를 발견하는 것에 중점을 두고 연구되기 시작하 65) 상세한 내용은 탁희성 이상진(주 5), 44-48 참조. 66) Larry E. Daniel Lars E. Daniel(주 1), 3. 43

제3장 디지털 증거와 포렌식 였는데, 이러한 연구 경향은 점차 디지털 증거 자체에 주목하게 되었고, 이를 연구하 는 학문 분야도 컴퓨터 포렌식 이라는 용어를 대신하여 디지털 포렌식 으로 변화되어 갔다. 디지털 포렌식이라는 용어는 2001년 8월 미국 대학교 연구진들과 컴퓨터 포렌 식 전문가들이 워크숍을 개최하면서 정식으로 사용되기 시작하였다고 한다. 디지털 포 렌식의 분야는 크게 증거의 수집(Acquisition), 보존(Preservation), 분석(Analysis), 제출(Presentation)의 4가지 영역을 포함한다. 67) 2. 기본원칙 68) 디지털 증거가 효력을 갖기 위해서는 몇 가지 특성을 유지하여야 한다. 먼저, 어떠한 경우에도 디지털 증거의 내용은 변경되지 않아야 한다. 즉, 디지 털 증거 원본은 절대적으로 보존되어야 한다. 따라서 수집 분석 등 증거분석 절차에 서 발생 가능한 변경을 방지하고 원본 사용을 통제하는 한편, 무결성(Integrity)을 증 명하는 조치가 병행되어야 한다. 이를 위해 디지털 증거를 운반할 때 반드시 봉인해야 하고, 분석을 할 때에도 원본을 복제한 후 원본은 보존하고 복사본을 가지고 분석 작 업을 수행하는 것이 일반적이다. 예외적으로 원본 매체에서 자료를 추출할 필요가 있 는 경우 책임 있는 전문가를 통해 작업을 수행하고, 그 과정과 절차를 반드시 기록으 로 남겨야 한다. 또한 디지털 증거를 수집하고 분석하는 과정에서는 일시적인 현상이 발생하는 경우가 다반사이므로, 이에 대한 사후 검증을 위해 명확한 문서화 작업이 필 요하다. 나아가 디지털 증거에 대하여 분석결과보고서 등 체계적인 보고서를 작성하여 분석과정과 결과를 사후에 입증할 수 있게 해야 한다. 이러한 원칙은 디지털 포렌식 전 과정에서 고려되고 적용되어야 한다. 즉, 원본 에 대한 훼손이 없어야 하고, 그 증거의 신뢰도를 보장하여야 하며, 법정에서 진정성 을 제공할 수 있어야 한다. 디지털 증거가 법적 효력을 지니기 위한 요건을 충족하기 위하여 디지털 포렌식 실무에서 요구되는 원칙을 상술하면 다음과 같다. (1) 정당성의 원칙 67) Larry E. Daniel Lars E. Daniel(주 1), 11. 68) 정교일(주 42), 123-126. 44

제2절 디지털 증거의 압수와 포렌식 절차 가장 기본적인 원칙으로 입수한 증거자료는 적법절차를 거쳐 얻어져야 한다는 원칙이다. 이는 위법절차를 통해 수집된 증거의 증거능력을 부정하는 위법수집증거 배 제법칙에 따르는 것이다. 예를 들어 불법 해킹을 통하여 수집한 파일은 증거능력이 없 다. 이른바 독수의 과실 이론은 위법하게 수집된 증거에서 얻은 2차적 증거도 증거능 력이 없다는 것이며, 불법 해킹을 통하여 얻어진 패스워드를 통하여 파일을 해독했을 경우에도 복호화된 파일은 증거능력이 없음을 뜻한다. (2) 재현의 원칙 디지털 데이터를 처리하는 데 있어서 같은 조건에서 수행한 결과는 항상 같은 결과가 나와야 함을 뜻한다. 이는 다양한 증거 분석 도구를 사용하더라도 동일한 대상 시스템을 조사하였을 경우 같은 결과가 도출되어야 한다는 것이다. (3) 신속성의 원칙 디지털 포렌식에 의한 수사의 전 과정이 불필요한 지체 없이 신속하게 진행되어 야 함을 뜻한다. 