<C7D1B1B9C6F7B7BBBDC4C7D0C8B85FB1B9C1A6B1E2C1D8BFA120C0FBC7D5C7D120B5F0C1F6C5D020C6F7B7BBBDC420B1E2BCFAB1B3C0B0C0C720C7A5C1D8B8F0B5A8B0B3B9DF5FB3BBC1F6BCF6C1A4342E687770>

Similar documents
00내지1번2번

종사연구자료-이야기방 hwp

목 차 국회 1 월 중 제 개정 법령 대통령령 7 건 ( 제정 -, 개정 7, 폐지 -) 1. 댐건설 및 주변지역지원 등에 관한 법률 시행령 일부개정 1 2. 지방공무원 수당 등에 관한 규정 일부개정 1 3. 경력단절여성등의 경제활동 촉진법 시행령 일부개정 2 4. 대

인천광역시의회 의원 상해 등 보상금 지급에 관한 조례 일부개정조례안 의안 번호 179 제안연월일 : 제 안 자 :조례정비특별위원회위원장 제안이유 공무상재해인정기준 (총무처훈령 제153호)이 공무원연금법 시행규칙 (행정자치부령 제89호)으로 흡수 전면 개

< FC1A4BAB8B9FDC7D D325FC3D6C1BEBABB2E687770>

歯 조선일보.PDF

F1-1(수정).ppt

<33B1C720C1FDB4DCC8F1BBFD C3D6C1BEC6EDC1FD E687770>

<30382E20B1C7BCF8C0E720C6EDC1FD5FC3D6C1BEBABB2E687770>

부벽루 이색 핵심정리+핵심문제.hwp

2005. 경영혁신 종합실적 보고서 평 가 지 표 자율혁신 실행계획 (Action Plan) 1. 혁신리더십 (1) 조직의 비전 미션 및 지향가치 (1)-1 구체성(1.0) - 경영의 전반적 프로세스 혁신을 통 한 효율성 향상과 공기업 사명감 완수추구 - 고객제일주의의

hwp

15_3oracle

<C1B6BBE7BFACB1B D303428B1E8BEF0BEC B8F1C2F7292E687770>

기사스크랩 (160504).hwp


삼외구사( 三 畏 九 思 ) 1981년 12월 28일 마산 상덕법단 마산백양진도학생회 회장 김무성 외 29명이 서울 중앙총본부를 방문하였을 때 내려주신 곤수곡인 스승님의 법어 내용입니다. 과거 성인께서 말씀하시길 道 를 가지고 있는 사람과 어울려야만 道 를 배울 수 있

<312E B3E2B5B520BBE7C8B8BAB9C1F6B0FC20BFEEBFB5B0FCB7C320BEF7B9ABC3B3B8AE20BEC8B3BB28B0E1C0E7BABB292DC6EDC1FD2E687770>

산림병해충 방제규정 4. 신문 방송의 보도내용 등 제6 조( 조사지역) 제5 조에 따른 발생조사는 다음 각 호의 지역으로 구분하여 조사한다. 1. 특정지역 : 명승지 유적지 관광지 공원 유원지 및 고속국도 일반국도 철로변 등 경관보호구역 2. 주요지역 : 병해충별 선단

김기중 - 방송통신심의위원회 인터넷 내용심의의 위헌 여부.hwp

- 2 -

2힉년미술


참여연대 이슈리포트 제 호


194

디지털포렌식학회 논문양식

요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.

별지 제10호 서식

FSB-6¿ù-³»Áö

래를 북한에서 영화의 주제곡으로 사용했다든지, 남한의 반체제세력이 애창한다 든지 등등 여타의 이유를 들어 그 가요의 기념곡 지정을 반대한다는 것은 더 이상 용인될 수 없는 반민주적인 행동이 될 것이다. 동시에 그 노래가 두 가지 필요조 건을 충족시키지 못함에도 불구하고

○ 제2조 정의에서 기간통신역무의 정의와 EU의 전자커뮤니케이션서비스 정의의 차이점은

<BBE7B8B3B4EBC7D0B0A8BBE7B9E9BCAD28C1F8C2A5C3D6C1BE E687770>

(095-99)미디어포럼4(법을 알고).indd

> 1. 법 제34조제1항제3호에 따른 노인전문병원 2. 국민건강보험법 제40조제1항의 규정에 의한 요양기관(약국을 제외한다) 3. 삭제< > 4. 의료급여법 제2조제2호의 규정에 의한 의료급여기관 제9조 (건강진단) 영 제20조제1항의 규

노인복지법 시행규칙

Vol.257 C O N T E N T S M O N T H L Y P U B L I C F I N A N C E F O R U M


歯목차45호.PDF

책을읽고(요약)1권

1) 음운 체계상의 특징 음운이란 언어를 구조적으로 분석할 때, 가장 작은 언어 단위이다. 즉 의미분화 를 가져오는 최소의 단위인데, 일반적으로 자음, 모음, 반모음 등의 분절음과 음장 (소리의 길이), 성조(소리의 높낮이) 등의 비분절음들이 있다. 금산방언에서는 중앙

<B5B6BCADC7C1B7CEB1D7B7A52DC0DBBEF7C1DF E687770>

<38BFF920BFF8B0ED2DC8F1BFB5BEF6B8B620C6EDC1FDBABB2E687770>

음주측정을 위한 긴급강제채혈의 절차와 법리, A Study on the Urgent Compulsory Blood

Microsoft PowerPoint - SVPSVI for LGNSYS_ ppt

4) 이 이 6) 위 (가) 나는 소백산맥을 바라보다 문득 신라의 삼국 통 일을 못마땅해하던 당신의 말이 생각났습니다. 하나가 되는 것은 더 커지는 것이라는 당신의 말을 생각하면, 대동강 이북의 땅을 당나라에 내주기로 하고 이룩한 통 일은 더 작아진 것이라는 점에서,

감사칼럼 (제131호) 다. 미국과 일본의 경제성장률(전기 대비)은 2010년 1/4분기 각각 0.9%와1.2%에서 2/4분기에는 모두 0.4%로 크게 둔화 되었다. 신흥국들도 마찬가지이다. 중국, 브라질 등 신흥국은 선진국에 비해 높은 경제성장률을 기

과 위 가 오는 경우에는 앞말 받침을 대표음으로 바꾼 [다가페]와 [흐귀 에]가 올바른 발음이 [안자서], [할튼], [업쓰므로], [절믐] 풀이 자음으로 끝나는 말인 앉- 과 핥-, 없-, 젊- 에 각각 모음으로 시작하는 형식형태소인 -아서, -은, -으므로, -음

6±Ç¸ñÂ÷

민주장정-노동운동(분권).indd


177

<C0CEBCE2BABB2D33C2F7BCF6C1A420B1B9BFAAC3D1BCAD203130B1C72E687770>

<C3D6C1BE5FBBF5B1B9BEEEBBFDC8B0B0DCBFEFC8A C3D6C1BEBABB292E687770>

제주어 교육자료(중등)-작업.hwp

< BDC3BAB8C1A4B1D4C6C75BC8A3BFDC D2E687770>

초등국어에서 관용표현 지도 방안 연구

¸é¸ñ¼Ò½ÄÁö 63È£_³»Áö ÃÖÁ¾

untitled

0429bodo.hwp

최우석.hwp

E1-정답및풀이(1~24)ok

교사용지도서_쓰기.hwp

<C1B6BCB1B4EBBCBCBDC3B1E2342DC3D6C1BE2E687770>

時 習 說 ) 5), 원호설( 元 昊 說 ) 6) 등이 있다. 7) 이 가운데 임제설에 동의하는바, 상세한 논의는 황패강의 논의로 미루나 그의 논의에 논거로서 빠져 있는 부분을 보강하여 임제설에 대한 변증( 辨 證 )을 덧붙이고자 한다. 우선, 다음의 인용문을 보도록

cls46-06(심우영).hwp

伐)이라고 하였는데, 라자(羅字)는 나자(那字)로 쓰기도 하고 야자(耶字)로 쓰기도 한다. 또 서벌(徐伐)이라고도 한다. 세속에서 경자(京字)를 새겨 서벌(徐伐)이라고 한다. 이 때문에 또 사라(斯羅)라고 하기도 하고, 또 사로(斯盧)라고 하기도 한다. 재위 기간은 6

01Report_210-4.hwp

<C3D1BCB15FC0CCC8C45FBFECB8AE5FB1B3C0B0C0C75FB9E6C7E D352D32315FC5E4292E687770>



교육 과 학기 술부 고 시 제 호 초 중등교육법 제23조 제2항에 의거하여 초 중등학교 교육과정을 다음과 같이 고시합니다. 2011년 8월 9일 교육과학기술부장관 1. 초 중등학교 교육과정 총론은 별책 1 과 같습니다. 2. 초등학교 교육과정은 별책

시험지 출제 양식

우리나라의 전통문화에는 무엇이 있는지 알아봅시다. 우리나라의 전통문화를 체험합시다. 우리나라의 전통문화를 소중히 여기는 마음을 가집시다. 5. 우리 옷 한복의 특징 자료 3 참고 남자와 여자가 입는 한복의 종류 가 달랐다는 것을 알려 준다. 85쪽 문제 8, 9 자료

상품 전단지

::: 해당사항이 없을 경우 무 표시하시기 바랍니다. 검토항목 검 토 여 부 ( 표시) 시 민 : 유 ( ) 무 시 민 참 여 고 려 사 항 이 해 당 사 자 : 유 ( ) 무 전 문 가 : 유 ( ) 무 옴 브 즈 만 : 유 ( ) 무 법 령 규 정 : 교통 환경 재

2

DBPIA-NURIMEDIA

화이련(華以戀) hwp

ÆòÈ�´©¸® 94È£ ³»Áö_ÃÖÁ¾

歯1##01.PDF

<5BC1F8C7E0C1DF2D31B1C75D2DBCF6C1A4BABB2E687770>

120229(00)(1~3).indd

8월-이윤희-1.indd


정보기술응용학회 발표

소식지도 나름대로 정체성을 가지게 되는 시점이 된 거 같네요. 마흔 여덟번이나 계속된 회사 소식지를 가까이 하면서 소통의 좋은 점을 배우기도 했고 해상직원들의 소탈하고 소박한 목소리에 세속에 찌든 내 몸과 마음을 씻기도 했습니다. 참 고마운 일이지요 사람과 마찬가지로

주택시장 동향 1) 주택 매매 동향 2) 주택 전세 동향 3) 규모별 아파트 가격지수 동향 4) 권역별 아파트 매매 전세시장 동향 토지시장 동향 1) 지가변동률 2) 토지거래 동향 강남권 재건축아파트 시장동향 15 준공업지역 부동산시장 동향

METRO EYECENTER 채선화 원장이 말하는 노안 노안 수정체 노화로 상이 망막뒤에 맺히므로 가까운 곳이 잘 보이지 않는다 눈 안의 카메라, 수정체의 조절능력이 노안의 이유! 우리 눈 안에는 카메라 렌즈와 같은 역할을 하는 수정체가 있습니다. 이 수정체

목차 1. 제품 소개 특징 개요 Function table 기능 소개 Copy Compare Copy & Compare Erase




Journal of Educational Innovation Research 2018, Vol. 28, No. 3, pp DOI: NCS : * A Study on

untitled

해사안전소식_2015_겨울.indd

81-05.PDF

취업지원(0222)_인쇄용.hwp

요 약

가입 감사의 글 삼성화재 보험상품에 가입해 주신 고객님께 진심으로 감사의 인사를 드립니다. 삼성화재는 국내 최고를 넘어 글로벌 초일류 보험회사를 지향하고 있습니다. 그에 앞서 가장 먼저 갖춰야 할 덕목은 고객만족이라고 생각합니다. 이를 위해 저희 삼성화재는 고객님이 보

Transcription:

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 2012 성균관대학교 법학전문대학원 교수 노명선

본 연구보고서는 2012년도 교육과학기술부의 용역과제로서 연구내 용은 교육과학기술부의 공식견해가 아님. 연구책임자 노 명 선 (성균관대학교 법학전문대학원 교수)

제 출 문 교육과학기술부 장관귀하 본 보고서를 국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발에 관한 연구의 최 종연구 보고서로 제출합니다. 2012년 월 일 수탁 책임자 : 노 명 선 (인)

C ONTENTS 국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 제1장 서 론 1 제1절 디지털 포렌식의 의의 3 제2절 디지털 포렌식의 유용성 4 1. 업무운용상 문재해결 4 2. 로그기록감시 4 3. 데이터 복구 5 4. 데이터의 추출 6 5. 법적 책임 이행태세 확립 6 제3절 소송당사자의 의무성 7 제4절 디지털 증거의 특성 11 제5절 선행연구 현황 14 제6절 문제의 제기 17 1. 디지털 포렌식 전문가 양성기관의 부족 17 2. 교육내용의 표준화 필요 18 3. 교육 인재상 부재 18 4. 교수의 교류 18 5. 취직 진로지도 19 6. 자격시험제도와의 연계 부족 19 7. 산학 연계가 불투명 19 제2장 포렌식 수요와 준비도 21 제1절 모바일 인터넷의 증가와 상용화 23 제2절 현재 컴퓨터 보안 상태/바이러스 통계 26 제3절 과학적증거의 허용성 29

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 제4절 디지털 포렌식의 수요 36 1. 수요개요 36 2. 수사 또는 조사담당 국가기관의 수요 37 3. 기업 법무에 있어서 수요 39 4. 법무법인 등 소송관련 업무 40 5. 보험조사관 등 민간 조사업의 수요 40 제5절 전문가 증언의 필요성 41 제6절 포렌식 준비도 43 제7절 연구범위 45 제3장 한국 디지털 포렌식 교육 현황 47 제1절 한국 디지털 포렌식 교육 체계 현황 49 1. 교육기관 49 2. 수사기관 등 교육 현황 55 제2절 설문조사 및 문제제기 59 1. 설문조사 실시 및 결과 59 2. 문제제기 60 제4장 외국의 디지털 포렌식 교육 현황과 시사점 63 제1절 서론 65 제2절 미국의 교육체계현황 66 1. 미국의 디지털 포렌식 교육기관들 66 2. 미국 수사기관 디지털 포렌식 교육 현황 110 제3절 미국의 디지털 포렌식 자격 제도 116 제4절 영국의 교육체계현황 123 제5절 외국의 디지털 포렌식 산학 협력 현황 133 1. 스테가노그래피 분석(스테그아날리시스, Steganalysis) 133 2. 모바일 포렌식 135 3. 클라우드 포렌식 136

목차 4. 일본 저작권 침해 감지 시스템 137 5. 미네소타 주 통상부(Department of Commerce) 산하 보험사기방지단(Division of Insurance Fraud Prevention, IFD)의 포렌식활동 140 6. 미국 세관 디지털 포렌식 유닛 140 제6절 미국의 판례동향 143 1. 소송 당사자의 의무성 143 2. 전문가 증언의 필요성 146 3. 형사 사건 주요 판례 동향 151 제7절 시사점 160 제5장 바람직한 디지털 포렌식 교육방안 모델 161 제1절 바람직한 인재상 163 1. 서설 163 2. 디지털 포렌식 인재상 제시 164 3. 교육의 방향 165 제2절 학과 개설방법 167 1. 서론 167 2. 계약학과를 두는 방법(정원 외 입학) 167 3. 일반학과로 두는 방법 172 4. 소결 173 제3절 디지털 포렌식 교육방안 모델 175 1. 개요 175 2. 학사과정 177 3. 석사과정 181 4. 로스쿨과정에서의 디지털 포렌식 강의 194 5. 수사기관 등의 실무교육과정(단기) 196 제4절 디지털 포렌식 전문가 제도와의 연계 205 1. 자격제도의 필요성과 시행경과 205 2. 자격시험과의 연계강화 207

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 제6장 총결 211 부 록 포렌식 절차 매뉴얼 215 제1장 서설 217 1. 개요 217 2. 포렌식 관계자 217 3. 포렌식 정책, 지침, 그리고 절차 218 4. 기술적 준비 219 제2장 포렌식절차 수행하기 220 1. 데이터 수집 220 2. 조사 및 분석 221 3. 보고 223

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 제1장 서 론

제1장 서론 서 론 제1장 제1절 디지털 포렌식의 의의 전통적으로 포렌식(forensic)이라는 개념은 법의학 분야에서 주로 사용되었다. 즉, 지문, 모 발, DNA 감식, 변사체 검시 등 분야에 사용되었다. 그러나 최근 다양한 정보기기들의 활용으로 포렌식 개념은 물리적 형태의 증거뿐만 아니라 특수매체에 저장된 전자적 증거(Electronic Evidence)를 다루는 분야에도 포렌식이라는 용어가 확장되는 추세에 있다. 이와 같이 특수저장매체인 컴퓨터에 기억된 전자적 정보를 정확히 식별하여 수집하고, 이를 보존, 분석을 통해 관련된 정보를 특정하여 법정에 증거로 제출하고, 언제든지 검증이 가능한 형태로 자료를 준비하는 절차를 디지털 포렌식(Digital forensics)이라고 한다. 소송당사자의 적절한 증거수집의 절차 준수를 위한 디지털 포렌식의 수행의무 Gates Rubber Co. v. Bando Chemical Industries, Ltd., 167 F.R.D. 90 (D.Colo. 1996) 3

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 제2절 디지털 포렌식의 유용성 컴퓨터 및 네트워크 포렌식은 이제까지 범죄의 증거를 법정에 제출하는 것에 초점을 두고 진 화되어 왔다. 포렌식 도구와 기술 또한 따라서 컴퓨터 보안사고 처리와 범죄의 수사라는 맥락에 서만 고려된 것이 보통이다. 하지만 포렌식 도구 및 기술은 그 외에도 여러 가지 분야의 업무를 수행하는 데에 있어서 굉장히 유용할 수 있는데, 예를 들면 다음과 같다. 1. 업무운용상 문제해결 대부분의 포렌식 도구와 기술은 일반적인 업무운용상의 문제를 해결하는 데에도 활용이 가능 하다. 예를 들어, 네트워크 설정이 잘못 잡혀 있는 시스템의 위치를 파악한다든지, 응용 프로그 램의 기능오류를 해결한다든지, 현재 설치된 운영체제를 검토하고 설정을 확인하는 데에도 사 용이 가능하다. 2. 로그기록 감시 다양한 도구와 기술을 사용하여 시스템 로그를 감시할 수 있다. 예를 들어 다수의 시스템으로 부터 로그를 추출하고 분석하여 상호 연관성을 판단하고, 이로써 사고처리, 정책위반사실 적발, 감사 등에 활용할 수 있다. 최근 꾸준히 문제가 되고 있는 피싱이나 해킹 등의 문제를 해결하는 데에 이러한 로그기록의 감시기법 또한 도움이 될 수 있다. 요즘에는 스마트폰에서 즉시 인터넷에 접속할 수 있는 환경 이 잘 갖추어져 있으므로, 이메일이나 문자메시지로 보안승급이 필요하다 라는 허위의 보안경 고를 보내어 스마트폰으로 위조된 사이트에 접속되도록 한 후, 주민등록번호와 계좌번호, 보안 카드번호의 입력을 유도하여 사용자가 걸려들면 예금을 인출해가거나 하는 등으로 운용되는 것 이다. 1)2) 1) http://card-kb.net (피싱사이트 주소의 한 예로, 현재는 단속으로 폐쇄된 상태) 2) 2012년 4월 20일 MBC 뉴스데스크, 보안승급 받으세요 인증서 재발급 대출피싱 http://imnews.imbc.com/replay/nwdesk/article/3050570_5780.html 4

제1장 서론 물론 이러한 피싱 사건에 사후적인 범죄수사로서 대응할 수도 있을 것이지만, 피싱 사이트로 의 관문역할을 하는 피싱 메시지를 사전 차단하는 방식으로 대응할 가능성을 생각해볼 수 있다. 이를 위해서는 포렌식 절차를 활용하여 메시지 서버의 로그를 분석하여 데이터베이스 化 하고, 피싱 메시지의 패턴을 파악하여 차단 시스템을 구축할 필요가 있을 것이다. 3. 데이터 복구 포렌식 툴 중에는 시스템에서 소실된 데이터를 복구할 수 있는 능력을 갖춘 것들이 많다. 또 한 의도적으로 삭제하였거나 변조된 데이터도 복원이 가능하다. 3) 물론 상황에 따라 복구율에는 많은 차이가 있을 수 있지만, 일부 강력한 포렌식 도구는 심각 하게 훼손된 컴퓨터나 디스크에서도 소실 삭제된 데이터를 복구해낼 수 있다. 3) Matthew Geiger, Counter-Forensic Tools: Analysis and Data Recovery, PDT Forensics Team http://www.first.org/conference/2006/papers/geiger-matthew-papers.pdf 5

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 4. 데이터의 추출 일부 기관은 포렌식 도구를 사용하여 재배치 또는 폐기하는 시스템으로부터 데이터를 추출하 여 보관하기도 한다. 예를 들어 사용자가 퇴사하는 경우 그 사용자의 컴퓨터로부터 정보를 추출 하여 나중에 활용할 수 있는 형태로 별도 저장하고, 컴퓨터를 다시 사용할 수 있도록 남아 있는 민감데이터(sensitive data)를 파기할 수 있다. 포렌식 도구는 이러한 민감데이터가 확실히 파 기되었는지 여부를 검사하는 데에도 활용할 수 있다. 실제로 데이터를 파기한 후 포렌식 도구를 실행함으로써 복구율을 진단하고, 복구에 실패하면 그만큼 데이터가 안전하게 파기되었다고 판 단할 수 있기 때문이다. 5. 법적 책임 이행태세 확립 다양한 법령과 규정에 의하여 각 기관들에게는 추후 감사에 활용할 수 있도록 민감한 데이터 를 보호하고 특정한 기록을 보존할 책임이 부여된다. 또한 보호된 민감정보가 자칫 유출된 경우 다른 국가기관이나 피해당사자에게 이를 통지할 의무가 있을 수 있다. 6

제1장 서론 포렌식 절차가 수립되어 있는 경우 이러한 법적 책임과 의무를 수행하는 데에 큰 도움이 된다. 제3절 소송당사자의 의무성 미국에서는 이미 1996년 Gates Rubber Co. v. Bando Chemical Industries. Ltd. 4) 사건에 서 컴퓨터 증거를 사용하기 위해서는 디지털 포렌식의 중요성을 인정하면서, 이러한 조사를 소 송당사자 또는 당사자가 될 소송당사자에 대한 법적의무라는 점을 분명히 하고 있다. 그래서 2006년도를 기준으로 미국의 Fortune 500대 기업 중 100개의 기업이 Guidance Software의 디지털 포렌식 솔루션인 EnCase를 이미 기업법무활동에서 활용하고 있다. 5) 외부인으로부터 해킹만이 아니라 내부 직원의 의심스러운 행동을 감시하고, 공금 횡령이나 기업비밀의 유출사고시 그 혐의자를 색출하고, 그 과정에서 동일성과 진정성이 확보된 신뢰할 수 있는 디지털 증거의 수집이 관련 소송에서 필수적이라는 생각이 널리 확산되고 있다는 증거 이다. 디지털 포렌식은 한마디로 정보기기에 내장된 디지털 자료를 신뢰성 있는 법정증거로 만들어 어떤 사고의 사실 관계를 규명하고 증명해가는 촉망받는 신규 서비스분야라고 할 수 있다. 4) Gates Rubber Co. v. Bando Chemical Industries, Ltd., 9 F.3d 823 (10th Cir. 1993). 5) http://www.guidancesoftware.com/encase-enterprise.htm 7

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 Gates Rubber Co. v. Bando Chemical Industries, Ltd 6) 사실개요 게이츠 사와 반도 사는 산업용 벨트를 제작하는 회사로 상호 경쟁관계에 있다. 게이츠의 시장 점유율은 38%, 반도의 시장점유율은 7% 정도로 게이츠가 압도적 시장우위에 있었다. 반도는 일본의 반도그룹의 계열사로서 그 미국지부로 반도아메리칸을 두고 있다. 여기서는 모두 반도 로 통칭한다. 게이츠는 상기한 바와 같이 시장지배자로서 고객의 각종 공장설비에 최적화된 벨 트사이즈를 산출하기 위하여 자체적으로 디자인 플렉스 4.0 과 라이프 인 아워스 라는 프로 그램을 개발하여 사용하고 있었으며 이는 게이츠의 큰 경쟁력요소이기도 하였다. 피고 중 알렌 하나노 는 과거 게이츠의 사원이었지만 퇴사하여 반도아메리칸의 CEO가 되었 다. 또한 피데리트와 뉴먼도 과거 게이츠의 사원이었으나, 하나노에 의하여 채용되어 1988년 반 도아메리칸으로 이직하였다. 1989년 6월, 게이츠는 트레이드컨벤션에서 반도에 고용된 상기 인원들이 쇼퍼(Chauffer)라 는 프로그램을 시연하였다는 사실을 알게 되었는데, 이 프로그램은 그 작동과 기능이 디자인 플 렉스와 극히 유사하였다. 게이츠는 반도로 이전한 과거 자사의 직원들이 디자인 플렉스 소프트 웨어를 훔쳐 게이츠에 대항하려 한다는 혐의를 포착하고 손해배상소송을 제기하였다. 이들은 과거에 경업금지계약과 충실의무계약에 서명한 바 있다. 게이츠는 곧이어 법원에 임시제한명령 (temporary restraining order)를 청구하였으나 이는 기각되었고, 판사는 대신 심리를 통하여 실제로 반도가 게이츠의 저작권을 의도적으로 침해하고 기업비밀을 빼돌렸음을 밝혀냈다. 반도는 제10차 연방순회항소법원에 항소하였고, 항소법원은 기업비밀의 절도에 대한 것은 원 심을 지지하였으나 저작권 침해에 대한 부분은 파기환송하였다. 최종적으로 디자인 플렉스는 저작권 보호의 대상이 아님이 확인되었다. 그런데 이 과정에서 게이츠는 뉴먼이 자신의 컴퓨터 에서 증거가 될 만한 파일을 무단으로 삭제하였고, 특정 프로그램을 변조하여 라이프 인 아워 스 소프트웨어에 대한 모든 자료를 삭제하도록 조치한 사실을 발견하였다. 게이츠는 이에 1992 년 9월 15일, 긴급개시명령을 청구하였고 그 이유로 반도가 증거를 무단 파기하려 하며 컴퓨터 파일을 삭제하고 있어 이를 방치할 수 없다는 것을 들었다. 이 청구는 받아들여져 게이츠의 변 호사단이 기술자를 대동하여 반도의 사무실 및 시설로 진입, 자료를 수집하게 되었다. 이 절차 는 판사가 임명한 특수감독관(Special Master)의 감독하에 이루어졌다. 특수감독관의 지시에 따라 수집된 모든 증거는 조건부로만 개시가 가능하도록 조치되었으며, 개시를 위해서는 그에 6) Gates Rubber Co. v. Bando Chemical Industries, Ltd., 9 F.3d 823 (10th Cir. 1993). 8

제1장 서론 합당한 청구 명령이 있어야 했다. 현장조사 과정 중 게이츠의 변호사는 소송과 관련된 중요 증거자료의 고의적 파기를 시사하 는 몇 가지 의문점을 발견하였고, 이에 대한 제재로서 자백간주판결(default judgment)을 청구 하였다. 이에 대해 판사는 게이츠의 여러 가지 청구 중 중요성이 떨어지는 것을 직권으로 배제하고, 변호사들에게 오로지 증거인멸에 집중하도록 지시하였다. 관련쟁점 여기서 게이츠가 제기한 쟁점은 크게 두 가지이다. 첫째는 뉴먼이 스스로 라이프 인 아워스 프로그램을 훔쳤다는 증거를 파기하였다는 것이고, 둘째는 뉴먼이 반도에서 이 프로그램을 사 용하였음을 증명할 수 있는 워드 프로세서 파일을 삭제하였다는 것이다. 반도측의 컴퓨터 전문가는 로버트 웨디그라는 자로서 스탠포드 대학에서 컴퓨터 공학 박사학 위를 취득하였다. 게이츠측은 이에 대해 로버트 부어히라는 컴퓨터 전문가를 증인으로 세웠는 데 판사는 부어히를 학력 실력 면에서 웨디그에 한참 미치지 못하는 수준이라 보았다. 첫째 쟁점에 대해서 판사는 한 가지 사실에 주목하였다. 반도는 디스크와 그 내용물의 목록을 인쇄한 것을 증거로서 제출하였는데, 인쇄물에는 45개 파일이 리스트되어 있었지만 막상 디스 크에는 파일이 44개였다. 이에 대해 게이츠는 반도가 악의적으로 법원을 기망하려 들었으므로 제재하여야 한다고 주장하였다. 이에 대해 웨디그는 해당 파일은 삭제된 형태로 디스크에 존재 하였으며, 누군가에 의하여 다른 프로그램이 실행되는 경우 이 파일이 삭제될 수 있음 을 입증 하였다. 워드 프로세서 파일의 삭제에 관한 쟁점은 다소 복잡하였다. 뉴먼은 자신이 일부 워드 프로세 서 파일을 삭제하였음을 시인하였다. 하지만 뉴먼은 본 소송과 관계있는 문서는 지우지 않았다 고 주장하였으며, 또한 삭제된 파일들은 그 외 기타의 방법(인쇄 등)으로 그 내용이 복원되었다. 삭제된 파일을 복구하기 위하여 부어히는 반도의 컴퓨터의 하드 드라이브에 삭제된 파일을 복구하는 프로그램인 노턴 삭제복구(Norton Unerase)를 설치하고, 일부 파일을 되살려 파일 단위로 복사하였다. 이 프로그램을 적절히 사용하면 삭제된 파일에 대한 정보를 복구해낼 수 있 었다. 이에 대해 게이츠는 부어히가 적절한 방법으로 컴퓨터에서 정보를 되살렸다고 주장하였 다. 9

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 판결요지 법원은 부어히가 반도의 컴퓨터에서 파일을 복원한 방법은 전혀 적절하다고 할 수 없다고 판 단하였다. 노턴 삭제복구 프로그램을 사용함에 있어서 이 프로그램을 하드 디스크에 복사할 필 요는 없었다. 그럼에도 불구하고 이 프로그램을 하드 디스크에 설치한 결과 하드 디스크에 있던 지워진 파일들 중 약 7~8%가 무작위로 복구할 수 없도록 삭제복구 프로그램에 의해 덮어씌워 져 결국 파괴되었다. 나아가 부어히는 파일의 삭제 시점을 판별하는 데 도움이 되는 정보를 얻 어내는 데 실패하였다. 웨디그는 부어히가 파일 대 파일 방식의 복사가 아니라 이미지 백업 복사 방식을 사용하였어야 한다고 지적하였다. 이미지 백업을 사용해야 하드 디스크에 저장된 정보를 완전히 얻어낼 수 있기 때문이다. 이러한 이미지 백업 방식은 사용 빈도가 낮긴 하지만 분명히 그 당시 존재하였다. 법정에서 사용할 목적으로 증거를 수집한다면 게이츠는 가장 완벽 하고 정확한 결과를 도출하는 방법을 채택할 의무가 있었다. 게이츠는 이미지 백업이 그렇게 중요하다면 반도가 이미지 백업을 수행할 책임을 지게 된다 고 주장하였지만 이는 타당치 못하다고 하였다. 왜냐하면 제재를 요청한 쪽은 게이츠이며, 게 이츠야말로 증거의 부재 를 최대한 활용하여 소송상의 이득을 보려 하고 있기 때문이다. 그러 므로 활용할 수 있는 가장 높은 수준의 기술을 사용하여 증거를 수집할 의무는 당연히 게이츠에 있다고 보았다. 또한, 게이츠는 삭제된 파일 중 7~8%가 손상된 것은 크게 중요하지 않다고 주장하였는데, 이 는 게이츠가 주장하는 논리 즉 증거로 사용될 가능성이 있는 파일 중 일부분이 소실되었으며 누구도 그 내용을 알 수 없으므로 자백간주판결을 구한다 는 것에 스스로 모순되는 것이라고 하 여 기각하였다. 단, 뉴먼이 워드 프로세서 파일을 삭제한 것은 확실히 입증되었는데, 추후에 증거 개시 과정 에서 이에 대한 입증자료가 제시되거나 또는 이를 대체할 만한 인쇄 자료가 제출되어 게이츠측 이 불필요한 소송비용을 부담하게 된 점을 감안하여, 반도는 게이츠에게 소송비용의 10%를 지 급할 것만을 명하고 게이츠의 그 외 주장을 모두 배척하였다. 영국은 2007년 10월 정부기관 간에 2500만명의 국민 개인과 725만 가구의 개인정보가 저장 된 CD가 정부기관 간 전송 중 분실되어 유출되는 사고가 발생하자, 영국정부는 사건 조사에 착 수하여 <Data Handling Procedures in Government: Final Report>라는 검토보고서를 공개 했는데, 이 보고서에서는 정부부처간 데이터를 주고받는 관행을 향상시키기 위한 핵심적인 방 10

제1장 서론 안에 대해 명시하고 있으며 데이터 교환 시 준수해야 하는 일련의 최소요구사항의 필요성을 명 시하고 있다. 후속보고서로 발표된 <Cross Government Actions: Mandatory Minimum Measures>에서 는 모든 정부부처가 준수해야 할 22가지 요구사항을 담고 있는데, 그 중 하나로 모든 부처가 소 송대응 및 관리적 목적으로 정보통신시스템으로부터 디지털 증거들을 수집, 분석, 이용할 수 있 는 능력을 극대화하기 위해 포렌식 준비도 정책을 갖출 것을 의무화하고 있다. (Mouhtaopoulos & Grobler, 2011) 7)8)9) 제4절 디지털 증거의 특성 포렌식의 주 대상인 디지털 정보는 아날로그식 증거와 달리 많은 특수성이 인정되고 있어서 압수 수색과 분석절차에서 특수한 요령이 필요하다. 7)U.K. Cabinet Office(2008). Data Handling Procedures in Government: Final Report 8)U.K. Cabinet Office(2008). Cross Government Action: Mandatory Minimum Measures. 9)Mouhtaopoulos, A. & Grobler, M. (2011). Digital Forensic Readiness: An Insight into Governmental and Academic Initiatives, 11

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 먼저, 무체정보성을 지적할 수 있다. 전자적 정보는 눈에 보이지 않는 0과 1의 조합인 전자적 형태로 저장되어 이를 쉽게 은닉할 수 있을 뿐만 아니라 육안으로 식별할 수 없고, 판독장치가 있어야만 그 내용을 확인할 수 있다. 컴퓨터를 작동하여 파일을 열어보는 행위는 형사소송법 제 120조에 의한 압수수색에 필요한 처분으로 인정된다. 다만 불가시성과 불가독성으로 인하여 실제로 그 파일의 내용을 확인해 보지 않고는 범죄사 실과의 관련성을 따져보기 어렵다는 점에서 그 수집과 증명에 일정한 한계가 있다. 위에 언급한 바와 같이 파일을 확인하기 위하여 컴퓨터를 작동하여 파일을 열어보는 것은 형사소송법 제120 조에 의하여 정당하다. 그런데 범죄사실과의 관련성을 따지기 위하여 파일을 하나하나 열어보 던 중 영장에 기재되지 않은 범죄사실의 증거가 발견된 경우에, 미국에서는 이들 파일이 그대로 plain view 하에 있다고 볼 것인지에 대해 논의가 엇갈리고 있다. 컴퓨터를 작동시키고 파일을 열어보는 것은 해당 정보가 저장된 container'를 열어보는 것인데, 이 container의 범위를 파 일로 볼 것인지, 저장매체 전체로 볼 것인지 여부에 대하여 법원 간의 의견이 일치하지 않고 있 다. 즉 저장매체 전체로 보게 된다면 한번 그 저장매체를 열어본 이상 그 안에 들어있는 나머지 파일들은 자동적으로 개봉된 container에 들어 있는 것으로 보아 plain view가 긍정될 것이고, 파일로 보게 된다면 파일을 열 때마다 새로운 container를 여는 것이므로 plain view가 부정될 것이다. 둘째로, 변조용이성이다. 전자적 정보는 위 변조가 쉬운 반면, 그 사실을 밝혀내기가 어려워 법정에 제출된 전자적 정 보에 대한 조작여부나 증거획득 과정에서 적정절차가 이루어졌는가의 문제가 제기될 수 있다. 이는 컴퓨터 포렌식의 일반원칙 중 정당성의 원칙, 동일성의 원칙, 무결성의 원칙 등을 서로 연관지어 볼 수 있는 문제이기도 하다. 따라서 수사기관은 적정절차에 의하여 컴퓨터나 프로그램 상에 저장되어 있는 전자적 정보를 수집하여야 하고, 수집된 증거를 분석 보관하는 과정 중에 있을 수 있는 위 변조의 주장을 배제 할 수 있어야만 법정에 제출된 증거가 증거능력을 가지고 증거로서 사용될 수 있기 때문이다. 이러한 변조용이성이라는 측면 때문에 전자적 정보는 신속한 보존을 요하는 경우가 있다. 즉 증 거를 은닉하거나 변조하기 전에 신속하게 확보할 필요가 있다. 이에 대해서도 법적 근거가 필요 하다. 동일성의 입증에 대해서는 해시값(hash value)을 기준으로 하는 것이 일반적이다. MD5 와 같은 구형 해시 알고리즘의 경우 변조가 가능함이 널리 알려져 있으므로 검증된 최신의 해시 알고리즘을 사용하여야 한다. 12

제1장 서론 셋째로, 원본과의 구분이 용이하지 않다. 전자적 정보들은 0과 1의 전자적 형태로 되어 있어 원본과 동일하게 복제될 수 있으며, 복제 된 것은 원본과의 구별이 쉽지 않다. 따라서 수사기관에서는 원본과 동일성을 입증하기 위해 해 쉬 값을 통해 원본과의 동일성을 입증하여야 한다. 넷째로, 대량성이다. 전자적 정보는 기업의 전산 회계자료인 데이터베이스 자료나 파일서버에 문서자료 등의 형태 로 존재한다. 이러한 데이터의 양은 수백 또는 수천 기가바이트에 이를 만큼 방대한 양을 차지 하고 있어 전문가나 특수한 기계장치에 의해서만 범죄의 단서나 증거를 찾을 수 있다. 따라서 방대한 양의 개인정보 등이 수록되어 있는 경우 특히 개인정보보호법과의 관련하여 집행상 어려움이 예상된다. 다섯째로, 전문성이다. 컴퓨터 내에 존재하는 데이터의 유형이나 존재방식은 전문가에 의해서만 그 유형을 분류 분 석할 수 있는 전문성을 요하는 경우가 많다. 이 때 조사관의 분석능력 및 법정에서의 증언능력 이 주로 문제된다. 여섯째로, 익명성이다. 일반 문서와는 달리 컴퓨터나 네트워크상에 있는 정보들은 작성자의 서명이나 자필에 의한 확인이 불가능하다. 따라서 누구에 의하여 만들어진 정보인지 확인하지 못하게 되어 증거능력 을 인정받는데 어려움이 따른다. 예를 들면, 이메일의 경우 작성자(ID 소지자)라고 일컬어지는 사람이 실제로 이메일을 보냈다 는 사실이 입증되지 않는 이상, 그 사람이 작성하지 않았다는 가능성은 언제나 존재하게 된다. 따라서 조사관은 증거파일에 대해 성립의 진정에 관한 입증이 문제가 된다. 13

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 제5절 선행연구 현황 현재 디지털 포렌식의 법제도와 관련하여 국내에서 이루어진 연구논문을 살펴보면 다음과 같다. 제목 저자 출처 년도 법과학 증거의 수집절차와 증명력 판단 천진호 동아법학 제51호 2011 국립과학수사연구소의 현황과 과제 심희기 법학연구 제18권 4호 2008 디지털 포렌식 업무의 법ㆍ제도적인 개선방향 이상복 서강법학 제10권 2호 2008 Computer Forensics의 법적 문제 연구 김형성 김학신 성균관법학 제18권 3호 2006 디지털 정보 관련 압수수색 규정 도입을 위한 전제적 고찰 이경렬 성균관법학 제21권 2호 2009 디지털 포렌식 법률체계 구축 방안 권양섭 법학연구 제35집 2009 디지털증거의 수집과 증거능력 전명길 법학연구 제41집 2011 디지털 포렌식 수사의 문제점과 개선방안 곽병선 법학연구 제42집 2011 디지털증거 압수수색의 문제점 및 개선방안 김기표 형사소송 이론과 실무 제3권 1호 2011 전자증거의 압수 수색에 관한 일고찰 탁희성 형사정책연구 통권 제57호 2004 컴퓨터증거의 수집절차상의 문제점 이철 형사정책연구 통권 제58호 2004 디지털 포렌식과 법적 문제 고찰 양근원 형사정책연구 통권 제66호 2006 유전자감식정보의 형사절차상 활용방안 황만성 형사정책연구 통권 제69호 2007 과학적 증거의 증거능력과 증명력 황만성 형사정책연구 통권 제71-2호 2007 우리나라의 법과학연구 및 과학수사 실태와 발전방안 조병인 형사정책연구 통권 제77호 2009 미국에서의 컴퓨터에 대한 압수수색 개관 김상우 해외연수검사 연구논문집 12집 2권 1996 디지털 포렌식의 기술 동향과 전망 미국의 수사과정에서의 컴퓨터 압수/수색 및 전자증 거의 획득에 관한 고찰 전상덕 홍동준 한기준 오정돈 컴퓨터 압수 수색에 관한 연구이종상 전자우편에 대한 증거수집과 관련된 문제점 고찰 김기준 미국의 컴퓨터에 대한 압수/수색절차 연구박문수 비상임 연구관 기초자료집 XVII 첨단범죄수사 관련 자료집 비상임 연구관 기초자료집 XVII 첨단범죄수사 관련 자료집 해외연수검사 연구논문집 17집 1권 p327 해외연수검사 연구논문집 17집 2권 p127 해외연수검사 연구논문집 18집 1권 p319 2006 2003 2001 2001 2003 14

제1장 서론 제목 저자 출처 년도 미국의 수사과정에서의 컴퓨터 압수/수색 및 전자증 거의 획득에 관한 고찰 오정돈 미국의 디지털증거 활용실태 김현선 영국의 전자증거 및 컴퓨터 포렌식 오원근 개정 형사소송법상 디지털 증거의 증거능력 - 관련 성, 신뢰성, 진정성, 원본성, 무결성을 중심으로 - 박혁수 해외연수검사 연구논문집 19집 1권 p109 해외연수검사 연구논문집 23집 1권 p433 해외연수검사 연구논문집 23집 2권 p729 해외연수검사 연구논문집 25집 2권 p193 독일의 디지털 증거 증거능력 입증절차에 관한 연구천관영 해외연수검사 연구논문집 제26집 3권 2011 디지털 증거의 증거능력에 관한 비교법적 연구최성필 해외연수검사 연구논문집 제26집 3권 2011 미국 수사기관의 전자우편 취득 절차 및 한계 강지식 해외연수검사 연구논문집 제26집 3권 2011 미국 증거법상 디지털 증거의 증거능력 최지석 해외연수검사 연구논문집 제26집 3권 2011 영국 수사기관의 전자우편 취득절차 및 한계 정희도 해외연수검사 연구논문집 제26집 3권 2011 전자적 증거의 수집과 증거능력에 관한 몇 가지 검토 노명선 형사법의 신동향 제16호 2008 디지털 증거 압수수색과 법제 박종근 형사법의 신동향 제18호 2009 디지털 증거의 압수ㆍ수색과 증거능력 이윤제 형사법의 신동향 제23호 2009 미국의 디지털 포렌식 전문수사관 교육 김신희 형사법의 신동향 제24호 2010 디지털증거의 압수와 공판정에서의 제출방안 정교일 형사법의 신동향 제25호 2010 디지털 증거의 법적 지위 향상을 위한 무결성 보장 방안 2004 2008 2008 2010 조상수 형사법의 신동향 제27호 2010 컴퓨터로 생성된 증거의 증거능력 이등원 해외연수검사 연구논문집 9집 1993 컴퓨터 압수수색이나 수사과정, 증거에 관한 일반 논의는 이와 같이 몇 차례 있었지만, 포렌 식 전문가의 양성에 관한 논문은 전무한 실정이다. 나아가 주로 형사사건에 국한된 것이어서 민 사, 형사를 아우르는 법정 전문가 제도에 관한 연구 또한 필요하다. 한편, 디지털 포렌식 분야는 다음과 같은 점에서 난제를 겪고 있다. 저장장치의 용량이 날이 갈수록 크게 증가하여, 압수장소에서 저장매체를 발견하여도 이를 이미징할 시간이 부족한 경우가 있다. 시간을 들여 이미지를 생성해 수사기관으로 가져와도 너무나 방대하여 분석 및 처리하는데 시간이 너무 많이 걸린다. 플래시 메모리 형식의 저장매체를 내장한 기기가 점점 증가하고, 하드웨어 인터페이스가 다양 해짐에 따라 저장장치를 손쉽게 분리해 가져오거나 이미지를 생성하기가 어려워지고 있다. 15

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 운영 체제 소프트웨어의 종류가 다양해지고, 파일 형식이 다변화됨에 따라 데이터를 추출하 고 분석하는 과정이 기하급수적으로 어려워지고 있으며 관련 툴의 개발비용 또한 크게 증가 하고 있다. 과거에는 한 개의 장치를 분석하면 증거데이터가 쏟아져 나왔지만, N스크린 등 점점 디바이 스가 여러 가지로 분화되고 그 수가 많아짐에 따라 여러 개의 장치를 분석하고 이로써 도출 된 결과물을 서로 연결시켜야 하는 경우가 점점 늘어나고 있다. 암호화 도구의 사용이 점점 쉬워지고, 암호화에 사용되는 컴퓨팅 파워가 증가하여 누구나 암호화 솔루션을 사용할 수 있게 되어, 결과적으로 데이터를 현장에서 채취해 오더라도 이 를 처리하기가 불가능한 경우도 많다. 클라우드 기술을 사용한 원격 처리 저장 서비스의 이용이 증가함에 따라 아예 목적한 데이 터나 코드의 압수 자체에 실패하는 경우가 발생하고 있다. 최근의 악성코드 중에는 저장매체에 기록되지 않고 기억장소(RAM)을 직접 장악하여 기능 하는 것들이 존재하는데, 이러한 악성코드를 조사하기 위해서는 RAM 포렌식 기술이 필요 하다. 이러한 기술은 까다롭고 비용이 많이 든다. 포렌식 조사의 범위는 점점 법적으로 더 큰 규율을 받고 있으며 조사관의 재량권이 축소되 는 경향에 있다. 위와 같은 문제를 방치할 경우 앞으로 디지털 포렌식은 최신 기술 동향에 크게 뒤처지게 될 것이며, 자연스럽게 디지털 증거의 법정제출 또한 원천적으로 불가능해질 위험 또한 있다. 정확 성을 담보하고 진정성을 확보할 수 있는 방법이 도출되지 않은 상태에서 기존의 포렌식 기술로 획득 분석할 수 없는 정보를 검증되지 않은 방법으로 채취하여 법정에 제출할 수 없기 때문이 다. 이에 대하여 나날이 발전하는 기술에 뒤처지지 않도록, 늦기 전에 이러한 문제들을 체계적 으로 연구하고, 연구의 성과를 교육과정에 반영 포함하여야 한다. 16

제1장 서론 제6절 문제의 제기 디지털 포렌식 학문에 대한 중요성과 민간기업과 공공기관의 수요는 급격히 늘어나고 있다. 하지만 수요에 비해 공급은 대체로 원활히 되고 있는 것이 사실이지만, 정작 국내에서 디지털 포렌식을 독립된 학문으로서 제대로 연구하고 있는 곳은 거의 없는 실정이다. 1. 디지털 포렌식 전문가 양성기관의 부족 디지털 포렌식을 연구하는 10개 이하의 소규모 대학에서는 거의 대부분이 학사과정을 제외하 고, 석사, 박사과정만 제공하고 있다. 이는 한국의 디지털 포렌식을 연구, 교수하는 대학이 체계 화 되어 있지 않고 전문성이 부족하다는 것을 나타낸다고 볼 수 있다. 특히 국가기관, 공공기관, 일반기업에서는 컴퓨터 공학을 전공한 사람을 채용하여 기숭적인 측면에서 경험을 쌓아 가면서 법제도적인 면을 보충해가는 실정이다. 따라서 컴퓨터공학과 더불어 법률지식을 공유하는 융복 합적 사고를 갖는 인재를 양성할 필요가 있음에도 그러한 체계적인 교육이 제대로 이루어지지 않고 있다. 이에 감정인 제도를 도입하는 것이 바람직하다. 감정인 제도는 특별한 지식과 경험을 가지고 있는 전문가로서 사실의 법칙 또는 그 법칙을 구체적 사실에 적용하여 얻은 판단을 법정에서 보 고하도록 하는 제도이다. 법원의 명령에 의한 경우(형사소송법 제169조)와 수사기관의 촉탁(동 제221조의3)에 의해 형 사소송절차에 들어온다. 이에 대한 문제점은 전문수사관이 처음부터 수사에 참여하고, 피의자 17

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 를 조사하고, 공판정에서 증인으로서 증언하는 경우에 과연 증언적격을 갖추고 있고, 일정한 분 야의 전문가로서 과연 어느 정도 전문적인 지식이나 기술적인 능력을 가져야 하며, 전문수사관 이 직접 조사하여 분석한 결과물인 증언내용에 대하여 수사기록과 다른 독립한 증거로 인정할 수 있는지 여부가 중요하다. 2. 교육내용의 표준화 필요 우리나라에서는 10개 이하의 주로 소규모 대학에서 디지털 포렌식을 다루고 있다. 디지털 포 렌식에 대하여 필요한 만큼의 투자가 이루어지지 않음은 물론이고, 이러한 대학들에서조차 표 준화된 교육방법이 존재하지 않는다. 교육 내용을 살펴보아도 상황은 그다지 나아지지 않아서, 법 기술 간의 균형을 이루지 못하고 주로 기술 쪽으로 치우쳐있거나, 디지털 포렌식과 관련된 주제와 현안을 심도있게 다루고 있지 못하다. 특히 디지털 포렌식 실무, 즉 수사현장이나 실제 증거분석실에서 필수적인 업무절차나 지식에 대한 연구가 부족하며, 산 학 연계 또한 극히 미미 한 실정이다. 이러한 국내의 디지털 포렌식 학문의 연구와 교육의 외적, 내적인 열악한 상황 때 문에, 국내의 디지털 포렌식의 연구와 교육은 체계화, 표준화 되지 않고 있다. 현재 국내에서는 표준화도니 교육 모델이 없어, 디지털 포렌식을 연구, 교육하고 있는 기관 임의대로 연구, 교수 되고 있다. 이는 한국의 디지털 포렌식의 발전의 저하로 이어지고 있다. 3. 교육 인재상 부재 교육을 앞서 나아가기 전 대학에서는 융합성 인재상이 부재하며 그것을 이루기 위해서는 어 떠한 체계를 갖춰야 되는지 나와 있지 않다. 4. 교수의 교류 각 대학은 교수의 임의로 되어진 교육모델을 바탕으로 작업 하고 있기에 각 대학의 교수마다 의 교류도 없기에 더 나은 정보를 꾸려 나아가지 못한다. 법률과 정보통신분야등 다양한 관련 통합 강의와 연계가 불투명하다. 18

제1장 서론 5. 취직 진로지도 또한 대학에서 졸업을 하더라도 어떠한 기관에 취직을 해야 되는지 인재상의 부재와 향후 진 로지도에 관한 방향이 없기에 졸업생들은 취직의 어려움을 격을 것이다. 6. 자격시험제도와의 연계 부족 국내에서 디지털 포렌식 학사과정이 있는 대학은 군산대에서만 학사과정을 제공하고 있다. 하지만 군산대에서는 디지털 포렌식 전문가의 능력을 공식적으로 측정할 수 있는 민간, 공인자 격증이나 시험이 없어, 한국 포렌식 학회의 디지털 포렌식 자격증의 시험을 응시하여 디지털 포 렌식의 능력을 측정하고 있다. 한국에서 디지털 포렌식 자격증 제도는 한국 포렌식 학회에서 유일하게 제공 되고 있다. 하지만 한국 포렌식 학회의 자격증은 아직 국가 공인된 자격증이 아니다. 지금 현재 국가 공 인 심사만 남은 상황이고, 한국 포렌식 학회에서 제공하는 자격증은 곧 국가 공인이 될 예정이 다. 현재 미국은 한국과 마찬가지로, 디지털 포렌식과 관련한 민간자격증은 존재하지만, 공인된 자격증은 없다. 한국 포렌식 학회의 자격증이 곧 공인 자격증이 된다면 미국보다 자격증제도의 부분에서는 우수하다 말할 수 있다. 7. 산학 연계가 불투명 디지털 포렌식의 산학 연계가 지금은 절실히 필요한 상황이다. 산학 연계가 잘되어 있지 않은 상황이라 학생들이 졸업 전 실무나 직접적인 경험을 하기는 불가능한 상황이라고 본다. 그러하여, 디지털 포렌식 분야의 전문가의 수요가 급격히 늘고 있고 앞으로도 수요의 증가는 계속 될 것이다. 디지털 전문가의 수와 능력을 향상시키기 위해서는 체계적이고 전문화된 교육 과정이 필요성이 더욱 강조된다. 하지만 현재와 같은 한국의 디지털 포렌식의 체계적이고 표준 화, 전문화 되지 못한 교육 현황과 상태로는 전문가 수요를 만족 시킬 수 도 없을뿐더러, 전문가 의 디지털 포렌식에 관련한 능력도 보장 할 수 없다. 19

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 제2장 포렌식 수요와 준비도

제2장 포렌식 수요와 준비도 포렌식 수요와 준비도 제2장 제1절 모바일 인터넷의 증가와 상용화 모바일 인터넷은 지금 개인용 컴퓨터 인터넷이 발전 한 속도보다 몇 배는 더 빠르게 확산되고 있다. 그래프에서 보는 것과 같이 인터넷이 제공되는 시점에서부터 모바일 인터넷은 11분기 만 에 미국에서 850만 사용자라는 기록을 세웠다 (모바일 인터넷이 데스크톱 인터넷보다 급성장하는 통계) 23

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 모바일 인터넷이 이와 같이 급속도로 성장함에 따라 사용자들의 사용패턴은 기존의 PC를 벗 어나 모바일 스마트기기로 옮겨가는 실정이다. 즉 과거에 PC를 통해서 하던 이메일, 웹서핑, 메 시징 등의 작업이 이제는 스마트폰과 스마트패드에서 이루어지고 있다. 그에 따라 디지털 증거 가 저장되는 위치가 바뀌고 있으며, 스마트기기의 운영체제 또한 급속도로 다변화되고, 저장공 간이 점점 네트워크화됨에 따라 증거의 수집 또한 그 방법이 달라지고 있다. 아래 표에 의하면 2014년에는 모바일 인터넷 사용량이 개인용 컴퓨터 인터넷 사용량을 능가 할 것이라고 예측하고 있다. (모바일 인터넷 사용자가 데스크톱 인터넷 사용자를 능가할것이라는 통계) 이로 인해 모바일 포렌식 분야는 빠른 속도로 기존의 PC 기반 디지털 포렌식 시장을 잠식하 고 있으며, 앞으로 2020년경에는 모바일 포렌식 시장이 기존 디지털 포렌식 시장보다 더 커질 가능성도 배제할 수 없다. 또한 안드로이드와 아이폰 OS는 모든 스마트폰의 시장에 56%와 23%의 점유율로 79%의 스마 트폰 시장을 점유하고 있다. 10) 24

제2장 포렌식 수요와 준비도 세계에서 3G 사용자 즉, 모바일 사용자는 2012현재 약 20억명 정도이며, 전 인구의 33%에 해당하는 수치이며, 2014년에는 28억명, 전 인구의 43%가 일생생활에서 모바일을 사용할 것이 라고 한다. (2014년에는 전세계의 43퍼가 3G를 사용할것이라는 통계) 이러한 빠른 기술의 혁명과 발전은 수사기관에서도 간과해서는 안 된다. 이러한 통신 매체를 통신 수수되는 정보를 수집하기 위해서는 매체개발 속도에 맞추어 포렌식 도구를 개발해야 하 고, 그 수명 또한 빠른 기술의 혁명에 의해 매순간마다 업데이트 되지 않으면 안 된다. 한편 수 사기관으로서는 포렌식 도구를 매 분기 마다 새롭게 개발한다 하더라도 포렌식 도구의 교육과 도입, 그리고 경제적인 측면을 따라가지 못할 것이다. 10) http://www.technobuffalo.com/companies/google/android/android-has-56-1-of-global-os-market-share -gartner-says/ 25

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 제2절 현재 컴퓨터 보안 상태/바이러스 통계 <연도별 모바일 악성코드 통계> 11) 모바일 시대를 맞아 이제 스마트 기기를 대상으로 한 악성코드가 대거 출현하고 있는 실정이 다. 특히 플랫폼이 개방되고 자율성이 보장되는 안드로이드 OS를 목표로 한 공격코드가 2012년 한 해 동안 엄청나게 증가하였다. (2011년 한해 보고된 바이러스 통계) <분기별 신규 발견 모바일 악성코드> 12) 2012년의 악성코드 증가세가 두드러진 경향을 볼 수 있다. 우리나라의 경우 안드로이드 OS의 보급률이 굉장히 높은 데다, 모바일 어플리케이션에 대한 정품 사용 인식이 희박하여 불법 복제 어플리케이션을 다운로드하고 설치하는 과정에서 악성 코드 감염이 될 가능성이 크기 때문에 이러한 모바일 악성코드의 급격한 증가는 우리나라에게 더욱 심각한 위협으로 다가오고 있다. 11) McAfee Labs, McAfee Threats Report: Second Quarter 2012 (2012) p.4 http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q2-2012.pdf 12) McAfee Labs, McAfee Threats Report: Second Quarter 2012 (2012) p.4 26

제2장 포렌식 수요와 준비도 <월별 악성코드 통계> 13) 아래의 그래프는 2011년 7월부터 2012년 6월까지 수집된 악성코드의 누적 총수를 나타낸 것 이다. 매월 상당한 폭으로 증가하고 있으며, 1년간 약 2천만 개의 악성코드가 새롭게 발견된 것 을 볼 수 있다. <신종 루트킷 형태 악성코드 발견 건수> 14) 운영체제의 핵심부분에 파고든 후 은닉하여, 탐지와 제거가 극히 곤란한 루트킷 형태 악성코 드의 분기별 적발 현황이다. 전체적으로 보아 2010년 4분기 이후로 루트킷의 증가 속도가 늘어 13) McAfee Labs, McAfee Threats Report: Second Quarter 2012 (2012) p.6 14) McAfee Labs, McAfee Threats Report: Second Quarter 2012 (2012) p.7 27

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 나고 있다. <사용자를 기만하도록 허위로 디지털 서명된 악성코드 수> 15) 허위의 디지털 인증서로 서명하여 피해자에게 신뢰감을 주도록 설계한 악성코드의 적발현황 을 나타낸 그래프이다. 대부분의 사용자들이 디지털 인증서로 서명된 프로그램을 신뢰하는 경 향이 있으므로 이러한 맹점을 파고드는 소셜 엔지니어링의 전형적인 형태이다. 15) McAfee Labs, McAfee Threats Report: Second Quarter 2012 (2012) p.10 28

제2장 포렌식 수요와 준비도 제3절 과학적증거의 허용성 과학적이고 전문적인 분야에서 관련 증거가 법정에 들어와 사실인정에 기여하기 위해서는 법 원의 확지, 입법에 의한 승인, 당사자의 동의 등 소송관계자의 합의이외에 특정 분야에 있어서 전문적인 지식을 가진 전문가의 증언에 의한 방식을 생각해 볼 수 있다. 과학적 증거를 사실인정의 자료로서 허용성을 인정하기 위해서는 과학적 법칙 및 그것을 이 용한 과학적 검사기술의 타당성이 선행되어야 한다. 이러한 법칙이나 기술은 날로 개발되고, 발 전하게 된다. 새로운 기술이나 법칙이 주장되면 동료들의 반복적인 실험과 검증을 거쳐 하나의 일반원칙으로 승인되는 과정을 거치게 된다. 그렇다면 이러한 과학기술이나 법칙이 언제 실험 적인 단계에서 법원의 확증에 이르는 단계로 이동하는가. 법원의 확지, 법률상 추정이나 당사자 가 동의한 경우라면 법원이 이를 사실인정의 자료로 삼더라도 큰 문제가 없을 것이다. 그러나 새로운 기술이 그러한 법원의 확증을 기다리기에는 시간상 너무나 많은 증거를 잃게 될 우려도 있다. 따라서 비록 확증이 없더라도 관련 분야의 전문가의 지식을 활용하여 어느 정도 중간단계 에서 사실인정자료로 삼을 수밖에 없을 것이다. 미국의 연방항소법원은, Frye v. Unate States 16) 사건의 판례를 통해 인정된 과학적 원리 내지 발견으로부터 연역된 전문가 증언을 허용하는 것은 사건해결에 도움이 되지만, 그 연역의 근거가 되는 사항은 그것이 속하는 특정 분야에 있어서 일반적인 승인을 얻은 충분히 확증된 것 이어a야 한다 고 하여 특정 분야 에서 일반적으로 승인 을 요구함으로써 거짓말탐지기 검사결 과에 대하여 허용성을 부인하고 말았다. 즉, 과학기술에 대한 일반적인 승인을 요하는, 엄격한 기준을 적용하다 보니 상당기간 과학적 인 증거의 대다수를 잃고 말았다. 동 판결의 기준은 연방과 주 법원을 불문하고, 거짓말탐지기 결과만이 아니고 성문감정, 권총발사의 잔류물, 최면법, 모발감정 기타 법의학적 검사에도 널리 적용되었기 때문이다. 이러한 기준에 대해서는 과학기술이 속하는 특정분야가 무엇인지, 일반적인 승인의 개념이 분명하지 않은 경우가 많다는 비판이 가능하다. 즉, 과학기술은 단일 학문분야의 성과라고 하기 16) 293 F. 1013(D. C. Cir. 1923). 29

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 곤란한 경우가 많고, 이러한 관련 분야의 선택이 일반적으로 승인된 기준 결정에도 상당한 영향 력을 행사할 수도 있기 때문이다 17). 이러한 비판에 따라 과학적 증거의 허용성에 관하여 기준을 완화하거나 별도의 기준을 두기 보다는 차라리 다른 일반적인 증거와 같이 관련성만 있으면 족하다는 이론들이 제시되고 있다. 전문가의 증언은 우리 현행법상 감정 증언제도(형사소송법 제169조)이외에 전문수사자문위원 제도(제245조의2)를 통해 도입되어 있다. 즉, 현행법은 검사가 공소를 제기함에 있어서 사실관 계를 분명하게 하기 위하여 필요한 경우에는 직권이나 피의자 또는 변호인의 신청에 의하여 전 문수사자문위원을 지정하여 수사절차에 참여하게 하고 자문을 들을 수 있다. 다만 이러한 감정인이나 수사전문자문위원 제도 이외에 특정분야의 전문가가 초동수사에서부 터 개입하여 증거수집을 하고, 이를 분석하여 수사에 참고하도록 하고, 일부를 보전하여 검증용 에 제공함과 동시에 기소 후 법정에 증인으로 출석하여 증언을 하는 제도를 생각해 볼 수 있다. 우리 현행법 상 이러한 조사자가 법정에서 진술할 수 있는 제도적 장치로서는, 감정증인, 일 반적인 증인과 수사전문자문위원제도의 활용, 형사소송법 제316조에 의한 조사자의 증언제도 등을 검토해 볼 수 있다. 수사전문관은 이미 초동수사단계에서부터 직접 수사에 관여한 만큼 객 관적이고 공정성이 담보되고 있는 감정증인과 같은 증언능력을 인정할 수는 없을 것이다. 가사 이를 허용한다고 하더라도 증언의 신용성은 많이 떨어 질 것이라는 점에 대해서는 쉽게 상상할 수 있다. 한편으로는, 비록 수사전문관이 수사관의 직책을 수행한다고 하더라도 당해 분야의 전문가인 이상 관련 물적증거나 자료의 성립의 진정이나 성상, 형태에 대해서 사실 인정자에게 보고적 기 능을 수행할 수는 있을 것이다. 그러한 한도에서 진술증거의 신용성과 객관성을 확보하기 위해 서 어떠한 방법이 있을 수 있는가 하는 문제가 여전히 남게 된다. 미국에서는 법관이 특정 분야의 증거나 사실관계를 이해함에 있어서 과학적, 기술적, 또는 기 타 전문지식의 조력을 받기 위해 전문가를 증인으로 소환하는 경우, 당해 전문가가 증인으로서 자격을 갖추기 위해서는, 그에 관련된 주제에 대한 "지식, 기술, 경험, 훈련, 아니면 교육"을 갖 17) United States v. Williams, 443 F. Supp. 269, 273(S.D.N.Y. 1977); Commonwealth v. Devlin, 310 N.E. 2d 353, 356 (Mass. 1974); 2d 1194, 1198(2d Cir. 1978). 30

제2장 포렌식 수요와 준비도 추고 있음을 입증하면 충분하다는 것으로 연방 증거법 제702조 18) 를 근거로 하고 있다. 이 규정 에 근거하여 훈련 받은 컴퓨터 포렌식 수사전문관들은 자격을 갖춘 전문가로서 증언능력을 인 정받고 있다. 많은 주에서는 연방 증거법 901(b)(9) 19) 규정이나 이에 상응하는 주( 州 ) 법령에 의해 검증되 거나 조사과정에서 더 객관적이고 경험적인 조사결과물을 제시하는 경우에는 전문가증언에 대 신하여 이러한 수사전문관을 증인으로 출석시켜 증언케 하고 있다. 주요사례로서, United States v. Scott-Emuakpor 20) 사건에서 컴퓨터 포렌식 수사를 수행 한 미국 재무부 비밀 검찰국 직원(U.S. Secret Service agents 21) )이 스스로 찾아낸 증거의 증 거능력을 부여하기 위해서 당해 수사관이 전문가로서 증언능력을 갖추는가. 즉, 컴퓨터 포렌식 분야에서 필요한 능력이 있는 전문가라고 할 수 있는지에 대하여 직접적으로 다투어 졌다. 동사 18) 연방 증거법 제702조, 사실인정자가 증거를 이해하거나 사안의 사실관계를 결정하는 데에 있어서 과학적, 기술적, 또 는 기타 전문지식의 조력을 받을 경우, 지식과 기술 및 경험을 갖추고 훈련, 교육을 받은 전문가로서 검증된 증인은 (1) 증언이 충분한 사실 또는 자료에 근거하였고, (2) 증언이 검증된 이론과 수단에 의하여 도출되었으며, (3) 증인이 그 이론과 수단을 해당 사안에 적절히 적용한 경우에 한하여, 의견 또는 그 밖의 형태로 진술할 수 있다. (If scientific, technical, or other specialized knowledge will assist the trier of fact to understand the evidence or to determine a fact in issue, a witness qualified as an expert by knowledge, skill, experience, training, or education, may testify thereto in the form of an opinion or otherwise, if (1) the testimony is based upon sufficient facts or data, (2) the testimony is the product of reliable principles and methods, and (3) the witness has applied the principles and methods reliably to the facts of the case.) 19) 연방 증거법 제901조, (a) 총설 인정가능성에 선행하는 조건으로서 증명이나 검증이 요구되며, 이는 안건이 당사자의 주장과 일치한다는 판 단을 지지하기에 충분한 증거에 의하여 충족된다. (The requirement of authentication or identification as a condition precedent to admissibility is satisfied by evidence sufficient to support a finding that the matter in question is what its proponent claims.) (b) 본조의 조건을 충족하는 증명이나 검증의 예는 다음과 같다. 단 이에 국한되지 아니한다. (By way of illustration only, and not by way of limitation, the following are examples of authentication or identification conforming with the requirements of this rule:) (9) 과정 또는 체계. 특정한 과정 또는 체계를 기술한 증거. 그 과정 또는 체계에 의하여 어떤 결과를 도출할 수 있다는 것과, 정확한 결과를 도출할 수 있음이 증명되어야 한다. (Process or system. Evidence describing a process or system used to produce a result and showing that the process or system produces an accurate result.) 20) 2000 WL 288443 (W.D.Mich. 2000). 21) 미합중국 비밀검찰국의 임무는 국가의 재정적 기반과 지불수단체계를 수호하여 국가경제의 건전성을 확보하고, 국가의 지도자, 타국 또는 미합중국을 구성하는 주의 지도자, 중요한 특정 지역과 국가특수보안상황을 보위하는 데에 있다. (The mission of the United States Secret Service is to safeguard the nation's financial infrastructure and payment systems to preserve the integrity of the economy, and to protect national leaders, visiting heads of state and government, designated sites and National Special Security Events.). 따라서 1)금융 업무: 미국의 화폐와 국채의 위조 사건을 조사 및 방지하고 대규모의(major) 사기 사건을 조사하고, 2)보호 업무: 국가 중요인사의 경호. 경호 대상은 주로 대통령(과 그 가족), 전 대통령(과 그 가족), 부통령, 대통령후보(와 그 가족), 외국의 대사 및 주요인사 경호 업무를 주된 업무로 하고 있다(http://www.secretservice.gov/) 31

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 건의 발달은 피고인 측에서 특히 컴퓨터 포렌식 분야에서 전문가가 아님을 자인하고 있는 재무 부 비밀검찰국 직원은 컴퓨터 조사 결과들에 대한 증언을 할 자격이 없다고 반박하면서 예비적 으로 재정신청을 하였다. 이에 대해서 법원은 어느 쪽 증인이라도 컴퓨터 장비를 조사하거나 그 조사의 결과들을 증언 하지 못할 이유가 없다. 이러한 문제는 증인들이, 예를 들어, 정교한 소프트웨어 프로그램을 개 발할 수 있는 전문적 지식이 있는지의 여부가 중요하지 않다. 문제는, 그들이 하드 드라이브나 zip드라이브에 무엇이 들어있는지를 알아낼 수 있는 기술이 있는지 문제이다. 분명히, 그들은 드라이브에 들어있는 내용을 조사하였기 때문에 적절한 기술이 있었을 것이다. 영문학 전문가 가 아니어도 글을 읽을 수 있듯이 USSS 요원이 컴퓨터 포렌식 분야 전문가가 아님을 자인하 였다는 사실은 법원에 대해 법적 구속력이 없다 고 하고 있다. 계속해서 Galaxy Computer Services, Inc. v. Baker 22) 사건에서도 비슷한 취지의 판결을 하고 있다. 동 사건은 피고 측이 Paul Taylor에 대한 전문가의 증언을 막으려고 예비적으로 재 정신청을 하였다. 컴퓨터 포렌식 분야에서 5년 동안 일해 온 테일러는 아홉 개의 하드 드라이브 를 분석하였으며 피고가 삭제한 특정파일을 복구하여 동 파일에 기록된 내용을 전문가 보고서 에 상세히 기재하였다. 원고는 복구된 문서를 증거로서 인정하고, 증거문서의 불법 파기에 관한 고의적인 범행을 저질렀다는 사실을 배심원 설시(jury instruction)에 포함시킬 수 있도록 허용 해줄 것을 요구하면서 테일러를 증인으로 신청하였다. 23) 한편, 피고 측은 테일러 조사관은, 컴퓨터 전문가로서 증언할 자격이 없다. 왜냐하면, (1) 그 는 컴퓨터과학 학위를 가지고 있지 않았다. (2)그는 다른 컴퓨터 언어를 유창하게 구사하지 못 한다. (3)그는 컴퓨터 프로그래머가 아니다. (4)그는 컴퓨터과학 증명서를 가지고 있지 않았다. (5)그는 마이크로소프트 증명서를 받기 위한 특별한 교육이나 훈련을 받지 못하였다 등의 주장 을 하였다. 이에 대해 법원은 조사관의 지식, 기술, 경험, 훈련, 그리고 교육을 근거로 그는 전문가 증인 으로서 자격이 충분하다 고 판결하였다. 결론적으로 컴퓨터 포렌식 전문가로서 컴퓨터 프로그래밍이나 또는 코드를 읽고 쓰는 전문적 22) Galaxy Computer Services, Inc. v. Baker, 325 B.R.544 (E.D.Va.2005). 23) Id. at 562. 32

제2장 포렌식 수요와 준비도 인 지식을 요구하는 것은 아니다. 위 테일러와 같이 일정한 기간 즉, 컴퓨터 포렌식 분야에서 5년 동안 일해 왔고, 그 기간 동안 그러한 조사결과물을 근거로 전문가 보고서를 작성하고, 이 를 증언한 것이라면 전문가 증인으로서 인정할 수 있다는 것이다. 나아가, United States v. Hilton 24) 사건은 컴퓨터 수사전문관에 의한 전문가적 증언 에 의 해 사실인정을 한 아주 좋은 표본이다. 검찰 측 증인인 막스는, 본건 범죄사실인 아동포르노 사진의 소지와 인터넷을 통한 유통혐의 를 입증하는 자료로서, 다음의 두 가지 사실을 증언하였다. 먼저, 본건 아동 포르노 파일은 MIRC 디렉토리(subdirectory)에서 발견되었으며, 이 디렉 토리에는 인터넷 채팅방(IRC: Internet Relay Chat)에 참여하여 대화를 가능케 하는 소프트웨 어(mIRC)가 들어 있다는 사실을 발견하였다. 따라서 막스 요원은 법정에서 자신의 전문적 견해 에 의하면 아동 포르노 파일은 인터넷을 통해 다운받았다는 것을 추정할 수 있다 는 증언을 하 였다. 둘째로, 각 아동포르노파일의 날짜와 시간 정보(time stamp)는 당해 파일이 모뎀을 통하여 전송되었음을 나타낸다 고 증언하였다. 피고인은, 모뎀의 역할과 기능에 대해서 일반적으로 모르는 사실이고, 이를 증거로 이용한다 는 사실에 대하여 사전 또는 사후에 당사자에게 알려 주지 않았고, 따라서 연방증거법 201조에 의해 1)해당 사실이 일반적으로 알려졌거나, 또는 반박할 수 없는 근거에 의하여 간단히 증명될 수 있고, 2)사실 인정을 전후하여 각 당사자들이 그 사실 인정에 대하여 이의를 제기할 기회가 주어져야 한다는 규정을 근거로 본 건 모뎀과 관련된 사실인정은 부정되어야 한다고 주장하였 다. 또한, 막스의 추상적인 증언(speculative testimony) 만으로는 합리적 의심 을 초월하는 증언에 이르지 못하였다고 주장하였다. 이에 대해 법원은 검찰은 모뎀 전송에 대한 직접적 인 증거를 제시할 필요는 없고, 막스 수 사전문관의 법정 증언은 그 파일들이 인터넷 또는 전화망을 통하여 전송되었음을 인정하기에 부족하지 않다 25) 고 하여 인터넷을 통하여 포르노그래피를 주고받은 사실에 대해 유죄를 인정 24) 257F.3d 50 (1stCir. 2001). 25) But the government was not required to provide direct evidence of interstate transmission, Blasini-Lluberas, 169 F.3d at 62, and we cannot say that Marx's unchallenged expert testimony was 33

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 하였다. 즉 미국의 경우 수사전문관의 경우 자신이 사용한 도구와 그 결과물에 대하여 전문가로서의 증언을 할 수 있고, 전문가 증언으로서 독립된 가치를 인정하고 있다. 해당 부분에 대한 특별한 자격이 없다고 하더라도 일정한 훈련을 받았거나 일정기간 업무를 담당하였다면 전문가로서의 증언을 함에 있어서 다르지 않다고 하고 있다. 서울중앙지방법원 26) 은 속칭 일심회 국가보안법위반 사건 판결에서 법원의 검증절차에 참 여하여 이를 주도적으로 진행한 증인 정 무의 전자적 정보 분석능력과 그 증언은 신뢰할 수 없 으므로, 위 문건들은 독립적인 증거로 사용할 수 없다 는 변호인 측의 주장에 대해서 이 법원 의 검증조서, 증인 정 무의 증언 및 기타 이 사건 변론에 나타난 제반 사정을 종합하면, --- 피고인들 및 검사, 변호인들이 모두 참여한 가운데 이 법원의 전자법정시설 및 EnCase프로그램 을 이용하여 법원의 검증절차가 이루어졌는바, 검증 당시 규격에 적합한 컴퓨터와 EnCase프로 그램을 이용하여 적절한 방법으로 검증절차가 진행되었으므로, 컴퓨터의 기계적 정확성, 프로 그램의 신뢰성, 입력, 처리, 출력의 각 단계에서의 컴퓨터 처리과정의 정확성, 조작자의 전문적 기술능력 등의 요건이 구비되었다고 보이고, 달리 그 요건의 흠결을 의심하거나 신뢰성을 배척 할 만한 사정은 보이지 아니하며, 위와 같은 검증절차를 거쳐, 디지털 저장매체 원본을 이미징 한 파일에 수록된 컴퓨터파일의 내용이 압수물인 디지털 저장매체로부터 수사기관이 출력하여 제출한 문건들에 기재된 것과 동일하다는 점이 확인되었으므로, 앞서 본 증거의 요지 란에 거 시된 문건들은 증거능력이 적법하게 부여되었다고 할 것이어서 변호인들의 이 부분 주장은 이 유 없다 고 하였다. 이는 검증조서 등 서면의 증거에 대하여 독립적인 증거로서의 가치는 물론 수사전문관의 사용도구와 엔케이스 프로그램 등에 관한 전문적인 증언능력을 인정하였다는 점 에 의의가 있다. 동 사건에 대한 대법원의 판례 27) 또한, --각 디지털 저장매체가 봉인된 상태에서 서울중앙 지방검찰청에 송치된 후 피고인들이 입회한 상태에서 봉인을 풀고 세계적으로 인정받는 프로그 램을 이용하여 이미징 작업을 하였는데, 디지털 저장매체 원본의 해쉬(Hash) 값과 이미징 작업 을 통해 생성된 파일의 해쉬 값이 동일한 사실, 제1심법원은 피고인들 및 검사, 변호인이 모두 insufficient for a finding that the images were transmitted over the Internet or telephone lines. United States v. Czubinski, 106 F.3d 1069, 1074 n. 5 (1st Cir.1997). 26) 서울중앙지법 2007.4.16. 선고 2006고합1365 등 27) 대판 2007.12.13. 선고 2007도7257[공2008상,80] 34

제2장 포렌식 수요와 준비도 참여한 가운데 검증을 실시하여 이미징 작업을 통해 생성된 파일의 내용과 출력된 문건에 기재 된 내용이 동일함을 확인한 사실을 알 수 있는바, 그렇다면 출력된 문건은 압수된 디지털 저장 매체 원본에 저장되었던 내용과 동일한 것으로 인정할 수 있어 증거로 사용할 수 있다 고 함으 로써 이에 관한 수사전문관의 증언능력을 인정하고 있다. 그러면서도 피고인이 성립의 진정을 부인하는 나머지 서류 등에 대해서는 전문법칙의 예외규정인 형사소송법 제313조의 소정을 요 건을 갖추지 못하였다는 이유로 증거능력을 부인함으로써 위 수사전문관의 증언에 의한 문서의 성립의 진정을 부인하고, 독립한 증거로서의 가치도 부인하였다. 결국 수사초기단계에서부터 법정의 증언에 이르기까지 일련의 과정을 일관되게 설명해 주기 위한 수사전문관의 증언에 대해 독립적인 가치가 있는 증거로서 평가 받을 수는 없는가. 문제는 이러한 수사전문관의 증언에 대해 어떻게 공정성을 유지할 것인가에 달려 있고, 이를 객관적으 로 담보할 수 있는 방안 연구가 향후 과제로 남는다. 35

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 제4절 디지털 포렌식의 수요 1. 수요개요 여러 차례의 세계대전을 통해 수많은 인명살상을 경험한 인류는 서로에게 막심한 피해를 입 힐 수 있는 물리적인 전면전을 되도록 피하고 있다. 하지만 물리적 전쟁이 물러난 공간에는 첨 단기기를 이용한 사이버전쟁이 새롭게 자리잡고 있다. 각종 디지털기기의 발달과 함께 해킹이 전 세계적으로 산업화 조직화되고 있으며 산업전쟁의 시대와 맞물려 각 기업들은 내 외부자에 의한 산업기술유출 문제로 골머리를 앓고 있다. 우리나라도 예외가 아니다. 반도체, 조선, 자동차 등 다양한 분야의 기술을 비약적으로 발전 시킨 우리나라 핵심기업을 노린 기술유출시도는 2000년대 들어 교묘하고 집요하게 나타나며 국 부 유출의 주범이 되고 있다. 국정원 산업기밀보호센터에 따르면, 지난 2003년부터 국내 첨단기술의 해외유출 사건 발생 건수가 매년 두 배 이상 꾸준히 증가해 2011년 현재 누적 피해 금액이 400조원을 넘어선 상태 다. 2012년도 한해 예산이 325조원 수준임을 감안하면 부실한 사내 정보 관리를 통해 국가기술 과 기업의 가치가 얼마나 심각하게 훼손되고 있는지 알 수 있다. 실제 전문가들은 반도체 LCD 등 일부 국가핵심기술의 경우 다양한 경로의 유출을 통해 중국 등 후발주자들과 기술 격차가 크게 줄어들었다고 분석하고 있다. 산업기밀은 다양한 경로로 유출된다. 특히 중국 업체로의 산업기밀유출사례가 빈번하게 발생 하고 있다. 지난 2009년 국내 3D 제조업체인 A사의 연구소장과 동종업체 B사의 대표는 중국에 3D입체영상을 개발하는 자회사를 설립키로 하고 A사의 3D제조기술이 담긴 파일을 유출해 중국 업체에 넘기려다 정보당국에 적발됐다. 이같은 유출을 방지하려면 USB 사용 차단, 웹메일 첨부파 일 차단 및 기록 등으로 사전에 유출을 방지하고, 정보 유출을 확인했을 시 유출된 파일에 대한 접근기록 분석 및 메일 민 인터넷 사용흔적 분석 등을 통해 정확한 유출 경로를 조사해야 한다. 또 협력업체 직원을 통한 기술 유출이 핵심기술을 보유한 기업에 가장 큰 위협이 되고 있다. 2010년 국내 반도체제조회사 C사에 반도체 장비를 납품하는 협력업체 D사는 애프터서비스를 36

제2장 포렌식 수요와 준비도 빙자해 영업비밀서류를 절취하거나 친분을 이용해 C사의 영업기밀을 빼내는 수법을 통해 국가 핵심기술로 지정돼 있는 C사의 반도체 핵심기술을 유출하려다 정보기관에 적발됐다. 이를 막기 위해서는 대외비 파일접근 인허가 및 기록관리 시스템을 도입하고 외주직원과 프로젝트 완료시 반출 전 디스크이미지를 복제하고 사고발생시 확보한 증거이미지를 통한 디지털 포렌식 정밀분 석을 수행하는 작업이 필요하다. 디지털 포렌식 이란 디지털데이터(전자정보)를 과학적 절차와 기법을 사용해 수집하고 분석 해 증거로 제출하는 제반 행위를 일컫는 말로 일반적으로 컴퓨터나 디지털증거의 수집, 보존, 분석, 문서화 이후 법정 제출의 단계로 이뤄집니다. 현재 포렌식은 범죄수사, 민사분쟁, 침해사 고 대응 등 다양한 분야에 유용하게 쓰이고 있으며 기업 내 정보감사 및 산업기밀유출방지를 위 한 활동에도 포렌식이 도입되고 있다. 2. 수사 또는 조사담당 국가기관의 수요 디지털 포렌식을 활용해 각종 기술유출을 방지하고 적법한 수사기록을 확보해 법원에 증거로 제출하고 증거로 인정받기 위해서는 무결성 을 유지하는 것이 핵심입니다. 검색파일에 대한 해 시값 추출로 파일에 대한 무결성을 유지한 채 법원에 증거로 제출되어야 그 효력을 인정받을 수 있기 때문이다. 디지털 포렌식 도구로는 원본 디스크에 손상이나 변경이 가해지는 것을 방지하고 증거제출 등을 위해 동일한 형태로 미러 이미지 파일을 생성하기 위한 디스크 복제 이미징 도구, 증거물 이 부당하게 훼손되거나 변경되지 않았다는 것을 검증하는 데이터 무결성 검증 도구, 디스크에 서 삭제되거나 손상된 데이터를 복구 분석하기 위한 데이터 복구 및 분석 도구, 시스템이나 문 서파일에 암호가 설정돼 있는 경우 이를 복원해내는 암호복구 도구 등 디지털 정보 유출자의 발자취를 꼼꼼하게 추적할 수 있는 다양한 기술이 있다. 국내 정부 기관은 디지털 포렌식을 다양하게 활용하고 있다. 2010년 공정위원회와 국세청은 디지털 포렌식팀을 설치했고, 국세청도 과학적 과세증거 확보 등을 전담할 첨단탈세방지센터 를 설치하는 등 각종 수사영역에 디지털 포렌식을 활용하고 있다. 공정위는 카르텔 조사를 위해 증거를 인멸하기 위해 컴퓨터 하드디스크에서 지워진 파일을 복구하고 증거를 찾아내기 위해 포렌식을 도입했으며 국세청도 탈세 적발에서 각종 자료의 진본 여부 감정을 위해 포렌식 기술 37

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 을 적극 활용하고 있다. 수사기관은 첨단범죄를 수사할 수 있는 전문팀을 꾸리고 디지털 포렌식을 활발하게 활용해 각종 범죄 수사에 포렌식을 적극 활용중이다. 검찰 경찰 국정원 등 수사기관은 각종 해킹사건 수사부터 범죄사건 수사까지 포렌식을 활용하고 있다. 일상생활에서 벌어지는 고소-공갈 수사 를 위한 휴대폰 모바일 분석부터 최근 벌어진 일부 정당의 선거 부정 선거 의혹 조사 28) 등까지 포렌식 기술의 적용은 전방위로 확대되고 있다. 2010년 7월 접수된 한 내연남에 의한 강간사건 수사에서는 수사기관이 내연기간 중 주고받은 문자 내용을 복원해 피의자에 무죄를 선고하는 등 각종 조작과 파손으로 인한 디지털 증거의 변형은 수사기관이 포렌식 기술을 통해 복원해 범 죄혐의를 입증해내고 있다. 특별한 훈련과 전문자격증이 요구되어지는 가장 중요한 전담요원은 바로 사건반장(the case supervisor)과 2명의 컴퓨터증거채집팀(technical evidence seizure and tagging team)이다. 팀별로 구성하면 다음과 같다: 컴퓨터 영장수색팀 구성 직무(role) 임무(duties) 비고 사건반장 (The case supervisor) 인터뷰팀 (interview team) 현장사진팀 (sketch and photo team) 현장수색팀 (physical search team) 검거팀 팀의 총 책임자 팀원과 장비에 대한 관리와 계획 사건에 대한 감독과 상부에 보고의무 예산편성 수색영장청구 증인과 용의자에 대한 심문 현장에 대한 스케치 현장 내부와 외부 전체에 대한 사진 촬영 모든 증거물에 대한 사진 촬영 모든 현장에 대한 수색 모든 증거물과 증거물 위치에 대한 색표시 작업 사건현장에 대한 보안 유지 총괄 수사관 28) 2012년 5월 12일 경향신문 기사, 검찰, 경선부정 의혹 통합진보당 전격 압수수색 http://news.khan.co.kr/kh_news/art_print.html?artid=201205210836161 38

제2장 포렌식 수요와 준비도 직무(role) 임무(duties) 비고 (security and arrest team) 컴퓨터증거채집팀 (a technical evidence seizure and logging team) 증거물에 대한 보호 용의자 체포 증거물의 압수 증거물 자료에 대한 접속 증거물을 박스나 가방에 보관하고 식별표시 해둠 컴퓨터를 끄고 안전한 곳을 옮김 조사관 3. 기업 법무에 있어서 수요 향후 기업 영역에서도 산업유출방지 및 사내 감사를 위한 디지털 포렌식 활용이 늘어날 전망 이다. 이에 발맞춰 법무법인 회계법인 등에서도 관련 팀을 꾸리고 늘어나는 기업 내 디지털 포 렌식 수요에 대응하고 있다. 포렌식 업무를 수행하는 사고처리사 들은 포렌식 원칙, 지침, 절차, 도구, 그리고 기술에 대 한 포괄적지식이 있어야하며, 데이터를 은폐하거나 파괴할 수 있는 안티 포렌식 도구와 기술에 대한 학식도 있어야 한다. 또한, 사고처리 사 들이 가장 흔히 사용되는 OS, 파일시스템, 응용 프로그램, 그리고 네트워크 프로토콜과 같은 정보보안이나 특수한 기술적 주체에 대한 전문지 식이 있으면 유리할 수도 있다. 이와 같은 지식은 사고에 더욱 빠르고 효율적으로 응답할 수 있 도록 한다. 사고처리 사 들은 흔하지 않은 응용프로그램 데이터의 조사와 분석 같이 특정한 포 렌식업무에 어떤 팀 및 직원이 가장 적절한 전문적 기술을 제공할 수 있는지를 빨리 결정할 수 있도록 시스템과 네트워크를 포괄적이고 광범위하게 이해하고 있어야 한다. 포렌식 업무를 수행하는 직원이 다른 업무를 수행해야 할 수도 있다. 예를 들어, 조사의 결과 가 법정에서 사용된다면 사고처리 사 들은 법원에서 증언을 하고 조사결과를 보강해야 할 수도 있다. 사고처리 사 들은 기술지원 직원, 시스템과 네트워크 관리자, 그리고 다른 IT 전문가들 에게 포렌식에 대한 교육을 할 수도 있다. 교육에 대한 주제로 포렌식 도구와 기술의 개요, 특 정한 도구에 대한 조언, 그리고 새로운 종류의 공격 신호 등이 있다. 사고처리 사 들은 IT 전문 가 단체와 대화형 세션(interactive session)을 가져 포렌식 도구에 대한 전문가들의 견해를 듣 고 현재의 포렌식 역량의 잠재적인 취약점들을 확인하기를 원할 수도 있다. 사고처리 팀에서는 일원의 부재로 인한 타격을 최소한으로 하기 위하여 한명 이상의 팀 일원 39

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 이 모든 보편적인 포렌식업무를 수행할 수 있어야한다. 사고처리 사 들은 포렌식 도구와 기술 의 사용법과 절차적 주제들을 서로 가르칠 수 있다. 실질적인 훈련과 외부적 IT와 포렌식 교육 코스도 새로운 도구와 기술의 능력을 쌓고 유지하는데 큰 도움이 될 수 있다. 추가적으로, 새로 운 도구나 기술을 실연해 팀 일원들에게 보이거나 실험실에서 포렌식과 안티포렌식 도구들을 시험해 보는 것도 유익할 것이다. 이것은 특히 사고처리 사 들이 휴대전화나 PDA같은 장치에 서의 데이터 수집, 조사, 그리고 분석과정을 더욱 익숙케 할 때 유용하다. 사고처리 사 들은 새로운 포렌식 기술, 기법 그리고 절차에 대한 최신 정보를 알고 있어야 한다. 4. 법무법인 등 소송관련 업무 변호사들이 업무 또한 디지털 포렌식과 직결된 업무이다. 포렌식 절차가 전자적 증거의 적절 한 수집과 분석, 증거개시와 증거조사와 관련된 업무인 만큼 이를 주된 업무로 처리하는 변호사 의 입장에서는 이러한 포렌식 절차를 숙지하지 않으면 안 된다. 일부 법무법인에서는 이미 포렌 식 팀을 가동하여 송무활동에 도움을 주고 있다. 5. 보험조사관 등 민간 조사업의 수요 보험조사관의 경우 향후 민간조사업법이 제정되면 민간조사관의 경우에도 포렌식 교육이 필 요하다. 더존정보보호서비스 이찬우 대표는 디지털 범죄조사를 위해 시작된 포렌식이 회계부정 등 기업 내부감사 등 조사가 필요한 영역에서 필수요소로 떠오를 것이라고 전망하고 있다 면서 정 보 유출사고 발생 후 빠른 원인분석과 효과적인 대응을 가능하게 할 수 있는 디지털 포렌식준 비도 의 마련이 시급하다 고 강조하고 있다. 29) 29) http://www.dt.co.kr/contents.html?article_no=2012061102011860785002 40