수사 진행상 신속한 대응 여부에 따라 디지털 증거의 획득 여부가 결 정되는 경우가 있다. 예를 들어 압수 수색 현장의 컴퓨터에 전원이 켜져 있는 경우 컴퓨터 내 휘발성 정보 등을 우선적으로 수집하도록 수사가 진행되어야 할 것이다. (4) 절차의 연속성(Chain of Custody) 원칙 디지털 포렌식은 일반적으로 아래 그림과 같은 절차로 이루어지는데, 증거물 획득 이송 보관 분석 법정 제출 등으로 이어지는 각 단계에서 담당자 및 책임 자를 명확히 해야 함을 의미한다. 즉 수집된 하드디스크가 이송 단계에서 물리적 손상 이 있었다면 이송 담당자는 이를 확인하고 해당 내용을 인수인계하여 이후 과정에서 복구 및 보고서 작성 등 적절한 조치를 취할 수 있게 하여야 한다. 디지털 증거 원본 을 획득한 이후의 모든 과정을 상세하게 기록해야 하며, 입회자를 확보하여 신뢰성을 확보한다. 이는 보관의 연속성 이라고도 한다. 45

제3장 디지털 증거와 포렌식 <디지털 포렌식 5단계 절차> (5) 무결성의 원칙 앞서 본 바와 같이 디지털 정보의 특성상 위 변조가 용이하고 의도하지 않게 변경되는 경우가 발생하므로, 수집한 증거가 변경되지 않았음을 담보하는 것이 무결성 의 원칙이다. 디지털 포렌식 분야에서는 수학적 해쉬 함수를 이용하여 원본과 분석된 복사본의 결과 값이 동일함을 증명한다. 즉 수집 당시 하드디스크의 해쉬 값과 법정 제출 당시 하드디스크의 해쉬 값이 같다면 해쉬 함수의 특성에 따라 무결성이 입증된 다. 3. 대검찰청의 디지털 증거 수집 및 분석 관련 규정 다음은 현재 사실상 우리나라의 수사실무의 지침이 되고 있는 대검찰청의 디지 털 증거 수집 및 분석 규정 대검예규 616호 2012. 11. 6. 개정 중 디지털 증거의 압수 수색 검증에 관한 부분이다. <디지털 증거의 압수ㆍ수색ㆍ검증> 제12조 (과잉금지원칙 준수) 디지털 증거를 압수ㆍ수색ㆍ검증할 때에는 수사에 필요한 최소한의 범위에서 실 시하여야 하고, 모든 과정에서 적법절차를 엄격히 준수하여야 한다. 제13조 (디지털 포렌식 수사관에 의한 압수ㆍ수색ㆍ검증) 디지털 증거의 압수ㆍ수색ㆍ검증은 디지털 포렌식 수사관 또는 대검찰청에서 실 시한 디지털 증거 압수ㆍ수색 실무교육을 받은 수사관이 하여야 한다. 다만, 긴급 46

제2절 디지털 증거의 압수와 포렌식 절차 을 요하는 등 부득이한 사유가 있는 경우에는 다른 수사관이 이를 대신할 수 있으 며, 이 경우 디지털수사담당관등에게 그 사실을 통보하고 협조를 구해야 한다. 제14조 (사전준비) 1 디지털수사담당관등은 제9조 제1항의 지원을 할 경우에는 정보저장매체등의 유형과 규모 등을 고려하여 적정한 인원의 디지털 포렌식 수사관을 지정하여 지원 한다. 2 제1항의 지정을 받은 디지털 포렌식 수사관은 정보저장매체등을 압수ㆍ수색 ㆍ검증할 경우 사전에 사건의 개요, 압수ㆍ수색 장소 및 대상, 정보저장매체등의 유형과 규모 등 필요한 사항을 고려하여 준비하여야 한다. 제15조 (정보저장매체등의 압수 수색 검증) 1 압수의 목적물이 정보저장매체등인 경우에는 기억된 정보의 범위를 정하여 출력하거나 복제하여 압수하여야 한다. 다만, 범위를 정하여 출력 또는 복제하는 방법이 불가능하거나 압수의 목적을 달성하기에 현저히 곤란하다고 인정되는 때 또는 압수ㆍ수색 대상자 또는 책임자 등(이하 책임자등 이라고 한다)의 동의가 있 는 때에는 정보저장매체등을 압수할 수 있다. 2 압수ㆍ수색의 대상인 정보저장매체와 정보통신망으로 연결되어 있고 압수ㆍ 수색의 대상이 되는 디지털 증거를 저장하고 있다고 인정되는 다른 정보저장매체 에 대하여 압수ㆍ수색 대상인 정보저장매체를 통하여 접속한 후 수색을 할 수 있 다. 이 경우 압수ㆍ수색ㆍ검증 대상 정보저장매체가 정보통신망에 연결되어 있고, 압수ㆍ수색대상자가 정보통신망으로 접속하여 기억된 정보를 임의로 삭제할 우려 가 있을 경우에는 정보통신망 연결 케이블을 차단할 수 있다. 3 제1항 본문의 압수 수색을 행하는 경우에는 책임자등을 참여시키고, 압수ㆍ 수색한 디지털 증거에 대하여 해쉬 값(Hash Value)을 생성하여, 책임자등의 확인 ㆍ서명을 받아야 한다. 이 경우 다음 각 호의 내용이 포함된 확인서를 작성하여 책 임자등의 확인ㆍ서명을 받아야 한다. 다만, 확인서는 사용된 디지털 포렌식 도구에 의해 자동 생성된 자료로 갈음할 수 있다. 1. 확인서 작성일시 및 장소 2. 정보저장매체등의 종류 및 사용자 3. 해쉬 값 4. 확인자의 인적사항 및 연락처, 확인자와 피압수자와의 관계 47

제3장 디지털 증거와 포렌식 5. 기타 진정성ㆍ무결성ㆍ신뢰성을 확인하는데 필요한 사항 4 제1항 단서의 정보저장매체등의 압수ㆍ수색을 행하는 경우에는 별지 제1호 서식의 압수물 확인지를 작성한 다음, 압수대상 정보저장매체등에 부착하여 책임 자등의 확인ㆍ서명을 받고, 별지 제2호 서식의 압수물 봉인지를 이용하여 봉인한 후, 위 책임자등으로부터 확인ㆍ서명을 받아야 한다. 다만, 긴급을 요하는 등 부득 이한 경우에는 다른 형식으로 봉인한 후 확인ㆍ서명을 받을 수 있다. 5 정보저장매체의 책임자등에게 디지털 증거의 출력, 복제, 정보저장매체의 작 동, 정보통신망으로 연결되어 있는 다른 정보저장매체의 접속, 기타 필요한 협력을 요구할 수 있다. 제16조 (정보저장매체등의 운반) 정보저장매체등을 운반할 경우에는 정전기차단, 충격방지 등의 조치를 취하여 그 매체가 파손되거나 기억된 정보가 손상되지 않도록 주의하여야 한다. 제17조 (복귀 및 보고) 제14조 제1항의 지정을 받은 디지털 포렌식 수사관이 출장하여 지원하는 경우 에는 지원이 종료되면 디지털수사담당관등에게 보고하고, 지체 없이 복귀하여야 한다. II. 디지털 증거 압수 대상 선정 과정 영장에 의한 디지털 증거물 압수 및 수색은 어느 기기와 파일을 압수할 것인지 를 영장의 내용에 의하여 정하게 된다. 그 단계는 다음과 같다. 1) 압수 수색 대상 기기 식별: 주요 압수 수색 대상 디지털 기기를 식별하여 압수의 필요성 여부를 결정함. 2) 물리적 저장장치의 이미지 사본 작성, 현장 데이터 추출 등 압수 방법을 결 정함. 3) 시스템 구성도 시스템 현황과 실제 시스템이 일치하는지 확인함. 일반 범죄에 디지털 정보기기가 관련되어 있는 경우 해당 기기에서 혐의에 대한 단서 또는 직접적인 증거를 확보하거나, 정황을 좀 더 구체화하기 위한 보조자료 등을 얻을 수도 있다. 보편적으로 얻을 수 있는 정보는 대략 언제, 어떤 프로그램이 수행되 48

제2절 디지털 증거의 압수와 포렌식 절차 었는지에 관한 정보와 문서를 작성한 경우 그 파일내용 등이다. 또한 인터넷을 통하여 웹사이트를 방문한 경우에는 방문한 웹사이트 주소, 접속 시간 등과 같이 의외로 많은 정보를 얻을 수도 있다. 그러나 시스템 상태에 따라 특정 자료의 수집에 실패할 수도 있으므로 이를 고려하여야 한다. 공갈, 사기(위조), 협박, 횡령, 명예훼손 등 같은 종 류의 범죄에서 정보기기가 이용된 경우 수사는 비교적 간단하게 이루어질 수 있다. 