제2장 포렌식 수요와 준비도 제5절 전문가 증언의 필요성 시험제도의 빠른 정착을 위해서는 무엇보다도 법원의 송무과정에서 전문조사관이 법정증인으 로 참여하거나 국가기관이나 법무법인, 일반기업으로부터 분석, 검증의뢰 등 업무에 관여하는 것이다. 전문가가 법정에 증언을 함에 있어서는, 1)일정한 분야의 전문가로서 과연 어느 정도 전문적 인 지식이나 기술적인 능력을 가져야 하는가의 문제와 2)전문수사관이 직접 조사하여 분석한 결 과물인 증언내용에 대하여 수사기록과 다른 독립한 증거로 인정할 수 있는가 하는 문제가 포함 되어 있다. 전자는 전문가 증언의 증거능력에 관한 문제이고, 후자는 수사관여자 진술의 증명력 의 문제이다. 먼저, 미국에서는 법관이 특정 분야의 증거나 사실관계를 이해함에 있어서 과학적, 기술적, 또는 기타 전문지식의 조력을 받기 위해 전문가를 증인으로 소환하는 경우, 당해 전문가가 증인 으로서 자격을 갖추기 위해서는, 그에 관련된 주제에 대한 지식, 기술, 경험, 훈련, 아니면 교육 을 갖추고 있음을 입증하면 충분하다고 한다. 즉, 연방 증거법 제702조 30) 가 이를 규정하고 있 다. 이 규정에 근거하여 훈련 받은 컴퓨터 포렌식 전문수사관들이 자격을 갖춘 전문가로서 미국 의 법정에서 증언하고 있다. 주요사례로서, United States v. Scott-Emuakpor 31) 사건에서 법원은 어느 쪽 증인이라도 컴퓨터 장비를 조사하거나 그 조사의 결과들을 증언하지 못할 이유가 없다. 이러한 문제는 증인 들이, 예를 들어, 정교한 소프트웨어 프로그램을 개발할 수 있는 전문적 지식이 있는지의 여부가 중요하지 않다. 문제는, 그들이 하드 드라이브나 zip드라이브에 무엇이 들어있는지를 알아낼 수 있는 기술이 있는지 문제이다. 분명히, 그들은 드라이브에 들어있는 내용을 조사하였기 때문에 30) 연방 증거법 제702조, 사실인정자가 증거를 이해하거나 사안의 사실관계를 결정하는 데에 있어서 과학적, 기술적, 또 는 기타 전문지식의 조력을 받을 경우, 지식과 기술 및 경험을 갖추고 훈련, 교육을 받은 전문가로서 검증된 증인은 (1) 증언이 충분한 사실 또는 자료에 근거하였고, (2) 증언이 검증된 이론과 수단에 의하여 도출되었으며, (3) 증인이 그 이론과 수단을 해당 사안에 적절히 적용한 경우에 한하여, 의견 또는 그 밖의 형태로 진술할 수 있다. (If scientific, technical, or other specialized knowledge will assist the trier of fact to understand the evidence or to determine a fact in issue, a witness qualified as an expert by knowledge, skill, experience, training, or education, may testify thereto in the form of an opinion or otherwise, if (1) the testimony is based upon sufficient facts or data, (2) the testimony is the product of reliable principles and methods, and (3) the witness has applied the principles and methods reliably to the facts of the case.) 31) 2000 WL 288443 (W.D.Mich. 2000). 41

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 적절한 기술이 있었을 것이다. 영문학 전문가가 아니어도 글을 읽을 수 있듯이 USSS 요원이 컴퓨터 포렌식 분야 전문가가 아님을 자인하는 사실은 법원에 대해 법적 구속력이 없다 고 하 고 있다. 전문수사관의 경우 자신이 사용한 도구와 그 결과물에 대하여 전문가로서의 증언을 할 수 있 다고 생각된다. 해당 부분에 대한 특별한 자격이 없다고 하더라도 일정한 훈련을 받았거나 일정 기간 업무를 담당하였다면 전문가로서의 증언을 함에 있어서 다르지 않다. 다음, 필요한 자료의 압수 수색에서부터 피의자의 조사에 이르기까지 수사의 전 과정에 관여 한 전문수사관의 경우, 비록 전문가로서 증언을 할 수 있다고 하지만 과연 이러한 전문가로서의 소견증언은 어느 정도 증명력을 가질 것인가. 수사과정에서 접하게 되는 다른 증거 즉 자백이나 기타 다른 증거물 등과 다른 별개의 독립된 증거로서 가치를 인정받을 수 있는가. 전문가의 증언이 증거로서 작용하는 사례를 기능별로 보면 1)자백의 신용성을 보강하는 보조 증거가 되는 경우로서 독극물로 살해 하였다는 자백에 대해서 사체에서 독극물이 검출되었다 는 감정결과가 이에 해당한다. 32) 2) 다음으로 범죄현장에 유류된 정액이나 타액의 혈액형이 피고인의 것과 일치한다 는 법의감정은 피고인이 살해하였다는 직접증거는 아니지만 범행시 범 죄현장에 피고인의 존재 라고 하는 제1차 간접사실을 증명하는 정황증거가 된다. 나아가 3)위 양자의 기능을 모두 겸하는 경우가 있다. 전문가의 증언은 위와 같이 주요사실을 인정하는 직접증거라기보다는 자백의 신용성을 높이 는 보조증거이거나 주요사실을 추인케 하는 간접사실을 증명하는 정황증거에 불과하다. 이러한 정황증거도 증명하려는 주요사실 또는 간접사실과의 관계에서 제1차, 제2차 간접사실로서 주요 사실의 입증과는 점점 멀어지는 경우도 있다. 전문수사관의 경우에는 처음부터 수사과정에 개입하면서 증거능력의 유무를 불문하고 수사과 정에서 얻게 되는 정보와 자료들을 접하게 된다. 따라서 수사과정에서 획득한 다른 수사 자료와 의 상호관계를 무시할 수 없고, 그런 점에서 조사관의 증언의 신빙성은 크게 떨어진다고 하여야 한다. 전문수사관의 증언은 주요사실을 직접 입증하는 증거라기보다는 자백의 신빙성을 담보하거나 32) 이 경우에도 과연 범행시간대 범인으로부터 유래한 것이라는 별도의 판단이 필요함은 물론이다. 42

제2장 포렌식 수요와 준비도 간접사실을 입증하는 정황증거에 불과하다. 그럼에도 불구하고 전문가로서의 증언이라는 이유 로 과대평가 될 수 있다는 점은 항상 유의하여야 한다. 전문수사관의 경우에는 수사기록 일체를 접하고 있으므로 1)수사기록으로부터 영향을 받게 되어 부당한 예단을 갖게 될 수 있고, 2)반대로 피의자나 중요 참고인에게 영향을 주는 경우가 있을 수 있다. 따라서 전문수사관의 증언의 신용성, 공정성을 높이기 위해서는 증언에 참고한 자료가 무엇이 었는지를 진술서에 자세히 기재하게 하고, 이를 상대방에게 열람 등사 제공하는 것이 필요하다. 특히, 신용성을 제고하기 위해서는, 자격을 취득한 사람들에 대해 법원의 감정인 명부상 등재 를 권장하거나 각 수사관이나 일반기업으로부터 감정시료에 대한 분석과 감정 또는 검증형식의 기회에 참여를 확대해 갈 수 있도록 노력할 필요가 있다. 제6절 포렌식 준비도 최근에 발생한 농협 보안사고 33)34) 에서 초기 증거확보가 미흡하여 수사에 혼선이 발생하였 으며, 사고 원인 분석과 적절한 대응이 적시에 이루어지지 못하여 농협에 대한 불신과 사회적 혼란이 가중되었다. 농협 사건 이후 사고 해당 조직에 예방을 위한 합리적 보호조치뿐만 아니라 사고 발생 후에도 피해를 최소화하기 위한 적절한 조치를 해야 할 책임이 요구되고 있다. 이처 럼 최근 해킹 사고의 급증에 따라 사이버 사고 발생 상황 및 원인을 분석할 수 있는 신속한 증거 수집과 효과적 분석을 위한 능력이 개별 기업에 요구되면서 전사적 차원의 포렌식 준비도에 대 한 관심이 높아지고 있다. 해외에서도 다양한 조직에서 사이버공격 및 내부자 위협을 방지하기 위한 디지털 포렌식 대응 기능 마련을 목적으로 디지털 포렌식 준비도가 국가적, 조직적 차원에 서 도입되고 있다. 특별히 사이버 침해사고에 대해 포렌식 준비도가 필요한 이유는 사이버 공격에 소요되는 비 33) 전자신문, 농협 서비스 장애 복구 검찰은 이번 주 수사결과 발표 예정 (2011. 5. 1.) http://www.etnews.com/news/economy/economy/2489984_1493.html 34) 서울경제, '불가항력' 강조에 "구멍가게냐" 거센 비난 (2011. 4. 18) http://media.daum.net/breakingnews/view.html?newsid=20110418181725010 43

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 용에 비해 조사비용이 엄청나게 소요되기 때문이다. 허니팟 프로젝트(Honeypot Project) 35) 에 따르면 공격자가 30분 해킹하였을 때, 이에 대한증거를 수집하고 분석을 통해 원인을 밝히는데 수사관 1인당 34시간이 소모된다고 한다. 즉, 해킹에 소요되는 시간 보다 해킹 조사 분석 시간 이 몇 십배 이상 소요되는 불균형이 존재한다. 따라서 이러한 불균형을 최소화하기 위해서는 효 과적인 증거확보를 위한 철저한 사전준비가 필요한데 바로 이 사전준비 과정이 포렌식 준비도 라고 할 수 있다. 디지털 포렌식 준비도를 통한 조직의 혜택으로는 내부 조사에 드는 비용과 시간의 절감을 통 해 사고 수사의 지연에 의해 발생 가능한 시스템 중단시간 및 복구 시간을 최소화하여 비즈니스 방해를 최소화 할 수 있고, 신속한 사고의 원인 분석을 통한 적시 대응을 가능하게 해준다는 것 이다. 또한 디지털 증거의 법적 증거능력을 확보할 수 있게 해주어 공격자에게 적절한 법적 책임을 물릴 수 있게 된다. 간접적으로는 기업이 합리적인 보호조치를 취하고 있음을 보여줌으로써 기 업의 정보시스템에 대한 신뢰도를 높여주고 사이버 보안 관련 보험료 인하와 함께 사이버 침해 사고 소송에서 승소 가능성과 면책 가능성을 높여주는 효과를 제공할 수 있다. 35) http://honeynet.org/ 44

제2장 포렌식 수요와 준비도 제7절 연구범위 이하에서 연구의 흐름도를 간단히 살펴보면 다음과 같다. 제1장 서론 디지털 포렌식의 의의와 유용성 미국에서는 소송당사자의 의무 디지털 증거의 특성 제2장 포렌식수요와 준비도 제3장 한국 디지털 포렌식 교육현황 포렌식 수요의 증대 스마트폰 등 기술의 혁명 현재 컴퓨터 보안상태 디지털 포렌식의 수요와 바이러스유포 등 관련통계 디지털 포렌식의 준비도 교육 체계 현황 설문조사결과 반영 문제제기 제4장 외국의 교육현황과 시사점 미국의 교육 체계 현황 조지메이슨, 로드 아일랜드, 앨라배마, 센트럴 플로리다, 솔라노 커뮤니티, 웨 스트우드대학, 콜로라도 주립대, 월밍턴대, 아메리칸 인터컨티넨탈대, 앤 아룬 멜 커뮤니티, 센츄리대, 미들섹스커뮤니티, 존제이형사사법대학, 유티카대, 버 틀러카운티 커뮤니티, 데살스대, 쳄벌레인대, 조지메이슨대, 조지워싱턴대, 하 이라인 커뮤니티 수사기관 재교육 기관과 현황 디지털 포렌식 자격제도 일반 디지털 포렌식 분야의 산학협력 미국의 주요판례동향 우리에게 시사점 제5장 바람직한 디지털 포렌식 교육방안모델 제6장 총결 표준적 교육체계 모델(안) 산학협력모델 포렌식 자격제도와 연계방안 검토 바람직한 인재상 구현 과학기술 + 법률 = 융합효과거양 포렌식 전문가제도와 입법적 정비 45

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 제3장 한국 디지털 포렌식 교육 현황

제3장 한국 디지털 포렌식 교육 현황 한국 디지털 포렌식 교육 현황 제3장 제1절 한국 디지털 포렌식 교육 체계 현황 1. 교육기관 성균관대 역량 강화 교육 과정 36) 교육 목표 및 비전 컴퓨터는 일상 법률생활에서 빼 놓을 수 없는 필수적인 도구가 되었다. 컴퓨터에 의해 생성되 는 여러 가지 자료는 여러 가지 편리함에도 불구하고, 그 자료의 방대성, 전문성, 변조용이성 등 디지털 증거가 갖는 특성에 의해 원래의 의미가 왜곡되는 부작용도 가지고 있다. 그래서 디지털 증거는 수집에서부터 보전, 분석 그리고 법정에의 증거제출에 이르기까지 절 36) 한국디지털 포렌식학회, 디지털 포렌식 역량강화 과정, 한국디지털 포렌식학회, (2012) 디지털 포렌식 역량강화 과정_카 다로그6.hwp 49

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 차의 적정성이 확보되어야 하고, 이를 위해 디지털 포렌식 전문가의 양성과 객관적인 시험제도 를 통한 자격제도가 절실히 요청된다. 미국에서는 1990년대 이후 포렌식 절차의 수행은 소송당사자의 법적의무(Gates Rubber Co. v. Bando Chem. Ind., Ltd.)라고 하고 있다. 반면 IT강국이라고 하는 우리나라는 법정에서조차 이에 대한 인식이 부족한 상태이다. 디지털 포렌식 전문가 2급자격시험의 국가공인에 발맞추어 디지털 포렌식의 중요도에 대한 인식을 제고하고, 동 자격제도에 대한 저변을 확산시키기 위해서 최소한의 비용으로 공개 교육 과정을 개설하고 있다. 동 과정은 성균관대학교 산학협력단과 함께 공동운영할 예정이며, 국가기관의 공무원, 공공 기관, 기업, 법무법인의 임직원은 물론 변호사, 로-스쿨생, 대학원과 대학생 이에 관심을 가지 는 모든 사람들이 참여 할 수 있다. 디지털 포렌식 역량 강화 교육 과정 교육은 5일로 이루어지며, 정보화에 따른 디지털기기 사용 급증으로 디지털 포렌식 수요 증 가 예상과 국가 공인에 대비하여 디지털 포렌식의 중요도에 대한 인식 제고 및 저변 확산을 위 하여 교육을 실시하고 있다. 1일차 2일차 3일차 4일차 5일차 - 포렌식 개론 (기초 법률) - 파일시스템과 운영체제 - 개인정보보호 - 컴퓨터 구조와 디지털 저장 매체 - 데이터 베이스 - 응용 프로그램과 네트워크 이해 - 디지털 증거 분석 실습 - 포렌식 개론 (판례 동향) - 디지털 증거 분석 실습 이외 로스쿨 교육과정에서 디지털 포렌식 이라는 과목을 개설하여 기업법무 특성화 과목에 편입하려고 하고 있다. 이에 대한 구체적인 강의계획서는 제5장 3. 디지털 포렌식 교육방안 모 델 해당부분 참조. 50

제3장 한국 디지털 포렌식 교육 현황 고려대 전문대학원 디지털 포렌식 교육과정 교육 목표 및 비전 디지털 포렌식 전문가를 양성하기 위해 필요한 다양한 분야의 강좌를 개설함. 정보보호 관련 강좌, 법학 및 범죄학 강좌, 법과학 강좌, 디지털 포렌식 기술 강좌 그리고 디지털 포렌식 응용 강좌를 개설함. 우수 인력들이 최적화된 환경에서 교육을 제공함. 이를 통해 지능화되는 사이버 범죄에 대응할 법률, 수사, 디지털 분석 역량을 겸비한 디지털 포렌식 전문가 양성을 목표로 함 디지털 포렌식학과 교육 과정 본 과정에서 운영되는 교과목은 정보보호 기초과목, 디지털 포렌식 이론 및 응용 과목으로 분류하여, 본 교과목 이수 시 정보보호 전반, 디지털 포렌식을 위한 기반 기술, 그리고 디지 털 포렌식 실무에 대한 이해를 기반으로 디지털 포렌식 전문가 양성에 도움을 줄 수 있도록 구성함 분류 분야 교과목 과목 요약 전공 필수 정보보호기초 과목 법학 및 범죄학 법과학 정보보호이론 침해사고 분석 및 대응 사이버범죄학 디지털증거법 디지털법과학이론 모의법정 정보보호와 관련된 여러 가지 기초적인 이론을 다룬다. 비밀 키 암호, 공개키암호, 해쉬함수, 전자서명, 정보보호 프로토콜, 키 관리 등에 관련된 기본 이론을 습득 네트워크 취약점, 보안 프로토콜, 컴퓨터 해킹 등과 관련한 기 본적 기술적 이론을 학습하고, 이와 관련된 침해사고 발생 시 신속한 대응을 위한 관리방안을 연구 사이버범죄 관련 법제도 및 정책, 범죄원인론, 범죄예방정책, 국제협력 방안 등 사이버 공간 상에서 발생하는 문제에 대한 각국의 법제도와 사례 연구 디지털 증거의 압수수색 및 증거능력 등 법정절차의 제약 하 에서의 디지털 증거수집과 형소법, 형법 및 특별법 등 실체법 과 디지털 포렌식 업무와의 조화 등을 연구 디지털 포렌식을 통계적으로 해석하고 분석하는 방법에 대해 학습함. 통계학 이론을 디지털 포렌식에 응용하기 위해 필요 한 통계적 기법, 과학적 상식 등을 다룸 디지털기기 수집 및 분석에 관한 보고서 작성법을 학습함. 또 한 모의 법정 역할극을 통해 법정 증언하는 방법을 학습 51

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 분류 분야 교과목 과목 요약 전공 선택 디지털 포렌식기술 정보보호기초 과목 디지털 포렌식응용 디지털 포렌식기술 포렌식랩 운영 사이버법률 포렌식어카운팅 역공학 및 악성코드분석 디지털 증거의 법적 허용성 강화와 디지털 포렌식의 성공적인 수행 및 활성화를 위해서는 디지털 포렌식 기술뿐만 아니라 효과적인 디지털 포렌식 정책이 필수적으로 요구됨. 따라서 본 과목에서는 디지털 포렌식 분야의 기본적인 기술, 정책, 법 률 등을 개론 수준에서 학습 디지털 포렌식 수사관에 적합한지를 검사하는 인증 및 적격성 검사를 소개함. 또한 디지털 포렌식 랩을 운영과 관리하기 위 한 이론과 실무에 대해 학습. 인터넷 관련 법제도 및 정책, 프라이버시권, 지적재산권, 관할 권 등 사이버 공간에서 발생할 수 있는 각 국의 법 제도와 원 칙 등을 다룸 포렌식어카운팅의 필요성에 대해 이해함. 또한 국내외 포렌식 어카운팅 동향을 파악하고, 기업의 회계부정 조사방법론을 학습 소프트웨어 및 하드웨어의 구조를 깊이 있게 이해하여 디지털 증거의 생성, 삭제 및 수정 등의 과정을 파악할 수 있는 역공 학 기법 습득. 또한 해킹 사고의 근본적인 원인인 악의적인 코드를 분석할 수 있는 능력을 배양함. 군산대 디지털 포렌식 학사 과정 교육 목표 및 비전37) 과거 산업사회에서의 대학교육은 다양한 분야로 세분화되고 전문화된 영역으로 구분되어 왔으 나, 21세기 디지털 사회에서는 학문영역간의 벽이 허물어지고 융합하는 현상이 일어나고 있다. 서로 다른 두 영역이 융합하는 현상은 비단 학문영역에서만 일어나는 현상이 아니며, 산업영 역에서도 이미 다양한 융합현상이 진행되고 있습니다. 따라서 오늘날 사회가 요구하는 인재는 통합적 능력을 갖춘 융복합형 인재이다. 본 교육의 목적은 법학과와 컴퓨터공학과가 연합하여 단순한 물리적 결합을 뛰어 넘어 학문 간 화학적 융합을 통해 디지털 포렌식 교육을 실시함으로써, 오늘날 사회가 요구하는 통합적 능력을 갖춘 인재를 양성 하는데 목적이 있다. 37) 국립군산대학교, 디지털 포렌식 전공 교육목표, 국립군산대학교, (2012) www.forensic.re.kr/_prozn/_system/hbuilder/list.php?pageid=13038844271033 52

제3장 한국 디지털 포렌식 교육 현황 디지털 포렌식 교육 특성화를 위한 전략 군산대학교는 현장 실무인력을 공급하는 역할을 수행할 수 있도록 특성화 방향을 설정하고 있으며, 특성화 분야로 6개 분야(기계/자동차/조선, IT융합, 생물/바이오, 부품소재/환경/에너 지, 해양/문화/관광, 국제비지니스)를 선정하고 있다. 디지털 포렌식은 군산대학교 특성화 분야 중 IT(융합)분야 에 해당되며, 본 전공이 목표로 하는 통합적 능력을 갖춘 실무형 인재 양성 은 본 대학이 추구하는 특성화 전략과 일치한다. 본 전공은 군산대학교 교육역량강화를 위하여 디지털 포렌식 특성화를 위한 다음과 같은 사업 을 추진하고 있다. 53

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 100% 포렌식 자격증 취득을 통한 100% 취업 법무부에서는 포렌식 국가 자격증 제도를 시행할 예정이며, 이외에도 국제공인 자격증이 미 국에서 시행되고 있는바, 실무교육을 실시하여 전공자 모두 포렌식 자격증을 취득하게 하고자 합니다. 포렌식 자격증을 취득할 경우 100% 취업이 가능하다고 판단하고 있다. 산 관 학 협력체계 구축 관공서 및 민간기업과 맞춤형 고용계약을 체결하거나 기업의 보안담당자 위탁교육을 실시하여 특성화를 위한 토대를 마련하고 있다. 디지털 포렌식학과 교육 과정 38) 학년 학기 교과목명 개요 디지털 포렌식 개론 2 2 3 1 3 2 디지털 포렌식 교육과정을 배우기 위한 기초적인 지식을 습득하는 교과목으로써 법률적인 기본 지식과 공학에 관한 기초적인 내용을 배우는 과목이다. 컴퓨터구조와 저장매체 컴퓨터 하드웨어의 특성, 컴퓨터 명령어, 메모리 조직, 입출력방식, 중앙처리장치 실행 구조 와 원리를 이해하고 디지털 저장매체의 원리에 대하여 학습한다. 디지털범죄(1) 개별적인 디지털 범죄를 배우기 전에 범죄가 성립하기 위한 요건과 그에 대한 효과로써 형 벌의 내용을 습득하는 교과목이다. 포렌식절차법 디지털 저장매체에서 범죄와 관련된 디지털 증거를 수집하기 위한 수집절차와 수집한 증거 를 분석하기 위한 분석절차를 학습한다. 파일시스템과 운영체제 파일시스템에 대해 학습하고, 프로세스, 기억장치, 파일 시스템 및 입출력 장치를 관리하는 실시간 운영체제에 대한 개념을 이해하고 활용할 수 있는 능력을 배운다. 디지털범죄(2) 범죄수사에 있어서 디지털 포렌식의 대상인 디지털 범죄의 유형과 개별 구성요건에 대하여 배우는 교과목이다. 응용프로그램과 네트워크 38) 국립군산대학교, 디지털 포렌식 전공 교과과정, 국립군산대학교, (2012) http://www.forensic.re.kr/_prozn/_system/hbuilder/list.php?pageid=13038844462919 54

제3장 한국 디지털 포렌식 교육 현황 학년 학기 교과목명 개요 응용프로그램과 네트워크의 원리를 이해하고, 네트워크의 종류, 네트워크의 보안 및 네트워 크 공격유형에 대하여 학습한다. 포렌식 DB이해 본 교과과정에서는 기업의 IT 컴플라이언스 환경의 주요 솔루션, 데이터베이스 구축 사례 와 데이터베이스의 개념, 트랜젝션, 데이터모델, SQL과 SQL 인젝션 공격 등을 학습한다. 포렌식증거법 디지털 매체에서 수집되고, 분석되어진 디지털 증거가 법정에서 사실인정의 증거로써 사용 되기 위한 절차와 요건을 학습한다. 4 1 디지털증거분석 본 교과과정에서는 디지털 증거물의 안전한 보존방법, 하드드라이브 등 각종 디지털 저장매 체에 대한 이미징, 획득과정후 봉인 등 무결성 확보, 라이브 시스템에 대한 이미징 및 각종 Data 확보 관련 절차 및 분석 방법을 학습한다. 포렌식수사연습 4 2 디지털 범죄 혹은 기업의 영업비밀유출행위를 디지털 포렌식을 통해 수사ㆍ조사하는 전 과 정을 실제 사례 케이스에 적용하여 해결하는 교과목이다. 포렌식조사실무 개별적 디지털 포렌식 유형을 통하여 습득한 포렌식 기술을 실제 사건 케이스에 적용하여 해결하는 과정을 학습한다. 2. 수사기관 등 교육 현황 대검찰청에서 6개월 단위로 디지털 포렌식 전문가 양성과정을 운영하고 있다. 교육과정 소개 디지털 증거 압수 수색 및 분석 업무를 수행하기 위한 디지털 포렌식 전문가를 양성하는 과정 으로 컴퓨터 기반의 디지털 포렌식 이론 및 실무 교육과 현장 실습 위주로 편성 교육기간 약 6개월 (이론/실습 : 3개월, 실무훈련 : 3개월) 55

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 교육생 선발 기준 교육이수, 근무경력, 어학 및 컴퓨터 능력, 복무 태도 등 다면 평가 수행 <교육생 선발 기준표> 구 분 경력사항 평가 항목 비율 (100) 수사 경력 5 가점 부여 사항 인지수사경력을 참조하여 기간이 길수록 가점 부여 비고 신청서 특이사항 5 신청서 추천사항 자격사항 교육훈련 공식 추천 10 일선청 공식 추천자 가점 부여 공문 전문가 추천 5 IT 전문 자격증 10 정보화 관련 자격증 5 IT 관련 학과 10 포렌식 관련 단기 교육 이수 5 복무태도 근무 성실도 15 신청사항 자기소개서 충실도 15 기타사항 해당 기수별 특이사항 15 디지털 포렌식 전문가 과정을 이수한 직원 의 추천서가 첨부된 경우 가점 부여 CISA, CISSP, CIA, OCP, CCNA, MCSE, 정보처리기사, 정보처리산업기사 등 소지자 가점 부여 사무자동화기사, MOUS, 워드프로세스 등 오피스 관련 자격증 소지자 가점 부여 컴퓨터공학, 전산공학 등 IT 관련 학과 졸 업자 가점 부여 포렌식 관련 검찰 내/외부 단기 교육 수료 자 가점 부여 소속청의 평판 등을 간접적으로 조사하여 그 결과에 따라 가점 부여 신청서에 첨부된 자기소개서의 기재 내용 의 충실도에 따라 가점 부여 외국어 능통자 우대 당해 년도 교육 수요 해당 여부 추천서 신청서 증빙서류 신청서 증빙서류 신청서 증빙서류 신청서 타과협조 신청서 증빙서류 기타 56

제3장 한국 디지털 포렌식 교육 현황 교육 내용 단계 기간 과정명 (12개) 교육 과목 (37개) 컴퓨터의 구조 (1일) 5일 컴퓨터/윈도우 일반 저장장치 등 디지털 기기 일반 (2일) 윈도우 시스템의 구성 및 동작 원리 (2일) 윈도우 명령어 (1일) 1 5일 리눅스 일반 리눅스 시스템의 구성 및 동작 원리 (3일) 리눅스 명령어 (2일) 데이터베이스 개념 (2일) 5일 데이터베이스 일반 My SQL 설치 및 구성 (2일) SQL 명령어 (1일) 2 3 5일 5일 4일 4일 4 7일 디지털 포렌식 입문Ⅰ 디지털 포렌식 입문Ⅱ 파일시스템 Ⅰ 파일시스템 Ⅱ 디지털 포렌식도구 사용법 5 5일 윈도우 포렌식 디지털 포렌식 개론 (3일) 디지털증거법 이해 (1일) PC 분해 및 조립 (1일) 이미징 기법 (1일) CFT를 활용한 현장압수수색 (2일) 수의 체계와 데이터의 표현 (1일) 네트워크의 이해 (1일) 디스크 구조 (1일) FAT File System (3일) NTFS (3일) 파일시스템 실습 (1일) DEAS (1일) CFT Lab (1일) Encase (2일) FTK (2일) Open Source (1일) 윈도우 아티팩츠 Ⅰ(1일) 윈도우 아티팩츠 Ⅱ(1일) 레지스트리 포렌식 (2일) 57

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 메모리 포렌식 (1일) 6 5일 특수 포렌식 DB 포렌식 (2일) Mobile 포렌식 (1일) 분석회피대응 및 통화계좌분석 (1일) 사이버범죄 수사 (1일) 7 7일 사례 연습 분석보고서 작성 및 분석사례 소개 (1일) 사례연습 및 논문작성 (6일) 8 60일 실무 훈련 압수수색, 증거분석 교육 평가 이론 교육 실무 훈련 구분 1차시험 2차시험 과제제출 실무수습 평가항목 배점 (300점) 비고 선수과목 (컴퓨터/윈도우, 리눅스, 데이터베이스 일반) 20 필기 디지털 포렌식 개론, 압수 수색 절차 및 방법, CFT 15 필기 증거법, 이미징 기법, 네트워크 일반, 수의 체계 15 필기 FAT, NTFS 20 필기 DEAS, CFT, EnCase, FTK, 윈도우 포렌식 20 필기 특수 포렌식 (DB, 모바일, 네트워크, 암호, 통화계좌 등) 분석보고서 (예제이미지 2개에 대한 분석보고서 제출) 논문 (포렌식 관련 논문 제출 및 PT, A4지 10장 내외) 10 필기 50 실기 50 논문 실무수습일지 50 실무평가 실무수습태도 50 실무평가 교육 수료 후 관리 - 수료증 수여 - 디지털 포렌식 전문 수사관 데이터베이스 등재 - 디지털 포렌식 관련 업무 결원 발생 시, 우선 선발 기회 부여 58

제3장 한국 디지털 포렌식 교육 현황 제2절 설문조사 및 문제제기 1. 설문조사 실시 및 결과 아래 설문조사는 2012년 8월 6일부터 10월 5일까지 피조사자 12명과 2012년 9월 17일부터 26일까지 검찰조사관 50명, 경찰관 87명을 상대로 한 조사이다 39). 설문조사 결과 수사관들의 전공이 주로 IT계열에 집중 약 50%가량되어 법률지식이 상대적으로 부족하였고, 법학 출신 또한 21퍼가량 다소 높은 점유율을 나타내었지만 정보통신기술분야에 대한 취약점을 드러내고 있다. 수사관들은 사이버수사가 중요성을 널리 인식하고 있었으며 약 80.9퍼센트가 사건해결에 결 39) 설문조사는 군산대 관병선 교수, 권양섭 교수, 노명선 교수가 실시하였다. 59

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 정적인 도움을 받았다고 답변하고 있다. 또한 영장에 의한 강제수집 방법에 의하여 디지털 증거에서 범죄와 관련된 비율이 매우 높은 것으로 보아(82%) 사실상 자발적 수사 협조만이 아닌 강제적인 수사 처분이 필요한 것으로 지 적되고 있다. 다만 피조사자 전원이 컴퓨터 압수수색에 의한 강제 수사방법에 대하여 개인의 프라이버시에 대한 중대한 침해가 될 수 있다고 답변하고 있다. 2. 문제제기 디지털 포렌식 학문에 대한 중요성과 민간기업과 공공기관의 수요는 급격히 늘어나는 반면 60

제3장 한국 디지털 포렌식 교육 현황 에, 한국에서는 디지털 포렌식에 대한 학문에 대한 연구가 제대로 이루어지지 않고 있다. 현재, 한국에서는 10개 이하의 소규모 대학에서 디지털 포렌식을 다루고 있으며, 그 대학에서 조차 표준화된 교육방법이 존재하지 않고, 디지털 포렌식에 관한 학문을 체계적으로 심도있게 다루고 있지 않다. 한국과 반대로, 미국은 많은 대학에서 디지털 포렌식에 관련해 체계적으로 표준화된 교육을 제공하고 있다. 미국은 몇몇의 대학에서는 디지털 포렌식에 관한 실무적인 업무나 산학연계가 활발히 이루어진 반면에, 한국의 디지털 포렌식을 다루고 있는 거의 모든 대학에서는 디지털 포 렌식의 실무적인 업무나 지식에 관련해서는 연구를 하거나 다루고 있지 않고 산학연계 또한 제 공 되지 않는다. 디지털 포렌식을 연구하는 10개 이하의 소규모 대학에서는 거의 대부분이 학사과정을 제외하 고, 석사, 박사과정만 제공하고 있다. 이는 한국의 디지털 포렌식을 연구, 교수하는 대학이 체계 화 되어 있지 않고 전문성이 부족하다는 것을 나타낸다고 볼 수 있다. 국내에서 디지털 포렌식 학사과정이 있는 대학은 군산대에서만 학사과정을 제공하고 있다. 하지만 군산대에서는 디지털 포렌식 전문가의 능력을 공식적으로 측정할 수 있는 민간, 공인자 격증이나 시험이 없어, 한국 포렌식 학회의 디지털 포렌식 자격증의 시험을 응시하여 디지털 포 렌식의 능력을 측정하고 있다. 이러한 국내의 디지털 포렌식 학문의 연구와 교육의 외적, 내적인 열악한 상황 때문에, 국내 의 디지털 포렌식의 연구와 교육은 체계화, 표준화 되지 않고 있다. 현재 국내에서는 표준화도 니 교육 모델이 없어, 디지털 포렌식을 연구, 교육하고 있는 기관 임의대로 연구, 교수 되고 있 다. 이는 한국의 디지털 포렌식의 발전의 저하로 이어지고 있다. 한국에서 디지털 포렌식 자격증 제도는 한국 포렌식 학회에서 유일하게 제공 되고 있다. 하지만 한국 포렌식 학회의 자격증은 아직 국가 공인된 자격증이 아니다. 지금 현재 국가 공 인 심사만 남은 상황이고, 한국 포렌식 학회에서 제공하는 자격증은 곧 국가 공인이 될 예정이 다. 현재 미국은 한국과 마찬가지로, 디지털 포렌식과 관련한 민간자격증은 존재하지만, 공인된 자격증은 없다. 예를 들어 InfoSec Institute라는 회사는 NBC 뉴스와 유명 컴퓨터 보안 관련 잡 지에 나올 정도로 미국에서는 유명하지만 공인 받지 못한 상태이다 40). 한국 포렌식 학회의 자격증이 곧 공인 자격증이 된다면 미국보다 자격증제도의 부분에서는 우수하다 말할 수 있다. 40) http://www.infosecinstitute.com/courses/computer_forensics_training.html 61

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 디지털 포렌식 분야의 전문가의 수요가 급격히 늘고 있고 앞으로도 수요의 증가는 계속 될 것 이다. 디지털 전문가의 수와 능력을 향상시키기 위해서는 체계적이고 전문화된 교육 과정이 필 요성이 더욱 강조된다. 하지만 현재와 같은 한국의 디지털 포렌식의 체계적이고 표준화, 전문화 되지 못한 교육 현황과 상태로는 전문가 수요를 만족 시킬 수 도 없을뿐더러, 전문가의 디지털 포렌식에 관련한 능력도 보장 할 수 없다. 62

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 제4장 외국의 디지털 포렌식 교육 현황과 시사점

제4장 외국의 디지털 포렌식 교육 현황과 시사점 외국의 디지털 포렌식 교육 현황과 시사점 제4장 제1절 서론 외국에서는 여러 대학에서 디지털 포렌식의 학위과정, 인증과정을 운영하고 있으며, 서로 조 금씩 다른 디지털 포렌식의 인재상을 추구하고 있다. 또한 대학교마다 특성화 분야도 달리하고 있다. 본장에서는 디지털 포렌식 교육이 비교적 활발하게 이루어지고 있는 영국과 미국을 중심 으로 하여 각 대학이 정하고 있는 디지털 포렌식 교육과정의 목표 및 비전, 입학요구조건, 특성 화된 인재상, 교육과정 구성 등을 알아보도록 한다. 그중에서도 Rhode Island University 같은 경우는 법무부, 국방부 등과 협력관계에 있다는 점 또한 특기할 만하다. 특히 모바일 포렌식, 클라우드 포렌식, 스테가노그래피 등에 대한 산학협력 프로젝트가 흥미롭다. 이에 대해서도 후술한다. 또한 대학 이외에도 NFSTC 등 미국 정부기관에서 수사기관 요원 등을 대상으로 직접 시행하 는 훈련프로그램에 대해서도 간략히 살펴보도록 한다. 비록 그 대상이 수사관 등으로 한정되어 있지만 국가에서 조직적으로 교육을 시행하고 있는 사례로 특기할 만하다. 주요 내용은 대학 이름과 교육과정 ⑴ 목표 및 비전 ⑵ 요구 조건 ⑶ 교육의 구성 순으로 정리해 보았다. 65

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 제2절 미국의 교육체계현황 1. 미국의 디지털 포렌식 교육기관들 George Mason University 컴퓨터 정보 과학 석사과정 ⑴ 교육 목표 및 비전 41) 조지 메이슨 대학의 컴퓨터 포렌식 프로그램은 최첨단 컴퓨터 포렌식 교육을 제공하고 있다. 학생들에게 방법론과 기술의 기초를 교육하여 상업, 산업, 법 집행과 보호 분야와 같은 다면체와 학제간의 분야 다양성에 있어서 경력을 제공한다. 조지 메이슨 대학의 석사학위 프로그램은 학 생들에게 이론적인 측면뿐 아니라 변화하는 디지털 세상에 직면하여 활용 및 유지할 수 있는, 새로운 포렌식 능력 개발에 있어서 리더가 될 수 있는 컴퓨터 포렌식의 원리의 실질적인 이해를 가질 수 있도록 한다. 컴퓨터 포렌식의 분야는 새로운 전기, 디지털, 그리고 통신 기술 수렴에 따라 신생하고 급격하 게 팽창하고 있다. 메이슨은 학술적 교육 및 컴퓨터 포렌식 이론에 대한 교육과 실제 포렌식 기 술을 통합적으로 교습한다. 조지 메이슨 대학은 법 집행, 보호, 첩보 분야를 포함하여 높은 수준의 교육과정을 개발하는 선두자이다. 수년 전, FBI는 대학의 전기 컴퓨터 기술 부서에 접촉하여 컴퓨터 포렌식 교육과정 의 설립을 의뢰하였다. 이를 통해 앞으로의 시장가치를 인식한 본교는 컴퓨터 포렌식 과정을 개 설하고 수료생을 배출하였다. 반응은 압도적이었고 메이슨은 본 교육과정을 정식 교육과정으로 설립하기 위하여 버지니아 주에 승인을 신청하였다. CFRS 프로그램은 2009년 1년, State Council for Higher Education in Virginia(SCHEV)에 의해 승인되어 2009년 가을 최초로 신입 생을 받을 수 있었다. 연방정부, 산업계와의 파트너십을 통하여 컴퓨터 포렌식 전문가를 모집하 였으며, 국가 최초로 컴퓨터 포렌식 석사과정을 제공할 수 있었다. 현재 수강인원은 약 100명 정도이다. 41) George Mason University, MS in Computer Forensics Introduction, George Mason University, (2012) http://ece.gmu.edu/index.php?id=ms_forensics_introduction 66

제4장 외국의 디지털 포렌식 교육 현황과 시사점 ⑵ 요구조건 인증된 대학에서 공학, 수학, 과학, 컴퓨터 과학, 경제나 다른 분석 과목들이나, 분석 관련 실 무 경험이 있는 학생들은 컴퓨터 포렌식 석사 과정에 등록할 수 있다. ⑶ 교육의 구성 42) 컴퓨터 포렌식 석사학위 취득을 위해서는 최소한 30학점을 취득하고 3.0 이상의 성적을 취득 하여야 한다. CFRS 프로그램은 두 개의 요소로 구성되는데, 우선 핵심 요소 18학점(일반과목 15학점 + 필수과목 3학점)과 선택 요소 12학점이 있다. CFRS 핵심 구성: 핵심 구성은 아래의 강의로 구성한다.: 1. CFRS 500 포렌식의 가치 기술 입문 or ISA 562 정보보안 이론과 연습 2. CFRS 660 네트워크 포렌식 3. CFRS 661 디지털 미디어 포렌식 4. CFRS 663 포렌식을 위한 침입 탐지의 작용 5. CFRS 760 IT에서의 법과 윤리 or CFRS 770 회계의 포렌식 사기 6. CFRS 790 심화된 컴퓨터 포렌식 (CFRS 최고 정도의 강의) 핵심 요소는 각각 3학점이 되는 강좌로서 4개의 기본요소로 그룹화된 6개의 강의를 포함한 다. 의무적인 입문자를 위한 강의는 컴퓨터 포렌식 프로그램 M.S. 학생의 첫 번째 학기에 이수 해야한다. 이 강의는 CFRS 500 또는 ISA 562이다. (3학점) 3개 포렌식 강의(CFRS 660, 661, and 663)는 어떠한 순서로든 이수해도 된다. CFRS 기본적인 (특별한) 요소: 선택과목 중 4개를 선택하여야 한다. 정보 보안 보험(ISA) 또는 컴퓨터 기술 강의(ECE)에 중점을 둘 수도 있고, 사회 법 관련 과목에 중점을 둘 수도 있다. 선택과목의 목록은 다음과 같다: 42) George Mason University, MS in Computer Forensics Degree Requirements, George Mason University, (2012) http://ece.gmu.edu/index.php?id=ms_forensics_degree_req 67

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 1. TCOM 662 심화된 보안 네트워킹 2. ECE 511 마이크로프로세서 3. ECE 646 암호작성술과 컴퓨터 네트워크 보안 4. ECE 746 보안 통신 시스템 5. CFRS 664 사고 반응 포렌식 6. CFRS 760 IT의 법과 윤리 7. CFRS 770 회계 포렌식의 사기 8. CFRS 780 특별한 주제 강의 9. INFS 785 국토안보를 위한 데이터 마이닝 10. ISA 650 보안정책 11. ISA 652 보안 회계감사 / 준수 테스팅 12. ISA 656 네트워크 보안 13. ISA 674 침입탐지 14. ISA 785 디지털 포렌식의 조사 15. LAW 181 법 의사소통 16. SOCI 607 형사학 특수선택과목은는 학생에게 심화된, 더 구체화된 졸업 레벨 학문을 제공할 수 있도록 설계되 었으며, 향후 점점 확장 추가될 것이다. 컴퓨터 포렌식 석사 과정 구분 실무과목 법률과목 기반 심화 응용 기본 포렌식 가치 기술 (Introduction to Technologies of Forensics Value) 필수 정보 보안 (Information Security Essentials) 정보 보안 이론과 실무 (Information Security Theory and Practice) 네트워크 포렌식 (Network Forensics) 디지털 미디어 포렌식 (Digital Media Forensics) 사건 대응 포렌식 (Incident Response Forensics) IT의 법적과 윤리적 이슈 (Legal and Ethical Issues in IT) 68

제4장 외국의 디지털 포렌식 교육 현황과 시사점 선택 응용 컴퓨터 포렌식 (Applied Computer Forensics) 회계사기와 포렌식 (Fraud and Forensics in Accounting) 침범 감지 포렌식 (Operations of Intrusion Detection for Forensics) 회계 사기와 포렌식 (Fraud and Forensics in Accounting) 마이크로 프로세서 (Microprocessors) 응용 암호 작성술 (Advanced Applied Cryptography) 국토안보부를 위한 데이터 수집 (Data Mining for Homeland Security) 보안 감사와 규정 준수 시험 (Security Audit and Compliance Testing) 네트워크 보안 (Network Security) 침입 감지 (Intrusion Detection) 디지털 포렌식 연구 (Research in Digital Forensics) 69

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 ⑷ 교육 과정 43) 과목 코드 과목명 주요내용 CFRS 500 CFRS 661 Sec001 CFRS 660 CFRS 663 CFRS 760 CFRS 664 Sec 001 기본 포렌식 가치 기 술 (Introduction to Technologies of Forensics Value) 44) 디지털 미디어 포렌식 (Digital Media Forensics) 45) 네트워크 포렌식 (Network Forensics) 46) 침범 감지와 포렌식 (Operations of Intrusion Detection for Forensics) 47) 컴퓨터 포렌식의 법 적과 도덕적 문제들 (Legal and Ethical Issues in IT) 48) 사건 대처방법과 기업들의 포렌식 (Fraud and Forensics in Accounting) 49) 이 과정은 디지털 미디어의 분석에 사용되는 개념과 기술들을 설명할 것이다. 주제 선택은 부주제들에 의해 달라질 것이다. 부주제들은; 네트 워크 침범, 사이버 테러, 맬웨어 분석, 네트워크 기록 분석, 메모 리 분석 등이 있다. 하지만, 주된 집중은 하드 드라이브 분석, 윈도우 운영 체제에서 발견된 포렌식 인공물에 대해 복구하는 방법과 해독하는 방법에 있을 것이다. 다수의 수업들은 네트워크 침범의 조사 전후사정을 배울 것이다. 이 과정은 디지털 미디어를 수집하고, 보존하고, 또 분석하여 법 정에 성공적으로 제출할 수 있는 방법을 배운다. 연관된 법들을 배울 것이며 공공 부문 응용도 검토할 것이다. 디지털 미디어의 압수, 보존, 그리고 분석도 배울 것이다. 이 과정은 네트워크 디지털 미디어를 수집하고, 보존하고, 또 분 석하여 법정에 성공적으로 제출할 수 있는 방법을 배운다. 연관 된 법들을 배울 것이며 공공 부문 응용도 검토할 것이다. 디지털 증거의 포착과 가로채기, 감사 추적법의 분석, 활성하고 있는 프 로세스들의 기록, 그리고 이러한 자료에 대한 보고를 배울 것이 다. 학생들에게 컴퓨터 침범 감지와 이의 포렌식과의 연관을 소개해 준다. 수업은 감지 체계, 시스템 종류, 패킷 분석, 그리고 분석도 가르칠 것이다. 이 수업은 그리고 또한 고급 침범 감지 주제 예 를 들면 침범 방지와 능동적인 반응법, 그리고 유인 대책, 알람 반응, 데이터 수집, 그리고 예측 포렌식에 관해 배운다. 이 과정은 컴퓨터 포렌식에 대한 법적과 도덕적인 문제들을 내 보이고 그것에 대하여 토론할 것이다. 추가적으로, 이 과정은 실 제 현장 에서 문제되는 컴퓨터 포렌식, 다른 전문적인 컴퓨터 포 렌식, 증인 선서, 그리고 포렌식 리포트 쓰는 방법 등을 배울 것 이다. 이 과정은 참여, 토론위주로, 학생들을 법집행인, 정보요원 들, 그리고 상업적인 컴퓨터 포렌식 직업들을 위해 대비시켜준 다. 이 과정은 사건 감지, 대처, 그리고 조사 위주의 포렌식으로 산 업스파이, 기업 비밀 도난, 저작권 침해, 그리고 사기 등을 조사 하는 방법을 배운다. 컴퓨터와 네트워크 사건 대처법 포렌식에 적용되는 수집, 보존, 그리고 분석 방법을 아주 자세하게 배운다. 43) George Mason University, New Graduate Orientation: MS in Computer Forensics (2010) New Graduate Orientation: MS in Computer Forensics.pdf 70