인 터넷을 이용하여 게시판에 글을 올리거나 또는 전자우편을 이용하여 협박편지를 보낸 경우에는 경유된 서버에서 로그 자료를 확보하고 피의자가 최종적으로 사용했을 것으 로 추정되는 컴퓨터에서 인터넷 접속 및 사용기록 또는 메일 발송 로그, 원본 파일 등 을 찾는다. 물론 이러한 과정에서 압수 수색에 필요한 제반 절차는 지켜져야 하며 그 렇지 아니한 경우에는 획득한 증거물이 증거능력을 상실할 수도 있다. 좀 더 기술적인 범죄를 예로 들면 컴퓨터 해킹 및 바이러스 유포 등과 같은 컴퓨터 범죄에 대해 증거 를 획득 및 분석하는 것이다. 이론적으로 해킹 피해 시스템에서 획득된 자료는 해킹에 의해 조작되어 있을 수 있으므로 증거물로 채택되기 어려운 측면이 있지만, 디지털 포 렌식 방법과 절차를 따르면 최소한 해킹 및 바이러스에 의한 피해 상황을 정확하게 보 존할 수 있으며, 경우에 따라서는 해킹 방법 및 경로 등을 추적할 수 있는 단서 등도 발견할 수 있다. 또한 사이버테러 등과 같은 고도의 지능범죄도 디지털 포렌식 분야에 서 다룰 수 있지만 정보은닉(Steganography 69) ) 등과 같이 복잡한 기술 문제들이 있 다. 디지털 기기에 내장되어 있는 자료를 획득하는 방법은 아래 <표>와 같이 기기의 화면을 촬영하거나, 응용 프로그램 이용, 디버거(debugger) 70) 이용, 포렌식 도구, 저 장장치 탈착 등의 접근 방법이 있을 수 있다. 가장 원시적인 방법으로는 기기의 화면에 나타난 자료를 촬영하거나 갈무리 (capture)하는 것이다. 이 방법은 손쉬운 방법이나 그 내용이 많으면 현실성이 없으 며, 조작에 의해서 증거가 훼손될 수 있으므로 주의해야 한다. 각각의 접근 방법은 해 당 기기의 특성에 따라서 그 활용성이 다르게 나타날 뿐만 아니라, 원본 훼손의 위험 성이 있는 경우에는 각별한 주의가 필요하다. 69) 전달하려는 정보를 이미지, 오디오 등 파일에 다른 사람이 감지할 수 없도록 숨겨 상대방에게 전달하는 기 술이다. 저작권 기술 용어사전, 스테가노그래피(Steganography), 네이버지식백과, <http://terms.nave r.com/entry.nhn?docid=2038577&cid=42386&categoryid=42386>, (2015. 4. 27. 최종 확인). 70) 디버그(debug)는 컴퓨터 프로그램의 정확성이나 논리적인 오류를 찾아내는 과정을 뜻한다. 디버깅(debugging) 이라고도 한다. 디버거(debugger)는 디버그를 돕는 도구이다. 위키피디아, 디버그, <http://ko.wikipedia.o rg/wiki/%eb%94%94%eb%b2%84%ea%b7%b8>, (2015. 4. 27. 최종 확인). 49

제3장 디지털 증거와 포렌식 <정보기기 자료 획득 방법> 특징 획득 방식 기기의 화면 촬영 또는 갈무리 응용 프로그램 소프트웨어적 디버깅 도구 하드웨어적 디버깅 도구 포렌식 도구 저장장치 분리 방 법 용 이 성 포렌식 적합성 기 타 화면 표시 후 사진 촬영 또는 갈무리 기기에 내장되거나 별도 준비된 프로그램 사용 디버깅 도구로 정보기기에 저장된 자료에 접근 ICE(In-Circuit Emulator) 등을 이용 가능한 모든 방법으로 자료 획득 저장장치를 물리적으로 분리하여 리더기에 장착 내용 많은 경우 장시간 소요 간단함 사용방법은 간단 연결, 획득 및 분석 어려움 획득 및 분석 용이함 장시간의 노력 필요 조작 실수로 누락 및 증거 훼손 위험 제한된 자료만 접근 가능하고 삭제된 자료는 복구 불가 거의 모든 데이터 접근 가능 이론상 모든 데이터 접근 가능 모든 데이터 접근 가능하고 원본의 훼손 위험 낮음 해당 메모리의 데이터 전부 접근 가능 필요 시 사용 DBMS, Audit, 휴대폰에서 PC-sync 등 Gdb, 휴대폰에서 DM, QPST 등 주로 모바일 정보기기에서 JTAG 디버거 등 EnCase, Final Forensics, MD, Device Seizure, CellDEK 파손의 우려 있음 III. 