제4장 외국의 디지털 포렌식 교육 현황과 시사점 과목 코드 과목명 주요내용 CFRS 780 Sec 001 심화 컴퓨터 포렌식 (Advanced Computer Forensics) 50) 이 과정은 다른 CFRS 과정들과 겹치지 않도록 골라진다. 학생들 은 서문 형식의 자료들을 제출하고 그리고 여러 분야에 대해서 연구하는 방식으로 참여를 해야 한다. 이 과정은 학생들에게 전 문적 컴퓨터 포렌식에 있는 새로운 발견들과 발전들에 대하여 더욱 인지하게 해준다. CFRS 790 심화된 컴퓨터 포렌식 (Advanced Computer Forensics) 51) 이 과정은 컴퓨터 포렌식 석사 과정의 기본이 되는 과정이다. CFRS 790은 컴퓨터 포렌식 프로그램 안에서의 발전된 실전연습 과 개념들을 통합한다. 학생들은 각각의 수행을 성공적으로 완성 하기 위해 디지털 매체의 컴퓨터 포렌식 조사를 수행하여야 한 다. 44) George Mason University, Course Introduction - CFRS500, George Mason University, (2011) George Mason University Course Introduction - CFRS500.pdf 45) George Mason University, Course Introduction - CFRS661, George Mason University, (2011) George Mason University Course Introduction - CFRS661.pdf 46) George Mason University, Course Introduction - CFRS660, George Mason University, (2011) George Mason University Course Introduction CFRS660.pdf 47) George Mason University, Course Introduction - CFRS663, George Mason University, (2011) George Mason University Course Introduction CFRS663.pdf 48) George Mason University, Course Introduction - CFRS760, George Mason University, (2011) George Mason University Course Introduction CFRS760.pdf 49) George Mason University, Course Introduction -CFRS664, George Mason University, (2011) George Mason University Course Introduction CFRS664.pdf 50) George Mason University, Course Introduction - CFRS780, George Mason University, (2011) George Mason University Course Introduction CFRS780.pdf 51) George Mason University, Course Introduction - CFRS790, George Mason University, (2011) George Mason University Course Introduction CFRS790.pdf 71

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 Rhode Island University 디지털 포렌식 학사과정 ⑴ 교육 목표 및 비전 52) 디지털 포렌식 부전공은 URI s 컴퓨터 과학 학부의 Dr. Fay-Wolfe에 의해 유도된 직접적으 로 관련된 부전공(URI Catalog Minor Fields of Study 참고)이다. 디지털 포렌식 부전공은 다른 전공과 병행할 수 있다. 전형적으로 부전공은 학생 2학기 또는 주니어 해 전에 여름 학기동안 시작된다. 학생 배경과 흥미에 따라, 부전공은 각각의 학생들의 개인적인 필요에 충족시킬 수 있도록 맞 춰 질 수 있다. 전형적으로 디지털 포렌식 부전공의 완성은 아래와 따르는 강의들을 요구한다; 수정은 Dr. Fay-Wolfe와 함께 논의 할 수 있다. ⑵ 요구 조건 부전공을 위해 계산하지는 않을지라도, 디지털 포렌식1을 위한 적절한 배경을 획득하기 위해 학생들은 아래의 강의들 중 하나를 수강하는 것은 필요하다. 컴퓨터 시스템 기본요소(여름; 4학점) 독립 연구(1~4학점, 특정 교수 연락) ⑶ 교육의 구성 핵심 요구조건 모든 학생들은 아래의 부전공의 핵심 구성요소로 구성한 강좌들을 수강하는 것이 요구되어 진다. 디지털 포렌식 1 (가을; 4학점) 디지털 포렌식 분석 ( ; 4학점) 범죄 또는 법에 인정되는 적어도 하나의 강좌 (3학점) 52) Rhode Island University, Digital Forensics Minor, Rhode Island University, (2009) http://www.dfcsc.uri.edu/academics/df_minor 72

제4장 외국의 디지털 포렌식 교육 현황과 시사점 부전공을 위한 3개의 핵심 강좌를 더하여, 또한 학생들은 아래의 목록으로부터 두 개의 추가 적인 강좌를 수강해야한다. 디지털 포렌식 2 (봄; 4학점) 파일 시스템 분석 (가을; 4학점) 디지털 포렌식 실습과목 (여름; 4학점) 범죄와 법에 있어 추가적인 강좌 (3학점) 73

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 University of Alabama 컴퓨터 포렌식과 보안관리 석사과정 ⑴ 교육 목표 및 비전 53) 컴퓨터 포렌식과 보안관리(MSCFSM)에 과학 석사는 컴퓨터 학부& 정보 과학, 공정 과학, 관 리, 정보 시스템 그리고 양적인 방법, 회계&재정으로 부터 학부를 포함하는 학제간의 전문가/ 실습 졸업 프로그램이다. 이 프로그램은 정보 보안과 포렌식 회계를 포함하는 컴퓨터 포렌식과 보안 관리의 분야에서 실습하기 위한 범죄 재판, 컴퓨터와 정보 과학, 정보 시스템, 정보 기술, 그리고 포렌식 회계에 대한 배경을 가진 졸업 학생을 위해서 고안된다. 게다가, 이 프로그램은 컴퓨터 포렌식, 정보 보안 관리, 그리고 포렌식 회계의 분야의 입문과 심화된 단계의 위치에서 경쟁적이고 성공하는 산업 실습, 혁신적인 방법들, 비판적인 생각, 그 리고 문제 풀이 요소를 가진 친밀성을 포함하는 기술을 개발하도록 의도된다. ⑵ 교육의 구성 54) 컴퓨터 포렌식과 안전 관리에 대한 이학 석사 요구된 강좌 24시간과 두 가지 트랙(사이버 범죄와 사기조사의 컴퓨터 포렌식)중 선택적인 하나 12시간을 포함한 1학기의 36시간은 학위를 위해 요구된다. 또한 학생은 실습과정을 완료하여야 한다. ⑶ 교육과정 과목 코드 과목명 주요내용 AC572 포렌식 회계와 정보보안 감사 (Forensic Accounting & Information Technology Auditing) 포렌식 업무와 관련된 핵심 법의 원리와 법정 절차, 그리고 관련 된 주제의 조사(범죄학 이론, 증거관리, 소송서비스) 53) University of Alabama, Computer Forensics and Security Management Info, University of Alabama, (2011) http://www.cis.uab.edu/computer_forensics_and_security_management 54) University of Alabama, Computer Forensics and Security Management Curiculum, University of Alabama, (2011) http://www.cis.uab.edu/computer_forensics_and_security_management/curiculum 74

제4장 외국의 디지털 포렌식 교육 현황과 시사점 과목 코드 과목명 주요내용 AC573 사기법 조사 (Fraud Examination) 주요한 사기와 남용과 관련된 중점을 둔 포렌식 업무 개념들 - 기원, 범죄, 예방, 검출. 강좌는 Certified Fraud Examiner (CFE) 자격시험에 중점을 둔 자료들을 포함한다. AC574 사기 조사 실습과목(Fraud Examination Practicum) 사적, 공적 또는 포렌식 업무 이론 개념의 적용을 증가 시키는 정부 기관과 관련된 경험. 전제조건 AC573 CS514 CS516 CS517/JS515 CS518 CS534 CS536 CS537 디지털 문서, 안전& 지적 재산(Digital Documents, Security & Intellectual Property) 조직 정보 보험 (Organizational Information Assurance) 온라인 범죄 조사 (Inverstigating Online Crime) 컴퓨터 포렌식 실습과목(Computer Forensics Practicum) 인터네트워킹 & 인트라넷 (Internetworking & Intranets) 네트워크 보안 (Network Security) 사이버범죄 & 포렌식 디지털 문서, 기원, 디지털 위조죄, 스태가노그래피, 그리고 디지 털 밀레니엄 법의 개념은 이 강좌의 핵심 개념이다. 예방과 보호, 위험에 대한 반응, 그리고 서브도메인과 그들의 상 호작용을 포함하는 조직 환경에 대한 정보 보험. 이메일과 웹사이트 그리고 디지털 증거의 법적인 절차와 조사의 평가에 중점된 분석을 포함하는 사이버 조사 기술의 소개 법 집행 기관과 협력 파트너와 관련된 인턴십 현장실습 브리지와 라우터를 사용하는 네트워크 중간 케이블을 포함하는 근본적인 네트워크 기술, IP 주소와 데이트그램 형식, 고정된 그 리고 역학의 알고리즘 길, 제어 메세지, 서브넷 그리고 슈퍼넷의 확산. UDP와 TCP 파일은 프로토콜, 이메일, 네트워크 주소 변역 그리고 방화벽을 전달한다. 매주의 Linux-based 실험.학점 3 전통적인 그리고 공공의 핵심 암호작성술. 입증과 부호 메세지. 이메일 가상의 사적 네트워크 그리고 World Wide Web을 포함 하는 적대적인 환경에서의 컴퓨터 간 의사소통 보안. 의무적인 매주 Linux-based 실험. 암호화의 성격 분석, 파일 구성 형식과 디지털 미디어, 디스크 습득과 복지 기술 그리고 범죄 조사 시나리오에서 이 기술들의 적용의 평가를 포함하는 미디어 포렌식의 모든 측면의 개요. 75

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 과목 코드 과목명 주요내용 CS636 CS591 IS577 JS530 JS502 JS675 컴퓨터 보안 (Computer Security) 조직의 정보 보험에서의 특별한 주제 (Special Topics in Organizational Information Assurance) (CISSP Training). 정보 보안 관리 (Information Security Management) 윤리 그리고 컴퓨터 포렌식 (Ethics and Computer Forensics) 컴퓨터 포렌식의 소개 (Introduction to Computer Forensics) 법, 증거 & 절차 (Law, Evidence & Procedure); 보험, 공증, 인가, 분배, 암호, 피싱과 키로깅을 포함한 위협, 그 리고 분포된 컴퓨터 사용의 쟁점을 포함하는 컴퓨터 보안의 연 구. 이론과 실질적인 적용. 공인된 정보 시스템 보안 전문적인 평가를 위한 준비. 어떻게 기술과 조직 정책이 정보 원천 보호를 위해 관리와 개발 이 되는 지와 핵심 개념 대한 이해를 포함하는 핵심 안전 관리 쟁점에 대한 강한 토대를 학생들에게 제공한다. 사이버 조사, 컴퓨터 포렌식 그리고 지역과 관련된 쟁점에 대한 핵심 원리 적용의 윤리 시스템의 개요. 확인, 수집, 평가 그리고 자기장 형태로 저장, 암호화 되어있는 증거/정보 보존을 위한 범죄 또는 시민의 소송에 관한 분석적인 조사적인 기술. 증거의 규칙, 절차 그리고 전문가 증인(;법정요소를 제가하다)의 역할을 포함하는 물질적인 증거에 대한 법적인 측면의 개요 그 리고 평가. Central Florida University 디지털 포렌식 석사과정 ⑴ 교육 목표 및 비전 55) MSDF 학위 프로그램의 사명은 디지털 과학 수사의 과학 및 관행에 양질의 대학원 교육을 제 공하고, 디지털 법의학 작업 및 학습의 평생을 위해 학생들을 준비하는 것이다. 이 프로그램의 목적은 다음과 같다 : MSDF 졸업생에게 디지털 증거 조사에서 효과적인 팀 구성원 또는 팀 리더로 참여하기 위해 55) Central Florida University, Master of Science in Digital Forensics, Central Florida University, (2012) http://msdf.ucf.edu/mission.html 76

제4장 외국의 디지털 포렌식 교육 현황과 시사점 필요한 지식과 기술을 제공 디지털 법의학 시험 전문 경력, 법정 도구 개발, 도구 확인 및 검증, 보안 및 법의학 관리를 위해 MSDF 졸업생을 준비시킴 컴퓨터 기술 또는 컴퓨터 범죄 관련 분야의 고급 연구와 연구를 추구 할 수 있는 지식과 기술 을 준비시킴 전문가 법정 심사관 및 전문가 증인으로 처리 할 때 효과적인 문제 해법뿐만 아니라 효과적인 의사소통으로 포렌식 조사관과 전문가 증인이 될 수 있다. 센츄럴 플로리다 대학은 포렌식 과학의 중점을 둔 인재상으로 포렌식 과학 응용 전문가를 양성하려고 노력하고 있다. 77

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 ⑵ 교육의 구성 56) 디지털 포렌식 석사과정은 30 학점 시간을 요구하며 학점시간의 반 이상은 6000 레벨 이상이 여야 한다. 구분 실무과목 법률과목 기반 컴퓨터 포렌식 I (Computer Forensics I) 포렌식 과학 화제들 (Topics in Forensic Science) 디지털 포렌식 실무 이론 (The Practice of Digital Forensics) 디지털 포렌식 석사 과정 심화 응용 컴퓨터 포렌식 II (Computer Forensics II) 심화 컴퓨터 보안과 컴퓨터 포렌식 (Advanced Topics in Computer Security and Computer Forensics) 무선 보안과 포렌식 (Wireless Security and Forensics) 멀웨어와 소프트웨어 위험 분석 (Malware and Software Vulnerability Analysis) 디지털 증거의 분산처리 (Distributed Processing of Digital Evidence) 사건 대응 기술들 (Incident Response Technologies) OS & 파일 시스템 포렌식 (OS & File System Forensics) 정보 분석, 이론 그리고 방법 (Investigate and Intelligence Analysis) 디지털 증거의 포렌식 검사 (Forensic Examination of Digital Evidence) 사이버크라임과 형사사법 (Cybercrime and Criminal Justice) 사이버 법학의 현황 (Current Issue in Cyberlaw) 법원에서의 포렌식 전문가 (Forensic Expert in Courtroom) 형사사법에서 컴퓨터의 유효성 (Utilization in Criminal Justice) 선택 ⑶ 교육과정 과목 코드 과목명 주요내용 CGS 5131 컴퓨터 포렌식 1 (Computer Forensics 1) 이 과정은 압수와 chain of custody, 대중적인 컴퓨터 파일들과 디지털 증거자료를 수집하는데의 기술적인 문제에 배우고, 법체 계의 문제점을 연구한다. CGS 5132 컴퓨터 포렌식 2 이 과정은 컴퓨터 보안 모델의 개념, 컴퓨터 네트워킹의 기본, 56) Central Florida University, Master of Science in Digital Forensics Curiculum, Central Florida University, (2012) http://msdf.ucf.edu/curriculum.html 78

제4장 외국의 디지털 포렌식 교육 현황과 시사점 과목 코드 과목명 주요내용 CAP 6133 CNT 6519 CAP 6135 COP 6525 CHS 5503 CHS5596 CHS 5518 PLA 5587 (Computer Forensics 2) 고급 컴퓨터 보완과 컴퓨터 포렌식 과정 (Advanced Topics in Computer Security and Computer Forensics) 무선 보완과 포렌식 (Wireless Security and Forensics) 컴퓨터 맬웨어와 소프트웨어 취약점 분석 연구 (Malware and Software Vulnerability Analysis) 디지털 증거의 분산 처리 (Distributed Pocessing of Digital Evidence) 포렌식 과학 주제들 (Topics in Forensic Science) 법정안의 포렌식 전문가 (Forenisc expert in the courtroom) 디지털 증거의 포렌식 검사 (Forensic Examination of Digital Evidence) 현 컴퓨터 관련 법규의 문제들 (Law Associated with Digital Forensics) 계층화 Protocol 구조, 컴퓨터 공격과 침범의 감지와 방지, 디지 털 증거 수집과 평가, 그리고 디지털 포렌식에 관한 법적 문제들 에 대해서 배운다. 컴퓨터 보완 고급과정으로, 암호학, 자동 침범 감지, 패턴 일치 감정, 통계적인 기술들, 방화벽, 그리고 취약점 스캐닝 등을 배 운다. 이 과정은 무선 컴퓨터 보안, 보안 관리, 암호학, 컴퓨터 포렌식 등과 관련된 분야에 관심있는 학생들에게 고급 과정을 가르쳐 준다. 소프트웨어 패키지 안에서 접하는 컴퓨터 악성코드들, 바이러스, 웜, 트로이목마, 버퍼 오버플로우 취약점들의 분석을 배운다. MPI를 사용하여 클러스터 환경에서 병렬과 분산 처리, 방대한 양의 전자 정보 분석할 때 쓰이는 전자 정보 발견 기술들을 배 운다. 포렌식 과학의 역사, 여러 종류의 포렌식 전문분야에 적용되는 기본 포렌식 과학의 원칙, 현재 디지털 포렌식의 문제점과 전문 성에 대하여 배운다. 법정에서의 과학적 기술적 전문가 증인의 사용도에 대하여 배운 다. 적법한 디지털 자료 수집과 증거 조사의 요건을 배운다. 표현의 자유, 저작권, 상표, 특허, 그리고 사적인 문제들에 대하 여 인터랙티브한 수업 토론, 온라인토론, 기재글, 사례 연구 논평, 그리고 법적 연구 프로젝트를 통하여 조사한다. 79

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 웨스트우드 대학 Westwood College 컴퓨터 포렌식 학사 과정 57) ⑴ 교육의 목적 본교의 컴퓨터 포렌식 전공과정을 통해 컴퓨터 포렌식 분야에서 성공적인 커리어를 시작할 수 있도록 배경지식과 실무경험을 얻을 수 있다. 교육진은 포렌식 업무에서 실제로 사용하게 될 지식과 훈련, 이해를 제공한다. 본 과정을 수료한 학생들은 컴퓨터 포렌식, 디지털 증거 취급, 정보보안, 악성소프트웨어 관리 등의 분야에서 일할 수 있다. 디스크 기반 포렌식 리눅스 보안 모바일 장치 분석 컴퓨터 포렌식 개론 포렌식 디지털 증거 취급 및 수사 악성 소프트웨어 관리 이 과정을 성공적으로 마친 학생들은: 업계 표준 운영체제와 저장장치를 설치하고 관리할 수 있게 된다. 네트워크를 설계하고 업무에 투입할 수 있다. 네트워크 시스템에서 정보접근성과 관련된 관리업무를 수행할 수 있게 된다. 컴퓨터 포렌식의 법적 측면과 정보기술 간의 관계를 파악할 수 있다. 디지털 장치에서 획득한 증거에 대하여 접근, 문서화, 보고하는 기술을 습득한다. 정보기술 분야에 기초적인 컴퓨터와 네트워크 포렌식 기술을 적용한다. 네트워크를 보안 위협으로부터 보호하기 위한 전략과 정책을 평가할 수 있다. 57) Westwood College, Information and Network Technologies: Major in Computer Forensics Degree, Westwood College, (2012) http://www.westwood.edu/programs/school-of-technology/computer-forensics-degree 80

제4장 외국의 디지털 포렌식 교육 현황과 시사점 ⑵ 교육의 구성 구분 실무과목 법률과목 컴퓨터 포렌식 전공 기반 심화 기본 컴퓨터 포렌식 (Introduction to Computer Forensics) 멜웨어 분석 (Managing Malicious Software) 리눅스 보안 (Linux Security) 디스크 기반 포렌식 (Disk Based Forensics) 모바일 포렌식 (Mobile Device Analysis) 디지털 증거 수사와 처리 (Forensics Digital Evidence Handling and Investigation) 응용 선택 81

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 콜로라도 주립 대학(Colorado State University-Pueblo) 컴퓨터 정보 시스템 학사 과정 58) ⑴ 교육의 목적 컴퓨터 정보 시스템 학사학위과정은 그 졸업생들이 컴퓨터 정보 시스템 및 정보기술 분야에 서 성공적인 커리어를 준비할 수 있도록 한다. 학생들은 컴퓨터 정보 시스템에 대하여 포괄적이 고 관련성이 높은 커리큘럼을 통하여 소프트웨어 및 웹 어플리케이션 개발, 시스템 분석 설계, 네크워크 설계 관리, 데이터베이스 설계 개발, IT 보안 분야에서 필수적인 지식, 기술, 능력을 쌓을 수 있다. 본 과정의 졸업생들은: 현대적인 프로그래밍 툴, 테크닉, 구조를 사용하여 데스크톱이나 웹 기반 어플리케이션을 설계하고 개발할 수 있다. 타당한 웹 디자인 원칙과 다계층적 구조를 사용하여 인터넷 기반 시스템을 설계하고 개발할 수 있다. 데이터베이스 관리 과정 절차를 포함하여 데이터베이스 시스템을 모델링, 설계, 개발할 수 있다. 하드웨어, 통신, 시스템 소프트웨어, 운영 체제, 시스템 환경 컴포넌트를 통합하는 안전하 고 보안된 시스템 인프라스트럭처를 개발하고 설정할 수 있다. 현대적인 양상의 시스템 분석을 모두 수행하고 방법론을 설계한다. IT 프로젝트 관리와 관련한 모든 과제와 활동을 기획, 편성한다. 58) Colorado State University-Pueblo, Computer Information Systems, Colorado State University-Pueblo, (2012) http://hsb.colostate-pueblo.edu/undergraduateprograms/majors/computerinformationsystems/pages/default.aspx 82

제4장 외국의 디지털 포렌식 교육 현황과 시사점 콜로라도 주립 대학은 현대적 프로그래밍, 데이터 베이스, IT와 인터넷 중점을 둔 인재상의 목표로 포렌식 분석가, 의사소통 분석가, 정보시스템 보안 전문가를 양성하여 컴퓨터 정보 기술 전문가들을 배출한다. ⑵ 교육의 구성 컴퓨터 정보 시스템 (Computer Information Systems) 전공 과학 학사 과정 (Bachelor of Science) 컴퓨터 포렌식 전공 구분 실무과목 법률과목 기반 워드 & 윈도우 (Intro to Word & Windows) 파워포인트 & 웹 퍼블리싱 (PowerPoint & Web Publishing) 엑셀 스프레드시트 (Excel Spreadsheets) 기본 웹 기발 (Intro. To Web Development) MS 엑세스 DBMS (MS Access DBMS) 컴퓨토 정보 시스템 (Computer Information Systems) 83

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 심화 응용 선택 PC 설계 (PC Architecture) UNIX 운영 체제 (UNIX Operating System) 자바 프로그래밍 (Intro to Java Programming) 심화 자바 프로그램 디자인 (Adv. Program Design with Java) 네트워크 개념 (Network Concepts) 데이터베이스 (Database Systems) 비즈니스 커뮤니케이션 (Business Communications) 관리 원칙 (Principles of Management) 계획 관리 (Project Management) 전문 프로젝트 (Senior Professional Project) 세미나 (Senior Seminar) CIS 선택 과목 (12 Credits) CIS 선택 과목들은 아래 리스트에서 선정한다. 학생들은 CIS 전공 중 다음과 같은 분야에 집 중할 수 있다: 컴퓨터 보안, 웹/소프트웨어 어플리케이션 개발, 시스템 분석과 디자인, 데이터 베이스 디자인과 개발, 네트워크 관리와 디자인. 컴퓨터 포렌식 전공 구분 실무과목 법률과목 기반 심화 응용 워드 & 윈도우 (Intro to Word & Windows) 파워포인트 & 웹 퍼블리싱 (PowerPoint & Web Publishing) 엑셀 스프레드시트 (Excel Spreadsheets) 기본 웹 기발 (Intro. To Web Development) MS 엑세스 DBMS (MS Access DBMS) 컴퓨터 정보 시스템 (Computer Information Systems) PC 설계 (PC Architecture) UNIX 운영 체제 (UNIX Operating System) 자바 프로그래밍 (Intro to Java Programming) 심화 자바 프로그램 디자인 (Adv. Program Design with Java) 네트워크 개념 (Network Concepts) 데이터베이스 (Database Systems) 비즈니스 커뮤니케이션 (Business Communications) 관리의 기본원칙 (Principles of Management) 프로젝트 관리 (Project Management) 전문 프로젝트 (Senior Professional Project) 84

제4장 외국의 디지털 포렌식 교육 현황과 시사점 선택 IT 보안 (IT Security) IT 보안 관리 (IT Security Management) 컴퓨터 포렌식 (Computer Forensics) IT 시행 (IT Implementation) IT 전략 (IT Strategy) 세미나 (Senior Seminar) 컴퓨터 보안 강화 (Computer Security Emphasis) CIS 전공 학생들은 컴퓨터 보안 강화를 다음 12학점 과목들을 수여함으로써 완료할 수 있다 컴퓨터 포렌식 전공 구분 실무과목 법률과목 기반 심화 응용 선택 워드 & 윈도우 (Intro to Word & Windows) 파워포인트 & 웹 퍼블리싱 (PowerPoint & Web Publishing) 엑셀 스프레드시트 (Excel Spreadsheets) 기본 웹 기발 (Intro. To Web Development) MS 엑세스 DBMS (MS Access DBMS) 컴퓨터 정보 시스템 (Computer Information Systems) PC 설계 (PC Architecture) UNIX 운영 체제 (UNIX Operating System) 자바 프로그래밍 (Intro to Java Programming) 심화 자바 프로그램 디자인 (Adv. Program Design with Java) 네트워크 개념 (Network Concepts) 데이터베이스 (Database Systems) IT 보안 (IT Security) IT 보안 관리 (IT Security Management) 컴퓨터 포렌식 (Computer Forensics) 비즈니스 커뮤니케이션 (Business Communications) 관리의 기본원칙 (Principles of Management) 프로젝트 관리 (Project Management) 전문 프로젝트 (Senior Professional Project) 세미나 (Senior Seminar) 85

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 윌밍턴 대학(Wilmington University) 59) 컴퓨터 시스템 학사 과정 ⑴ 교육의 목적 오늘날, 그 규모를 막론하고 모든 사업체는 인터넷에 연결되어 네트워크화된 컴퓨터 시스템 에 의존한다. 컴퓨터와 네트워크 기술은 직원의 생산성을 증대시키고, 정보 의 지위를 회사의 자산으로 격상시켰으며, 사업비용을 감축하였다. 하지만 아쉽게도 직원을 편리하게 하는 이러 한 정보기술들은 동시에 사이버 범죄자들에게도 편의를 제공하며, 회사가 보유한 중요한 데이 터를 방어할 책임이 부여된 IT 전문가에게 큰 어려움을 부여하고 있다. 스스로를 보호하기 위하여 각 기업들은 가장 신뢰성 있는 인증을 취득한 전문가들을 고용하 려 하고 있다. 이러한 기업들의 요구를 충족하기 위하여, 전방위적 교육을 제공하기 할 수 있도 록 전공분야의 핵심 기초뿐만이 아니라 다양한 각종 다른 분야로부터 지원을 받는다. 윌밍턴 대학교는 국토안보부(DHS)와 국가안보국(NSA)로부터 Information Assurance 교육 분야 국가우수교육기관(National Center of Academic Excellence)으로 인정받았다. 또한, NSA는 본 대학의 교육과정 내용을 검토하여 정보시스템보안전문가 국가교육기준(National Training Standard for Information Systems Security Professionals, NSTISSI 4011)과 시 스템관리자 국가교육기준(System Administrators, CNSS 4013E)에 부합한다고 인증하였다. 이 기준들은 연방정부 및 정부 계약업체의 초급 정보보호담당자나 시스템관리자의 최소교육요 건을 정하고 있다. 컴퓨터 네트워크 보안 학사학위과정(CNS)은 학생들로 하여금 디지털 정보 보안, 정보보증, 디지털 포렌식에 전문화된 자격을 취득할 수 있도록 한다. CNS 전공자는 오늘 날 급성장하는 시장과 함께 연방정부와 사기업 모두에서 일할 준비를 갖추게 될 것이다. 미국 노동통계청에 따르면 컴퓨터 네트워크 보안 분야는 미국에서 2번째로 급성장하고 있다. 2006년부터 2018년까지 관련 직종에 종사하는 자의 수는 53%정도 증가할 것이라고 한다. 컴퓨터 네트워크 보안 학사학위과정을 마친 학생은 다음과 같은 능력을 갖추게 된다. 컴퓨터 전문가에게 요구되는 윤리원칙을 적용할 수 있다. 컴퓨터, 네트워크 보안 분야의 초급 직종에서 필요한 정보보증 관련 지식을 발휘한다. 59) Wilmington University, Computer & Network Security, Wilmington University, (2012) http://www.wilmu.edu/technology/cns.aspx 86

제4장 외국의 디지털 포렌식 교육 현황과 시사점 모범적 실무준칙과 최신의 방법론을 사용하여 정보보안 프로젝트의 요건을 분석한다. 컴퓨터와 네트워크 보안 프로젝트를 관리하는 데 사용되는 모범적 실무준칙을 알고 있다. 또한 아래와 같은 직종에서 일할 수 있도록 준비하게 된다. 보안기술자 보안분석가 보안관리자 보안감사 또한 본 교육과정은 학생들이 다음과 같은 디지털 정보 보안 분야의 자격증을 취득하도록 돕는다. CISA - Certified Information System Auditor CISSP - Certified Information Systems Security Professional Security+ Certification CompTIA Network+ 87

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 윌밍턴 대학에서는 데이터 법적 측면, 포렌식의 윤리 및 역사, 컴퓨터와 네트워크의 중심적 인재상으로 의사소통, 분석적 사고능력을 가진 전문가를 양성하는 것에 목표를 둔다. ⑵ 교육의 구성 기술적인 측면에 한정하지 않고, 글쓰기, 언어를 통한 의사소통 능력, 분석적 사고능력을 배 우게 된다. 이 프로그램을 수료한 학생은 아래 주제에 대하여 더 잘 이해할 수 있다. 데이터의 법적 측면 이메일 기타 문서의 내용이 법정에서 증거법칙을 충족할 수 있는 방법 핵심 교육과목으로서 법학과 형사사법을 포함하여 기술지향적 과목을 보완 윤리 저작권 보호, 지적재산권, 사용자 개인정보 보호 등 컴퓨터 전문가로서의 역할과 관계되는 윤리와 그 실천규범을 배운다. 역사 네트워크 컴퓨터 보안의 역사와, 기술의 급속한 발전으로 보안 문제가 어떻게 변화해 왔는 지를 배운다. 88

제4장 외국의 디지털 포렌식 교육 현황과 시사점 컴퓨터와 네트워크 보안 학사 과정(credits in Electronic Discovery and Computer Forensics) 컴퓨터 포렌식 전공 (컴퓨터 보안 강화) 구분 실무과목 법률과목 기반 심화 응용 선택 컴퓨터 하드웨어 & 운용 (Introduction to Computer Hardware & Operation) 기본 리눅스 (Online Introduction to Linux) 네트워크와 텔레커뮤니케이션 (Networks and Telecommunication) 운영 체제와 컴퓨터 시스템 보안 (Operating System and Computer Systems Security) Python 사용법 (Introduction to Programming with Python) 기본 컴퓨터 포렌식 (Introduction to Computer Forensics) 온라인 운영체제 보안: 웹과 데이터 보안 (Online Operating Systems Security: Web and Data Security) 데이터 무결성, 컴퓨터 포렌식, 재난 복구(Online Data Integrity, Computer Forensics, and Disaster Recovery) 네트워크 운영 (Advanced Network Management) 네트워크 보안: 파이어월과 방어 (Protecting Your Network: Firewall and Perimeter Security) 온라인 윈도우 운영 체제 (Online Windows Operating Systems) 온라인 리눅스 (Online Linux for Systems Administrators) 온라인 암호학 (Online Cryptography) 형사사법 (Criminal Justice) 정보보안의 규정과 실무 (Principles and Practices of Information Security) 온라인 컴퓨터 실무가 윤리 (Online Ethics for Computer Professionals) 온라인 사이버 법률 (Online Cyber Law) 온라인 범죄증거와 절차 )Online Criminal Evidence and Procedures) 89

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 아메리칸 인터콘티낸탈 대학 (American InterContinental University) 정보 기술 학사 과정 ⑴ 교육의 구성 디지털 포렌식 수사 전문화 과정 구분 실무과목 법률과목 기반 심화 응용 선택 컴퓨터와 네트워크 하드웨어 (Introduction to Computer and Network Hardware) 기본 운영체제 (Introduction to Operating Systems) 기본 데이터베이스 (Introduction to Databases) 프로그래밍과 논리 (Fundamentals of Programming and Logic) 네트워크 사회 기반 시설 (Network Infrastructure Basics) 웹 시스템과 미디어 (Introduction to Web Systems and Media) 프로그램 기반 (Program Capstone) 데이터 구조와 실행 (Data Structures and Implementation) 관련 데이터베이스 관리 시스템 (Relational Database Management Systems) IT에서의 응용 수학과 통계 (Applications of Discrete Mathematics and Statistics in IT) 컴퓨터 네트워크와 보안 (Computer Networks and Security) 사이버 크라임과 디지털 수사 (Introduction to Cyber Crime and Digital Investigations) 디지털 수사 I (Digital Investigations I) 네트워크 수사 (Network Investigations) 무선 네트워크 수사 (Wireless Network Investigations) 무선 수사 (Wireless Investigations) 종합적 IT 프로젝트 (Comprehensive IT Project) 디지털 수사 II (Digital Investigations II) 수사 공조 (Global Investigations) 디지털 수사 프로젝트 (Senior Project in Digital Investigations) 인권/컴퓨터 상호작용 (Human/Computer Interface Interactions) 디지털 수사 법률과 윤리 (Laws and Ethics in Digital Investigations) 디지털 수사의 소셜 미디어와 소셜 공학 (Social Media and Social Engineering in Digital Investigations) 디지털 증거 개시 윤리 (Principles in Electronic Discovery) 90

제4장 외국의 디지털 포렌식 교육 현황과 시사점 데브리 대학교 DeVry University 컴퓨터 정보 시스템 학사 과정 60) ⑴ 교육의 목적 컴퓨터 포렌식 전문가들은 증거를 채취하고 형사사건에서의 전자적 증거를 분석하여 보고한 다. 주요 컴퓨터 포렌식 소프트웨어 및 응용프로그램을 익히고, 컴퓨터 범죄의 다양성, 법률, 증 거법칙의 원리를 이해할 수 있다. 컴퓨터 시스템에 상주된 데이터를 수색하고, 손상 삭제되거나 암호화된 파일 정보를 복구하는 기술을 습득하게 된다. 이는 범죄자를 식별하고 기소하는 데 중 요한 역할을 하며, 수요가 점점 높아지고 있다. 데브리 대학은 디지털 포렌식, 윤리, 정보의 보안으로 디지털 법적용과 절차 대체에 능숙한 전문가의 양성을 목표하고 있다. ⑵ 교육의 구성 컴퓨터 정보시스템 교육과정 중 컴퓨터 포렌식에 특화하게 되면, 수강과목에 다음의 전공심 60) DeVry University, Computer Forensics Specialization, DeVry University, (2012) http://www.devry.edu/degree-programs/college-engineering-information-sciences/computer-forensics-about.js p 91

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 화과목이 포함될 수 있다. 디지털 범죄: 증거와 절차 - 컴퓨터와 컴퓨터 기반 시스템이 개입한 형사수사활동에 있어서 기초적인 법의 개념과 증거절차를 배운다. 학생들은 이를 통해 디지털 시대의 법적용과 그 절차를 알게 된다. 컴퓨터 윤리 - 이 강좌에서는 컴퓨터 기술의 본질과 사회적 영향, 그에 따라 기술을 윤리적으 로 사용케 하기 위한 정부나 조직의 정책의 형성과정과 그 정당성에 대해 배우게 된다. 강의 주제에는 컴퓨터 소프트웨어, 하드웨어의 편재성(ubiquity)에 대한 법적 윤리적 사회적 쟁 점, 컴퓨터 네트워크의 확산성(proliferation)과 만연적 성질(pervasive nature) 등이 있다. 디지털 포렌식 1 - PC나 LAN 상에서 이루어지는 불법 비윤리적 활동을 수사하는 데에 사 용하는 기본적인 포렌식 기술과 그 적용을 배운다. 디지털 포렌식 2 - 국제 컴퓨터범죄를 포함해 LAN/WAN에서 수사의 단서를 찾는 고급 테 크닉을 배운다. 정보시스템보안계획 감사 - 포괄적이고 유연한 보안계획을 설계하기 위하여 반드시 수행하 여야 하는 위협요소분석에 대하여 배운다. 강의 주제로는 위협 평가, 대응 설계, 감사절차를 활용한 정책 절차 준수여부 확인 등이 있다. 컴퓨터 포렌식 과정 구분 실무과목 법률과목 디지털 포렌식 수사 전문화 과정 기반 디지털 범죄 (Digital Crime) 디지털 포렌식 I (Digital Forensics I) 컴퓨터 포렌식 (Introduction to Computer Forensics) 기초 컴퓨터 포렌식 (Computer Forensics Fundamentals) 기초 하이테크 범죄 (High Tech Crime Fundamentals) 정보 보안 관련 주제(Information Security Topics) 컴퓨터 프로그래밍 (Introduction to Computer Programming) 마이크로컴퓨터 하드웨어와 소프트웨어 (Microcomputer Hardware and Software) 네트워크 기술 (Introduction to Network Technology) 운영 체제 (Operating Systems) 컴퓨터 포렌식 관련 법률 (Legal Aspects of Computer Forensics) 92

제4장 외국의 디지털 포렌식 교육 현황과 시사점 심화 응용 선택 디지털 포렌식 II (Digital Forensics II)정보 시스템 보안 기획과 감사 (Information Systems Security Planning and Audit) 사고 대처 (Emergency Management) 컴퓨터 포렌식 도구와 기술 (Computer Forensics Tools And Techniques) 컴퓨터 포렌식 수사 (Computer Forensics Investigation) 컴퓨터 포렌식 실무 (Computer Forensics Practices) 파일 시스템 포렌식 분석 (File Systems Forensics Analysis) 회계 포렌식 (Forensic Accounting) 윈도우 포렌식 (Windows Forensics) 매킨토시 포렌식 분석 (Unix-Macintosh Forensics Analysis) 컴퓨터 포렌식 실험실 (Advanced Computer Forensics Lab) 윈도우 워크 스테이션 관라 (Windows Workstation Administration) 컴퓨터 정보 보안 (Computer Information Security) 정보 기술 프로젝트 관리 (Information Technology Project Management) 컴퓨터 윤리 (Computer Ethics) 정책 개선 (Policy Corrections) 93

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 센추리 대학(Century College) 컴퓨터 포렌식 응용과학 학사 과정 61) ⑴ 교육의 목적 컴퓨터 포렌식 프로그램은 컴퓨터과학, 정보보증, 컴퓨터 침해 사고, 수사, 사이버공간 윤리, 컴퓨터 관련 법률에 대하여 교육한다. 컴퓨터 포렌식이라 함은 증거로서 사용할 목적으로 컴퓨 터 매체를 분석하는 방법과 과정을 의미하며 여기에는 수집, 보존, 분석, 법정제출이 포함된다. 과정을 수료한 후에는 사기업에서 정보보호활동, 사내 컴퓨터 활동 조사, 소송 준비 등을 하거 나, 정부 수사기관에서 사이버테러리즘 등 범죄근절을 위하여 활동할 수도 있다. 컴퓨터 증거는 인적자원관리, 고용분쟁, 민사분쟁 및 형사사건에서 중요한 역할을 할 수 있다. 정부기관과 수사활동에 관심이 있다면 지역 또는 주 경찰서에 지원할 수 있으며, 기업환경에 관심 이 있다면 회사 정책 위반사항을 감시하는 부서에서 다른 IT 전문가들과 나란히 일할 수 있다. 학생들은 다음과 같은 직업중 하나로 진로 할 수 있다. 컴퓨터 포렌식 분석가 사이버 수사관 디지털 포렌식 조사관/수사관 포렌식 컨설턴트 포렌식 기술자 비디오 포렌식 분석가 61) http://www.century.edu/futurestudents/programs/pnd.aspx?id=9 94

제4장 외국의 디지털 포렌식 교육 현황과 시사점 센추리 대학은 컴퓨터 과학과 사이버 공간에 중점을 둔 교육을 하여 포렌식과 사이버 실무가를 양성하는 데에 중점을 둔다. ⑵ 요구조건 MATH 0070의 특정 학점이상, MATH 0030 과목 C 학점이상, ENGL 1021의 특정 학점이상, ENGL 0090 과목 C 학점 이상, RDNG 1000의 특정 학점이상, RDNG 0090 C학점이상이 되어 야 한다. IT 보안과 회계 감사 자격증의 추가 전제조건: MCST 1013, MCST 2011, ITT1031, ITT2031, ITT 2010 C 학점 이상 수료이나 MCP 클라이 언트 OS, MCP 서버, CCNA 아님 Network+industry 자격증과 강사 동의가 있어야 된다. 데이터 복구와 비디오 포렌식 자격증의 추가 전제조건: CFIT 2070, CFIT 2080, CFIT 2081 C학점 이상을 수료하거나, 강사의 동의가 있어야 한다. 95

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 3) 교육의 구성 일반과목들: 컴퓨터 포렌식 전공 구분 실무과목 법률과목 기반 심화 응용 선택 윈도우 7(Supporting Microsoft Windows 7) 마이크로소프트 윈도우 2008 서버 (Microsoft Windows 2008 Server) 리눅스 운영 체제 (Linux Operating System) 컴퓨터 포렌식 (Introduction to Computer Forensics) 정보 보안 원칙 (Principles of Information Security) 오픈 소스 포렌식 방법 (Open Source Forensics Methodology) 기본 네트워크 보안 (Network Security Fundamentals) 컴퓨터 수사 관련 법률 (Computer Investigative Law for Forensic Analysts) 96

제4장 외국의 디지털 포렌식 교육 현황과 시사점 존 제이 형사사법 대학(John Jay College of Criminal Justice) 사이버 보안 석사 과정 ⑴ 교육의 목적 포렌식, 정보 과학, 형사사법 교육을 받은 다재다능한 졸업생들은 여러 분야의 디지털 포렌식, 사이버 보안과 정보보안 등의 분야에서 커리어를 추구할 수 있다. 이와 같은 직종의 예로는, 사 이버 수사관, 정부기관들의 특수 요원, 디지털 포렌식 분석가, ediscovery 전문가, 실험실 매니 저, 교육관, 정보 보안 (INFOSEC) 전문가, 사이버 사건 분석 전문가, 사이버 보안 분석가, 컴퓨 터 보안자, 네트워크 보안 분석가, 정보 보험 상담자, 포렌식 컴퓨팅 제품 연구와 개발, 관련 분 야의 박사 등이 있다. ⑵ 요구조건 형사사법과 컴퓨터 포렌식 과학을 같이 공부하고 싶은 컴퓨터 과학 졸업생들 프로그램에 필요한 필수적 컴퓨터 과학 과목들을 배울수 있는 비( 非 ) 컴퓨터 포렌식 과학 졸 업생들. 자신의 실무에 쓰이는 도구들을 배워 더욱 실무에 능숙하고 싶은 공공기관과 사기관의 실무가 사이버수사와 디지털 포렌식에 이전 하고 싶은 수사기관 인사과와 베테랑 유사한 직종에서 디지털 포렌식으로 직장 이전을 하고 싶은 경험 깊은 정보 기술 전문가들. ⑶ 교육의 구성 디지털 포렌식과 사이버 보안 석사 과정, 응용 디지털 포렌식 과학 자격증 필요한 과목들/ 총: 15학점 디지털 포렌식 사이버 보안 석사 과정 구분 실무과목 법률과목 기반 심화 보안 운영체제 구조 (Architecture of Secure Operating Systems) 네트워크 보안 (Network Security) 하이 테크 범죄 (High Technology Crime) 디지털 포렌식 응용 (Digital Forensics Applications) 포렌식 증거 관리 (Forensic Management of Digital Evidence) 하이테크 범죄 관련 법률 (High Technology Crime Law) 97

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 응용 선택 컴퓨터 보안 기본 이론 (Theoretical Foundations of Computing Security) 수학적 통계 (Mathematical Statistics for Forensic Science) 데이터 커뮤니케이션과 포렌식 (Data Communications and Forensics Security) 네트워크 포렌식 (Network Forensics) 형사사법 선택과목들/ 총: 3학점 디지털 포렌식 사이버 보안 형사 사법 전문화 석사 과정 구분 실무과목 법률과목 기반 심화 응용 선택 보안 운영체제 구조 (Architecture of Secure Operating Systems) 네트워크 보안 (Network Security) 하이 테크 범죄 (High Technology Crime) 디지털 포렌식 응용 (Digital Forensics Applications) 포렌식 증거 관리 (Forensic Management of Digital Evidence) 컴퓨터 보안 기본 이론 (Theoretical Foundations of Computing Security) 수학적 통계 (Mathematical Statistics for Forensic Science) 데이터 커뮤니케이션과 포렌식 (Data Communications and Forensics Security) 네트워크 포렌식 (Network Forensics) 하이테크 범죄 관련 법률 (High Technology Crime Law) 법률, 증거 그리고 윤리 (Law, Evidence and Ethics) 사이버 범죄학 (Cybercriminology) 헌법 (Constitutional Law) 졸업 선택과목/ 총: 3학점 졸업 카탈로그에 있는 아무 과정 (FCM 708과 FCM 709 제외)과 위 제기된 선택과목들. 98

제4장 외국의 디지털 포렌식 교육 현황과 시사점 유티카 대학 (Utica College) 사이버 보안 학사 과정 ⑴ 교육의 목적 초기의 사이버 범죄는 온라인 뱅킹 사기, 자금 세탁, 신용 카드 도난, 불법 거래를 포함한 금 융 범죄 등으로 국한되었지만, 그 범위가 점차 넓어져 국가, 기업, 사회에 새로운 위협이 되고 있다. 사이버 범죄 수사와 과학 수사에 대한 지식을 사용하여 피해자를 보호하고 정의를 구현할 수 있다. 본교의 교육 과정은 혁신적인 학제적 접근을 통해 최신 기술 및 데이터, 범죄학에서 사용할 수 있는 형사사법 경제범죄 컴퓨터포렌식을 통합하여 다음과 같은 직종에서 일할 수 있 는 기초를 제공한다. 기업 및 산업 보안 수사 기관 정부 정보기관 국토 안보부 은행 및 금융 조사에 첨단 기술을 요구하는 기타 분야 ⑵ 교육의 구성 구분 실무과목 법률과목 사이버 보완과 정보 보험 학사 과정 기반 심화 통계 (Statistics) 컴퓨터 하드웨어와 주변기기 (Computer Hardware and Peripherals) 분석 방법 (Research Methods) 사이버크라임 수사와 포렌식 I (Cybercrime Investigations and Forensics I) 사이버보안 세미나 (Senior Seminar in Cybersecurity) 정보 보안 (Information Security) 사이버 크라임 수사와 포렌식 II (Cybercrime Investigations and Forensics II) 범죄학 (Criminology) 직무 윤리 (Professional Ethics) 형사사법 (Introduction to Criminal Justice ) 형법의 분야 (Jurisprudence of the Criminal Law) 사이버크라임 법률 (Cybercrime Law) 99

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 응용 선택 인턴쉽 (Internship ) 사이버크라임 수사와 포렌식 III (Cybercrime Investigations and Forensics III) 컴퓨터 조직도와 프로그래밍 (Computer Organization and Programming) 수사의 현대 기술 (Modern Techniques of Criminal Investigation) 네트워크 (Introduction to Networks) 보안 관리 (Security Administration) 정보 보안 위협, 공격 & 방어 (Information System Threats, Attacks & Defenses) 범죄 증거물 (Criminal Evidence) 컴퓨터와 네트워크 보안 (Computer and Network Security) 시스템 취약점 분석 (System Vulnerability Assessments) 100

제4장 외국의 디지털 포렌식 교육 현황과 시사점 버틀러 카운티 커뮤니티 대학 (Butler County Community College) 디지털 포렌식 학사 과정 62) ⑴ 교육의 목적 가르침과 배움의 탁월성 획기적이며, 융통성있는 저렴한 프로그램 평생의 배움, 사회에 필요한 리더십을 배우며, 우리가 사는 공동체의 삶의 질을 향상한다. 버틀러 카운티 대학의 교육과정은 포괄적인 지원 서비스를 통하여 학생들이 학문적으로 성공 할 수 있도록 기반을 제고한다. 효과적인 교육체계와 혁신적인 교육학과 과제들로 학생들에게 다양한 가르침과 배움의 기회를 제공하며, 교직원들의 복지를 향상 시킨다. 또한 재정의 건전성 을 도모하고, 평생학습, 그리고 공공 안전을 위하여 공동체의 요구에 부합하는 교육과정을 개설 하고 있다. 62) http://academic-catalog.bc3.edu/preview_program.php?catoid=4&poid=232&returnto=144 101

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 버틀러 카운티 대학은 공동체와 리더십을 갖추어 공동체에 도움이 되고 리더십있는 전문가를 양성하는 데에 중점을 둔다. ⑵ 교육의 구성 컴퓨터 정보 시스템 - 컴퓨터 포렌식과 보안들, A.A.S (associate in applied science) 컴퓨터 정보 시스템 전공 구분 실무과목 법률과목 기반 심화 응용 선택 컴퓨터 정보 시스템 (Computer Information Systems) 마이크로컴퓨팅 어플리케이션 (Microcomputing Applications) 체력 검정 (Physical Wellness) 건강 과학 (Health Science) C++ 프로그래밍 (C++ Programming Fundamentals) PC 관리 기술 I (PC Management Techniques I) 윈도우 서버 관리 (Windows Server Administrator) 기술적 글쓰기 (Technical Writing) 데이터 커뮤니케이션과 네트워킹 (Data Communications and Networking) 마이크로컴퓨터 운영 체제 (Microcomputer Operating Systems) 리눅스 (Linux) 시스템 분석 & 디자인 (Systems Analysis & Design) 컴퓨터와 인터넷 보안 (Computer and Internet Security) 디지털 포렌식 I (Digital Forensics I) AccessData Certified Examiner (ACE) Certification 네트워킹 보안 (Advanced Networking and Security) 컴퓨터 포렌식 & 보안 (Computer Forensics & Security) 디지털 포렌식 II (Digital Forensics II) 형법 (Criminal Law) 형사소송법 (Criminal Procedure) 102

제4장 외국의 디지털 포렌식 교육 현황과 시사점 챔플레인 대학 (Champlain College) 디지털 포렌식 학사 석사 과정 63) ⑴ 교육의 목적 디지털 포렌식의 최신 현황을 경험 - 디지털 포렌식 학부와 지역 수사 기관과 디지털 포렌 식 산업의 연계로 실무의 급격한 변화와 진화를 수업 안에서 경험 할 수 있다. 전문화나 부전공으로 디지털 포렌식 학위에 추가로 하여 남다른 이력서를 만든다 - 전문화 과정에는 컴퓨터 과학, 사이버 수사, 정보사기 수사, 그리고 정보 보험이 있다. 또한 학부 조언자를 통하여 자기만의 전문화나 부전공을 만들 수 있다. 디지털 포렌식 석사 과정 - 대학의 디지털 포렌식 과학 프로그램으로 학사 과정과 석사 과 정을 5년 안에 수료할 수 있다. 대등할 수 없는 실무를 경험 - 상의의원 패트릭 리에이 디지털 포렌식 센터 (Patrtick Leahy Centre for Digital Invesitigation)에서 진행되고 있는 수사에 참여하여 디지털 포 렌식 전문가들과 수사기관 요원들과 진행형 수사에 참여한다. ⑵ 교육의 구성 과학, 컴퓨터와 디지털 포렌식 학사 과정 구분 실무과목 법률과목 과학, 컴퓨터와 디지털 포렌식 학사 과정 기반 기본 수사법 (Concepts of the Self Rhetoric I) 형법 민사 사이버 크라임 수사(Cyber Crime - Criminal & Civil Investigations) 기초 네트워크/보안 (ntroduction to Networking/Security) 공동체의 의의 (Concepts of Community) 기본 포렌식 과학 (Intro to Forensic Science with Lab) 기본 컴퓨터 이론 (Introduction to Computer Theory) 시스템 소프트웨어 (Systems Software) 기본 디지털 포렌식 (Introduction to Digital Forensics) Criminal Law Law of Digital Evidence Ethics 63) http://www.champlain.edu/undergraduate-studies/majors-and-programs/computer-and-digital-forensics-x 14305.html 103

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 심화 응용 심화 수사법 (Rhetoric II) 안티 포렌식 & 네트워크 포렌식 (Anti-Forensics & Network Forensics) 디지털 포렌식 도구 평가 (Digital Forensic Tool Evaluation) 글로벌 스터디 I: 기술 & 개발 (Global Studies I: Technology & Development) 글로벌 스터디 II: 인권 (Global Studies II: Human Rights) 모바일 포렌식 (Mobile Device Forensics) 컴퓨터 포렌식 인턴쉽 (Computer Forensics Internship) 운영 체제 포렌식 (Operating System Forensics) 파일 시스템 포렌식 (File System Forensics) E-Discovery & 데이터 분석 (E-Discovery & Data Analytics) 고위 디지털 수사 (Advanced Practice in Digital) Investigations 대학 최종 단계 (College Capstone) 온라인 과학, 컴퓨터와 디지털 포렌식 학사 과정 - 전문 과목들/ 총 60학점 온라인 과학, 컴퓨터와 디지털 포렌식 학사 과정 구분 실무과목 법률과목 기반 기초 범죄감식학 (Introduction to Criminalistics) 연구소 포렌식 과학 (Laboratory Forensic Science) 기본 네트워킹 (Networking Fundamentals) 컴퓨터 시스템 기본 (Introduction to Computer Systems) 운영체제 (Operating Systems) 범죄 수사 (Criminal Investigation) 컴퓨터와 네트워크 보안 (Computer and Network Security) 형법 (Criminal Law) 형사소송법 (Criminal Procedure) 104

제4장 외국의 디지털 포렌식 교육 현황과 시사점 심화 응용 선택 사이버 크라임 (Cybercrime) 디지털 포렌식 수사 방법 (Digital Forensics Investigative Techniques) 디지털 포렌식 분석 (Digital Forensics Analysis) 화이트 칼라 범죄 (White Collar Crime) 포렌식 회계 (Forensic Accounting) TCP/IP or Linux/Unix 시스템 (TCP/IP OR Linux/Unix Systems) Administration I OR Windows Server Systems Admin. 안티 포렌식와 네트워크 포렌식 (Anti-Forensics and Network Forensics) 포렌식 인턴십 (Elective Forensics Internship) 기본 디지털 포렌식 (Digital Forensics Capstone) 디지털 포렌식 세미나 (Senior Seminar in Digital Forensics) 기초 심리학 (Introduction to Psychology) 기초 통계 (Intro to Statistics) 랩 과학 (Lab Science) 디지털 증거 압수 &Law of Searching & Seizing Digital Evidence Ethics in Human Services 디지털 포렌식 관리 석사 과정 과목들/ 총 36학점 디지털 포렌식 관리 석사 과정 구분 실무과목 법률과목 기반 심화 응용 통합적 실무 지향적 (Integrated and Reflective Practice) 과정 향상과 작전(Process Improvement and Operations) 프로젝트 운영 (Project Management) 프로젝트 재무 관리 (Financial Decision Making for Management) IT 보안과 전략 (IT Security and Strategy) 민사소송에서의 디지털 수사 (Digital Investigation for Civil Litigation) 리서치 방법론 (Research Methodology) 통합적 최종 프로젝트 (Integrative Capstone Project) The Practice of Digital Investigations 디지털 수사의 법적 측면 (Legal Aspects of Digital Investigations) 운영상 법적 쟁점 (Legal Issues for Management) 105

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 선택 Computer Forensics Laboratory Operations and Management 온라인 디지털 포렌식 석사 과정 온라인 디지털 포렌식 석사 과정 구분 실무과목 법률과목 기반 심화 응용 선택 디지털 수사 실무(The Practice of Digital Investigation) 경영관련전문용어(The Strategic Language of Business) 디지털 포렌식 스크립팅(Scripting for Digital Forensics) 운영체제 분석(Operating System Analysis) 사고대응 및 네트워크 포렌식(Incident Response and Network Forensics) 악성프로그램 분석(Malware Analysis) 모바일 디바이스 분석(Mobile Device Analysis) 민사소송에서의 디지털조사(Digital Investigation for Civil Litigation) 리서치 프로젝트 1&2(Capstone Research Projects 1& 2) 컴퓨터 포렌식 실습실 운영과 인증(Computer Forensics Laboratory Operation and Accreditation) 리서치 방법론(Research Methodology) 106

제4장 외국의 디지털 포렌식 교육 현황과 시사점 조지 워싱턴 대학 (The George Washington University) 고난이도 수사 기술 석사 과정 64) ⑴ 교육의 목적 일상생활에서 디지털 장치를 광범위하게 사용하게 됨에 따라 개인, 기업, 정부기관 모두 전자 적으로 더 많은 정보를 공유하는 환경이 조성되었다. 범죄들 또한 이러한 경향에 주목하여 사이 버 공간으로 그 범죄의 초점을 옮기고 있다. 업계 전문가의 의견에 따르면 산업영역 전방위에 걸쳐 상당한 규모를 갖춘 기업들은 모두 귀중한 지적 재산이나 영업비밀의 안전을 보장할 수 없 다 고 한다. 내부자의 위협, 신원 도용, 영업정보의 절도, 의료사고, 민사분쟁, 사이버테러리즘 등의 범죄가 모두 증가추세에 있다. 이와 같은 기술관련 범죄의 증가로 인하여 정보기술의 과학 과 수사의 기술을 융합할 수 있는 새로운 사이버 수사관이 필요하게 되었다. 이 교육프로그램은 특별히 다음과 같은 계층의 수요를 충족하도록 설계되었다. 수사기관 하이테크 범죄와 관련된 모든 연방, 주 정부기관 기업 정보보안 전문가 상위 단계 학위의 취득을 원하는 컴퓨터 포렌식 전문가 급성장하는 하이테크 범죄 수사 분야에 뛰어들고 싶은 개인 하이테크범죄수사 프로그램은 보안 전문가들을 대상으로 컴퓨터 범죄의 수사와 관련한 법, 기술, 관리 및 행동요소에 대한 심도 있는 이해를 제공한다. 프로그램은 유연하게 구성되어 각 학생의 학술적 선호와 여유시간에 맞출 수 있다. 형사사법, 물리학, 컴퓨터과학, 비즈니스 등 다양한 학력, 실무경력을 갖춘 학생들이 교육프로그램에 참가하고 있다. 64) http://nearyou.gwu.edu/htc/index.html 107

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 ⑵ 교육의 구성 고난이도 의 수사 기술법 석사 과정 구분 실무과목 법률과목 기반 심화 응용 선택 보안전문가 컴퓨터시스템 입문(Introduction to Computer Systems for Security Professionals) 보안전문가 네트워크시스템 입문(Introduction to Network Systems for Security Professionals) 정보시스템의 보호(Protection of Information Systems) 보안전문가를 위한 리서치 방법론(Research Methods for the Security Professional) 사고대응 - 네트워크 기반 공격의 이해와 발견(Incidence Response - Understanding and Identifying Network-Based Attacks) 컴퓨터 포렌식 I: 수사와 데이터 수집(Computer Forensics I - Investigation and Data Gathering) 컴퓨터 포렌식 수사과정(The Investigative Process for Computer Forensics) 사고대응 고급과정 - 네트워크 기반 공격 수사(Advanced Incidence Response - Investigating Network-based Attacks) 컴퓨터 포렌식 II: 증거와 분석(Computer Forensics II - Evidence and Analysis) 세미나: 하이테크 범죄 수사(Capstone Seminar: High Technology Crime Investigations) 보안전문가를 위한 프로젝트 관리방법론(Project Management for the Security Professional) 보안관리(Secirity Management) 포렌식 심리학(Forensic Psychology) 비디오 포렌식 분석(Video Forensic Analysis) 스테가노그래피와 전자 워터마킹기법(Steganography and Electronic Watermarking) 리눅스 포렌식(Linux for Computer Forensics) Computer-Related Law 108

제4장 외국의 디지털 포렌식 교육 현황과 시사점 컴퓨터 포렌식 III: 고급 테크닉(Computer Forensics III: Advanced Techniques 리서치(Research) 포렌식 사이언스 실습(Forensic Sciences Practicum) 109

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 2. 미국 수사기관 디지털 포렌식 교육 현황 National Forensic Science Technology Center(NFSTC) 65) ⑴ 개요 NFSTC는 혁신적인 연구, 프로그램, 최신 기술에 대한 평가, 과학수사 교육을 담당하는 국가 투자기관으로, 수사관계자들에게 최고 수준의 과학수사 능력과 서비스를 제공할 수 있도록 기 반을 구성하고 있다. NFSTC는 National Institute of Justice, Bureau of Justice Assistance, Defense Threat Reduction Agency 등 미국 전역에 걸친 다양한 국가기관이나 연구소와 협력하고 있으며, 이를 통하여 과학수사 분야의 발전을 도모하는 국가의 역량과 의지를 증진시키고 있다. ⑵ 교육대상 대부분의 클래스는 DNA 분석가, 범죄현장분석가, 법의관, 경찰 등 일반 대중들이 아닌 실무 요원이 교육대상이지만, 누구나 참여할 수 있는 온라인 훈련 프로그램도 제공하고 있다. ⑶ 자격인증 NFSTC는 인증서나 자격증을 부여하지 않는다. 단 그러한 인증이 중요한 경우가 있는 점을 감안하여 각종 인증기관과 공조하고 있다. 즉 NFSTC의 교육을 통하여 인증을 받을 수 있을 정 도로 실력을 향상할 수 있도록 한다. ⑷ 교육내용 디지털화된 증거물은 다른 종류의 증거물과 달리 특수한 규칙, 절차 또는 전략이 적용될 필요 가 있다. NFSTC의 디지털 포렌식 교육 과정은 디지털 형태의 주요 증거물을 다루는 사안을 다 루는 데 있어서 모의 법정을 통해 수강자를 지원하며 교육한다. 강의는 다음의 주제를 다루는 각 단계로 구성된다. 65) http://www.nfstc.org/ 110

제4장 외국의 디지털 포렌식 교육 현황과 시사점 재판 준비, 기획 및 세부계획 증인 및 증거품과 관련한 재판 준비 증거의 수용가능성 증거의 제시 재판단계에서의 팁 복습 ⑸ 실적 1년에 약 1200명 정도의 인원에 대하여 교육프로그램을 제공한 것으로 파악되었다. 111

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 Federal Law Enforcement Training Center(FLETC) 66) ⑴ 개요 연방수사관훈련센터(FLETC)는 90개 이상의 연방기관의 수사관을 교육하는 기관으로 국가, 지역, 국제 수사기관 등에게 서비스를 제공하고 있다. 연방수사관훈련센터(FLETC)의 훈련운영부(Office of Training Operations)소속 기관에 Technical Operations Division(TOD)을 두고 과학수사와 관련한 업무 및 훈련을 담당하고 있 다. TOD는 전자감시장비, 디지털 이미징을 통한 범죄의 예방, 감지, 조사, 기소를 비롯하여 컴퓨터 포렌식을 통한 디지털 증거의 압수에 관련된 훈련 프로그램을 디자인 및 개발하고 감독 한다. ⑵ 교육대상 연방정부기관(91개) 소속 수사관은 물론이고 주정부기관, 지역 사법기관 수사관들까지 교육 대상으로 하고 있다. ⑶ 자격인증 부여하지 않는다. ⑷ 교육내용 컴퓨터 네트워크 수사 훈련 은밀전자감시 은밀전자추적 디지털 증거 획득 전문가 훈련 디지털 포토그래피 디지털 증거에 대한 first responder IP 카메라(네트워크상의 원격감시카메라) 매킨토시 포렌식 66) http://www.fletc.gov/ 112

제4장 외국의 디지털 포렌식 교육 현황과 시사점 모바일 디바이스 수사 CCTV 비디오 레코딩 복원 압수컴퓨터증거복원 전문가 ⑸ 실적 공개된 자료가 없다. 113

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 Regional Computer Forensics Laboratory(RCFL) 67) ⑴ 개요 FBI가 주관하여 운영하는 포렌식 연구 및 훈련지원기관으로 전국에 14개소가 있다. 테러, 아 동포르노, 강력범죄, 회사 기밀 유출, 화이트칼라 범죄, 금융범죄, 인터넷 범죄 등과 같은 형사 범죄의 조사를 뒷받침하는 디지털 증거의 조사와 관련한 연구와 훈련을 지원하며 자체적으로 수사관을 보유하여 수사활동을 하고 있다. 인적 구성은 보통 15인으로 되어 있으며 이 중에서 12명은 주조사관, 3명은 보조조사관이다. 이들은 범죄현장에서 디지털 증거를 수집 및 압수하고, 이를 통해 확보한 컴퓨터 증거를 공정하 게 조사한다. 필요한 경우에는 직접 법정에서 증언할 수도 있다. ⑵ 교육대상 모든 현직 수사요원들을 대상으로 훈련 코스를 제공하고 있다. 일반인을 대상으로 제공하는 훈련 프로그램은 없다 ⑶ 자격인증 부여하지 않는다. 다만 다른 인증을 취득할 수 있도록 준비교육과정이 제공된다. ⑷ 교육내용 RCFL과 FBI CART(컴퓨터분석대응팀) 요원을 교육하는 RCFL/CART Examiners 코스가 있 고, 그 외 수사기관 요원들에게 제공되는 Law Enforcement Personnel 코스가 있다. RCFL/CART Examiners Windows OS, Intel-based PC hardware 설치 및 유지보수 CompTIA A+ Certification Preparation Course Seizing and Handling of Digital Evidence Linux Media Forensics Advanced Microsoft Advanced Forensics 67) http://www.rcfl.gov/ 114

제4장 외국의 디지털 포렌식 교육 현황과 시사점 NET+Certification Preparation Course Law Enforcement Personnel Case Agent Investigative Review Internet Crimes and Tracing Image Scan Training 115

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 제3절 미국의 디지털 포렌식 자격 제도 한국에서 디지털 포렌식 자격증은 성균관대에서만 제공하는 것과 달리, 미국에서는 디지털 포렌식 자격증이 여러 대학에서 제공하고 있다. 앤 아룬델 커뮤니티 대학 (Anne Arundel Community College) 사이버 크라임 자격증 68) ⑴ 교육의 목적 본 프로그램은 국토안보부 및 형사사법연구소에서 참여하고 있다. 사이버범죄 프로그램을 통 해 컴퓨터 범죄와 관련된 형사사건수사 분야에서 일할 수 있도록 준비를 갖출 수 있다. 컴퓨터 범죄라 함은 컴퓨터를 목표로 한 범죄행위뿐만이 아니라 컴퓨터를 도구로 사용하여 완료하는 범죄를 모두 포함한다. 68) http://www.aacc.edu/homeland/cybercrime.cfm 116

제4장 외국의 디지털 포렌식 교육 현황과 시사점 사이버범죄 학위 인증 프로그램에서는 사이버범죄 방지, 수사, 증거제출에 대한 지식을 갖출 수 있다. 앤 아룬델 대학은 사이버 범죄에 중점을 둔 교육 과정으로 사이버 범죄 방지 프로그램 전문가를 양성하는데 중점을 두고 있다. ⑵ 교육의 구성 사이버 크라임 전공 구분 실무과목 법률과목 기반 심화 Investigation and Criminalistics Cyberlaw, Cybercrime 응용 선택 Criminal Evidence and Procedure Cyber Forensics,Criminal, Justice Ethics 117

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 캘리포니아 주 플러튼 (Cal State Fullerton University) 자격증 제도 <컴퓨터 포렌식 II 자격증> 69) ⑴ 프로그램 설명 최신의 컴퓨터 기술의 발전에 따라 수요가 다변화되고 이에 따라 컴퓨터 포렌식의 분야는 광 범위하고 전문적으로 성장해왔다. 전문화된 컴퓨터 포렌식의 특정 분야에 대한 이해를 심화할 수 있도록 본 자격부여프로그램이 창설되었다. 이 프로그램에서 각각의 강의는 구체적인 주제를 탐구할 수 있고 특정한 분야에서 각각의 지 식을 강화할 것이다. 이 자격증 참가자가 완료 되었을 때 포괄적인 컴퓨터 포렌식 조사 수행와 효과적으로 존재하는 증거를 제출이 준비된다. 컴퓨터 포렌식 II의 자격증은 총 24시간 강의에서 3개의 강좌와 직접해보는 경험으로 구성된 다. 이 자격증 졸업은 2.4 Continuing Education Units를 받을 것이다. ⑵ 프로그램 목표 및 비전 이 자격 프로그램을 완료에 따라, 졸업자는 (아래를) 할 수 있을 것이다; 이러한 조사 과정의 증거를 구성하는 과정에서 사용되는 컴퓨터 포렌식과 그 기술에 대한 깊은 이해와 법적인 지식을 얻을 것이다. 건전하고 옹호할 수 있는 포렌식 기록를 구성한다. 기술 통신 도구들을 확인하고 범죄에서 그것들의 사용을 조사하는 방법을 이해한다. 포렌식 조사를 통한 첫 번째 반응으로 사건을 포렌식으로 접근하는 방법을 이해한다. ⑶ 참석해야하는 사람 컴퓨터 포렌식 II에서 자격증은 컴퓨터 포렌식 I 자격을 원료한 사람과 현재 컴퓨터 포렌식 주제에 대해 깊은 지식을 얻는 것을 원하는 사람이 적절하다. 핵심적인 청중은 공기관과 사기관, 법률과 관련된 법 집행 기관뿐만 아니라 정부 독립체에서 일하는 사람을 포함한다. 이에 해당하 는 직업의 예를 다음과 같다. 69) http://www.csufextension.org/classes/certificate/certdetail.aspx?gn=3424&gv=2 118

제4장 외국의 디지털 포렌식 교육 현황과 시사점 컴퓨터 포렌식 전문 직원 법 집행 공무원 정보 기술 전문가 시스템 분석가 네트워크 행정인 <디지털 포렌식 I 자격증> 70) ⑴ 프로그램 과정 및 비전 컴퓨터 포렌식 I 자격증 취득과정은 당신이 성공하기위해 필요한 기술과 전문지식을 개발하 기 위한 좋은 기회를 제공한다. 기술혁신과 컴퓨터에 기반을 둔 범죄의 상당한 증가로, 컴퓨터 보안에서 컴퓨터 포렌식의 분야는 가장 빠르게 성장하는 학문이다. 범죄가 점점 더 기술적으로 정교해짐에 따라, 법 집행과 비즈니스 환경에서 컴퓨터 포렌식의 전문가의 필요는 계속 늘어날 것이다. 컴퓨터 포렌식 I 자격증에서, 당신은 EnCase, 컴퓨터 포렌식 조사 기술에서 산업 기준, 그리 고 포렌식 도구(FTK), 컴퓨터 시스템의 포렌식 조사 수행에 사용되는 기술들의 묶음을 사용하 는 직접해보는 경험을 얻을 수 있다. 또한 당신은 다른 장치를 이미지화 하는 방법을 배운다. 이 프로그램은 총 92시간의 강의로 다섯가지 컴퓨터 포렌식 강좌와 직접해보는 경험을 포함 한다. 이 자격증 졸업은 9.2 Continuing Education Units (CEUs)를 받을 것이다. ⑵ 참석해야하는 사람 정보 기술 전문가 시스템 분석가 네트워크 행정인 직업개발을 추구하는 컴퓨터 포렌식 전문직원 70) http://www.cs.ufextension.org/classes/certificate/certdetail.aspx?gn=3298&gv=3 119

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 ⑶ 자격 컴퓨터 포렌식 I의 자격증은 그들의 전문지식을 넓히기 원하는 사람, 컴퓨터 포렌식 분야에서 기본적인 고유한 요소배우기를 원하는 사람에게 적절하다. 핵심적인 청중은 공기관과 사기관, 법률과 관련된 법 집행 기관, 정부 독립체에서 일하는 사람을 포함 보스턴 대학 (Boston University) 자격증 제도 71) <디지털 포렌식 졸업 자격증> ⑴ 자격증 목표 및 비전 매일 크고 작은 기관에서 컴퓨터와 다양한 디지털 장치는 비즈니스를 위해 사용되어진다. 비즈니스에서 디지털 시스템의 기본적인 역할은 심각한 안전 문제를 가져다준다. 해커와 범죄는 지속적으로 모든 기관 형태에 공격을 주고 있다. 이와 같인 문제를 완화시키기 위해, IT전문가에게 디지털 포렌식의 포괄적인 개요를 획득하 는 것은 중요하다. 디지털 포렌식에서 전문화된 졸업 증명 프로그램은 학생들에게 디지털 범죄 현장 조사 에 관한 지식을 제공한다. 이 프로그램은 학생들에게 여러 가지 주제에 포렌식 분석 정책과 절차, 포렌식 분석 방법, 데이터 복구, 그리고 조사를 제공한다. 71) http://www.bu.edu/met/programs/graduate/digital-forensics-certificate/ 120

제4장 외국의 디지털 포렌식 교육 현황과 시사점 센트럴 플로리다 대학 (Central Florida University)자격 제도 <컴퓨터 포렌식 자격증> ⑴ 컴퓨터 포렌식 자격증 과정 및 비전 포렌식 과학(NCFS), 전기공학부 & 컴퓨터 과학, 그리고 화학 학부를 위한 국가 기관은 공동 으로 종합적인 훈련 자격 프로그램을 후원하다. 게다가, 예술과학 대학에서 일반 교양과정 졸업 프로그램은 컴퓨터 포렌식에 집중된 일반교양으로 예술 석사학위를 제공한다. 이 자격 프로그 램은 직접적으로 또는 간접적으로 디지털 증거를 다루는, 법 집행 조사관, 포렌식 실험 분석가, 변호사 & 판사, 그리고 컴퓨터 보안 전문가를 포함하는 전문가와 준전문가에게 졸업 훈련의 특 별한 기회를 제공한다. ⑵ 컴퓨터 포렌식이란 무엇인가? 최근에, 개인의 컴퓨터는 사기와 지능범죄, 다른 조사에서 증거의 원천으로 점점 더 중요해져 왔다. 유사하게, 지난 10년 동안 컴퓨터와 통신 네트워크의 확산은 사기군, 강탈자 그리고 다른 범죄자들을 사주하고 지원해왔다. 법 집행 공무원, 조사, 컴퓨터 회계 감사원, 네트워크 행정인 그리고 다른 전문가들은 법정에서 인정되는 컴퓨터 증거를 발췌하는 기술과 도구를 개발함으로 써 대응해야했다. 포렌식 컴퓨터 과학은 자석으로 코드화된 정보의 형태로 저장된 컴퓨터 증거 의 확인, 수집, 보존, 평가, 그리고 분석을 포함한다. 포렌식 과학(NCFS), 전기공학부 & 컴퓨터 과학, 그리고 화학 학부를 위한 국가 기관은 공동 으로 University of Central Florida (UCF)의 학제간의 자격 프로그램을 후원하다. 게다가 에 술과학 대학에서 일반적인 교양 졸업 프로그램은 컴퓨터 포렌식에 집중된 일반교양으로 예술 석사학위를 제공한다. 이 자격 프로그램은 직접적으로 또는 간접적으로 디지털 증거를 다루는, 법 집행 조사관, 포렌식 실험 분석가, 변호사 & 판사, 그리고 컴퓨터 보안 전문가를 포함하는 전문가와 준전문가에게 졸업 훈련의 특별한 기회를 제공한다. ⑶ 자격 프로그램은 무엇을 제공하는가? 자격 프로그램은 디지털 증거의 주안점을 둔 포렌식 과학의 기본적인 원리와 기술 가르쳐준 다. 네트워킹 하드웨어와 포렌식 방법을 갖춘 최신식의 컴퓨팅 실험실은 직접 할 수 있는 실습 121

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 에 사용되어 질 것이다. 주요한 주제는 아래와 같이 강조되어진다: 과학, 법, 법정 절차의 제약 아래 디지털 증거 수집과 평가 컴퓨터 증거의 획득과 점유, 관리 사슬에 관한 법과 기술적인 쟁점 컴퓨터 네트워크 프로토콜과 보안, 침입 탐지, 그리고 네트워크 포렌식 기술의 사용과 법정에서 과학적으로 훈련된 감정인 포렌식 과학의 주제와 다양한 훈련 로렌스 기술 대학 (Lawerence Technological University) 자격증 제도 <디지털 포렌식 자격증> ⑴ 디지털 포렌식 자격증 과정 및 비전 정보 보호 관리의 졸업 자격증 정보 보호 관리에 서 졸업 자격증은 점점 더 정보 보호의 중요하고 성장하는 분야에 입문을 도와 줄 수 있다. 이제 더 민감한 정보-재정적인, 의학적인, 사회적인, 법적인-가 컴퓨터로 저 장되고 전달되었을 때, 정보와 정보시스템의 보호와 방어는 소규모 대규모에 상관없이 모든 비 즈니스와 기관에게 주요한 문제이다. 이 자격증 프로그램에서 너는 보안정책과 계획, 보안기술 과 절차, 프로그램 훈련과 인식, 프로토콜 준수, 정보 회계감사를 연구할 수 있다. 정보 보화 관리 강의의 졸업 자격증은 정보 시스템, MBA, 글로벌 오퍼레이션과 프로젝트 과 리에서 과학의 학위, 고문인정과 관련된 다른 대학 졸업 프로그램 효과적으로 적용될 수 있다. ⑵ 직업 전망 컴퓨터 시스템 분석가, 컴퓨터 지원 전문가, 시스템 행정인, 컴퓨터와 정보 시스템 관리자, 컴퓨터 소프트웨어 기술자, 소프트웨어 제공자, 컴퓨터 시스템 고아자, 컴퓨터 과학자, 데이터 베이스 행정인, 인터넷 서비스 제공자 122

제4장 외국의 디지털 포렌식 교육 현황과 시사점 제4절 영국의 교육체계현황 London Metropolitan University 컴퓨터 포렌식 IT보안 학사과정 ⑴ 교육 목표 및 비전 72) 디지털 범죄가 점점 증가함에 따라 컴퓨터 포렌식과 IT 보안 분야 또한 같이 발전해 왔다. 이 로 인해 컴퓨터 포렌식 및 IT 보안 전문가에 대한 수요가 점점 늘고 있는 실정이다. 본 교육과정 은 이러한 수요를 충족시키기 위하여 설계된 것으로, 컴퓨터 포렌식과 IT 보안의 원칙, 기술, 이론 및 적용에 중점을 두고 컴퓨팅의 이론과 실무를 전문적으로 교육하는 것을 목표로 한다. 본 교육과정을 성공적으로 이수하면 컴퓨터 포렌식, 정보기술보안 분야의 전문가로서 커리어 를 추구할 기회를 확대할 수 있다. 또한 전반적인 컴퓨터 산업계에서 일할 수 있다. 나아가 본 교육과정은 향후 리서치 및 연구를 준비하는 데 탁월하다. ⑵ 교육의 구성 교육과정은 3단계로 되어 있으며, 각 단계는 120학점을 취득하도록 되어 있다. 컴퓨터 포렌식 IT 보안 전공 구분 실무과목 법률과목 기반 심화 프로그래밍 (Programming) 컴퓨터 하드웨어와 소프트웨어 아키텍처 (Computer Hardware & Software Architectures) 정보시스템 (Information Systems) 논리 및 문제해결 (Logic and Problem Solving) 네트워크와 운영체제 (Networks & Operating Systems) 컴퓨팅 보안 (Security in Computing) 컴퓨터 포렌식 (Computer Forensics) 위험, 위기, 보안 관리 (Risk, Crisis and Security Management) 업무 관련 교육 2 (Work Related Learning II) 윤리적 해킹 (Ethical Hacking) 72) http://www.londonmet.ac.uk/ug-prospectus/courses-13-14/computer-forensics-it-security.cfm 123

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 응용 선택 직무표준, 윤리 및 컴퓨터 관련 법 (Professional Issues, Ethics and Computer Law) 네트워크, 클라우드 보안 (Network and Cloud Security) 프로젝트 (Project) 디지털 범죄 수사 (Digital Crime Investigation) 124

제4장 외국의 디지털 포렌식 교육 현황과 시사점 London Metropolitan University 컴퓨터 포렌식 IT 석사과정 ⑴ 교육 목표 및 비전 73) 본 교육과정은 학생들이 급속히 발전하는 디지털 포렌식 및 IT 보안 분야에 대응할 수 있도록 한다. 응용 컴퓨팅의 두 가지 분야를 절묘하게 결합한 교육과정으로 이들 분야에 전문화하기를 원하는 학생들의 수요를 충족하고 학술적 능력과 취업능력을 계발할 수 있는 기회를 제공한다. 디지털 범죄의 증가에 따라 컴퓨터 포렌식은 급속히 성장하고 있으며 자격을 갖춘 전공자에 게 광범위한 취업 기회가 열려있다. 이 과정을 성공적으로 수료한 학생들은 IT 보안 분야 및 금 융 분야에 취업할 수 있는 기회가 주어진다. 나아가 본 교육과정은 향후 리서치 및 연구를 준비 하는 데 탁월하다. ⑵ 교육의 구성 컴퓨터 포렌식 IT 전공 석사 구분 실무과목 법률과목 기반 심화 응용 선택 디지털 포렌식 고급과정 (Advanced Digital Forensics) 네트워크 보안 (Network Security) IT 보안 관리 (IT Security Management) 정보보안 (Information Security) 디지털범죄수사 고급과정 (Advanced Digital Crime Investigation) 리서치 및 개발 기술 (Research and Development Skills) 석사학위 프로젝트 (MSc Project) 73) http://www.londonmet.ac.uk/pgprospectus/courses/computer-forensics-and-it-security.cfm 125

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 University of Sunderland 컴퓨터 포렌식 학사과정 ⑴ 교육 목표 및 비전 74) 본 교육과정에서는 사람들이 은닉한 디지털 정보를 찾는 방법과 범죄를 증명하기 위하여 데 이터를 분석하는 방법을 가르친다. 신뢰성있는 증거를 찾고, 보존하고, 제출하는 기술과 윤리 적 해킹 을 통하여 보안된 디지털 매체에서 정보를 파악, 접근, 복원하는 기술을 배양할 수 있 다. 본 교육과정은 급속히 증가하는 컴퓨터 관련 범죄와 맞물려 빠르게 성장하는 컴퓨터 포렌식 분야의 커리어를 준비하는 데 매우 탁월하다. 핵심과목에는 웹 어플리케이션, 데이터베이스 시 스템, 프로그래밍, 소프트웨어 개발 등이 포함된다. 2학년과 최종학년 사이에 1년간의 실무파견 과정이 제공되며, 학생들이 이 과정을 거치는 것 이 권장된다. 강제적인 것은 아니지만 교육과정을 통하여 배운 것을 실무에 적용해볼 수 있는 기회가 된다. ⑵ 교육의 구성 컴퓨터 포렌식 전공 구분 실무과목 법률과목 기반 심화 응용 선택 프로그래밍 (Programming) 웹 & 멀티미디어 어플리케이션 (Web & Multimedia Applications) 데이터베이스 시스템 (Database Systems) 컴퓨터 시스템과 네트워킹 (Computer Systems and Networking) 컴퓨터 포렌식의 기초 (Foundations of Computer Forensics) 미니 개발 프로젝트 (Specialist Mini Project) 소프트웨어 개발과 이론 (Software Development and Theory) 소프트웨어 개발 프로젝트 (Software Development) 컴퓨터 포렌식 고급과정 (Advanced Computer Forensics) 네트워크, 라우팅의 기초 (Network and 윤리적 해킹 (Ethical Hacking) 컴퓨터 포렌식의 직무윤리 (Professional Issues in Computer Forensics) 74) http://www.sunderland.ac.uk/ug/coursedetails/?cid=617 126

제4장 외국의 디지털 포렌식 교육 현황과 시사점 Routing Fundamentals) 네트워크 관리 (Network Management) 원거리통신 (Telecommunications) 데이터베이스 고급과정 (Advanced Databases) 분산처리시스템 (Concurrent and Distributed Systems) 인공지능 (Artificial Intelligence) 프로젝트 관리 (Project Management) 127

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 Staffordshire University 디지털 포렌식 학사과정 ⑴ 교육 목표 및 비전 75) 컴퓨터는 일상생활의 일부분으로 자리잡아감과 동시에 범죄행위의 도구로도 중요하게 사용되 고 있다. 따라서 컴퓨터는 자연스럽게 증거의 보고가 된다. 본 학위과정은 컴퓨터 시스템의 포 렌식 수사와 관련 보안 분야의 커리어를 추구하는 데에 확고한 기반을 제공한다. 또한, 증거를 찾는 기술을 역으로 활용하여 조직 개인이 실수 또는 악의로 삭제하거나 손괴한 데이터나 정보 를 복원할 수 있다. 즉 범죄행위를 감지하는 것에서 한 걸음 더 나아가 그러한 행위로 피해를 본 사람들을 도울 수 있는 기회가 주어진다. ⑵ 교육의 구성 디지털 포렌식 전공 구분 실무과목 법률과목 기반 소프트웨어 개발 입문 (Introduction to Software Development) 하드웨어, 소프트웨어 시스템, 그래픽 (Hardware and Software Systems and Graphics) 컴퓨팅에 필요한 수학, 통계학 (Maths and Statistics for Computing) 시스템, 데이터베이스 분석 (Systems and Database Analysis) C언어 알고리즘과 데이터 구조 (Algorithms and Data Structures in C) 포렌식 도구와 기술 개론 (Introduction to Forensic Tools and Techniques) 보안기술 개론 (Introduction to Security Technologies) 전문적 소프트웨어 개발 (Professional and Enterprise Development) 하드웨어, 소프트웨어 시스템, 네트워크 (Hardware, Software Systems and Networks) 컴퓨터 시스템 - 로우 레벨 테크닉 (Computer Systems Low Level Techniques) 75) http://www.staffs.ac.uk/courses_and_study/courses/digital-forensics-tcm4239152.jsp 128

제4장 외국의 디지털 포렌식 교육 현황과 시사점 심화 응용 선택 포렌식 데이터 복구 (모바일 포렌식 포함) (Forensic Data Recovery (includes Mobile Forensics)) 사이버범죄 포렌식 분석 (Cybercrime Forensic Analysis) 졸업프로젝트 - 디지털 포렌식 분야 R&D (Final Year Project Specialist Research and Development in an Area Digital Forensics) 사이버범죄 포렌식 분석 고급과정 (Advanced Cybercrime Forensic Analysis) 디지털 포렌식의 법 증거규칙의 측면 (Legal and Evidentiary Aspects of Digital Forensics) 생체인식 2 (Biometrics 2) 사이버 전쟁과 사이버범죄 (Cyber Warfare and Cyber Crime) 암호학, 보안프로토콜, 보안인프라스트럭처 (Cryptography, Security Protocols and Security Infrastructure) 악성소프트웨어와 보안프로그래밍 (Malicious Software and Security Programming) 윤리적 해킹 (Ethical Hacking) 생체인식 1 129

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 University of Greenwich 컴퓨터포렌식 시스템보안 석사과정 ⑴ 교육 목표 및 비전 76) 본 교육과정은 더 높은 수준의 컴퓨터 포렌식 기술을 배우려는 실무가를 비롯하여 컴퓨터 포 렌식 입문자에게도 적절하다. 소프트웨어 하드웨어를 포함하여 관련된 주요 기술과 실무의 기 반이 되는 이론적 기초를 학습하고, 컴퓨터 보안과 관련하여 여러 국가의 기준에 대한 기초적 이해를 도모한다. 학생들은 이를 통해 컴퓨터 범죄, 경찰작용, 포렌식 방법론, 증거수집의 법적 요건에 대하여 지식을 쌓을 수 있다. 수사기관이 사용하는 EnCase, FTK, WinHex 등의 최신 포렌식 툴을 실제로 사용해볼 수 있 는 기회가 주어지며, 기업의 IT/정보자산에 빠르게 기여할 수 있는 능력을 갖춘다. ⑵ 교육의 구성 컴퓨터 포렌식 IT 보안 전공 구분 실무과목 법률과목 기반 심화 응용 선택 프로젝트와 학위논문, 비판적사고, 리서치방법론(Project and Dissertation, Critical Thinking, Research Methods) 네트워크 보안 (Network Security) 컴퓨터 범죄와 포렌식 (Computer Crime and Forensics) 컴퓨터 보안과 위험분석 (Computer Security and Risk Analysis) 운영체제, 어플리케이션 서버 보안 (Operating System and Application Server Security) 네트워크, 인터넷 기술과 설계 (Network and Internet Technologies and Design) IT 어플리케이션 보안과 컨트롤 (IT Application Security and Control) 감사와 보안 (Audit and Security) E-비즈니스 어플리케이션 (E-Business Applications) 네트워크 관리 (Network Management) 웹 엔지니어링 (Web Engineering) 76) http://www2.gre.ac.uk/study/courses/pg/netsyst/cfsm 130

제4장 외국의 디지털 포렌식 교육 현황과 시사점 소프트웨어 엔지니어링 관리 (Software Engineering Management) 기업소프트웨어 엔지니어링 개발 (Enterprise Software Engineering Development) 분산데이터관리기술 (Distributed Data Management Technology) 분산데이터아키텍처 관리 (Distributed Data Architecture and Management) 데이터베이스에서의 데이터 마이닝 및 지식발견 (Data Mining and Knowledge Discovery in Databases) 모바일 기술 (Mobile Technologies) 고성능시스템엔지니어링 (High Performance Systems Engineering) 고성능분산메모리시스템 (High Performance Distributed Memory Systems) 네트워크 아키텍처 및 서비스 (Network Architectures and Services) 소프트웨어 툴, 테크닉 (Software Tools and Techniques) 비주얼 인터랙티브 프로그래밍 Visual Interactive Programming (30 credits) 131

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 Kingston University 사이버보안 컴퓨터포렌식 학사과정 ⑴ 교육 목표 및 비전 77) 컴퓨터는 범죄의 도구, 목표물, 저장소 모두의 기능을 할 수 있다. 따라서 수사관은 범죄와 관련된 디지털 매체를 수집하고, 조사하고, 분석한 후 찾아낸 증거사실을 보고할 수 있어야 한 다. 디지털 포렌식 산업은 빠르게 성장하고 있으며 이에 따라 수요가 꾸준히 늘고 있다. 본 교육 과정은 포렌식과 보안에 관련된 핵심 기술을 한데 모은 것이다. 컴퓨터 포렌식과 보안 2개 분야 의 기초를 다지고 고급 지식을 획득할 수 있다. 특히 리서치 분야에 초점이 맞추어져 있으며 핵 심 리서치 분야에 참여할 기회가 주어질 것이다. 가장 높은 수준의 컴퓨터 포렌식 실습 시설에 서 최신의 소프트웨어를 활용하여 컴퓨터 포렌식 프로세스에 적용할 수 있는 지식을 계발하게 된다. ⑵ 교육의 구성 사이버 보안 컴퓨터 포렌식 전공 구분 실무과목 법률과목 기반 심화 응용 선택 프로그래밍 I (Programming I) IT 툴박스 (IT Toolbox) 디지털 포렌식: 원칙과 실무 (Digital Forensics: Principles and Practices) 비즈니스 모듈 (Business Module) 컴퓨터 포렌식, 윤리적 해킹 (Computer Forensics and Ethical Hacking) 네트워크 개념 (Network Concepts) 데이터베이스, UML 모델링 (Database & UML Modelling) 비즈니스 모듈 (Business Module) 인터넷 보안 (Internet Security) 라이브, 네트워크 포렌식 (Live and Network Forensics) 개별 프로젝트 (Individual Project) 비즈니스 모듈 (Business Module) 77) http://www.kingston.ac.uk/undergraduate-course/cyber-security-computer-forensics-2013/ 132

제4장 외국의 디지털 포렌식 교육 현황과 시사점 제5절 외국의 디지털 포렌식 산학 협력 현황 1. 스테가노그래피 분석(스테그아날리시스, Steganalysis) ⑴ 스테가노그래피의 개요 산업기밀이나 비밀 메시지, 암호문 등을 전송 과정에서 발각되지 않도록 일반적인 이미지 파 일이나 미디어 파일 안에 은닉하여 평범한 파일처럼 위장하는 기법을 스테가노그래피라고 한 다. 구체적으로는 무작위로 이미지를 가져와서 암호화를 원하는 데이터를 해당 이미지에 코드 화하여 삽입하는 기법이다. 이 과정에서 코드화된 정보와 코드화되지 않은 정보를 구분하기 위 하여 이미지에 미묘한 변화를 가하게 된다. ⑵ 산학협력 필요성 이러한 스테가노그래피는 발견이 굉장히 까다롭고, 일반적인 포렌식 솔루션을 사용해서는 발 견해낼 수 없는 경우가 종종 있다. 따라서 스테가노그래피는 스테그아날리시스라고 하는 특수 한 방법론을 사용하여 감지, 분석하여야 한다. 과거에는 스테가노그래피 기법으로 암호문을 은닉하는 것이 매우 까다로웠지만, 컴퓨터의 발 전과 함께 매우 쉬워졌고, 이를 지원하는 적법한 암호화 솔루션 또한 널리 퍼지면서 누구나 다 양한 툴들을 무료로 다운로드하여 스테가노그래피를 사용할 수 있게 되었다. 악의적으로 사용 되는 경우 스테가노그래피가 사용되었다는 사실조차 발견할 수 없다면 이는 커다란 문제가 된 다. 따라서 이러한 암호화 기법을 검출하는 도구의 활성화가 절실히 필요한 상황이었다. 스테 가노그래피의 발견은 기술적으로 매우 어려운 일이므로 일선 산업계 차원에서 개발이 어려워 대학과의 연계를 통하여 개발할 필요가 있었다. 따라서 Rhode Island 대학과 연방법무부는 협력관계를 체결하고 스테가노그래피 적발 및 분 석기술, 솔루션을 개발함으로써 범죄에 스테가노그래피가 활용되는 비율을 감소시키는 효과를 보았다. ⑶ 프로젝트 내용 산학협력을 통해 스테가노그래픽 분석에 도움이 되는 여러 가지 기법이 개발되었다. 그 중 공 133

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 개된 기법의 예를 몇 가지 들면 다음과 같다. 이미지 압축 해당 이미지를 압축하여 눈에 잘 보이지 않는 주파수의 영역을 제거하면 스테가노그래피 과 정에서 발생한 이미지의 미묘한 차이가 육안으로 구분될 수 있게 된다. (샘플 이미지) 왼쪽은 90% 품질이며, 오른쪽은 70%의 품질이다. 통계적 이미지 분석 디지털 이미지의 각 블록 부분을 수치화하여 digital communication terminal (DCT) 계수 를 산출하고, 각 블록들의 경계가 변화하는 양상을 모니터링하고 통계 모델에 따라 DCT 계수를 비교한다. 통계 모델의 예로는 선형판별분석(linear discriminant analysis)이 있다. 비디오 분석 동일범위의 DCT 계수를 사용하여 압축을 수행하고 중복되는 프레임은 저장 없이 생략한다. 정확성을 유지하려면 여러 가지 유형의 프레임들을 다수의 통계 모델로 분석하여야 한다. ⑷ 성과 스테가노그래피를 약 95% 확률로 정확하게 감지할 수 있게 되었으며, 그 결과 범죄 관련 통 신에 만연하던 스테가노그래피 사용례가 20% 미만으로 감소하였다. 134