증거 수집 보통의 디지털 기기는 운영체제가 탑재되어 있으며, 운영체제는 휘발성 저장매 체와 비휘발성 저장매체를 사용한다. 휘발성 저장매체란 DRAM과 같이 컴퓨터 운영 체제가 종료되면 더 이상 데이터를 복구할 수 없는 저장매체를 말하며, 비휘발성 저장 매체란 EEPROM, 플래시 메모리, 하드디스크와 같이 운영체제가 종료된 이후에도 데 이터를 복구할 수 있는 저장매체를 말한다. 디지털 포렌식에서 증거 수집은 대상 매체 의 운영체제 종료 여부에 따라서 다음과 같이 나눌 수 있다. 데드 시스템상 증거 수집 운영체제가 종료된 컴퓨터나 휴대전화 같은 기기에 대한 증거 수집을 말하 며, 주로 하드디스크나 플래시 메모리로부터 데이터를 얻는다. 50

제2절 디지털 증거의 압수와 포렌식 절차 라이브 시스템상 증거수집 운영체제가 종료되지 않은 컴퓨터나 휴대전화 같은 기기에 대한 증거 수집을 말한다. 하드디스크와 같은 비휘발성 매체뿐만 아니라 컴퓨터 메모리와 같은 휘발성 저장매체로부터도 데이터를 얻는다. 라이브 시스템상에서의 디지털 포렌식을 수행하기 위해서는 운영체제 사용 중인 휘발성 메모리와 하드디스 크에 접근할 필요가 있다. 하지만 Windows와 같은 운영체제에서는 중요한 메모리 영역이나 하드디스크상의 파일에 대한 사용자 프로그램의 접근을 막 고 있다. 따라서 라이브 시스템의 포렌식을 위해서는 운영체제의 보호기능을 우회할 수 있는 기술이 필요하다. 1. 데드 시스템상에서의 증거 수집 데드 시스템상에서의 증거 수집 기술은 포렌식의 대상이 되는 기기에 따라 달라 진다. 휴대전화와 같이 비휘발성 저장매체를 분리하여 접근하기가 용이하지 않은 기기 는 상대적으로 컴퓨터와 같이 쉽게 저장매체를 분리하여 접근할 수 있는 기기보다 데 이터 획득이 어렵다. 데이터를 쉽게 획득할 수 있는 컴퓨터 하드디스크에서도 원본 데 이터의 이미지를 만들게 되는데, 이는 나중에 증거 분석을 할 경우에 원본 데이터가 변경되는 것을 막기 위해서이다. 원본 저장매체에 있는 데이터의 무결성을 보장할 수 있는 이미징 기술이 필요하다. 2. 라이브 시스템상에서의 증거 수집 운영체제가 종료되지 않은 시스템에서의 데이터 획득 순서는 휘발성 저장매체 에 있는 데이터들을 먼저 획득한 후에, 비휘발성 저장매체에 있는 데이터들을 획득하 는 순서로 이루어진다. 포렌식 대상이 되는 라이브 시스템의 휘발성 저장매체나 비휘 발성 저장매체에서 데이터를 획득하기 위해서는 라이브 시스템 운영체제에 있는 명령 어를 사용하기보다는 포렌식 도구를 사용해서 데이터를 획득해야 하는데, 그 이유는 다음과 같다. 첫째, 대상 시스템의 운영체제 명령어가 공격자에 의해서 이미 바뀌어 있어서 그 명령어를 사용할 경우 사건 증거들을 삭제할 가능성이 있기 때문이다. 둘째, 운영체제 명령어가 바뀌지 않았다 하더라도, 정상적인 운영체제 명령어의 실행이 시스템 정보를 변경할 가능성이 있기 때문이다. 예를 들어 보면, Windows 운 51