제4장 외국의 디지털 포렌식 교육 현황과 시사점 2. 모바일 포렌식 ⑴ 모바일 포렌식 개요 모바일 포렌식은 스마트폰이나 휴대전화, PDA 등 휴대기기에 삽입 탑재된 정보저장매체를 추출, 압수하여 분석하는 것을 일컫는다. ⑵ 산학협력 필요성 휴대기기의 제조사 및 기종별로 지원하는 도구가 다르고 각 분석할 수 있는 능력 또한 평준화 되어 있지 아니하다. 그렇다고 하여 각 휴대기기의 특성에 맞춘 강력한 포렌식 도구가 개발되어 있지도 않다. 그리하여 연방법무부 산하의 Electronic Crime Technology Center of Excellence(ECTCoE) 와 Rhode Island 대학 연구소가 협력관계를 체결하고 각 휴대기기에 맞는 포렌식 도구를 매칭하 는 데이터베이스를 작성하게 되었다. ⑶ 프로젝트 내용 대형 휴대폰 리퍼비시 회사와 계약을 체결하여 저렴한 가격에 다양한 종류의 단말기를 공급 받고, 이를 각종 포렌식 솔루션을 사용하여 분석함으로써 각 휴대폰 모델별로 최적의 결과를 도 출하는 포렌식 솔루션을 찾아내고 이를 데이터베이스화하여 수사기관이 검색할 수 있도록 하였 다. ⑷ 성과 ECTCoE 웹사이트에 모바일 포렌식 도구에 관한 정보가 배포되었다. 배포된 정보에는 각 휴대 기기별로 가장 높은 효율로 증거를 채취 분석할 수 있는 도구가 무엇인지 데이터베이스화되어 있 다. 수사기관은 이 데이터베이스를 사용하여 여러 차례의 시행착오를 겪지 않고도 효과적인 포 렌식 솔루션을 사용하여 대부분의 휴대기기로부터 효과적으로 연락처, 통화기록, 캘린더, 문자 메세지, 사진, 비디오, 오디오, ESN/IMEI, 파일시스템 정보, 비트스트림 이미지를 추출할 수 있게 되었다. 135

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 3. 클라우드 포렌식 ⑴ 클라우드 포렌식 개요 클라우드 컴퓨팅 (Cloud Computing)은 기존에 로컬에서 작업할 수 있는 능력을 인터넷 상의 대규모 처리시설에 위탁하여, 인터넷 상의 공간에 정보를 저장하고 가장 기본적인 인터넷 능력 을 갖춘 단말기만 있으면 어디서든 데이터를 처리할 수 있도록 만든 것이다. 현재 클라우드 컴 퓨팅은 크게 보아 Software as a Service (SaaS), Platform as a Service (PaaS), Infrastructure as a Service (IaaS)로 나뉘고 있다. 즉 소프트웨어, 플랫폼, 인프라스트럭처를 중앙집중적인 서비스로 통합하고 이를 개별 사용자들에게 대여 하는 개념이다. ⑵ 산학협력 필요성 클라우드 컴퓨팅에서는 자료가 로컬이 아닌 인터넷 상의 공간에 저장되므로, 범죄자의 컴퓨 터 하드웨어를 압수한다 해도 압수할 데이터가 저장되어 있지 않은 경우도 있고, 클라우드 컴퓨 팅이 사용되었는지의 여부 자체도 알기 힘들다. 웹 브라우저 상에서 구현되는 클라우드 서비스 가 많기 때문이다. 클라우드 서버를 만에 하나 압수수색한다 하더라도 클라우드 서버에 저장된 데이터는 너무나 방대하고 구조가 복잡하여 원하는 정보를 특정하여 압수할 수 없으며, 게다가 언제든지 원격에서 증거가 변경될 가능성이 있다. 수사기관이 클라우드 서비스 제공자에게 영장을 집행하려면 영장이 적법하여야 한다. 적법한 영장에는 최소한 사용된 클라우드 어플리케이션, 사용한 시간, 사용자 ID 와 같은 정보가 기재되어 있어야 한다. 압수한 휴대기기로부터 이러한 영장기재요소를 추출, 파악하는 능력이 필요하다. ⑶ 남아있는 정보 구글 문서 웹 브라우저에 캐시된 정보를 통하여 구글 문서의 사용 여부를 판별할 수 있다. 시작 페이지 와 문서 작성 페이지가 남아 있는 경우 구글 문서 서비스를 이용했음을 추측할 수 있다. 드랍박스 드랍박스 서비스는 원활한 구동을 위하여 SQLite 데이터 파일을 로컬에 저장하며, 이 중 config.db와 같은 파일에 유저의 이메일 계정 등 정보가 저장되어 있다. 136

제4장 외국의 디지털 포렌식 교육 현황과 시사점 ⑷ 기대효과 아직 프로젝트는 진행 중이지만 본 프로젝트를 통해 수사기관이 클라우드 서비스로부터 정보 를 획득하는 능력이 향상될 것으로 기대된다. 4. 일본 저작권 침해 감지 시스템 CROSSWARP(사)에서는 P2P Finder 서비스 설명과 P2P Finder 의 핵심동작원리인 크로라 에 대하여 시스템분석과 저작권 위반 사범의 적발사례위주의 설명과 인터넷저작권침 해 감시대책서비스 개요를 설명 받을 수 있었다. 주요서비스는 P2P Finder 서비스와 Web Finder 서비스 두 가지로 분류되는데, P2P Finder 서비스는 CROSSWARP(사)의 Security 사업부에서 2003년부터 P2P 모니터링 서비스를 수행해 오고 있고 Web Finder 서비스는 우 리나라의 게시판과 같은 곳에서 글을 올려 행해지는 불법행위를 차단하는 목적이다. 주로 저작 권사(영화회사, Software협회, 음악단체, 게임사 등)사이트 침해 사건을 의뢰 받아 서비스를 한 다. 또한 각종 웹사이트상의 침해행위를 감시하고 피해액수 산정이나 삭제 요청을 서포트 하기 도 한다. 인터넷저작권침해 감시대책서비스 개요도 137

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 P2P Finder 서비스는 각종 P2P 네트워크에 접속해 유통 파일과 파일 보관 유지 node의 정보를 수집, 분석, 리포트서비스 전역의 트랜드를 파악하는 것과 동시에, 파일명에 포함되는 키워드를 지정하는 일로 특정의 컨텐츠에 특화한 감시가 가능하다. P2P에 대한 대응으로는 Winny, Share, Limewire/Cabos, BitTorrent, PerfectDark 있다. 일본 내에서 이용되고 있는 쉐어서비스를 베이스로 대응을 진행하고 있어, Winny, Share 등 일본 내의 메인의 P2P에서는 전지역에서 관측이 가능하다고 한다. P2P Finder 서비스 개요도 WEB Finder 는 미허락(불법)으로 컨텐츠 전달을 하는 일본 내 외의 WEB 사이트를 크롤 링 하여 유통 파일을 수집, 분석, 리포트하는 서비스이며, 음성, 영상에 대해서는 일부 자동 인 식 기술을 이용하는 것으로 컨텐츠 인식의 수고를 들이지 않고 감시를 실시하는 것도 가능. 또 한 취득한 데이터를 기초로 하여 저작권자로부터 ISP 책임 제한법 등에 근거한 삭제 요청을 실 138

제4장 외국의 디지털 포렌식 교육 현황과 시사점 시하는 것이 가능하다. WEB Finder 서비스는 SaaS 형식으로의 제공되기 때문에 고객에게 기기 등을 준비 받을 필요는 없으며, 대상 사이트나 목적에 의해서 자사의 각종 크로라를 조합 해 기능을 제공한다. 대응 사이트로는 일본내 휴대 게시판 사이트, 해외 스토리지 서비스 사이 트, 일본내외 리치 사이트, 일본내외 UGC 사이트 등이 있다. Web Finder 서비스 개요도 139

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 5. 미네소타 주 통상부(Department of Commerce) 산하 보험사기방지단(Division of Insurance Fraud Prevention, IFD)의 포렌식활동 ⑴ 인적 구성 IFD는 특수수사부장을 필두로 하여 그 밑에 수사책임자 1명, 수사관 8명, 분석관 5명, 컴퓨터 포렌식 전문가 1명을 두고 있다. ⑵ IFD의 수사활동 보험사기사건 수사 범위 내에서 피해자 증인 용의자 심문, 수색영장 집행, 감시, 증거 문서의 분석, 컴퓨터 포렌식을 실시한다. ⑶ 컴퓨터 포렌식 전문가 컴퓨터 포렌식 전문가는 보험사기방지단의 컴퓨터 포렌식 분석실을 운영하고 모든 포렌식 조 사를 수행한다. 또한 컴퓨터 전문가로서 부서 전체에 IT 지원을 수행하고, IT와 디지털 포렌식 에 대하여 부서원들을 교육하고 있다. 또한, IFD는 2009년 6월 Law Enforcement Technology Group (LETG)에서 개발한 새로운 사건관리시스템을 도입하였다. 이로써 사건관리의 효율성과 부서원들의 편의성이 증대되었다. 컴퓨터 포렌식 전문가는 LETG와 연계하여 이 시스템을 유지 관리 보수하고 새로운 기술을 도입 하고 있다. 6. 미국 세관 디지털 포렌식 유닛 세관 국경보호국(U.S. Customs and Border Security)의 디지털 포렌식 팀은 최근 휴대전화 를 대상으로 한 모바일 포렌식에 초점을 두고 있다. 국가안보에 해가 되는 데이터를 휴대전화에 저장, 은닉하여 입국하는 사례를 적발하기 위함이다. 140

제4장 외국의 디지털 포렌식 교육 현황과 시사점 ⑴ 수사사례 조사관은 출입국관리소에 분석용 컴퓨터 다수를 설치하고 입국자들의 휴대전화를 무작위로 조사하였다. 그러던 중 수상한 동영상을 발견하여 동석한 FBI 요원에게 이를 보여주자, 요원은 이 비디오가 테러조직 알 카에다의 훈련용 비디오라고 판별하였다. 디지털 포렌식 기초교육을 받은 세관원이 국경 통과를 시도하는 차량을 조사하다가 탑승자 가 금색의 물건을 씹고 있는 것을 발견하고 이것이 휴대전화의 SIM 카드라는 것을 알아챘다. 탑승자에게 씹고 있던 SIM 카드를 뱉게 한 후 부서진 SIM 카드를 분석실로 보내서 조사한 결과 마약밀매조직의 네트워크를 파악할 수 있었다. 2007년 6월 뉴욕 남부 연방검찰청은 5세 여아를 추행하고 나체 사진을 촬영한 범인의 제보 를 받고 수사에 착수하였다. 영장을 발부받아 휴대전화를 압수하여 안에 아동포르노가 들어 있 는 것은 확인하였지만 피의자는 이것은 내가 찍은 것이 아니라 이메일로 전송되어 온 것이다 고 주장하였다. 이를 반박하고자 연방검찰은 이 휴대전화를 세관 국경보호국의 디지털 포렌식 팀에 분석 의뢰하였다. 디지털 포렌식 팀은 약 12가지 방법을 사용하여 사진이 이메일로 전송된 것이 아닌 해당 휴대전화의 카메라로 직접 촬영된 것임을 증명하였다. 이를 바탕으로 피고인의 유죄가 인정되었고 30년형이 선고되었다. ⑵ 교육사례 세관 국경보호국의 디지털 포렌식 전문가 2인이 현재까지 약 500명이 넘는 세관요원들에게 컴퓨터, 휴대전화, GPS장치에 대한 디지털 포렌식 기법을 교육하였다고 알려져 있다. 교육내용 으로는 포렌식 분석이 필요한 기기와 필요 없는 기기의 구별, 기초적인 포렌식 분석 방법, 현장 분석이 어려운 기기의 판별 등이 있다. 즉 디지털 포렌식 분석이 필요한 장비를 선별할 수 있는 안목을 길러 조사관의 업무 부담을 줄이고, 각지의 포렌식 분석실의 장비와 인력으로 분석할 수 있는지 여부를 판별하고 가능하면 분석을 수행할 수 있는, 초 중급 포렌식 조사관으로서의 능력 을 배양한다. 위 2인은 해안경비대(U.S. Coast Guard)에도 디지털 포렌식 교육을 제공하였다. 컴퓨터와 휴대전화에 대한 디지털 포렌식 교육 프로그램은 많았지만, 정작 해안경비대가 필요로 하는 GPS기기 디지털 포렌식 교육은 존재하지 않았다. 법정에서 전문가로서 증언하게 되면 어떤 종류의 교육이나 훈련을 받았는가 에 대한 질문을 자주 받게 되므로 이러한 교육과정이 반드시 141

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 필요하였다. 세관 국경보호국의 디지털 포렌식 전문가들은 해안경비대의 요구에 맞춘 3단계의 커리큘럼을 설계하고 전문가 인증절차를 만들었다. 교육은 2009년 1월부터 그 해에만 총 5회 실시되었으며 해안경비대 첩보 수사팀의 디지털 포렌식 수행인원은 과거 1명에서 22명으로 증 가하였다. 교육의 효과는 즉각적으로 나타나서 2009년 6월 해안경비대는 GPS 포렌식 기술을 통해 불법선박을 검거할 수 있었다. 본 사건에서는 바하마로 추정되는 장소에서 온 선박을 정지 시켜 조사하였는데, 밀수업자로 의심되는 2명과 아이티 불법이민자 3명이 탑승하고 있었다. 밀 수용의자는 바하마에는 간 적이 없으며 낚시하러 나왔다가 공해상에서 표류하는 아이티인 3명 을 구출한 것 이라고 주장하였다. 해안경비대 요원이 선박에 설치된 GPS 유닛을 분석한 결과 해당 선박이 확실히 바하마에서 왔음이 증명되었고, 이를 제시하자 밀수업자들은 유죄를 자백 하였다. 142

제4장 외국의 디지털 포렌식 교육 현황과 시사점 제6절 미국의 판례동향 1. 소송 당사자의 의무성 Galaxy Computer Services, Inc. v. Baker 78) 사실개요 연방법 제11장에 의한 파산보호신청회사(Chapter 11 Debtor-in-possession)가 전임 창업자 2인 등을 상대로 계약위반과 사기적인 설정행위 등을 근거로 소를 제기하였다. 원고 갤럭시 컴퓨터 서비스는 피고 개리 설리반과 라라 베이커에 의하여 설립되었다. 2000년 6월, 이들은 갤럭시의 소유권을 돌핀닷컴(DOLFIN.COM)이라는 회사에 매각하였고, 그 후로도 갤럭시의 이사로 재직하였다. 갤럭시는 미국 정부기관에 각종 보안서비스를 제공하고 있었으므 로, 미국 정부는 경영진 중에 외국인이 포함되어 있는 돌핀닷컴에 갤럭시가 완전히 합병되는 것 을 불허하였다. 그 결과 돌핀은 갤럭시를 인수하되 갤럭시의 비밀자료에 접근할 수 없었으며 그 경영에 간섭할 수 없는 조건으로 계약이 체결되었다. 2003년 3월 초 돌핀닷컴은 피나클이라는 기업으로부터 갤럭시의 합병을 제안받았지만 조건 을 살펴보고 거절하였다. 이에 피고 설리반과 베이커는 당초 돌핀닷컴이 약속한 수익을 내지 못 한다고 판단하여 피나클이 갤럭시를 인수할 방도를 돌핀닷컴과 관계없이 독자적으로 강구하기 시작하였다. 미국 정부가 걸어 놓은 제약을 기화로 하여 이들은 돌핀닷컴 또는 그 주주에게 통 지하지 않고, 갤럭시에 자금을 융자해 준 은행에 갤럭시가 융자를 만기에 상환할 수 없음을 알 리며 치유기간을 포기하고 즉시차압에 동의하였다. 차압이 이루어지기 직전 피나클은 갤럭시 CSI (이하 CSI)라는 유한책임회사를 설립였으며, 이에 맞추어 설리반과 베이커는 은행에 갤럭시의 계약채권이 소멸할 가능성이 높아 피나클이 이를 인수하는 것이 최선 이라고 제안하였으며 은행을 이를 받아들여 갤럭시를 피나클에 매각 하였다. 이 또한 돌핀닷컴에 전혀 통지되지 않았으며, 3월 31일 설리반과 베이커를 비롯하여 갤 럭시의 모든 직원은 갤럭시에서 퇴사, 피나클이 설립한 CSI로 이전하였다. 4월 3일 설리반은 78)325 B.R. 544 (E.D.Va. 2005) 143

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 돌핀닷컴에 CSI의 갤럭시 인수사실과 자신의 퇴사 사실을 통지하였다. 1주일 후 돌핀닷컴의 사 장인 존 폭스는 갤럭시의 사장으로 취임하였으며, 5월 7일 갤럭시는 연방법 제11장에 의한 파산 보호신청을 제출하고 15일 설리반, 베이커, 피나클, CSI를 상대로 소를 제기하였다. 관련쟁점 원고측은 전문가증인인 폴 테일러 의 디지털 포렌식 조사를 근거로 하여 피고측이 갤럭시의 컴퓨터에서 손해를 입증할 파일을 삭제하였음을 주장하였다. 테일러는 컴퓨터 포렌식 분야에서 5년 동안 종사한 자로서, 갤럭시의 컴퓨터 하드 드라이브 9개를 분석하고 전문적인 보고서를 작 성 제출하였다. 보고서에서 특기할 만한 내용은 Alamos(차압 은행 이름)이라는 폴더가 통째로 삭제되었으며, 메일 서버에서 Baker라는 단어가 포함된 메시지 파일이 전부 삭제된 점, 그리고 기타 자료가 다수 삭제된 점이었다. 원고측은 이를 바탕으로 복구된 문서의 진위를 입증하고, 증거인멸에 대한 고의의 인식이 있었다는 사실을 배심원 설시(jury instruction)에 포함시킬 수 있도록 허용해줄 것을 요구하였다. 피고측은 (1) 테일러의 증언은 사안과 관계없고, (2) 테일러는 전문가증인으로서의 자격을 갖 추지 못했으며, (3) 올바른 절차를 따르지 않았고, (4) 변경되었거나 삭제된 자료에 대하여 의견 을 말할 수 없다고 주장하였는데, 이에 대한 근거로는 테일러가 컴퓨터 과학 학위를 보유하고 있지 않고, (2) 프로그래밍 언어에 능통하지 못하며, (3) 프로그래머가 아니고, (4) 컴퓨터과학 자격증을 보유하지 않은 데다 (5) 마이크로소프트의 인증을 받을 수 있는 훈련이나 특별교육을 받지 않았다는 점을 들며 증거의 배척을 요구하였다. 판결요지 법원은 우선 피고측의 사안과의 관련성이 없다 는 주장에 대하여 갤럭시의 과거 임원과 피 나클 및 그 직원의 상호관계에 대한 것은 사안과 크게 관련이 있다고 일축하였다. 예를 들어 의 도적인 파일 삭제는 곧 예비 음모, 충실의무위반에 직접적으로 관련되는 것이라고 하였다. 또한 테일러의 전문가증인으로서의 자격 에 대하여 테일러는 전문가증인으로서 충분히 자격을 갖추 었다고 보았다. 왜냐 하면 컴퓨터 포렌식 분야는 컴퓨터 프로그래밍, 즉 프로그램 코드를 읽거 나 쓰는 배경지식을 요하지 않기 때문이다. 테일러는 5년간 컴퓨터 포렌식 분야에 근무하였고, 이 기간 동안 약 1,600~1,700건의 전문적 보고서를 작성하여 그들 중 다수가 각종 법원에서 증 144

제4장 외국의 디지털 포렌식 교육 현황과 시사점 거로서 채택된 바 있었다. 또한 크랜필드 대학에서 컴퓨터 포렌식에 대한 대학원 집중교육과정 3개를 마쳤으며, 하이테크범죄수사연합의 일원이기도 하였다. 이러한 자에 대하여 디지털 포렌 식 분야의 전문가로서 충분히 인정할 수 있다는 것이다. 피고인들이 주장하는 올바른 절차 와 변경되거나 삭제된 자료에 대한 의견의 진술가능성 여부 는 관리연속성(chain of custody)과 관련된 쟁점으로 이에 대하여 법원은 다음과 같이 판 단하였다. 관리연속성이라 함은 연방증거규칙 901(a)의 증거는 제출되기 전에 감정되거나 진정성이 입 증되어야 한다 는 규칙의 파생인데, 관리연속성의 흠결에 대한 가능성은 증거의 가치에만 영향 을 주는 요소로, 갤럭시의 컴퓨터 하드 디스크 중 일부가 원고와 그 변호사에게 입수되고 약 1주 일이 경과하여 테일러에게 전달되었다 할지라도 디스크의 내용을 신뢰할 수 없게 되는 것은 아 니라고 하여 컴퓨터 포렌식 전문가에 대한 피고측의 모든 주장을 기각하였다. 145

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 2. 전문가 증언의 필요성 Simon Property Group, L.P. v. mysimon, Inc 79) 판결요지 원고는 전문가를 선택하여 비용을 지불하고 피고의 하드 드라이브를 조사하고 이미지(스냅 샷)을 생성하도록 하여야 한다. 피고에게는 선택된 전문가에 대하여 반대할 기회가 부여된다. 전문가가 선임되면 법원은 해당 전문가에게 법원사무관(court official)의 자격을 부여하여 조 사활동과 복사를 수행토록 한다. 전문가는 자신의 전문지식을 사용하여 각 컴퓨터의 하드 디스크 이미지로부터 정보를 복원하 고 피고측 변호사에게 편의성이 있는 형태로 모든 워드프로세서 문서, 이메일 메시지, 파워포인 트 프레젠테이션, 스프레드시트, 기타 파일을 제공하여야 한다. 법원의 의도는 운영체계와 고수 준의 프로그램을 구성하는 파일들은 복사하지 않도록 함으로써 본건과 관계가 있을 가능성을 가진 파일들만로 그 복사의 범위를 한정하는 것이다. 가능한 범위 내에서 전문가는 피고측 변호 사에게 (a) 복원한 파일의 삭제시점에 대한 정보, (b) 복원될 수 없는 파일의 내용에 대한 정보 를 제공하여야 한다. United States v. Hilton, 80) 판결요지 본 사건에서 검찰 측 증인인 막스는 본건 범죄사실인 아동포르노 사진의 소지와 인터넷을 통 한 유통혐의를 입증하는 자료로서 다음의 두 가지 사실을 증언하였다. 먼저, 본건 아동 포르노 파일은 MIRC 디렉토리(subdirectory)에서 발견되었으며, 이 디렉 토리에는 인터넷 채팅방(IRC: Internet Relay Chat)에 참여하여 대화를 가능케 하는 소프트웨 어(mIRC)가 들어 있다는 사실을 발견하였다. 따라서 막스 요원은 법정에서 자신의 전문적 견해 79)194 F.R.D. 639 (S.D. Ind. 2000) 80)257 F.3d 50 (1st Cir. 2001) 146

제4장 외국의 디지털 포렌식 교육 현황과 시사점 에 의하면 아동 포르노 파일은 인터넷을 통해 다운받았다는 것을 추정할 수 있다 는 증언을 하 였다. 둘째로, 각 아동포르노파일의 날짜와 시간 정보(timestamp)는 당해 파일이 모뎀을 통하여 전송되었음을 나타낸다 고 증언하였다. 피고인은, 모뎀의 역할과 기능에 대해서 일반적으로 모르는 사실이고, 이를 증거로 이용한다 는 사실에 대하여 사전 또는 사후에 당사자에게 알려 주지 않았고, 따라서 연방증거법 201조에 의해 1)해당 사실이 일반적으로 알려졌거나, 또는 반박할 수 없는 근거에 의하여 간단히 증명될 수 있고, 2)사실 인정을 전후하여 각 당사자들이 그 사실 인정에 대하여 이의를 제기할 기회가 주어져야 한다는 규정을 근거로 본 건 모뎀과 관련된 사실인정은 부정되어야 한다고 주장하였 다. 또한, 막스의 추상적인 증언(speculative testimony)'만으로는 합리적 의심' 을 초월하는 증언에 이르지 못하였다고 주장하였다. 이에 대해 법원은 검찰은 모뎀 전송에 대한 직접적 인 증거를 제시할 필요는 없고, 막스 수 사전문관의 법정 증언은 그 파일들이 인터넷 또는 전화망을 통하여 전송되었음을 인정하기에 부족하지 않다 고 하여 인터넷을 통하여 포르노그래피를 주고받은 사실에 대해 유죄를 인정하 였다. United States v. Sheldon 81) 판례 소개 디지털 포렌식 조사관이 피고인의 컴퓨터에서 발견한 아동포르노 사진 및 동영상을 제시하고 평소에 실종 학대아동 피해자 데이터베이스에서 익숙하게 보았던 인물임을 증언하여 문제의 아동 포르노 파일의 등장인물이 실제 미성년자임을 배심원이 인정하여 유죄 입증에 성공한 사례이다. 사건 개요 Daniel Sheldon과 Julie Sheldon은 2003년 10월에 결혼한 부부였다. 2004년 1월, 그들은 오하이오 주 Mentor에 가택을 임대하고 Julie와 전남편 사이에서 태어난 딸을 데리고 살았다. 81)223 Fed.Appx. 478 (6th Cir.2007) 147

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 결혼 후 Daniel은 2층에 소재한 자신의 컴퓨터 앞에서 오랜 시간을 보내었으며, 이를 이상하게 생각한 Julie는 남편 Daniel이 그 컴퓨터를 사용하여 포르노그래피를 보고 있다는 사실을 알게 되었다. Daniel이 집을 비운 틈을 타서 Julie는 컴퓨터 내부의 파일을 열람하였는데 그 결과 음 란 동영상 파일 수십 개, 음란한 사진 파일 수천 개를 발견하였고, 그 중 약 절반 정도가 미성년 자의 음란행위를 묘사하고 있었다. 또한, Daniel이 인스턴트 메신저 서비스를 통하여 미성년(또 는 미성년이라고 주장하는)의 여자들과 사이버 섹스 를 즐긴다는 사실 또한 발견하였다. 이에 Julie는 남편에게 이러한 행위를 중단할 것을 요구하였으나 이를 거부당하자 경찰서에 남편이 미성년자들과 음란한 대화를 한다는 것과 아동포르노 동영상 및 이미지를 소지하고 있 다는 것을 신고하였다. 경찰서에서는 사건을 접수하여 FBI의 지원을 받는 기관인 오하이오 북 동 인터넷아동범죄센터(Northeastern Ohio Internet Crimes Against Children, OICAC)의 전담 태스크포스로 이첩하였다. 이러한 범죄사실정보에 근거하여 OICAC 태스크포스는 가택수색영장을 발부받아 가택 및 컴 퓨터를 수색하였고, 그 결과 다수의 플로피 디스크, CD-ROM은 물론이고, 컴퓨터에 설치된 하 드 드라이브에도 아동포르노 이미지가 저장되어 있는 것을 확인하였다. 수색 도중 Daniel은 경 찰에게 체포된 것이 아니며, 따라서 질문에 답하지 않거나 언제든지 수색장소인 가택에서 이탈 해도 무방하다 는 고지를 받았다. 그럼에도 불구하고 Daniel은 18세 이하의 여자 미성년자의 음 란행위를 묘사한 포르노 이미지와 비디오를 소지한 것, 그리고 대부분의 파일을 P2P 파일 공유 프로그램인 Kazaa를 통하여 다운받았음을 자백하였다. 압수된 이미지 파일들은 그 후 Cuyahoga 카운티 검찰청으로 보내져서, 검찰청 소속 디지털 포렌식 조사관인 Richard Warner에 의하여 분석 조사되었다. 이 중에서 Warner는 총 57개의 아동포르노 이미지 파일들을 골라내었는데, 이는 해당 이미지들이 국가실종학대아동센터 (National Center for Missing and Exploited Children, NCMEC)에서 운영하는 피해자 데이 터베이스에 저장되어 있는 이미지와 동일함을 인식한(recognized) 점에 근거한 것이었다. 다 만, Warner는 반대심문에서 57개의 이미지 중 어느 것도 NCMEC의 피해자 데이터베이스와 직 접 대조해본 적은 없으며, 그럼에도 불구하고 자신이 이 데이터베이스에 굉장히 익숙하여 기억 으로 이미지들의 일치 여부를 알아볼 수 있었다고 진술하였다. 원심법원은 유죄를 인정하고 8 년 2개월의 징역을 선고하였으며 Daniel Sheldon은 이에 1) 원심법원이 피고인측 변호사에게 배심원의 배제를 허용하지 않은 것은 재량권의 남용이며 2) 검사측은 문제의 아동포르노 사진들 148

제4장 외국의 디지털 포렌식 교육 현황과 시사점 이 실제 미성년자를 촬영한 것인지 아니면 가상으로 미성년자처럼 보이도록 연출한 사진인지 입증하는 데 실패하였으므로 판결이 부당하다고 주장하며 항소하였다. 판결 요지 1. 원심법원이 피고인의 변호인에게 배심원 배제 절차를 허용하지 않은 것이 수정헌법 제6조 위반이라는 주장에 대하여 항소법원은 다음과 같이 기각하였다. 수정헌법 제6조는 배심원 배제 절차에 대하여 규정하고 있지 않지만 연방대법원은 배심원 배제 절차가 수정헌법 제6조의 권리 보장에 중요한 요소라고 판시한 바 있다. 본 사건에서는 판 사가 자신의 재량권 내에서 피고인의 변호인과 검사 양쪽의 참가 없이 단독으로 배심원 배제 절 차를 진행하였으며 사전에 양측으로부터 배심원 배제 절차에 포함하기 원하는 질문을 수렴 받 아 이를 활용한바 법에 어긋나지 아니한다. 나아가 배심원 배제 결과에 이의가 있느냐는 질문에 피고인의 변호인은 아닙니다. 법원에 부탁하고 싶은 영역이 좀 있지만 대부분이 커버되었으므 로 이의 없습니다 라고 대답하였다. 이러한 점을 고려할 때 Sheldon의 주장은 이유 없다. 2. 아동포르노 사진들이 실제 미성년자를 촬영한 것인지 아니면 가상으로 미성년자처럼 보이 도록 연출한 사진인지 입증되지 않았으므로 유죄 판결이 부당하다는 취지의 두 번째 주장에 대 하여 항소법원은 United States v. Farrelly, 389 F.3d 649, 653 (6th Cir. 2004) 판결에서 본 바와 같이 검사는 아동포르노 이미지가 실제 아동을 촬영한 것인지 또는 아동처럼 연출한 것 인지 입증할 책임이 있다. 하지만 그 입증이 충분한지의 문제는 결국 배심원이 판단하여야 한 다. 즉 Free Speech Coalition 판결은 검사에게 특별하거나 강화된 증거부담을 지우는 것이 아 니며, 실제 아동포르노인지 연출된 이미지인지의 문제는 사실(fact)의 문제이므로 배심원의 판 단에 맡겨야 한다. 다른 항소법원들 또한 동일한 입장을 지지하고 있다. 이와 관련하여 Sheldon 의 전문가증인을 부당히 배척하였다는 주장에 대해서 판단하면, Sheldon은 사이버 포렌식 분야 의 전문가인 Dean Boland의 증언을 활용하여 검사측의 디지털 포렌식 분석관인 Warner의 증 언에 반격하려고 하였지만 검사측에 이러한 사실을 11시간이 지난 이후에 통지하였다. 피고인의 증거개시의무 불이행을 이유로 전문가증언을 배척한 원심의 판단은 합리적인 재량권의 범위 이 내이다. 또한 만일 이 증언이 배척되지 않았다 할지라도, 피고인의 변호인이 반대심문에서 이미 Warner로부터 57개의 이미지 중 어느 것도 NCMEC의 피해자 데이터베이스와 직접 대조해본 149

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 적은 없다는 진술을 훌륭하게 받아낸 상황에서, 이미지에서 등장인물의 연령을 파악하는 것이 불가능하거나 어렵다 는 취지의 Borland의 증언을 여기에 추가한다 하여도 이미 저와 같은 진 술을 받아낸 이상 어느 정도의 효과를 가질지도 의문이다. 여하간, 배심원들은 문제의 이미지와 비디오를 직접 보고 등장인물이 정말로 미성년자인지를 판별하여야 하는 상황이었으며 여기에 피고인이 평소 메신저 서비스로 대화하던 상대의 연령이 어떠하였는지에 대한 Julie Sheldon의 증언과, NCMEC 피해자 데이터베이스에서 자주 보던 익숙한 이미지라는 Richard Werner의 증 언이 더해졌다. 피고인은 이러한 증거가 유죄인정에 불충분하다고 주장하지만 그 주장은 이유 없다. 이 사건에서 합리적인 배심원이라면 이미지의 등장인물들이 실제 미성년자였는지 여부를 판단할 수 없으리라고 볼 어떠한 근거도 없기 때문이다. 라고 하며 원심의 유죄판결을 확정하 였다. Commonwealth v. McDermott 82) 컴퓨터와 디스크를 실제로 수색함에 있어서, 무엇이 최선의 수색방법인지에 대해서는 영장을 집행하는 수사관에게 상당한 재량이 부여되어야 한다. 특정한 포렌식 조사기법에 대한 사전적 허용은 필요하지 아니하다. United States v. Upham에서 살펴본 바와 같이 영장의 요건은 '어 떻게'가 아니라, 무엇을 수색하거나 압수해도 되는지에 대한 것에 초점을 두고 있기 때문이다. 나아가 영장발부판사는 일반적으로 특정한 포렌식 분석 기법에 대하여 전문적이고 기술적인 지 식이 없는 경우가 많다. 분석을 수행함에 있어서 컴퓨터에 저장된 파일을 간략히 조사하는 것은 허용된다. United States v. Gray, 78 F.Supp.2d 524, 529 (E.D.Va. 1999)에서는 연방수사요원이 영장기재사 항에 포함되는 항목이 있는지를 판단하기 위하여 컴퓨터에 저장된 모든 파일을 조사하는 것은 허용된다 고 하였다. 또한 United States v. Giannetta, 909 F.2d 571, 577 (1st Cir. 1990)에 서는 경찰관이 서류를 목적으로 수색함에 있어서 노트, 저널, 서류가방, 파일 캐비닛, 파일 등 을 수색하여 간략하게 그 내용이 압수대상서류에 해당하는지 조사하는 것은 허용된다는 것이 법원의 일관된 입장이다 라고 하였다. 나아가, 범죄와 관련된 거래내역을 범죄기록 이라고 레 이블을 붙인 서류철에 보관하는 자가 거의 없듯이, 컴퓨터에 저장된 파일들은 의도적으로 그 82)864 N.E.2d 471 (Mass. 2007) 150

제4장 외국의 디지털 포렌식 교육 현황과 시사점 제목이 내용과 다르게 붙여질 수 있고, 그 소유자가 불법을 은닉하려 할 때는 특히 그러하다 고 하였다. 하지만 적법한 수색 도중에 plain view에 의하여 불법의 증거를 발견한 경우, 이러한 증거는 영장주의의 예외사유가 된다. 3. 형사 사건 주요 판례 동향 United States v. Simons 83) 사건개요 피고인 Simons는 CIA의 Foreign Bureau of Information Service(FBIS) 부서에 근무하는 자로서 전산엔지니어로 고용되어 독립된 사무실을 배정받고 업무를 위하여 인터넷 연결이 가능 한 컴퓨터를 지급받았다. 1998년 6월, FBIS는 직원들의 인터넷 사용에 대한 정책을 고지하였다. 정책의 내용은 첫째 로 인터넷의 사용은 철저히 업무에 관련된 용도여야 하며, 둘째로 특히 불법정보의 열람은 집중 적 단속 대상이 된다는 것이었다. 또한 이를 위하여 컴퓨터의 로그인 로그아웃 기록, 파일 송수 신 기록, 이메일 메시지 등에 대하여 전자감시제도가 도입된다는 사실 또한 명시적으로 고지되 었다. FBIS는 이러한 정책을 효과적으로 시행할 수 있도록 Science Applications International Corporation(SAIC)이라는 외부 업체와 계약을 체결하고 네트워크 감시 및 관리 업무를 위임하 였다. 1998년 7월 17일 SAIC의 네트워크관리요원인 Mauck는 새로 도입한 방화벽(firewall) 시스템 의 성능을 테스트하던 중 방화벽 감시 기록에 시험삼아 sex 라는 단어를 입력하여 검색한 결과 Simons의 컴퓨터에서 이와 관련된 접속 기록이 다수 저장된 것을 발견하였다. 검색어와 방문 기록의 성질상 업무와 관계된 접속이라고 볼 수 없음이 명백하였다. Mauck은 FBIS에 이를 보 고하였고, FBIS는 마찬가지로 SAIC의 관리요원인 Harper에게 원격으로 Simons의 컴퓨터에 강제 접속하여 Simons가 다운로드한 이미지 파일들을 열람케 하였다. 열람 결과 1,000개가 넘 는 이미지 파일 중 대다수가 여성의 나체 사진으로서 포르노그래피임이 명백하였다. 이에 1998 83)206 F.3d 392 (4th Cir. 2000) 151

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 년 7월 31일, CIA 감사관 2명(그 중 1명은 범죄수사관)이 방문하여 이를 확인하고, Harper는 FBIS의 지시에 따라 Simons가 자리를 비운 사이 사무실에 들어가 하드 디스크를 복사본으로 교체하고 원본을 감사관에게 증거로 인도하였다. 1998년 8월 5일 FBI 특수요원 Mesisca는 문제가 된 이미지 파일 중에서 아동 포르노를 발견 하였다. 이에 연방검사 Tom Connolly는 Mesisca의 진술서와 CIA 감사관, Harper의 조사자료 를 근거로 법원에 수색영장을 청구하며 수색을 비밀리에 진행할 필요성이 있음을 명시하였다. 영장은 그 다음날인 6일에 발부되었으며, 반드시 Simons의 사무실에 영장 사본과 압수물품의 목록을 남길 것 이라고 명기되어 있었다. 하지만 비밀수색에 대해서는 언급이 없었다. Mesisca 등은 그 날 저녁에 Simons가 퇴근한 후 수색영장을 집행하여 컴퓨터와 서랍 속 디스 켓 ZIP디스크에 저장된 파일 일체를 복사하고 각종 문서의 사본을 생성하였다. 하지만 증거 원 본은 사무실에서 압수하지 아니하였다. 또한 영장 사본과 압수물품의 목록을 영장에 기재된 대 로 사무실에 남겨 두지 아니하였고, 수색영장 집행 후 45일간 Simons에게 이를 통지하지도 아 니하였다. Mesisca는 압수한 파일을 분석하여 50개가 넘는 아동 포르노 이미지를 발견하였다. 1998년 9월 Mesisca는 재차 수색영장을 청구하였고, 17일에 영장이 발부되었다. 그 집행은 23일 Simons가 출석한 상태에서 이루어졌다. 이번에는 증거 원본이 압수되었으며 수사관들은 영장 사본과 압수물품의 목록을 Simons에게 남기었다. Simons는 아동 포르노의 수신(18 U.S.C.A. s 2252A(a)(2)(A)), 소지(18 U.S.C.A. s 2252(a)(5)(B))의 혐의로 기소되었다. 판결요지 수정헌법 제4조(Fourth Amendment)는 불합리한 압수 수색 을 금하고 있다. 이에 기한 권리 의 침해되려면 반드시 합법적인 프라이버시의 기대(legitimate expectation of privacy)가 사전 에 있었어야 하는데, 정부기관에 고용된 자라도 사무실에서 합법적인 프라이버시의 기대를 할 수 있는 것은 사실이지만 사무실의 규정이나 절차 등에 의하여 이러한 기대는 감소할 수 있다. 우선적으로 7월 31일 FBIS가 영장 없이 Simons의 사무실에 진입하여 하드 디스크를 교체한 행위는 사무실의 정책상 Simons가 합법적인 프라이버시의 기대를 할 수 없었던 것은 아니지만, 1) 당시 사무실을 수색하며 책상 등을 뒤진 사실이 없고 단지 사무실에 들어가 하드 디스크만을 152

제4장 외국의 디지털 포렌식 교육 현황과 시사점 교체한 것으로 그 내용이 크게 침해적(excessively intrusive)이지 않아 헌법이 보장한 권리가 침해되었다고 볼 수 없고, 2) 또한 공무원의 형사상 범죄행위가 직무와 관련되지 않은 경우 와 대조적으로, 이는 공무원의 행위가 근무처 정책의 위반과 형사법 위반 모두에 해당하는 경우 로서 합리적인 고용주체가 충분히 할 수 있는 행동이고, 3) O Conner v. Ortega, 480 U.S. 709 판결에서와 같이 근무처의 효율적 정상적 운영에 기한 고용주체(정부)의 이익은 영장을 갖 추지 않더라도 그 수색이 직무와 관련된 한 정당화될 수 있으므로, 상당한 이유(probable cause)를 갖춘 것이라고 보았다. 그 다음으로 8월 6일에 이루어진 비밀수색 또한 수정헌법 제4조에는 그 통지에 대한 언급이 일절 없으며, 비밀스러운 침입과 그에 필연적으로 수반되는 통지의 지연 또한 기술하고 있지 않 다. 따라서 수정헌법 제4조의 요구조건을 충족한 이상, 공정성과 중립성을 갖춘 판사가 상당한 이유에 기해 발부한 영장으로 이루어진 수색은 그 통지가 45일간 지연되었다고 하여 헌법에 위 반되었다고 볼 하등의 여지가 없다 고 하여 정당하다 판시하였다. 다만 이는 헌법을 위반한 것 은 아니지만 연방형사소송규칙(Federal Rules of Criminal Procedure) 41(d)에 위배될 가능성 이 있으므로 이를 다시 심리하도록 연방지방법원으로 내려 보냈다. United States v. Ross 84) 영장으로 정당화된 수색의 대상물을 은닉하고 있는 컨테이너는 즉시 개봉할 수 있다. 프라이 버시에 대한 개인의 이익은 치안판사의 상당한 이유 에 대한 공적 판단에 우선하지 아니한다. 변호사인 윌리엄 헌터는 마약단속국(Drug Enforcement Administration)에 체포된 의뢰인 을 대리한 적이 있었는데, 의뢰인이 체포 당시에 단속요원들에게 윌리엄 헌터가 이 자의 마약범 죄사실을 알고 있었으며 코네티컷 부동산신탁회사를 통해 의뢰인의 자금을 세탁하였음을 누설 하고 말았다. 헌터가 증거를 인멸할 것을 우려한 수사기관은 01시에 체포영장을 발부받아 04시 에 헌터의 가택에서 이를 집행하였다. 수사기관은 검사 1명의 감독을 받아 세관요원 2명이 헌터 의 법률자문파일과 컴퓨터를 수색하고, 추후 FBI의 전문가들이 이를 조사하도록 하는 수색프로 토콜을 설계하였다. 헌터는 영장이 특정성을 결여하여 무효이므로 이에 기초한 수색으로 얻은 증거물은 배제되어야한다고 주장하였다. 이에 대해 법원은, 84)456 U.S. 798, 823 (1982) 153

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 기술이 발전하고 수사기관의 지식이 늘어나 현장에서의 컴퓨터 수색이 실용적으로 가능해질 때까지는 적절한 제한이 가해지는 한 일괄압수를 필연적으로 인정할 수밖에 없다. 비록 컴퓨터 에 대한 수색이 그 자체로 모두 광범위한 것은 아니지만 특정성을 결하였는지의 여부는 각 사건 마다 별개로 판단하여야 할 것이다. 하지만, 부당하게 수색이 이루어진 경우라도, 일반적으로 그 결과는 증거의 배제와 환부명령으로 나타나는 것이지, 그 수색 자체를 무효로 할 것은 아니다. 본건의 영장은 결함이 있다. 내용을 보면 제2절과 제3절에 컴퓨터 디스크를 포함하고 있다. 이들 디스크는 적절하게 특정된 것이 맞다. 제4절에서는 기타 컴퓨터 등 관련장비를 언급하며 그 제한을 정하지 아니하였다. 즉 어떤 범죄의 혐의로써 장비를 압수하는지를 밝히지 않았고, 이를 뒷받침하는 선서진술도 없으며 영장의 다른 부분을 참조함으로써 수색에 제한을 가하지도 않고 있다. 제4절은 단순히 모든 컴퓨터, 모든 컴퓨터 저장장치, 모든 컴퓨터 소프트웨어 시스 템 을 압수할 것을 허가하며, 이러한 주변장치의 예시가 몇 개 나열되어 있을 뿐이다. 이것은 포괄적인(catch-all) 표현으로 그 한계를 충족하고 있지 않다. 예를 들어 Andresen, 427 U.S. 479-80, 96 S.Ct. 2737에서는 문장의 수식어가 특정한 범죄를 지칭하고 있는 경우 모든 관련 증거를 압수하라는 영장은 일반적인 것이 아니다 라고 하였다. 반면 George, 975 F.2d at 75에 서는 범죄(a crime)의 실행과 관련된 그 외 모든 증거의 수색을 허용하는 영장은 그 문언이 지 나치게 광범위하고 수사관들에게 지나친 재량을 부여하였다 고 하였다. 제4절은 그 특정성이 부족하며 이 부분에 의하여 압수된 모든 컴퓨터 장비와 디스크는 수정헌법 제4조를 위반하여 압수된 것이다. 하지만 그 문언에 있어서 특정성을 결한 영장에 기초하여 이루어진 압수라고 하여 그 증거를 가차 없이 배제하게 되는 것은 아니다. 선의(good faith)의 항변은 수사관들이 후에 무효라고 판단되는 영장이 유효하다고 합리적으로 믿었고, 이에 의하여 증거를 압수한 경우에도 적용되 기 때문이다. 본건 컴퓨터의 수색은 연방검사가 정한 규칙에 큰 어긋남이 없이 수행되었으므로 헌법에 반 하지 아니한다고 보아 증거배제신청을 기각하였다. United States v. Upham 85) 저장 장치와 관련된 모든 컴퓨터에 대한 수색은 지나치게 광범위한 것이 아니다. 하드 디스 85)168 F.3d 532(1st Cir. 1999) 154