제3장 디지털 증거와 포렌식 영체제에서 단순히 탐색기 창을 여는 것만으로 여러 파일들의 마지막 접속 시간 (accessed time)이 변경되게 된다. 파일과 관련해서 여러 시간 정보가 존재하는데 마 지막 접속 시간 이외에 마지막 수정 시간(modified time), 생성 시간(created time) 이 존재한다. 이런 MAC(Modified, Accessed, Created) 시간은 사건을 조사하는 데 있어서 중요한 요소이므로 변경되지 않도록 유의하여야 한다. 셋째, 운영체제는 시스템 보호를 위해서 일부 데이터나 파일들에 대해 사용자들 의 접근을 막고 있다. 즉, 운영체제에서 제공하는 명령어들에 의해서는 접근할 수 없 는 데이터나 파일들이 존재한다. 따라서 운영체제의 보호 메커니즘을 우회할 수 있는 포렌식 도구의 사용이 필요하다. 라이브 시스템에서 휘발성 데이터의 획득과 비휘발성 데이터를 획득하는 데는 다양한 어려움이 존재하며, 이는 라이브 시스템 운영체제에 따라 달라진다. 다음에서는 Windows나 Unix 운영체제를 사용하는 라이브 시스템에 서 디지털 포렌식이 이루어지는 방식과 문제점에 대해서 설명한다. (1) 라이브 시스템 메모리 덤프 71) Windows나 Unix 운영체제를 사용하는 시스템에서는 애플리케이션에 따라서 사용자의 ID나 패스워드가 휘발성 저장매체인 컴퓨터 메모리에 올라와 있을 수 있다. 때문에 메모리상의 데이터를 모두 얻을 수 있다면 이런 메모리 데이터로부터 중요한 정보를 획득할 수가 있다. Windows나 Unix에서는 물리적 메모리의 한계를 극복하기 위하여 다음 그림과 같은 가상 메모리(virtual memory)를 사용하고 있다. 71) 컴퓨터 분야에서 기억장치의 내용을 전부 또는 일부 인쇄하여 출력하는 것을 의미한다. 일부만을 출력할 때 출력되는 장소를 덤프 영역 이라 한다. 정보통신용어사전, 덤프 (dump), 네이버지식백과, <http://term s.naver.com/entry.nhn?docid=797063&cid=42347&categoryid=42347>, (2015. 4. 27. 최종 확인). 52

제2절 디지털 증거의 압수와 포렌식 절차 <가상 메모리의 구조> 예를 들어서, 컴퓨터의 실제 물리적 메모리는 256Mb라도 가상 메모리를 사용 하면 각각의 프로세스는 혼자서 4Gb의 메모리를 사용한다고 느낄 수 있다. 이런 가상 메모리 관리를 해주는 모듈을 가상 메모리 매니저(virtual memory manager)라고 한다. 가상 메모리 매니저는 여러 프로세스의 수행을 위해서 물리적 메모리를 페이지 라는 단위로 나누고 프로세스 실행에 필요한 프로세스의 일부분을 물리적 메모리로 올 려서 실행시키며, 나머지 부분은 하드디스크에 존재하는 스왑파일(swap file)에 저장 시킨다. 가상 메모리를 사용하는 시스템에서 하나의 사용자 프로세스가 사용하는 가상 메모리를 모두 덤프하는 것은 가능하며, 덤프하기 위해서는 물리적 메모리에 있는 프 로세스에 할당된 페이지뿐만 아니라 하드디스크에 있는 스왑파일 내용 일부까지 덤프 해야 함을 알 수 있다. 물리적 메모리의 일부분은 운영체제에 의해서 보호되고 있기 때문에 컴퓨터 부팅 전에 특별한 세팅을 미리 해놓지 않는 한 물리적 메모리의 전부를 덤프하는 방법은 현재까지 알려져 있지 않다. (2) 라이브 시스템 하드디스크 이미징 72) 애플리케이션이나 운영체제는 중요한 데이터를 저장하기 위해서 임시 파일을 하드디스크에 만들어 사용하다가 시스템 종료 시에 삭제하는 경우가 있다. 따라서 컴 72) 하드디스크를 분석 컴퓨터에 직접 연결 후 분석을 실시하면 증거물이 물리적, 논리적으로 손상되거나 변조될 우려가 있어 이를 방지하기 위해 하드디스크와 완벽히 같은 사본 파일을 작성하고 그 파일을 사용해 분석을 하게 되는데, 이런 사본 파일을 만드는 과정을 이미징(Imaging)이라고 한다[탁희성 이상진(주 5), 62.]. 53