제4장 외국의 디지털 포렌식 교육 현황과 시사점 크에 포함되어 있는 모든 정보를 하나하나 검토하는 것은 쉬운 일이 아니다... 기록에 의하면 (불법) 이미지에 대한 사후 수색 절차는 현장에서 제대로 이루어지지 못하였을 것이다. 아동포르노 범죄 용의자의 컴퓨터 소프트웨어, 하드웨어, 디스크, 디스크 드라이브 일체를 나 열한 수색영장은, 비록 압수의 범위를 해당 범죄에 관련한 것으로 한정하지 않았다 할지라도 지 나치게 광범위하다고 할 수 없다. 컴퓨터를 제3지로 이동하여 분석한 결과 획득한 이미지는, (이미 삭제된 것을 포함하여) 압수현장에서의 조사를 통해 손쉽게 얻을 수 있는 성질의 것이 아 니었다. (중략) 본 영장은 특수목적의 삭제 복구 유틸리티를 사용하여 과거에 삭제된 정보의 복 원을 허가한 것이고, 이와 같은 절차는 적법하게 획득한 암호화된 메시지를 해독하는 것이나 파 쇄된 몸값 요구 편지를 이어붙이는 것과 다르지 않다. United States v. Upham 86) United States v. Hill, 459 F.3d 966 (9th Cir. 2006) 더 이상의 구체적인 기술이 불가능한 경우 압수대상물을 카테고리 수준에서 기재하는 영장은 적법하며, 이 경우에 선서진술로써 더 이상의 구체적인 기술이 불가능한 이유를 명시하여야 한다. 본 사건에서 영장이 1) IBM 호환 미디엄 타워 규격 개인용 컴퓨터... 3) #1에 속해 있거나 현장에서 피고인이라고 신원이 확인된 자의 소유에 있는 모든 스토리지 미디어 4) #3에 저장되 어 있는 미성년자가 등장하는 노골적인 성적 이미지의 압수를 허가한 영장의 경우, (이와 같은 광범위한 압수를 정당화하기 위한 적절한 선서진술이 없으므로) 비록 영장이 지나치게 광범위 하다고 볼 것이지만, 증거배제법칙에 따라 영장 기재범위 내의 포르노그래피 이미지를 증거배 제할 필요는 없다. 왜냐 하면 일괄압수의 흠결이 발생한 것은 치안판사에게 이를 적절히 정당화 하지 못했기 때문이지 영장의 집행 과정에서 부당하거나 잘못되게 행위한 것이 아니고, 무차별 적인 낚시 가 아니라 실용적인 목적을 고려한 것이기 때문이다. Dalia v. United States 87) 본 사건에서 수사기관은 장물거래의 혐의를 포착하고 이를 수사하기 위하여 감청장비를 설치 86)168 F.3d 532(1st Cir. 1999) 87)441 U.S. 238 (1979) 155

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 하였다. 연방대법원은 수정헌법 제4조가 수사기관이 합법적인 감청장비를 설치하기 위하여 가 택에 비밀리에 진입하는 것을 금지하지 않으며, 법원은 그 상황에 비추어 합리적인 경우 수단에 대한 제한 없이 감청을 허가할 수 있다고 하였다. 나아가 영장의 집행과 관련하여 수정헌법 제4 조의 요구사항은 영장이 중립적이고 이해관계 없는 치안판사로부터 발부될 것과 영장을 청구하 는 자는 그 대상이 되는 증거가 특정한 체포의 달성, 또는 특정한 범죄에 대한 유죄판결에 도움 이 될 것이라고 믿는 상당한 이유를 반드시 제시하여야 한다는 것으로, 본건의 영장은 수정헌법 제4조에 위배되지 않는다고 보았다. 또한, 부당한 수색과 압수를 방지하는 수정헌법 제4조에 의 하여 영장을 집행함에 있어서 그 세부사항은 이를 집행하는 수사관의 재량에 맡기는 것이 일반 적이라고 하였다. 4. 민사 사건 주요 판례 동향 White v. White 88) 이혼소송에서 가정용 컴퓨터에 저장된 남편의 이메일 내용을 배우자가 추출하여 증거로 제출 하자 남편이 증거배제를 신청하였는데, 이메일을 인터넷을 통하여 얻은 것이 아니라 하드디스 크에서 추출하였으므로 허가 없이 접근하였다는 남편의 주장을 (1) 저장된 전자통신내용에 접근 함에 있어 New Jersey Wiretap Act를 위반한 것이 아니며 (2) 이메일에 접근한 행위가 불법적 인 사생활의 침입을 구성하지 않는다고 하여 배척하고 위 이메일의 증거능력을 인정한 사례 Gates Rubber Co. v. Bando Chemical Industries, Ltd. 89) 사실개요 게이츠 사와 반도 사는 산업용 벨트를 제작하는 회사로 상호 경쟁관계에 있다. 게이츠의 시장 점유율은 38%, 반도의 시장점유율은 7% 정도로 게이츠가 압도적 시장우위에 있었다. 반도는 일본의 반도그룹의 계열사로서 그 미국지부로 반도아메리칸을 두고 있다. 여기서는 모두 반도 88)781 A.2d 85 (N.J. Super. Ct. Ch. Div. 2001) 89)167 F.R.D. 90 (D.Colo. 1996) 156

제4장 외국의 디지털 포렌식 교육 현황과 시사점 로 통칭한다. 게이츠는 상기한 바와 같이 시장지배자로서 고객의 각종 공장설비에 최적화된 벨 트사이즈를 산출하기 위하여 자체적으로 디자인 플렉스 4.0 과 라이프 인 아워스 라는 프로 그램을 개발하여 사용하고 있었으며 이는 게이츠의 큰 경쟁력요소이기도 하였다. 피고 중 알렌 하나노 는 과거 게이츠의 사원이었지만 퇴사하여 반도아메리칸의 CEO가 되었 다. 또한 피데리트와 뉴먼도 과거 게이츠의 사원이었으나, 하나노에 의하여 채용되어 1988년 반 도아메리칸으로 이직하였다. 1989년 6월, 게이츠는 트레이드컨벤션에서 반도에 고용된 상기 인원들이 쇼퍼(Chauffer)라 는 프로그램을 시연하였다는 사실을 알게 되었는데, 이 프로그램은 그 작동과 기능이 디자인 플 렉스와 극히 유사하였다. 게이츠는 반도로 이전한 과거 자사의 직원들이 디자인 플렉스 소프트 웨어를 훔쳐 게이츠에 대항하려 한다는 혐의를 포착하고 손해배상소송을 제기하였다. 이들은 과거에 경업금지계약과 충실의무계약에 서명한 바 있다. 게이츠는 곧이어 법원에 임시제한명령 (temporary restraining order)를 청구하였으나 이는 기각되었고, 판사는 대신 심리를 통하여 실제로 반도가 게이츠의 저작권을 의도적으로 침해하고 기업비밀을 빼돌렸음을 밝혀냈다. 반도는 제10차 연방순회항소법원에 항소하였고, 항소법원은 기업비밀의 절도에 대한 것은 원 심을 지지하였으나 저작권 침해에 대한 부분은 파기환송하였다. 최종적으로 디자인 플렉스는 저작권 보호의 대상이 아님이 확인되었다. 그런데 이 과정에서 게이츠는 뉴먼이 자신의 컴퓨터 에서 증거가 될 만한 파일을 무단으로 삭제하였고, 특정 프로그램을 변조하여 라이프 인 아워 스 소프트웨어에 대한 모든 자료를 삭제하도록 조치한 사실을 발견하였다. 게이츠는 이에 1992 년 9월 15일, 긴급개시명령을 청구하였고 그 이유로 반도가 증거를 무단 파기하려 하며 컴퓨터 파일을 삭제하고 있어 이를 방치할 수 없다는 것을 들었다. 이 청구는 받아들여져 게이츠의 변 호사단이 기술자를 대동하여 반도의 사무실 및 시설로 진입, 자료를 수집하게 되었다. 이 절차 는 판사가 임명한 특수감독관(Special Master)의 감독하에 이루어졌다. 특수감독관의 지시에 따라 수집된 모든 증거는 조건부로만 개시가 가능하도록 조치되었으며, 개시를 위해서는 그에 합당한 청구 명령이 있어야 했다. 현장조사 과정 중 게이츠의 변호사는 소송과 관련된 중요 증거자료의 고의적 파기를 시사하 는 몇 가지 의문점을 발견하였고, 이에 대한 제재로서 자백간주판결(default judgment)을 청구 하였다. 157

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 이에 대해 판사는 게이츠의 여러 가지 청구 중 중요성이 떨어지는 것을 직권으로 배제하고, 변호사들에게 오로지 증거인멸에 집중하도록 지시하였다. 관련쟁점 여기서 게이츠가 제기한 쟁점은 크게 두 가지이다. 첫째는 뉴먼이 스스로 라이프 인 아워스 프로그램을 훔쳤다는 증거를 파기하였다는 것이고, 둘째는 뉴먼이 반도에서 이 프로그램을 사 용하였음을 증명할 수 있는 워드 프로세서 파일을 삭제하였다는 것이다. 반도측의 컴퓨터 전문가는 로버트 웨디그라는 자로서 스탠포드 대학에서 컴퓨터 공학 박사학 위를 취득하였다. 게이츠측은 이에 대해 로버트 부어히라는 컴퓨터 전문가를 증인으로 세웠는 데 판사는 부어히를 학력 실력 면에서 웨디그에 한참 미치지 못하는 수준이라 보았다. 첫째 쟁점에 대해서 판사는 한 가지 사실에 주목하였다. 반도는 디스크와 그 내용물의 목록을 인쇄한 것을 증거로서 제출하였는데, 인쇄물에는 45개 파일이 리스트되어 있었지만 막상 디스 크에는 파일이 44개였다. 이에 대해 게이츠는 반도가 악의적으로 법원을 기망하려 들었으므로 제재하여야 한다고 주장하였다. 이에 대해 웨디그는 해당 파일은 삭제된 형태로 디스크에 존재 하였으며, 누군가에 의하여 다른 프로그램이 실행되는 경우 이 파일이 삭제될 수 있음 을 입증 하였다. 워드 프로세서 파일의 삭제에 관한 쟁점은 다소 복잡하였다. 뉴먼은 자신이 일부 워드 프로세 서 파일을 삭제하였음을 시인하였다. 하지만 뉴먼은 본 소송과 관계있는 문서는 지우지 않았다 고 주장하였으며, 또한 삭제된 파일들은 그 외 기타의 방법(인쇄 등)으로 그 내용이 복원되었다. 삭제된 파일을 복구하기 위하여 부어히는 반도의 컴퓨터의 하드 드라이브에 삭제된 파일을 복 구하는 프로그램인 노턴 삭제복구(Norton Unerase)를 설치하고, 일부 파일을 되살려 파일 단위 로 복사하였다. 이 프로그램을 적절히 사용하면 삭제된 파일에 대한 정보를 복구해낼 수 있었다. 이에 대해 게이츠는 부어히가 적절한 방법으로 컴퓨터에서 정보를 되살렸다고 주장하였다. 158

제4장 외국의 디지털 포렌식 교육 현황과 시사점 판결요지 법원은 부어히가 반도의 컴퓨터에서 파일을 복원한 방법은 전혀 적절하다고 할 수 없다고 판 단하였다. 노턴 삭제복구 프로그램을 사용함에 있어서 이 프로그램을 하드 디스크에 복사할 필 요는 없었다. 그럼에도 불구하고 이 프로그램을 하드 디스크에 설치한 결과nm 하드 디스크에 있던 지워진 파일들 중 약 7~8%가 무작위로 복구할 수 없도록 삭제복구 프로그램에 의해 덮어 씌워져 결국 파괴되었다. 나아가 부어히는 파일의 삭제 시점을 판별하는 데 도움이 되는 정보를 얻어내는 데 실패하였다. 웨디그는 부어히가 파일 대 파일 방식의 복사가 아니라 이미지 백업 복사 방식을 사용하였어야 한다고 지적하였다. 이미지 백업을 사용해야 하드 디스크에 저장된 정보를 완전히 얻어낼 수 있기 때문이다. 이러한 이미지 백업 방식은 사용 빈도가 낮긴 하지만 분명히 그 당시 존재하였다. 법정에서 사용할 목적으로 증거를 수집한다면 게이츠는 가장 완벽 하고 정확한 결과를 도출하는 방법을 채택할 의무가 있었다. 게이츠는 이미지 백업이 그렇게 중요하다면 반도가 이미지 백업을 수행할 책임을 지게 된다 고 주장하였지만 이는 타당치 못하다고 하였다. 왜냐하면 제재를 요청한 쪽은 게이츠이며, 게이 츠야말로 증거의 부재 를 최대한 활용하여 소송상의 이득을 보려 하고 있기 때문이다. 그러므 로 활용할 수 있는 가장 높은 수준의 기술을 사용하여 증거를 수집할 의무는 당연히 게이츠에 있다고 보았다. 또한, 게이츠는 삭제된 파일 중 7~8%가 손상된 것은 크게 중요하지 않다고 주장하였는데, 이 는 게이츠가 주장하는 논리 즉 증거로 사용될 가능성이 있는 파일 중 일부분이 소실되었으며 누구도 그 내용을 알 수 없으므로 자백간주판결을 구한다 는 것에 스스로 모순되는 것이라고 하 여 기각하였다. 단, 뉴먼이 워드 프로세서 파일을 삭제한 것은 확실히 입증되었는데, 추후에 증거 개시 과정 에서 이에 대한 입증자료가 제시되거나 또는 이를 대체할 만한 인쇄 자료가 제출되어 게이츠측 이 불필요한 소송비용을 부담하게 된 점을 감안하여, 반도는 게이츠에게 소송비용의 10%를 지 급할 것만을 명하고 게이츠의 그 외 주장을 모두 배척하였다. 159

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 제7절 시사점 미국은 한국과 달리, 디지털 포렌식의 중요성과 필요성 증가에 따라, 많은 대학에서 디지털 포렌식 학문에 대한 관심도 많고, 연구와 교수도 활발히 진행하고 있다. 미국에서는 디지털 포렌식에 관한 학문적인 연구와 교수 방법의 연구가 활발하여, 한국과 달 리 미국에서는 디지털 포렌식에 대한 표준화되고 체계적인 교수방법을 제공한다. 그리하여 디 지털 포렌식을 연구하는 모든 대학에서는 표준화되고 체계화된 강의가 개설되고 있다. 미국의 디지털 포렌식의 연구와 교수를 진행하는 많은 대학에서 디지털 포렌식 전공으로 학 사, 석사, 박사 과정 전체를 체계적으로 제공하는 대학도 많다. 이는 한국에서 학사과정이 군산 대만 있는 것과 비교 된다. 표준화된 교육을 제공하는 미국에서 조차 디지털 포렌식 수사기관의 압수 수색 방법과 절차, 규칙과 같은 실무적인 부분과 관련한 강의와 산학연계를 제공하는 대학이 다소 적다. 하지만 디 지털 포렌식 실무적인 업무, 산학연계를 제공하는 몇몇 대학에서는 활발하고 체계적으로 제공하 고 있다. 미국에서는 실무적인 업무에 관련한 부분이나 산학연계를 제공하는 대학은 다소 적지만, 한국 에서는 이러한 부분이 전혀 제공되고 있지 않다. 미국의 디지털 포렌식 자격증 제도는 민간자격증은 여러 가지 기간에서 제공하나, 국가 공인 된 자격증은 없다. 한국은 곧 한국 포렌식 학회에서 주관하는 자격증이 국가 공인으로 될 예정 이어서 자격증 제도 부분에서는 미국보다 한국이 우수하다고 말할 수 있다. 160

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 제5장 바람직한 디지털 포렌식 교육방안 모델

제5장 바람직한 디지털 포렌식 교육방안 모델 바람직한 디지털 포렌식 교육방안 모델 제5장 제1절 바람직한 인재상 1. 서설 21세기는 디지털 문화에 대한 지적 관심의 증가뿐만 아니라 디지털 기기를 이용한 삶의 변화 로 인하여 이와 관련한 수요가 상당히 증가하고 있다. 이렇게 변화하여 가는 환경에서 디지털 기기의 압수수색 및 분석, 증거제출 등 이와 관련한 디지털 포렌식의 역할이 크게 증가 하게 되 는 것이고 이를 실행 및 운영하기 위한 디지털 포렌식 전문가라는 우수한 인재가 필요로 하게 되었다. 이러한 포렌식 전문가의 수요를 충족하기 위하여 이를 양성하기 위한 교육기관이 이제 필요 로 하게 될 것이고, 해당 교육기관에서 실시하게 될 교육과정 등의 교육모델의 제시가 필요하다 할 것이다. 시대가 요구하는 디지털 포렌식 전문가는 디지털 기기의 분석능력 등 단순한 기술적인 교육 에만 머무르는 것이 아니라 디지털 포렌식과 관련하여 법제도를 비롯한 다양한 문제해결 능력 과 이와 관련된 사고력의 향상이 필요한 것이다. 특히 디지털 포렌식은 분석 등의 공학기술능력 뿐만 아니라 법학적 경험을 통한 사고의 유연 성이 중요하다 할 것이고, 주변인들과의 협동을 통하여 적절한 결과를 도출하여 내는 것이 가장 중요하다 할 것이다. 이와 같은 인재의 양성을 위한 교육모델의 제시가 필요한 것이고 이하에서 는 여러 능력들을 접목시킴으로써 현장에서 바로 적용 가능한 디지털 포렌식 융합형 교육모델 을 제시하고자 한다. 163

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 2. 디지털 포렌식 인재상 제시 21세기의 디지털 사회는 모든 인간을 일생동안 수많은 디지털 정보로부터 떨어지지 못하고 이를 생산하고 조작하며 살아가게 되었다. 따라서 이를 수집하고 분석하고 발췌하는 능력이야 말로 앞으로의 사회에서 크나큰 비중을 가지게 될 것이다. 여기헤서는 디지털 포렌식 인재상으 로는 4가지를 제시하고자 한다. 첫 번째는 디지털 시대에 적합한 융합형(Homo-Convergence) 인재 이다. 이는 디지털화 되 어 가는 현 상황에서 디지털 기술의 가치는 무궁무진하다고 볼 수 있다. 하지만 이는 기술적 가 치 뿐만 아니라 이를 뒷받침하는 법학등 기반 지식도 뒤따라야 한다. 디지털 포렌식 산업은 변 화가 빠르게 전개되고 있며 이를 규정하는 수많은 법규의 존재역시 고려하여야 할 것이다. 따라 서 이에 적합한 인재를 키워냄으로 인하여 기술적 측면과 법학적 측면을 아울러 실행할 수 있는 디지털 시대에 적합한 융합형 자원을 배출한다고 할 수 있는 것이다. 두 번째는 글로벌 경쟁력을 갖춘 인재이다. 디지털 포렌식은 전 세계적으로 관련되어 발생하 는 산업이며 기술이라고 할 수 있다. 특히 네트워크를 이용하여 전 세계를 아울러 적용이 가능 한 기술로서 글로벌 경쟁력을 갖추고 국내에 한정되지 않고 세계를 향하여 나아갈 수 있는 글로 벌 인재로서 나아 갈 수 있을 것이다. 특히 디지털 포렌식이 아직 정립되지 못하고 미비한 지역 으로의 진출을 도모함으로서 새로운 기회의 보장이 가능할 것이라 보인다. 세 번째는 희소성을 갖춘 인재이다. 디지털 포렌식은 현재 그 자원이 부족하여 수요를 따라가 지 못하고 있다. 앞으로 우리가 사는 사회가 좀 더 디지털화 되어 감으로 인하여 디지털 포렌식 인재의 수요는 기하급수적으로 늘어날 것이다. 따라서 그 희소성이야 말로 차후에 큰 가치를 가 지게 될 것이다. 네 번째 기업등 사회의 요구에 필요한 인재이다. 디지털 포렌식은 단순히 기술적 가치를 가 지는 것이 아니라 기업등 사회가 나아감에 있어서 이들의 욕구를 능동적으로 충족시킬 수 있는 것이다. 특히 디지털 포렌식 시장과 이를 필요로 하는 고객과의 연계가 강화되고 이를 통하여 사회의 분쟁이 발생하는 경우 디지털 포렌식을 통하여 이를 해결함에 있어 차후에 있어서는 반 드시 필요한 것이 디지털 포렌식이라 할 것이다. 특히 자유시장경제를 추구하는 본 사회에 있어 서 그 조직 역량을 강화하여 능력을 발휘함으로써 적절한 시장경제상에서 나름의 몫을 할 수 있 을 것이라 보인다. 또한 디지털 포렌식 작업은 디지털 정보를 수집하여 분석하고 발췌하여 증거 164

제5장 바람직한 디지털 포렌식 교육방안 모델 로 제출하는 과정에서의 기술적 측면과 법학적 고려가 뒷바탕 되어야 한다. 각 단계별로의 팀간 의 의사소통역시 중요한 포인트이며 이를 다 고려할 수 있는 인재로의 교육이 필요로 한다. 3. 교육의 방향 디지털 포렌식 교육은 교육 대상자들에게 디지털 포렌식과 관련한 이론적 실무적 능력을 교 육하여 차후에 발생하는 문제를 해결하여 나아갈 수 있는 능력을 가지도록 하는 것이다. 즉, 수 사기관에서 디지털 포렌식 업무를 하는 사람만을 대상으로 하는 것이 아니라 디지털 포렌식의 수요가 필요한 모든 곳에 인원의 배치가 가능하도록 신진인력의 배출이라는 것에 궁극적인 목 적을 가지고 있다. 따라서 주 교육 대상자는 디지털 포렌식에 관심을 가지는 모든 사람이라 할 것이다. 주로 대학생, 대학원생, 디지털 기기 전공자, 법학전공자, 디지털 포렌식 산업 기능자, 수사관 디지털 포렌식에 관심이 있는 자를 대상으로 하며, 교수법은 주로 강의 및 포렌식 실습의 형태 가 될 것이다. 디지털 포렌식 디지털 포렌식 교육모델은 경험적 효과를 토대로 하여 이론적 측면과 실무적 측면을 함께 다뤄 실용적인 발전을 도모할 수 있는 모델이 필요하다. 교육모델로서 여러 가지를 생각해 볼 수 있지만 정도를 언급해 보도록 하겠다. 첫 번째는 교육 대상자들의 수준에 따라 4단계 정도의 과정을 제시하고 개인의 능력에 따라 일부 단계만을 거치는 것이 가능하도록 하는 구조를 말한다. 1 시작 : 디지털 포렌식에 대한 기존 지식이 부족하여 기본적 지식의 습득이 필요한 단계 2 선택 : 기본적 지식을 바탕으로 개인적 관심사를 통하여 본인의 적성에 맞는 디지털 포렌 식 학습의 주제와 방향을 정하는 단계 3 기초 : 선택을 한 주제에 대한 디지털 포렌식 일반적 정보를 습득하는 단계로 심오한 학습 의 단계에 이르지 않는 단계 4 구체화 : 습득한 정보를 바탕으로 이를 구체화하여 학습하여 나아가는 단계를 말함 5 심화 : 학습한 정보들을 정리하고 이를 실무적으로 적용하는 단계 6 응용과 실행 : 학습을 완료하고 이를 실무를 현장에 나아가 디지털 포렌식 실행이 가능한 단계이다. 165

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 166

제5장 바람직한 디지털 포렌식 교육방안 모델 제2절 학과 개설방법 1. 서론 학사과정이든 석사과정이든 디지털 포렌식 교육을 실시함에 있어서 교육기관에 관련학과가 개설되어야 할 것이다. 그렇다면 이러한 학과를 어떤 형식으로 설치할 것인가의 문제가 남는다. 기존 대학교, 대학원에 교육과정을 창설한다면 단기적으로 계약학과를 두는 것이 타당한지, 공 개적으로 교육과정을 두는 것이 타당한지를 논하기로 한다. 2. 계약학과를 두는 방법(정원 외 입학) ⑴ 정원 외 입학 규정 (성균관대학교의 예) 제20조(정원외 입학) 외국인 및 재외국민(외교관등 자녀를 포함한다. 이하 같다), 농어촌 학생, 사회적 배려 대상자, 계약학과 지원자는 관계법령이 정한 바에 따라 정원 외로 입학을 허가할 수 있다. 다만, 재외국민, 농어촌학생 및 사회적 배려 대상자는 학사과 정에 한한다. 디지털 포렌식 조사관의 정원 외 입학 가능여부 파악한 후 MOU를 체결할 수 있다. 정원 외 입학가능여부에 대한 타진은 입학처장과 상의가 필요할 것이다. 이러한 사례로는 2011년 6월 3 일 정부법무공단-성대로스쿨 간 우수 법조인 양성을 위한 MOU체결을 들 수 있다. ⑵ 계약학과 관련 규정 (성균관대학교의 예) 제2조(정의) 이 규정에서 사용하는 용어의 정의는 다음과 같다. 1. 채용조건형 계약학과 라 함은 국가, 지방자치단체 또는 산업체등이 채용을 조건으 로 학자금 지원계약을 체결하고, 특별한 교육과정의 운영을 요구하는 경우 설치하 는 계약학과를 말한다. 167

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 2. 재교육형 계약학과 라 함은 국가, 지방자치단체 또는 산업체등이 그 소속직원의 재교육이나 직무능력향상 또는 전직교육을 위하여 그 경비의 전부 또는 일부를 부 담하면서 교육을 의뢰하는 경우 설치하는 계약학과를 말한다. 제3조(계약학과의 명칭ㆍ학생정원 및 수여학위명) 1계약학과의 명칭, 학생정원 및 수여 학위명은 별표와 같다. 2채용조건형 계약학과의 총 학생 수 또는 학생정원은 당해 학년의 전체 입학생수 또 는 전체 입학생 정원의 100분의 10을 초과할 수 없다. 3재교육형 계약학과의 학생 수 또는 학생정원은 학칙 제6조에 불구하고 그 학생 수 또는 정원이 따로 있는 것으로 본다. 제5조(학기 및 수업일수) 1학기는 매 학년도 2학기 내지 4학기로 하며, 계약에 의하여 방학을 이용한 집중과정을 운영할 수 있다. 2수업일수는 매 학년도 30주 이상으로 한다. 3수업은 출석수업, 현장실습수업, 원격수업 그 밖에 교육인적자원부령이 정하는 방법 에 의하되, 계약에 의하여 수업장소 및 방법을 별도로 정할 수 있다. 제6조(교육과정의 편성ㆍ운영) 1교육과정의 편성 및 운영은 학칙에 정한 바에 따르되, 계약시 요구 또는 의뢰한 내용을 반영한다. 2계약학과에 입학하는 자가 교육과정과 관계되는 근무 경력을 가진 경우에는 당해 계약학과의 교육과정의 100분의 20 범위 안에서 교육과정을 이수한 것으로 인정할 수 있다. 제7조(설치ㆍ운영기간 및 재학생 보호) 1계약학과의 설치ㆍ운영 기간은 계약에 의하되, 학위수여기간 이상으로 한다. 2계약학과가 그 설치ㆍ운영기간이 만료되기 전에 폐지되는 경우 재학생 보호 방안은 계약서에 의하되, 당해 계약학과 재학생이 본인의 귀책사유에 기인하지 아니하는 한 학위를 취득할 수 있도록 계약 당사자는 협력한다. 제8조(운영경비 부담 및 수업료등 납부) 1계약학과의 운영에 필요한 경비에 대한 부담 은 계약에 의하여 정한다. 2채용조건형 계약학과는 학생에게 납부금을 부담하게 할 수 없다. 3재교육형 계약학과는 학생이 부담하는 납부금의 총액이 학과의 운영에 필요한 경비 의 100분의 50을 초과할 수 없다. 제9조(준용규정) 이 규정에서 규정된 이외의 사항에 대하여는 성균관대학교학칙 및 동 시 168

제5장 바람직한 디지털 포렌식 교육방안 모델 행세칙(학사과정ㆍ대학원), 당해 학부 학사내규 등을 준용한다. ⑶ 학점취득 학칙제34조(과정별 수료학점) 1학사과정의 각 학년의 수료에 필요한 학점은 별표 10 과 같다. 2석사과정 수료에 필요한 학점은 24학점이상, 박사과정 수료에 필요한 학점은 36학점 이상, 석ㆍ박사통합과정 수료에 필요한 학점은 57학점이상으로 한다. 다만, 전문대학원 석사과정, 박사과정 및 복합학위과정 수료에 필요한 학점은 세칙으로 따로 정한다. 수업규정제4조(대학원과정의 교과목개설) 1학과별 연간전공과목개설학점은 총장이 따로 정한다. 2총장은 필요한 경우 학과별 연간전공과목개설학점을 제한할 수 있다. 3부설연구기관 등에서 연구비지원 기관과의 협약 등에 따라 연구성과와 관련된 강좌 를 개설하고자 하는 경우 총장은 이를 허가할 수 있다. 수업규정제17조(계절수업) 1계절수업은 방학기간 중 단기집중교육에 적합한 교양기초과 목을 개설함을 원칙으로 한다. 다만, 전공과목 개설이 필요하다고 인정되는 경우 전 임교원이 담당하는 과목에 한하여 개설을 허용할 수 있다. 2 별도 기준에 의거 선발된 수강생을 대상으로 전임교수의 지도에 의한 연구학점 교 과목을 개설할 수 있으며, 이에 관한 세부사항은 따로 정한다. 1 교육기관에서의 수업을 주로 하되, 일부 실무과목에 한하여 디지털 포렌식 기관에 본교 전 임교수가 가서 수업하는 방안 (MOU체결 필요) 2 디지털 포렌식 기관의 자체 교강사가 교육기관의 수업을 강의한 것을 학점으로 인정 교과목이 교육기관의 교과목인 경우 디지털 포렌식 기관의 자체 교강사를 본교 교강사 로 위촉 후 학점인정 가능 교과목이 교육기관의 교과목이 아닌 경우 학점인정 불가 3 디지털 포렌식 기관의 자체 교육훈련과 교육기관에서의 디지털 포렌식 수업을 상호 교차 인정하는 방안( 학점인정등에관한 법률 및 동시행령제9조 에 의거, 학점인정대상기관이 아 닌 경우 학점인정 불가) 169

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 제9조(학점인정 대상학교 등) 1 법 제7조제2항제1호에서 "대통령령으로 정하는 학교 또 는 평생교육시설"이란 법 제2조제3호에 따른 대학, 이와 같은 수준의 학력이 인정되 는 각종학교, 다음 각 호의 학교 및 평생교육시설을 말한다. 1. 사관학교 설치법 에 따른 사관학교 2. 경찰대학 설치법 에 따른 경찰대학 3. 육군3사관학교 설치법 에 따른 육군3사관학교 4. 국군간호사관학교 설치법 에 따른 국군간호사관학교 5. 한국과학기술원법 에 따른 한국과학기술원 6. 산업교육진흥 및 산학협력촉진에 관한 법률 제6조에 따른 단기 산업교육시설 (같은 법 시행령 제5조제5항에 따라 교육과학기술부장관이 전문대학에 상응하는 교원 및 시설ㆍ설비를 갖추었다고 인정한 경우로 한정한다) 7. 근로자직업능력 개발법 에 따른 기능대학(다기능기술자과정으로 한정한다) 8. 평생교육법 제32조에 따른 사내대학형태의 평생교육시설 및 같은 법 제33조제 3항에 따른 원격대학형태의 평생교육시설 2법 제7조제2항제4호에 따른 학점인정의 대상이 되는 자격은 자격기본법 에 따른 국가자격과 국가의 공인을 받은 민간자격으로 한다. 3법 제7조제2항제5호에 따른 학점인정의 대상이 되는 시험은 독학에 의한 학위취 득에 관한 법률 에 따른 시험으로 한다. ⑷ 수업료부담 1 일반학과처럼 학생이 100% 부담 (디지털 포렌식 기관의 지원여부는 별도) 2 학생의 수업료는 MOU체결에 따라 교육기관측에서 장학금으로 완전 면제해주는 방안과 수익자 부담원칙에 따라 교육생이 일부 부담하는 방안으로 다양하게 검토 가능 <학생 수업료 부담방안> 구분 학생부담 기 관 부 담 계약기관 교육기관 장학금 계 비 고 가)안 100% 0 0 100% 학생부담가중 나)안 50% 50% 0 100% 계약학과 다)안 0 50% 50% 100% MOU체결 라)안 0 0 100% 100% 전액학교부담 170

제5장 바람직한 디지털 포렌식 교육방안 모델 ⑸ 계약학과 방식의 운용실례와 그 한계 현재 국내에서는 고려대학교에서 국방부와 계약 하에 학부과정으로 개설한 국방학과에서 디 지털 포렌식 교육을 실시하고 있는 것으로 알려져 있다. 물론 수도권 내의 대학이 더 이상 정원 을 늘리지 못하도록 되어 있는 상황에서 정원과 상관없이 교육을 실시할 수 있는 계약학과는 쉽 고 매력적인 선택이며, 재정이라는 문제에 있어서도 계약기관에서 상당부분 인원, 재원, 장비를 지원받을 수 있다는 점도 긍정적이다. 하지만 계약학과 방식으로는 다음과 같은 한계가 있다. 디지털 포렌식 저변 확대 불가능 계약학과는 그 교육대상이 처음부터 한정적으로 정해져 있으므로, 오로지 계약기관에서 지정 하는 자 이외에는 디지털 포렌식이라는 분야를 접할 기회가 없다. 또한 이러한 계약기관 중 대 부분은 이미 디지털 포렌식에 대하여 인지하고 있는 기관이고, 어느 정도 디지털 포렌식 능력을 갖춘 상태에서 이를 발전시키려는 의도에서 계약학과를 두려 하는 경우가 많다. 따라서 디지털 포렌식 분야에 새로운 인원이 사실상 들어오지 않는 것이라고 생각할 수 있으며, 기존 인원들만 을 교육할 뿐 디지털 포렌식의 확산에는 전혀 기여하지 못한다. 교육대상자들의 진로가 제한적 이러한 계약학과의 교육과정을 수료하고 배출된 인원들은 예외 없이 해당 계약기관으로 배치 되며, 기관에서 요구하는 작업만을 수행하게 된다. 이는 해당 기관의 업무에 특화된 인재를 양 성하는 맞춤식 교육 으로 긍정적으로 평가할 수 있겠으나, 다르게 보면 그 기관이 요구하는 것 이상으로는 학생들을 성장시키지 못한다는 평가도 가능하다. 아래에서 살펴보겠지만 디지털 포 렌식의 고급교육과정은 기술자, 전문가, 정책결정자, 연구가의 4가지 특화진로로 나누어 다루 는 것이 효과적인데, 계약학과라는 틀 안에서는 이러한 특성화 전문화를 추구할 여지가 없다. 이러한 측면에서 볼 때 계약학과의 형식으로 두는 것은 비록 우선 당장은 간편할지 모르지만 그 한계가 지나치게 명확하므로 필요에 따라 몇 차례 시행할 수는 있으나 장기적인 마스터플랜 으로 볼 것은 아니다. 단, 계약학과는 아니지만 단기교육과정으로써 디지털 포렌식 기관의 직무 훈련 재교육을 교육기관에서 위탁받아 수행하는 형식은 매우 긍정적으로 평가할 수 있을 것이 다. 이에 대해서는 아래에서 다루기로 한다. 171

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 3. 일반학과로 두는 방법 위와는 다르게, 교육기관 자체에 일반학과로서 상설 공개교육과정을 두는 방안을 생각할 수 있다. 이러한 경우 일반학과 교육과정의 창설과 운영은 전적으로 교육기관의 재량에 속하므로 특정 기관의 요구에 구애받지 않고 자유로운 운영과 심도 있는 교육이 가능하게 된다. 하지만 이러한 경우 절차적인 문제가 발생할 수 있다. ⑴ 문제점 입학정원 제한의 문제 무엇보다도 가장 큰 문제는 수도권 내 대학교에 교육과정을 창설하는 경우, 이들 대학의 입학 정원이 고정되어 있어 더 이상 늘릴 수 없다는 것이다. 따라서 기존에 있는 다른 학과의 정원을 줄여서 디지털 포렌식 학과의 정원을 확보하여야 한다. 이 경우 해당 학과의 반발을 무시할 수 없을 것이므로 이에 대하여 대학 부처 간의 원활한 협의가 필요하다. 재원 확보 문제 일반학과를 둔다는 것은 특정 기관의 요구가 아닌 교육기관의 재량적 선택이므로 교육기관이 그 재원을 마련하여야 한다. 디지털 포렌식은 법 기술 이론교육뿐만 아니라 실습 또한 매우 중 요하다. 고가의 포렌식 장비를 다수 구매하여야 하고, 소프트웨어 또한 라이센스하여야 한다. 교육용 라이센스는 일반 라이센스에 비해 월등히 저렴하지만, 여전히 부담스러운 가격이며 이 는 교육기관에게 큰 부담으로 다가온다. ⑵ 장점 디지털 포렌식 저변확대, 인식 제고 학부과정이든 대학원과정이든 공개적으로 운영된다면 해당 교육기관이 자연스럽게 이를 홍보 하게 되며, 평소에 이에 관심을 가진 학생들의 참여가 보장된다. 최근 한국포렌식학회에서 실시 한 디지털 포렌식 제1회 공개교육과정이 끝나자 제2회 교육과정의 일정과 참여가능여부를 문의 172

제5장 바람직한 디지털 포렌식 교육방안 모델 하는 전화가 다수 온 바 있다. 즉, 현재 국내에는 디지털 포렌식 교육에 대한 수요는 분명히 존 재하지만 신뢰성과 체계를 갖춘 교육과정이 부족하여 이러한 수요가 충족되지 못하는 상황이 다. 따라서 각 교육기관에서 이러한 수요를 충족하고, 다수의 참여를 이끌어내어 디지털 포렌식 분야를 사회 전반으로 확대하려면 상설 공개 교육과정이 필요하다. 사회 각 분야로 진출할 균형 잡힌 인재 양성 상기한 바와 같이 디지털 포렌식의 고급교육과정은 기술자, 전문가, 정책결정자, 연구가의 4 가지 특화진로로 나누어 다루는 것이 효과적이다. 다변화되는 사회인만큼 여러 가지 분야가 있 으며 그에 맞춰 여러 가지의 포지션이 있음이 당연하다. 단순히 디지털 포렌식 기술만을 갖추게 하는 획일화된 교육과정으로는 특성화된 인재를 양성해내는 데에 한계가 있으며, 사회가 요구 하는 다양한 role을 수행할 수 있는 능력을 배양하지 못한다. 운영상 교육기관의 자유가 보장되 는 상설 공개 교육과정이라면 기술 법 윤리의 3요소를 모두 갖추고, 세부 전문분야에 특화된 인 재의 양성이 가능하다. 공개교육과정인 만큼 외부자원의 자유로운 활용, 교육 질적 향상 계약학과의 경우, 해당 기관의 요구에 따라 교육과정의 내용 등이 보안을 요할 수 있다. 이 경우 외부자원, 즉 외부 강사나 실무가의 초청, 외부업체의 전문장비 등을 자유롭게 활용하지 못하는 상황이 발생할 수 있다. 상설 공개교육과정의 경우 이러한 제약이 없이 외부자원을 적극 활용하여 실무와의 괴리가 발생하지 않도록 하며 교육의 질을 크게 향상할 수 있다. 4. 소결 위에서 살펴본 바와 같이 계약학과와 일반학과는 각 장단점이 존재한다. 즉 계약학과는 교육 기관의 부담을 줄이고 입학정원의 제약을 받지 않으므로 다른 학과와 충돌이 없어 개설이 간편 한 반면 그 교육의 효과라는 측면에서 한계가 명확하다. 일반학과는 교육기관에 재정적인 부담 이 있고, 수도권 소재 대학교의 경우 입학정원의 제약 때문에 다른 학과와의 충돌이 예상되지만 특성화된 교육이 가능하고 그 교육의 질과 효과를 높은 수준으로 유지할 수 있다. 종합적으로 고려하면 비록 초반에 실무적인 제약과 난점이 발생하겠지만, 디지털 포렌식의 저변 확대와 효 173

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 과적인 교육, 능력을 갖춘 실무자 이론가를 양성하기 위해서는 디지털 포렌식 교육과정은 일반 학과로 창설하고, 각종 문제를 협의에 의하여 해결해 나가는 것이 바람직하다. 특히 입학정원의 문제에 대해서는, 실습이 중요한 디지털 포렌식의 특성상 디지털 포렌식 학과의 정원은 일정 수 준 이하로 제한될 수밖에 없고, 따라서 충분히 협의할 수 있는 문제라고 판단된다. 현실적인 필요성과 한계 대문에 단기적으로는 필요한 기관에서 계약학과 형식으로 갈 수밖에 없겠지만, 중 장기적으로는 일반학과 형식으로 개설하는 것이 상당하다. 이제 일반학과 공개교육과정과 계약에 따른 직무교육 재교육과정의 구체적인 창설방안을 아 래에서 다루기로 한다. 174

제5장 바람직한 디지털 포렌식 교육방안 모델 제3절 디지털 포렌식 교육방안 모델 1. 개요 ⑴ 교육의 주안점 모든 디지털 포렌식 교육과정은 디지털 포렌식의 이론적 기초는 물론이고 실무상의 방법론, 관련법률, 판례 등을 통합적으로 교습하여야 한 다. 교육과정에서 이와 같은 각 분야가 상호 연 관성을 가질 수 있도록 교육과정을 주의 깊게 설 계하여야 한다. 즉 단편적인 법지식, 기술 지식 을 따로따로 주입하지 않은 채, 법-기술-윤리의 디지털 포렌식 3륜 이 서로 유기적으로 연결되 고, 융 복합적으로 모두를 동시에 고려하는 능력 을 배양하는 것이 중요하다. ⑵ 교육대상자의 요건 학사과정의 경우 학생의 기본적인 컴퓨터 활용능력이 전제되어야 하므로 이를 교육과정에 포 함시켜야 하나, 이는 전공과목이 아닌 필수교양과목의 영역에서 다루어야 할 것이다. 석사 이상 의 교육과정이라면 출신학과에 따라 필수선행과목에 컴퓨터 관련 과목, 법 관련 과목을 적절히 포함시키고, 특히 전문가 과정의 경우 기술자 석사학위 소지자나 컴퓨터 관련 공학사, 법학사로 교육대상을 한정하는 것도 고려해봄직 하다. ⑶ 구체적인 교육목표와 방법 교육과정의 수준과 분야별로 그 목표와 방법에 차등을 두는 것이 바람직하다. 디지털 포렌식 학부과정은 기초적인 법지식과 디지털 포렌식 증거획득 분석능력을 갖춘 초 급 포렌식조사관의 양성을 목표로 하여야 한다. 175

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 디지털 포렌식 고급교육(석사)과정은 기술자, 전문가, 정책결정자, 연구가로 세분하여 분야 별로 특화된 교육을 실시하도록 설계하여야 한다. 기술자 과정은 학부과정의 심화단계로, 초급 포렌식 조사관을 현장에서 지휘 감독할 수 있는 중급 포렌식 조사관의 양성을 목표로 하며, 전문가 과정은 포렌식 프로젝트를 총괄하는 리더의 역할을 수행할 수 있는 고급 포렌 식 조사관의 양성을 목표로 한다는 점에서 차이가 있다. 정책결정자는 법제도와 조직경영에 대한 이해를 바탕으로 조직(특히 기업)의 포렌식 정책을 결정하고 디지털 포렌식 사고처리 능력을 유지할 수 있도록 하는 역할을 수행할 수 있도록 교육하고, 마지막으로 연구가는 디 지털 포렌식의 새로운 방법론이나 도구를 개발하거나 계기를 제공할 수 있도록 이론 중심의 교육을 실시하여야 한다. (4) 자격 인증 대비 학부, 기술자, 전문가 과정의 경우 디지털 포렌식 자격증을 취득할 수 있도록 준비시키는 과 정도 필요하다. 특히 전문가 과정은 기초적인 디지털 포렌식 자격증의 취득 단계에서 벗어나, 프로그램 코드의 역분석, 악성코드 탐지 등 고난이도의 전문자격증을 취득할 수 있도록 그에 맞 는 수준의 교육이 이루어져야 할 것이다. 176

제5장 바람직한 디지털 포렌식 교육방안 모델 2. 학사과정 (1) 교육의 목적 학사교육과정은 항상 과학 공학의 방법론과 문제해결(problem-solving) 기술의 실무를 모두 비중 있게 다루어 학생들에게 굳건한 기반을 갖추어 주는 것을 목표로 하여야 한다. 최종적으로 학사교육과정을 수료한 학생은 과학 공학적 글쓰기, 공공장소에서의 연설, 분석실에서의 분석과정, 안전수칙, 컴퓨터 소프트웨어 활용 응용기술 에 대하여 지식 기술 능력(know ledge skill ability)을 갖추어, 포렌식 분석실에 채용되어 초급 조사관으로서 활동할 수 있는 수준을 달성하여야 한다. (2) 요구조건 고등학교 졸업자 또는 검정고시 합격자 177

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 (3) 교육의 구성 구체적으로, 학사교육과정을 통해 학생들에게 다음과 같은 것을 제공하여야 한다. 디지털 포렌식 전문가의 자격을 갖출 수 있도록 준비하게 함 포렌식 분야 전반에 걸쳐서 인적 네트워크를 형성할 기회 디지털 포렌식 분석실에서의 업무와 직접적으로 연관될 수 있는 교육 지식 배경 포렌식 과학계와 법조계에 적용하고 융화하도록 함 전문가 자격증 취득을 준비 디지털 포렌식의 특성상, 다른 공학 분야에서 필요로 하지 않는 광범위한 과목분야, 예를 들어 스피치, 윤리, 통계학 등에 대해서도 강조점을 두어야 함 또한 학점의 배분은 다음과 같이 하는 것이 상당하다. 분류 교양과목 공학 법학 디지털 포렌식 포렌식응용 취득학점 36~40학점 23~25학점 23~25학점 15~20학점 19학점 학점총계 120학점 전후 (4) 교육과정의 운영상 중점 교육과정 효율성 제고 및 평가 교육과정은 측정 가능한 목표를 문서화하여 제공하여야 하며, 수료생들에게 기대되는 교육수 준이 어느 정도인지 명확하게 밝혀야 한다. 또한 정기적으로 목표와 진행률을 대조하여 교육현 황이 목적한 바에 충실히 이루어지고 있는지 측정하고, 미진한 부분이 있는 경우 이를 신속히 파악하여 수정 개선하여야 한다. 재정적 지원 포렌식 교육과정의 커리큘럼은 다른 자연과학 교육과정과 최소한 동등한 수준의 지원이 이루 어져야 한다. 인적, 물적 자원이 부족한 경우(교육장소나 교강사의 확보가 잘되지 않은 경우) 교육과정을 신설하는 것은 융 복합적인 성격을 지닌 포렌식 교육의 특성상 질적 하락이 심할 수 있다. 178