제3장 디지털 증거와 포렌식 퓨터를 끄기 전에 하드디스크를 이미징한다면 이런 중요한 데이터를 얻을 수 있을 것 이다. 하지만 만약 운영체제가 캐시(cache)를 사용한다면, 하드디스크만을 이미징하는 것은 지연쓰기 등으로 인하여 데이터의 일관성(consistency)에 문제가 생길 수 있다. 파일에 대한 입출력을 좀 더 효율적으로 하기 위하여 운영체제는 다음 그림과 같은 캐 시를 사용한다. <캐시 구조> 예를 들어, 프로세스가 어떤 파일의 한 바이트를 읽어오라는 명령을 하면, 운영 체제는 연속된 256K 바이트를 한꺼번에 읽어 와서 캐시 메모리에 저장하고 프로세스 에는 한 바이트만을 돌려준다. 프로세스가 읽어 들인 한 바이트 옆의 또 한 바이트를 읽어오라고 명령하면, 운영체제는 이번에는 하드디스크에 접근할 필요 없이 캐시 메모 리에 저장된 한 바이트를 돌려주면 된다. 하드디스크 접근 시간보다 캐시 메모리 접근 시간이 훨씬 빠르기 때문에 캐시를 사용해서 하드디스크 접근을 줄이면 시스템의 효율 성이 더욱 증가하게 된다. 캐시 메모리 관리를 하는 모듈을 캐시 매니저(cache manager)라고 한다. 파일을 읽어 들이는 경우에는 일관성에 아무 문제가 발생하지 않는 다. 일관성에 문제가 발생하는 경우는 캐시 매니저가 시스템 효율성을 높이기 위해서 지연쓰기(delayed write)를 하는 경우이다. 지연쓰기란 프로세스가 읽어 들인 바이트 를 수정해서 다시 파일로 쓰도록 명령을 내릴 경우에 캐시 매니저가 캐시 메모리 데이 터를 먼저 수정하고 시간이 흐른 후에 하드디스크 파일에 수정된 데이터를 쓰는 것을 말한다. 지연쓰기 역시 하드디스크 접근을 줄이고 시스템 효율성을 높이기 위해서 사 용된다. 지연쓰기를 하는 시스템에서 하드디스크 이미징을 하는 경우에 아직 완전히 54

제2절 디지털 증거의 압수와 포렌식 절차 수정이 안 된 파일이 존재할 수 있으므로 일관성에 문제가 발생할 수 있다. 그러므로 하드디스크 이미징을 하기 전에 캐시 메모리에 존재하는 데이터 중에 아직 하드디스크 에 기록이 안 된 데이터를 하드디스크에 쓰도록 하는 기법이 필요하다. IV. 디지털 포렌식 도구 1. 포렌식 도구의 신뢰성 문제 분석 도구의 신뢰성 확보를 위해 신뢰성이 검증된 분석 장비와 소프트웨어를 사 용하고 공개된 알고리즘을 사용하여 증거가치를 확보해야 한다. 디지털 포렌식의 과정 에서는 필연적으로 소프트웨어와 장비들을 사용하게 되는데 이러한 장비와 소프트웨 어에 대한 신뢰성이 검증되지 않는다면, 그 결과물을 보증할 수 없는 것은 당연하다. 또한 디지털 증거의 무결성을 확보하기 위해 사용하는 알고리즘은 학문적으로 입증되 고 공개된 알고리즘을 사용하는 것이 일반적이다. 디지털 포렌식 도구의 검증을 위해 서 미국에서는 국립표준기술연구소(NIST, National Institute of Standards and Technology)에서 디지털 포렌식 도구 검증(CFTT, Computer Forensics Tool Testing)을 시행하고 있다. CFTT에서는 디지털 포렌식 도구의 검증 및 평가 방안을 제시하고, 평가 결과 보고서는 미국의 국립법무연구소(NIJ, National Institute of Justice)와 함께 공동으로 발간하고 인터넷에도 게시하여 일반인들도 쉽게 열람할 수 있도록 하고 있다. 73) 컴퓨터 범죄 수사관들은 이 보고서를 참조하여 디지털 포렌식 도구의 선정 기준을 확립하며, 변호사와 검사들은 디지털 증거의 객관성을 증명하기 위한 자료로 활용하고 있다. 미국에서는 2006년 12월 연방민사소송규칙 개정으로 형 사사건뿐만 아니라 민사소송에서도 상대방이 요구한 전자메일이나 전자문서 등 디지 털 증거에 대한 제출을 규정한 전자 증거개시제도(e-Discovery)가 도입되어 디지털 포렌식 기술은 현재 컴퓨터 범죄, 해킹, 회사 기밀 유출 등의 소송에서 필수적으로 사 용되고 있으며, 그 영역이 급속도로 성장하고 있는 추세다. NIST에서 현재까지 발표 된 시험 대상은 소프트웨어 쓰기 방지 도구, 하드웨어 쓰기 방지 도구, 데이터 획득 도구, 삭제 파일 복구 도구에 대한 것이다. 73) 탁희성 이상진(주 5), 133. 55

제3장 디지털 증거와 포렌식 2. 포렌식 도구의 종류와 기능 (1) 종류 현재 디지털 증거 처리를 위한 자동화된 디지털 포렌식 도구는 하드디스크 쓰기 방지 도구, 디스크 이미징 도구, 검색 도구 등으로 분류할 수 있는데, 아래 표에서 제 시한 제품을 포함하여 150여 종 이상이 있으며 현재도 지속적인 개발이 이루어지고 있다. 디지털 포렌식 도구는 디지털 증거를 다룸에 있어 필수적이며 그 분석 결과는 법정에서 유무죄를 판단하는 중요한 근거가 될 수 있다. 참고로 NIST의 Information Technology Laboratory(ITL)에서는 Special Publication 800-series를 통해 컴퓨 터 포렌식 및 모바일 포렌식에 대한 가이드라인 74) 을 발표하는 등 포렌식 분야의 표준 화를 진행 중이다. <디지털 포렌식 도구의 종류> 구 분 하드디스크 쓰기 방지 도구 (Hardware Protection Tool) 하드디스크 이미징 도구 (Imaging Tool) 검색 도구 (Searching Tool) 각종 문서ㆍ파일 보기 도구 (Browsing, Viewer) 분석 및 복구 도구 (AnalysisㆍRecovery Tool) 통합 도구 (Integration Tool) 종 류 A-Card, FastBlock, NoWrite DD(Linux), Safe Back, SnapBack DatArrest, Mares Im aging Tool Grep(linux), dtsearch, Text Search Plus(NTI), Afind Hfind Sfind(Forensic Toolkit) Conversions Plus, Quick View Plus, ThumbsPlus, WinHex, Ultra Edit Hash Keeper, TCT, EasyRecovery FileRepair, Final data, Advanced Password Recovery EnCase, ilook, Forensix, Forensic Toolkit, Autopsy, F.I.R.E, Final Forensic (2) 디지털 포렌식 도구의 기능 일반적으로 디지털 포렌식 도구는 다음의 기능을 갖고 있다. 74) Guidelines on PDA Forensics, Special Publication 800-72; Guide to Integrating Forensic Techniques into Incident Response, Special Publication 800-86; Guidelines on Cell Phone Forensics, DRAFT, Special Publication 800-101 등. 56