제5장 바람직한 디지털 포렌식 교육방안 모델 디지털 포렌식은 전문화된 법학 지식과 전산 지식을 필요로 하는데다, 교육을 위해서는 소프 트웨어 및 하드웨어 솔루션의 구비가 필요하기 때문에 상당한 재정적 지원을 필요로 한다. 따라 서 가장 고품질의 포렌식 교육을 제공하기 위해서는 교육기관 차원에서의 지원을 받는 동시에 외부에서도 지원을 받는 것이 이상적이며, 수사기관이나 기타 정부부처와의 연계를 생각해봄직 하다. 전임교강사 적절한 수의 전임(full-time)교강사를 두어야 교육과정의 지속성과 안정성을 담보할 수 있고, 실무와 이론의 조화를 꾀할 수 있다. 또한 전임교강사를 채용하기 전에 교육과목과 그 커리큘럼 을 기획, 수정, 강의할 수 있는지 자격과 능력을 검증하여야 한다. 계약직교강사 디지털 포렌식 실무가를 계약직으로 활용하여 실무에 대한 경험과 지식을 교육하여야 한다. 단, 전임교강사가 이러한 계약직교강사의 모든 수업활동에 대하여 그 내용을 감독하고 교육기 관이 정한 스탠다드에 부합하도록 하여야 한다. 시설 디지털증거의 분석과 법정제출을 실습할 수 있도록 하려면 모의법정이나 모의분석실과 같은 시설이 필수적이다. 이러한 시설은 학생들의 접근성이 보장되어야 하며, 필요한 장비와 소프트 웨어가 구비되어 있어야 한다. 도서관 또한 디지털 포렌식에 관련된 서적, 논문, 간행물, 전자 DB 등을 갖추고 포렌식 사이언스에 대한 권위 있는 저널을 구독할 필요성이 있다. 학생에 대한 지원 학생들에게 교육과 관련하여 디지털 포렌식 모의분석실에서 사용하는 장비 소프트웨어의 접 근이 보장되어야 하며, 또한 교강사들과의 의사소통기회가 주어져야 하고, 교육과정 요건과 선 택과목, 취업기회에 대하여 다양하고 풍부한 내용이 신속하게 전파되어야 한다. 179

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 교강사에 대한 지원 교육과정의 목표를 원활히 달성하려면 교강사의 질을 높은 수준으로 유지하는 것이 필수적이 고, 이를 위해서는 교강사에 대한 지원이 충분히 이루어져야 한다. 예를 들어 각종 실무 회의에 참여할 기회를 제공하고, 학술활동을 인지하고 지원하며, 행정업무를 처리하기에 적절한 시간 을 제공하는 등이 지원이 필수적이다. 디지털 포렌식 관련기관과의 연계 학술적인 포렌식 교육과정이라도 외부 실무기관과 연계하여 실무동향을 실시간으로 파악하 고, 실무에 맞는 학술연구가 이루어지도록 하여야 한다. 이러한 연계를 통하여 인턴쉽 과정을 둘 수도 있고, 교육과정을 수료한 학생들에게 풍부한 채용기회를 제공할 수도 있다. 또한 연계 기관으로부터 교강사를 초청하고 기관과 합동하여 연구프로젝트를 진행하는 것도 가능하다. 국가기관 공식 포렌식 교육기관 인증 취득 디지털 포렌식 관련 학위를 제공하는 교육기관은 교육의 질을 담보하기 위하여 교육과학기술 부 등 국가기관으로부터 우수교육기관 인증을 취득하는 것을 생각해볼 수 있다. 현재 디지털 포 렌식 학사과정에 대하여 국가기관으로부터 공식인증을 취득한 사례가 없지만, 이러한 제도를 창설하는 경우 모든 디지털 포렌식 교육기관이 이러한 인증을 의무적으로 취득하여야 할 것이 다. 인증 취득시의 장점으로는 다음과 같은 것을 생각해볼 수 있다. 교육과정을 외부적으로 검증받을 기회 학생들에게 교육과정을 선택하는 가이드라인으로 활용 가능 디지털 포렌식 관련기관이나 기업에서 수료생 채용시, 교육수준을 예측 가능케 함 교육과정의 질적 향상 도모 수료생들의 높은 경쟁력 제고 자격증 취득 유도 마지막으로, 수료생들의 디지털 포렌식 이해도와 실력을 검증하고 높은 수준으로 유지하기 위하여 디지털 포렌식 자격증 취득과정을 교육프로그램의 일환으로 운영하는 것이 바람직하다. 180

제5장 바람직한 디지털 포렌식 교육방안 모델 국가공인을 앞두고 있는 한국포렌식학회 주관의 디지털 포렌식전문가 자격시험이라든지, 해외 의 유명 디지털 포렌식 인증시험에 응시하여 자격증을 취득하도록 할 경우 경쟁력 제고에 큰 도 움이 될 것이다. (5) 소결 디지털 포렌식은 그 성질상 여러 분야에 대한 지식을 융 복합하여야 하며, 요구되는 지식의 수준도 높은 편이다. 따라서 학사 과정부터 디지털 포렌식 교육프로그램을 두어 학생들로 하여 금 법, 컴퓨터, 윤리 모두 이론과 실무를 체화하도록 하는 것이 중요하다. 나아가 학사 과정부터 디지털 포렌식을 공부하고 준비하는 학생들은 추후 디지털 포렌식의 실무에 더 충실히 대비할 수 있고, 디지털 포렌식 분석실 기관과의 인맥을 구축하고, 각종 인증시험에 더 오랜 기간 동안 대비하여 취득성공률을 높일 수 있다. 즉 디지털 포렌식 학사과정은 미래지향적인 디지털 포렌 식 기법개발 및 교육 보다는 좀 더 전통적이고 표준적으로 정립된 디지털 포렌식 절차의 친숙화 및 현장실무대비 에 초점을 두어야 하며, 수사기관이나 디지털 포렌식 관련기관에서 초급 디지 털 포렌식 조사관으로서 곧바로 활동할 수 있는 능력 배양을 목표로 하여야 한다. 3. 석사과정 (1) 석사교육과정의 목적 디지털 포렌식 석사교육과정은 이론적 개념을 가르치는 것에 그치지 않고, 학생들에게 비판 적 사고능력, 문제해결기술, 디지털 포렌식 분야에 대한 심도있는 지식 을 배양하는 점에 초점을 두어야 한다. 실무에서 활동하는 현직 포렌식 조사관들 또한 자신의 경력을 쌓고 더 높 은 직위에 오르기 위하여 석사교육과정을 수료하게 될 것이므로, 교육과정의 내용은 단순히 기 초적인 증거수집과 분석능력을 배양하는 것에 그치지 않고 선임 분석관이나 분석프로젝트 관리 자와 같이 더 높은 단계의 실무능력을 갖출 수 있도록 하여야 한다. 181

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 182

제5장 바람직한 디지털 포렌식 교육방안 모델 (2) 요구조건 디지털 포렌식 석사교육과정은 공학과 법학 모두에 대하여 기본적인 지식을 갖추고 있다는 것을 전제로 하므로, 컴퓨터 관련 학사나 법학사의 학위를 취득할 것을 사전요건으로 한다. (3) 교육의 기본구성 종류를 불문하고 디지털 포렌식 석사교육과정은 다음의 요소를 모두 다루어야 한다. 디지털 포렌식 관련 주제 전반 디지털 포렌식의 각 세부분야에 대한 특성화 교육 연구활동 모의분석활동 디지털 포렌식 분석기관(민간 공공기관)과 관련 학계와의 연계활동 적절한 자격과 실무경력을 갖춘 교강사 적절한 학술자료(도서관, 저널 구독, 분석실습실, 분석장비 및 소프트웨어 등) (4) 교육구성의 세분화 전문화 단순히 증거수집 및 분석을 기계적으로 수행하는 단순기술자의 영역에서 벗어나, 앞으로 디 지털 포렌식의 이론을 발전시키고 정책결정과정에 참여할 수 있도록 하려면 석사교육과정을 다 음의 4가지로 구분하여 전문화할 필요가 있다. 183

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 디지털 포렌식 기술자(technician) 디지털 포렌식 기술자는 실제 포렌식 현장에서 증거분석을 수행하는 인원이다. 즉 법적으로 허용되는 한도 내에서 포렌식 기술을 발휘하여 디지털 증거를 수집하고 분석하는 것으로서, 컴 퓨터와 네트워크에서 정보를 수집할 수 있도록 심도 있는 지식과 기술을 필요로 한다. 후술하는 디지털 포렌식 전문가 과정을 수료하기 위한 사전요건으로서 본 학위과정을 운용하는 것도 고 려해봄직 하다. 디지털 포렌식 정책결정자(policy maker) 기업이나 공공기관에서 디지털 포렌식 정책을 결정 수립하는 역할이다. 디지털 포렌식 정책 은 기업 기관의 운영목적과 상충되지 않아야 하고, 포렌식 능력이 확대될수록 프라이버시의 침 해가 필연적으로 일어나기 때문에 그 사이에서 균형점을 찾고 결정을 내려야 한다. 비록 이러한 관리직 은 포렌식의 세부사항이 아니라 큰 그림 에 초점을 두지만 결국 컴퓨터와 포렌식에 대 한 심도 있는 이해가 필요함은 사실이다. 따라서 이러한 정책결정자가 합리적인 결정을 할 수 있도록 교육하는 것이 본 교육과정이다. 184

제5장 바람직한 디지털 포렌식 교육방안 모델 디지털 포렌식 전문가(professional) 디지털 포렌식 기술자 가 디지털 포렌식의 핵심적인 절차를 수행하고 있지만, 디지털 포렌식 전문가는 실무에서 이러한 기술자들의 관리직으로서의 역할을 수행하고, 포렌식 정책과 현장 사이의 연결고리 역할을 수행한다. 디지털 포렌식 전문가는 따라서 포렌식 기술을 잘 알고 있 어야 함은 물론이고 광범위한 교육과 풍부한 실무경험으로 다져진 사법절차와 증거요건에 대해 서 심도 있게 이해하여야 한다. 나아가, 디지털 포렌식 전문가는 기업의 업무영역을 이해하고 디지털 포렌식 정책이 그 업무영역 내에서 제대로 시행되고 있는지를 확인하여야 하는 책임을 진다. 디지털 포렌식 연구가(researcher) 현재 디지털 포렌식은 완전히 독립된 학문분야로 널리 인정받는 상태가 아니지만, 급격히 성 장하고 있으며 이에 전문화된 교강사에 대한 요구가 날로 증가하는 상황이다. 인적 자원 상황이 여의치 않은 경우 디지털 포렌식 전문가가 이러한 역할을 수행하여 기초적인 컴퓨터 디지털 증 거의 획득 및 분석과 증거개시절차에 대하여 강의할 수는 있을 것이지만, 좀 더 전문적인 교육을 위해서는 학술적으로 첨단 디지털 포렌식 분야를 연구하는 학술연구가로서의 학위가 필요하다. 디지털 포렌식 연구가는 학계에서 활동할 수 있겠지만 일부 연방 주 정부기관에서 이들에 대 한 수요가 있을 것으로 예상된다. 또한 디지털 포렌식 연구가도 실무에 대한 지식을 갖추고 있 기 때문에 디지털 포렌식 정책결정자로서의 커리어를 추구하는 것도 가능할 것으로 예상된다. 185

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 (5) 정리 위 내용을 간략히 정리하면 다음과 같다. 분류 지식능력 주업무역량 기술자 정책결정자 연 구 가 전문가 법학 공학 디지털 포렌식, 컴퓨터공학, 운영체제에 대 한 심도 있는 지식 형법, 민법, 형사소송법, 민사소송법에 대한 기본적인 수준의 지식 디지털 포렌식, 정보관리, 정보보호, 정보보 증에 대한 이해 지식관리, 조직구조, 의사결정에 대한 중급 수준의 지식 기술자 항목의 모든 지식능력 + 정보시스템, 네트워크시스템, 아키텍처에 대한 심도 있 는 지식 기초적인 프로그래밍 능력 형법, 민법, 형사소송법, 민사소송법에 대한 중급 수준의 지식 높은 수준의 커뮤니케이션 기술 각종 법분야(형법, 민법, 형사소송법, 민사 소송법, 행정법, 헌법 등)에 대한 심도 있는 지식 디지털 포렌식, 컴퓨터공학, 컴퓨터 하드웨 어에 대한 중급 수준의 지식 디지털 포렌식, 컴퓨터공학, 운영체제, 소프 트웨어 공학에 대한 심도 있는 지식 중급 수준의 프로그래밍 능력 형사소송법, 민사소송법에 대한 기초적인 지식 중급 포렌식 조사관 실제 포렌식 현장에서 증거분석 수행 디지털 증거를 수집하고 분석 압수한 저장매체 운송과정 감독 조직 환경에서의 포렌식 정책 설정 포렌식 감사 정책위반 적발 및 처리 보안사고 발생 시 책임자의 역할 조직의 포렌식 능력 관리 고급 포렌식 조사관 실제 포렌식 현장에서 증거분석 수행 디지털 증거 수집 및 분석 포렌식 신기술 검증 및 도입 법정 증언 디지털 포렌식 프로젝트 관리감독자 디지털 포렌식 팀 리더 디지털 포렌식 관련 법적 쟁점 탐구 현행법 내 허용되는 증거수집 한계 제시 입법개선 연구 활동 디지털 포렌식 가이드라인 제시 공학과 법학 간의 가교 역할 디지털 포렌식 관련 기술동향 탐구 기술의 발전과 부합하는 새로운 포렌식 방 법론의 개발과 제시 최신 기술동향을 법학연구분야에 전달 새로운 포렌식 툴의 개발 또한 각 세부분야별로 향후 학술 진로를 제시하면 다음과 같다. 분류 향후 학술 진로 기술자 디지털 포렌식(전문가) 석사 정책결정자 법학박사 전문가 없음 연구가 법학 법학박사 공학 컴퓨터공학박사 186

제5장 바람직한 디지털 포렌식 교육방안 모델 (6) 교육과정별 교육중점 분류 증거수집 증거보존 증거제출 대비기술 법학 기술자 심화 이해 기초 기초 정책결정자 기초 기초 이해 기초 전문가 심화 심화 심화 심화 연구 가 이해 이해 이해 심화 위 표는 교육과정별로 디지털 포렌식의 각 분야에 어느 정도 중점을 두어야 할지를 나타낸다. 여기서 증거수집 이라 함은 말 모든 디지털 포렌식 절차를 수행할 수 있도록 정보를 수집하는 것이다. 증거는 결국 법정에 제출된 정보를 의미하므로 먼저 정보를 발견하고 복원해내지 못한 다면 제출 또한 불가능하고, 따라서 아무런 의미가 없다. 단순히 압수를 수행하는 것뿐만 아니 라, 손괴 은닉 삭제된 정보를 복구해내는 것 또한 증거수집절차의 일부이다. 증거보존 은 압수 과정에서 압수대상시스템의 상태를 있는 그대로 반영하여 정보를 수집하고, 관리연속성(chain of custody)을 유지하며, 법정에서 그 진정성을 입증 받을 수 있도록 하는 것이다. 증거제출 이 란 법관이나 배심원(국민참여재판의 경우)에게 수집하고 분석한 결과를 증언하며 이해시키는 기술이다. 디지털 포렌식은 일반 대중에게 잘 알려지지 않은, 고난이도의 기술분야이기 때문에 포렌식 조사관이 이를 법정에서 전문가의 자격으로 증언한다고 하여도 법관이나 배심원을 이해 시키기는 쉬운 일이 아니고, 실제로 다수의 포렌식 조사관은 법정에서의 이와 같은 전문가증언 에 익숙하지 않은 것이 현실이다. 마지막으로 대비기술 은 특히 컴퓨터를 대상으로 한 범죄에 대하여, 이러한 범죄가 발생하기 전에 사전예방적으로 대비하는 것이다. 보안 취약점을 관리하 는 것뿐만 아니라, 범죄의 발생시 포렌식 조사관이 이를 추적하고 범죄과정을 정확히 재현해내 어 최종적으로 법정에서 이를 용이하게 인정받을 수 있도록 미리 로깅 미러링 체계를 갖추는 것 이 그 예이다. 교육의 수준 중 기초 는 해당 분야의 지식에 대하여 개략적인 지식을 갖추고, 낯선 개념이 없 도록 하는 것을 의미한다. 이해 라 함은 구체적인 프로세스를 이해하고 이론에 대한 확고한 지 식을 바탕으로 실무에 자유자재로 활용할 수 있는 수준을 의미한다. 심화 는 해당 분야의 지식 을 완벽히 이해하고, 이를 응용 개선하며 최신의 포렌식 기술을 검증 도입하는, 가장 높은 단계 이다. 위와 같은 중점사항을 바탕으로, 구체적인 커리큘럼의 예시를 들면 다음과 같다. 187

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 디지털 포렌식 기술자 전문분야 과목구분 컴퓨터과목 법학 윤리과목 기반 디지털 포렌식 기초 파일 시스템 포렌식 컴퓨터 네트워크 형사소송법 민사소송법 디지털 포렌식 기술자 양성과정 심화 응용 선행 침입 감지 데이터베이스 디지털 증거의 포렌식 검사 디지털 포렌식 실습 무선 보안 포렌식 보안 통신 시스템 증거법칙 디지털 포렌식 윤리 학사학위 종류에 따라, - 전산관련전공인 경우 법학 기초과목 선행 - 법학 전공인 경우 컴퓨터 기초과목 선행 - 기타 전공인 경우 법학, 컴퓨터 기초과목 모두 선행 - 디지털 포렌식 학부 전공자의 경우 선행과목 면제 디지털 포렌식 정책결정자 전문분야 과목구분 컴퓨터과목 법학 윤리과목 디지털 포렌식 정책결정자 양성과정 기반 심화 응용 선행 디지털 포렌식 기초 컴퓨터 네트워크 침입 감지 데이터베이스 형법, 민법 형사소송법, 민사소송법 디지털 사이버범죄 디지털 증거법칙 디지털 포렌식 윤리 법정에서의 전문가증언 사이버범죄 쟁점 디지털 조사의 법과 윤리 학사학위 종류에 따라, - 전산관련전공인 경우 법학 기초과목 선행 - 법학 전공인 경우 컴퓨터 기초과목 선행 - 기타 전공인 경우 법학, 컴퓨터 기초과목 모두 선행 - 디지털 포렌식 학부 전공자의 경우 선행과목 면제 188

제5장 바람직한 디지털 포렌식 교육방안 모델 디지털 포렌식 전문가 전문분야 과목구분 컴퓨터과목 법학 윤리과목 디지털 포렌식 전문가 양성과정 기반 심화 응용 선행 디지털 포렌식 기초 컴퓨터 네트워크 침입 감지 데이터베이스 디지털 포렌식 심화 디지털 증거의 포렌식 검사 디지털 포렌식 실습 무선 보안 포렌식 보안 통신 시스템 포렌식 신기술 형법, 민법 형사소송법, 민사소송법 디지털 사이버범죄 디지털 증거법칙 디지털 포렌식 윤리 법정에서의 전문가증언 모의법정 사이버범죄 쟁점 디지털 조사의 법과 윤리 학사학위 종류에 따라, - 전산관련전공인 경우 법학 기초과목 선행 - 법학 전공인 경우 컴퓨터 기초과목 선행 - 디지털 포렌식 학부 전공자의 경우 선행과목 면제 디지털 포렌식 법률연구가 전문분야 과목구분 컴퓨터과목 법학 윤리과목 디지털 포렌식 법률연구가 양성과정 기반 심화 응용 선행 디지털 포렌식 기초 컴퓨터 네트워크 파일 시스템 포렌식 디지털 포렌식 심화 디지털 증거의 포렌식 검사 디지털 포렌식 실습 형법, 민법, 형법 형사소송법, 민사소송법 행정법 디지털 사이버범죄 디지털 증거법칙 디지털 포렌식 윤리 법정에서의 전문가증언 사이버범죄 쟁점 디지털 조사의 법과 윤리 학사학위 종류에 따라, - 전산관련전공인 경우 법학 기초과목 선행 - 법학 전공인 경우 컴퓨터 기초과목 선행 - 디지털 포렌식 학부 전공자의 경우 선행과목 면제 189

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 디지털 포렌식 공학연구가 전문분야 과목구분 컴퓨터과목 법학 윤리과목 기반 디지털 포렌식 기초 컴퓨터 네트워크 파일 시스템 포렌식 형사소송법 민사소송법 디지털 포렌식 공학연구가 양성과정 심화 응용 선행 침입 감지 데이터베이스 컴퓨터 보안 이론 디지털 포렌식 심화 디지털 증거의 포렌식 검사 디지털 포렌식 실습 무선보안 포렌식 보안 통신 시스템 침입 탐지 디지털 증거법칙 디지털 조사의 법과 윤리 학사학위 종류에 따라, - 전산관련전공인 경우 법학 기초과목 선행 - 법학 전공인 경우 컴퓨터 기초과목 선행 - 디지털 포렌식 학부 전공자의 경우 선행과목 면제 ⑺ 교육과정의 운영상 중점 디지털 포렌식 석사교육과정은 교육기관의 임무(목표), 활용 가능한 시설, 학생들과 교강사의 능력과 실력을 고려하여 설계되어야 한다. 어떤 교육과정을 선택하든, 심화과정이 어떻게 구성 되어 있든 학생들로 하여금 최소한 30학점 이상의 선행과목을 수강하게끔 하여야 한다. 단, 디 지털 포렌식 학사교육과정을 수료한 자에게는 이러한 선행과목의 수강을 면제할 수 있을 것이 다. 단순히 초급 기술자를 양성하는 데에서 벗어나 실무를 지도할 상급 디지털 포렌식 조사관, 디지털 포렌식 학계를 주도할 인재를 양성하는 교육과정인 만큼, 커리큘럼은 항상 최신의 실무 동향을 반영하고 동시에 향후 기술발전에 대응할 수 있도록 미래지향적이어야 한다. 이를 위해서는 디지털 포렌식 석사교육과정 또한 상기한 학사교육과정의 운영상 중점요소를 모두 갖추어야 하는 것은 물론이고, 특별히 그 교육의 질을 담보할 수 있도록 다음의 요소 또한 갖추어야 한다. 190

제5장 바람직한 디지털 포렌식 교육방안 모델 연구활동 구성요소 석사교육과정의 학생들은 그 교육과정의 일환으로 연구 프로젝트를 진행하고 이에 대해 서면 으로 보고서를 작성하도록 하여야 한다. 또한 과정 수료의 요건으로 이러한 연구활동에 대하여 포럼 등에서 발표하도록 하는 것이 바람직하다. 이상적으로 연구활동이 진행되려면 해당 프로 젝트의 목적과 내용이 먼저 명확히 정의되어야 하며, 가용시간 내에 합리적으로 그 목적을 달성 할 수 있도록 지도되어야 한다. 가능한 한 최신의 기술과 다양한 실험적 기술을 활용하여 프로 젝트를 진행하도록 하여야 하며, 이러한 프로젝트를 수합하여 교육기관은 그 성과를 정기적으 로 발간물의 형태로 펴내고 이로써 디지털 포렌식 분야의 발전에 기여하여야 한다. 커뮤니케이션 기술 디지털 포렌식은 그 자체로 법정에 디지털 증거를 제출하는 과정에 대한 학문이기 때문에, 필 연적으로 법정에서 증언하고 법관과 배심원에게 설득력을 갖추어 의견을 제시하는 것을 전제로 하게 된다. 따라서 디지털 포렌식 조사관, 전문가는 서면이든, 구술이든 효과적으로 상대방과 커뮤니케이션할 수 있는 기술을 몸에 익히고, 자신이 분석한 내용을 바탕으로 직관적이고 명료 하게 설명하고 상대방에게 자신의 논지를 이해시켜야 한다. 이를 위해서는 교육과정에 필수적 으로 이러한 커뮤니케이션 기술을 배양하는 과목을 포함하여야 하며, 이상적으로는 이러한 과 목을 모의법정과목과 연계하여 개설하는 것이 바람직하다. 교강사의 자격요건 디지털 포렌식 석사교육과정을 가르치는 전임교강사 중 적어도 75% 이상이 적합한 박사학위 를 취득하는 것이 바람직하다. 현재 디지털 포렌식 박사과정이 국내에 존재하지 않고, 또한 디 지털 포렌식의 분야가 아직 완전히 성숙하지 못하여 박사과정을 개설하기에 부족한 감이 있으 므로 디지털 포렌식 박사학위를 요구할 수는 없다. 따라서 디지털 포렌식이 좀 더 독립된 학문 분야로 완전성을 갖추어 발전하는 날까지는, 법학이나 컴퓨터공학, 소프트웨어공학 분야의 박 사학위 소지자를 교강사로서 확보 활용하여야 할 것이다. 또한 디지털 포렌식의 실무친화적 특성상 실무가 출신 교강사를 적극적으로 활용하여야 할 것이며, 법학과목 교강사는 실체법과 절차법 간의 적절한 균형을 이루되 절차법 쪽에 다소 무게 를 두는 것이 상당하다. 191

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 도서관 및 자료의 획득 위 학사학위과정 운영중점사항에서 언급한 바에 더하여, 도서관의 자료검색시스템이 충실하 게 구축되어 있어야 한다. 특히 Westlaw나 LexisNexis와 같은 서비스를 구독하여 해외 판례 검색 열람이 가능하도록 하고, 방대한 전자저널에 접근하고 다운로드하여 연구활동에 활용할 수 있도록 배려하여야 한다. 또한 이러한 전자저널 DB 검색 및 활용에 익숙하지 않은 학생들을 위하여 이러한 학술자료를 활용하는 방법에 대한 특강이나 세미나 등이 정기적으로 개최되어 이용률을 높일 수 있도록 하 는 것이 바람직하다. 교실 및 실습실의 요건 교실 및 실습실은 학술적 성과를 낼 수 있는 환경이 우선 갖추어져야 하고, 동시에 안전수칙 을 지킬 수 있도록 하여야 한다. 학술적 성과를 달성하기 위해서는 학생들이 실제 포렌식 장비와 소프트웨어를 조작해보고 이 를 통해 실제로 증거데이터를 확보(이미징), 분석하고 숨겨진 데이터를 찾아내는 실습, 네트워 크 장비를 모니터링하고 침입을 탐지해내는 실습 등 실무 중심의 교육이 이루어질 수 있도록 여 건이 갖추어져야 한다. 디지털 포렌식 과정은 화학물질이나 중장비 등을 다루지 않아 상대적으로 다른 포렌식 분야 에 비하여 안전하다고 생각하기 쉽지만, 컴퓨터의 본체를 분해하고 장비를 연결하는 경우 감전 화재의 위험이 있다는 점에 유의하여야 한다. 특히 최근 외국에서 그 중요성이 부각된 바 있는 라이브 디지털 포렌식의 경우 이러한 위험은 더욱 크다. 디지털 포렌식 실습실은 만에 하나 발 생할 수 있는 사고에 대하여 끊임없이 학생들에게 주지시킬 수 있도록 적절한 안내판 등이 붙어 있어야 하고, 컴퓨터 본체를 열거나 전기선 및 장치를 연결시키는 실습을 수행하기 전에는 안전 수칙이 공지될 수 있도록 하여야 한다. 윤리교육 컴퓨터 보안에 대한 지식과 디지털 포렌식에 대한 지식은 역이용될 경우 디지털 포렌식 절차 를 방해하고 증거를 은닉하는 목적, 또는 해킹과 악성프로그램 작성, 시스템 방해 및 공격에 사 용될 가능성을 가진 양날의 검이다. 석사교육과정에서 교습되는 내용은 학사교육과정보다 더 192

제5장 바람직한 디지털 포렌식 교육방안 모델 고급의 정보로 그 위험성 또한 더 크다. 이와 같이 민감한 지식을 교육하는 프로그램인 만큼, 올바른 방향으로 지식이 활용될 수 있도 록 철저한 윤리 교육이 이루어져야 할 것이다. 이러한 윤리 교육의 모델로서는 EC-Council의 윤리적해커인증(Certified Ethical Hacker, CEH) 자격 90) 을 참고할 수 있을 것이다. (8) 미래의 디지털 포렌식 대비 교육 앞서 설명한 바와 같이, 현재 디지털 포렌식은 급격한 기술의 발전으로 큰 위기를 겪고 있다. 저장장치의 용량은 날이 갈수록 늘어나고 있으며, 누구나 손쉽게 RAID 장비를 갖출 수 있을 정 도로 가격이 하락하여 이미지를 생성할 때 시간이 너무 많이 걸리게 되었다. 운영 체제 소프트 웨어 또한 종류가 늘어나고 있고, 특히 지난 몇 년 간 Ubuntu를 필두로 한 데스크탑 리눅스의 발전과 함께 염두에 두어야 할 운영체제의 종류 또한 늘어났다. 클라우드 스토리지에 대한 수 색 압수 방법에 대한 논의는 이제 걸음마 단계에 불과하다. TPM 칩의 보급률이 늘어나고, 이를 활용하여 BitLocker와 같은 강력한 드라이브 암호화 솔루션이 아예 운영체제에 내장됨에 따라 수사기관에게는 커다란 벽으로 다가오고 있다. 이러한 벽을 넘을 수 있는 가능성으로 라이브 디 지털 포렌식이 다소 각광받고 있지만, 국내에서는 이에 대한 논의가 아직 미미하고 무엇보다도 라이브 디지털 포렌식을 수행하기 위해서는 비용이 많이 든다. 우리의 디지털 포렌식 현실은 기술의 발전에 사실상 거의 대비하지 못하고 있으며, 따라서 신 속히 이러한 기술격차를 따라잡을 수 있도록 관련 연구가 이루어져야 한다. 단 이러한 주제들은 기술자나 정책결정자에게는 지나치게 전문적이므로 전문가, 연구가 과정에서 다루는 것이 상당 하다고 본다. 90) http://www.eccouncil.org/courses/certified_ethical_hacker.aspx 193

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 4. 로스쿨과정에서의 디지털 포렌식 강의 로스쿨 교육 과정 (1) 교육의 목표 디지털의 혁명으로 불리우는 시대적 상황 하에서 디지털 기기는 현대인의 필수품이 되고 있다. 사람의 눈으로는 판별할 수 없지만 전문적인 기술을 토대로 디지털 증거의 수집을 통해 범죄 의 구성요건에 대한 입증은 물론 알리바이에 대한 반증도 가능하게 된다. 디지털 증거는 이러한 형사소송만이 아니고 민사소송에서도 결정적인 증거가 되고 있다. 이러한 증거는 디지털이 갖는 특성 즉, 대량성, 변조용이성, 전문성 등에 의해 전문가에 의한 적법한 절차와 요건을 갖추지 않은 것은 증거로서 사용할 수 없게 될 수도 있다. 본 교육의 목적은 법학과 이공계 학문을 융복합하여 디지털증거에 대한 정확한 이해를 토대 로 향후 전자소송절차에 적극적으로 참여하는 변호사로서의 소양을 갖추게 함은 물론 오늘날 디지털 사회가 요구하는 통합적 능력을 갖춘 인재를 양성 하는데 목적이 있다. (2) 교육의 구성 법률을 하는 데에 있어서 기초적인 디지털 포렌식 지식을 가지고 있으면 더 원할 한 송무 활 동과 현대 기술에 맞는 송무 활동을 할 수 있기에 6개월간의 디지털 포렌식 과정을 배워서 로스 쿨 졸업 요건으로 만들어야한다 194

제5장 바람직한 디지털 포렌식 교육방안 모델 과목 법률 (9시간) 기술 (27시간) 실습 (6시간) 디지털(사이버)범죄(3) 포렌식절차법(3) 포렌식증거법(3) 디지털 포렌식개론(6) 디지털증거분석 및 도구 소개(6) 컴퓨터구조와 저장매체(3) 파일시스템과 운영체제(6) 네트워크 및 시스템 포렌식(3) DB(DataBase) 포렌식(3) 증거분석 도구 실습(3) 포렌식조사실무(3) 과목 예시 (3) 구체적인 강의 내용 1주차 수 업 내 용 디지털 포렌식개론(1) 2주차 디지털 포렌식개론(2) 上 同 3주차 4주차 5주차 6주차 7주차 8주차 컴퓨터구조와 저장매체 디지털(사이버)범죄 포렌식절차법 파일시스템과 운영체제(1) 파일시스템과 운영체제(2) 중간고사 개요 디지털 포렌식 과정에 대한 기초적인 지식을 습득하기 위한 형 소법, 민소법에 대한 기본 지식과 컴퓨터 공학에 관한 기초적 인 내용을 강의 컴퓨터 하드웨어의 특성, 컴퓨터 명령어, 메모리 조직, 입출력 방식, 중앙처리장치 실행 구조와 원리를 이해하고 디지털 저장 매체의 원리 습득 개별적인 디지털 범죄를 배우기 전에 범죄의 구성요건이나 형 법의 효과 등에 대한 개략적인 내용 강의 특히 사이버 범죄 일반에 대한 내용 포함 디지털 저장매체에서 범죄와 관련된 디지털 증거를 무결하게 수집하기 위한 절차와 수집한 증거를 분석하기 위한 분석절차 파일시스템에 대해 학습하고, 프로세스, 기억장치, 파일 시스템 및 입출력 장치의 흔적을 통한 사용자의 행적을 조사하는 방법 파일시스템에 대해 학습하고, 프로세스, 기억장치, 파일 시스템 및 입출력 장치의 흔적을 통한 사용자의행적을 조사하는 방법 195

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 9주차 10주차 11주차 12주차 13주차 14주차 15주차 16주차 수 업 내 용 네트워크 및 시스템 포렌식 DB(DataBase) 포렌식 포렌식증거법 디지털증거분석 및 도구 소개(1) 디지털증거분석 및 도구 소개(2) 증거분석 도구 실습 포렌식조사실무 기말고사 개요 컴퓨터 시스템과 네트워크의 원리를 이해하고, 네트워크의 종 류, 각종 네트워크에서 발생하는 로그자료 분석과 네트워크 자 료 취득방법을 학습 본 교과과정에서는 일반적인 데이터베이스 구축 사례 와 데이 터베이스의 개념, 트랜젝션, 데이터모델, SQL Qurry를 통한 자 료 수집방법을 학습 디지털 매체에서 수집되고, 분석되어진 디지털 증거가 법정에 서 사실인정의 증거로써 사용되기 위한 절차와 요건을 학습 본 교과과정에서는 디지털 증거물의 안전한 보존방법, 디지털 포렌식도구를 이용한 하드드라이브 등 각종 디지털 저장매체에 대한 이미징, 사본 획득과정 후 봉인 등 무결성 확보 절차, 라 이브 시스템에 대한 이미징 및 각종 Data 확보 관련 절차 및 분석 방법을 학습 본 교과과정에서는 디지털 증거물의 안전한 보존방법, 디지털 포렌식도구를 이용한 하드드라이브 등 각종 디지털 저장매체에 대한 이미징, 사본 획득과정 후 봉인 등 무결성 확보 절차, 라 이브 시스템에 대한 이미징 및 각종 Data 확보 관련 절차 및 분석 방법을 학습 포렌식 분석을 용이하게 하여 주는 포렌식 프로그램의 사용법 을 익혀 빠른 결과물과 신뢰성 있는 보고서작성을 목표 개별적 디지털 포렌식 유형을 통하여 습득한 포렌식 기술을 실 제 사건에 적용하여 해결하는 과정을 학습 5. 수사기관 등의 실무교육과정(단기) (1) 실무교육과정의 분류와 목적 실무교육과정은 크게 보아 두 가지, 즉 직무훈련(training)과 재교육(continuing professional development)으로 나눌 수 있다. 직무훈련이라 함은 디지털 포렌식 조사관의 지식과 실무능력을 특정한 수준까지 끌어올려 조 직이 필요로 하는 특정 포렌식 조사실무와 프로젝트를 수행할 수 있는 능력을 배양하는 것을 그 목적으로 하며, 공식적이고 구조적인 교육프로세스의 성격을 지닌다. 196

제5장 바람직한 디지털 포렌식 교육방안 모델 재교육은 직무훈련을 거쳐 그 지식과 실무능력이 일정한 수준에 달성한 디지털 포렌식 조사 관이 최신 경향에 뒤처지지 않고 최신성을 유지(remain current)하도록 하거나, 실무능력과 전 문화(specialization)의 정도를 더 높은 단계로 향상할 수 있게 하는 모든 종류의 교육적 메커니 즘을 총체적으로 의미한다. 모든 디지털 포렌식 조사관은 최신의 IT 기술 동향에 발맞추어 최신성을 유지할 의무가 있다. 이를 위해 각 수사기관 등에서는 디지털 포렌식 조사관으로 하여금 지속적으로 연간 일정 시간 이상 교육과정을 이수하도록 하거나, 디지털 포렌식 관련 외부활동을 하도록 정함이 상당하다. 또한 디지털 포렌식 조사관을 운용하는 기관에서는 재교육에 소요되는 비용을 지원하고 재교육 기회를 충실히 제공하여야 한다. (2) 기록관리 실무교육이 실제 디지털 포렌식 조사관의 직무능력을 담보할 수 있도록 하려면 그 실무교육 의 기록을 보관하고 이를 평가하여야 한다. 이러한 기록에는 교육과정 세부내용, 교육수료증, 성적표 등이 있으며, 철저한 보관과 분석을 통하여 해당 실무교육을 수료한 포렌식 조사관이 특 정 업무를 수행할 수 있는지를 판단하는 지표로 활용하여야 한다. (3) 직무훈련에 대하여 기본구성 직무훈련 프로그램은 다음과 같은 구성 요소를 충실히 갖추어 설계되어야 한다. 또한 이러한 구성 요소는 반드시 문서화되어 기록으로 남아야 한다. 구성요소 교육 훈련의 목적 교강사의 자격요건 교육생의 자격요건 상세한 커리큘럼 특기사항 교육프로그램이 목표하고자 하는 바를 교육생들에게 구체적으로 주지시킬 수 있도록 하여야 함 석사교육과정 운영 주안점에서 상기한 바와 비슷한 기준으로 교강사를 선 정하는 것이 바람직 일정 학위 자격증 소지자를 교육대상자로 선정, 민감한 내용인 경우 교육 생의 백그라운드 체크가 필요할 수 있음 교육생으로 하여금 교육과정에서 무엇을 배울 수 있는지 확인하도록 하며 기록관리의 측면에서도 유용함 197

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 구성요소 달성할 목표 수준 정기적 실력 측정 최종 경쟁력 평가 특기사항 프로그램의 세부적인 각 측정과제를 어느 정도 수준으로 달성하여야 하는 지 사전에 명확히 밝혀져야 함 교육과정 진행 중 정기적으로 간단한 테스트를 통해 실력을 측정하고 모 자란 부분을 보완할 수 있도록 하여야 함 교육생들의 실력향상폭을 파악하고, 교육 결과 특정한 포렌식 직무나 프로 젝트를 수행할 능력을 갖추었는지 여부를 파악하여야 함 교육 훈련의 목적 교육 훈련의 전체적인 목적이 명확하게 밝혀져야 한다. 이러한 목적은 충분히 구체적일 필요 가 있다. 예를 들어 디지털 포렌식 관련 교육 과 같이 추상적인 내용보다는 네트워크에 연결된 시스템에 대한 디지털 포렌식 절차 교육, 리눅스 시스템에서의 증거수집 및 분석 절차 교육, 디지털 포렌식에 대한 최근 입법과 판례 교육 등 프로그램이 목표하고자 하는 바를 교육생들에 게 주지시켜야 한다. 교강사의 자격요건 실무현장에서 디지털 포렌식 절차를 수행하는 조사관들인 만큼 교강사의 질 또한 담보되어야 한다. 석사교육과정 운영 주안점에서 상기한 바와 비슷한 기준으로 교강사를 선정하는 것이 바 람직하다. 교육생의 자격요건 실무를 처리하는 디지털 포렌식 조사관들에 대한 직무훈련에서는 매우 전문적이고 어려운 주 제를 다루어 볼 가능성이 열리게 된다. 이런 경우 교육생의 자격요건을 일정 이상으로 제한하여 교육의 효과를 제고할 필요성이 있다. 예를 들면 일정한 학위나 자격증의 취득을 사전요건으로 서 정하는 방식을 생각할 수 있다. 또한, 민감한 주제를 다루는 경우 교육대상자가 수사기관이 아닌 민간 포렌식 관련기관 소속인 경우 인적사항과 배경을 사전에 확인하는 것 또한 필요할 수 있다. 198

제5장 바람직한 디지털 포렌식 교육방안 모델 상세한 커리큘럼 커리큘럼을 상세하게 문서화하는 것은 두 가지 측면에서 중요하다. 가장 먼저 교육생에게 이 교육과정을 통하여 무엇을 배울 수 있는지 명확히 밝히고, 큰 그림 을 제공함으로써 교육생 자 신에게 기대되는 것이 무엇인지 파악하고 교육의 성과를 극대화할 수 있다. 또한, 커리큘럼이 상세하게 문서화되는 경우 기록관리의 측면에서 유용하다. 해당 포렌식 조사관이 직무훈련과정 을 통해 무엇을 배우고 실습하였는지 사후적으로 파악하고, 문제가 있는 경우에 책임을 물을 수 있기 때문이다. 달성할 목표 수준 교육생 개개인이 프로그램의 세부적인 각 측정과제를 어느 정도 수준으로 달성하여야 하는지 사전에 명확히 밝혀져야 한다. 이로써 교육생은 교육프로그램의 세부목표를 잘 이해하고 중점 을 두어야 할 부분을 명확히 파악할 수 있게 된다. 정기적 실력 측정 교육의 효과를 제고하기 위해 교육과정 진행 중 정기적으로 간단한 테스트를 통해 실력을 측 정하고 모자란 부분을 보완할 수 있도록 하여야 한다. 최종 경쟁력 평가 최종적으로, 직무훈련과정을 모두 이수한 교육생들의 실력향상폭을 파악하고, 교육 결과 특 정한 포렌식 직무 프로젝트를 수행할 능력을 갖추었는지 여부를 파악하여야 한다. 교육담당기 관의 사정이 허락한다면 각 교육생의 강점과 약점을 파악한 상세보고서 형식으로 평가가 이루 어지는 것이 이상적인 형태일 것이다. 199

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 교육내용 다음과 같은 내용이 포함되도록 교육프로그램을 설계하는 것이 바람직하다. 내용 직무윤리기준 안전수칙 정책 법 증거의 취급 커뮤니케이션 설명 디지털 포렌식 조사관으로서 준수하여야 할 법의 정신과 윤리기준 을 교육한다. 디지털 포렌식 절차 중 발생할 수 있는 안전사고(감전 등)에 대하 여 교육한다. 조직의 디지털 포렌식 정책, 포렌식 분석실의 SOP, 인증, 보안체계 등에 대하여 교육한다. 전문가증언, 증거법칙, 형법, 민법, 형사소송법, 민사소송법, 증거의 진정성에 대하여 교육한다. 증거의 인식, 수집, 보존, 관리연속성(chain of custody)을 다룬다. 서면, 구술, 제스처 등 법정에서 프레젠테이션할 때 사용하는 기술, 보고서 작성요령, 재판준비 요령을 교육한다. 평가방법 구술시험, 필기시험, 실기시험(과제 제출 방식, 교강사에게 시연하는 방식 모두), 모의법정의 4가지 방식을 교육목표와 상황에 맞게 적절히 사용하여 평가하는 것이 바람직하다. 평가한 자료를 가지고, 교육프로그램의 효과를 평가하고, 개별 학습자의 진로를 지도하는데 활용할 수 있다. 나아가 평가결과는 feedback을 통해 올바른 교육정책을 수립하는데 반영되어 야 할 것이다. (4) 재교육에 대하여 재교육과정은 앞서 설명한 것과 같이 포렌식 조사관의 경쟁력을 유지하고 그 직무능력을 향 200

제5장 바람직한 디지털 포렌식 교육방안 모델 상할 수 있도록 설계되어야 한다. 이를 달성하려면 재교육과정은 반드시 구조적 이어야 하고, 측정 가능 하여야 하며, 문서화 가 잘되어 있어야 한다. 구조 재교육과정은 적어도 다음의 구성요소가 유기적으로 연결되도록 구조화되어 있어야 한다. 교육 목표 교강사의 자격 상세한 커리큘럼 평가 문서화 측정 평가 방법은 직무훈련의 평가방법을 기본으로 하되, 구성원의 상호 평가 외부 저술활동으로 갈음하는 경우 저작물에 대한 학계의 평가 와 같은 방식도 활용한다. 문서화 디지털 포렌식 기관은 그 구성원들의 재교육활동내역을 공식 문서로서 장기간 보존하여야 한 다. 또한 구성원들은 그 내역을 증명하는 문서의 사본을 보관하는 것이 바람직하다. 이러한 문 서에는 재교육과정의 내용이 반드시 포함되어야 하며, 가능한 경우 측정 결과를 첨부해야 한다. (5) 교육과정 운영상 주안점 교육의 방법 디지털 포렌식의 세부적인 분야에 따라 다양한 교습 방법을 활용하여야 하는 경우가 있다. 예 를 들어 장기간의 실무경력을 가진 조사관의 경험 을 전수하여야 하는 분야가 있을 수 있고, 학 201

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 술적 지식의 전달에 초점을 두어야 하는 분야가 있을 수 있다. 각 세부분야의 차이를 고려하여 적절한 교습 방법과 교보재를 선택하고 적재적소에 활용하여야 한다. 단순히 교실에서의 강의와 모의분석실에서의 실습 사이에서 선택하는 것에서 벗어나 관련 세 미나 참석, 인턴쉽, 상호 프레젠테이션, 단기적분산학습, 멘토링 등의 교육방법을 항상 염두에 두고 적합한 경우 이러한 교습 방법을 채택하여 시험해 보고 사후 효율성을 측정하는 것이 바람 직하다. 교육의 관리와 운영 디지털 포렌식 기관은 실무교육을 총체적으로 감독하고, 조율하고 문서화할 수 있도록 정형 화된 절차나 내부기구를 확립하여야 한다. 특히 교육이 충실한지, 효율적인지에 대하여 정기적 으로 실무교육과정에 대하여 감사를 받는 것이 상당하다. 즉 충분한 자격을 갖춘 교강사를 활용하고 있는지, 교육과정과 교육목표가 직관적으로 아웃 라인되어 있는지, 문서화 정도는 어느 정도로 충실한지를 우선 평가하고, 교육생들의 평가수단 은 적절한지, 교육생들의 평가결과가 적절히 기록되고 있는지, 최종적으로는 수업 전체의 질은 기관의 포렌식 능력 제고에 얼마나 적절한지 측정하여 끊임없는 개선을 이루어야 한다. 또한 양적으로 측정 가능한 요소를 최대한 활용하여야 한다. 교육과정에 있어서는 과목 수, 교강사의 수, 인정되는 실무교육학점의 수, 교육시간, 교육빈도 등이 유용한 지표가 된다. 나아 가 세미나 또는 컨퍼런스로 이러한 실무교육과정을 갈음하는 경우에도 정량적 측정은 이루어져 야 한다. 이러한 외부활동의 내용을 문서화하고, 참여 여부, 참여 시간을 기록하여 외부감사의 대상으로 하는 것이 바람직하다. 교육주체 실무교육은 단발성으로 끝나서는 아니 되며, 지속적으로 이루어져야 한다. 매년 새로운 직원 이 조사관으로서 채용될 것이고, 사건발생시 현장에서 뒤늦게 이들에 대한 교육을 실시하는 것 은 바람직하지 못하므로 적어도 1년에 1~2회의 직무훈련이 실시되어야 한다. 상대적으로 부담 이 적은 재교육은 1년에 2~3회 정도 실시하는 것을 생각할 수 있다. 실무교육은 기관 자체적으로 실시할 수도 있고, 외부 교육기관과 연계 하에 실시할 수도 있 다. 하지만 위에서 설명한 것과 같이 1년에 수차례씩 자체적으로 교육을 진행할 경우 이는 기관 202

제5장 바람직한 디지털 포렌식 교육방안 모델 에 부담으로 다가올 것이 당연하고, 나아가 전문성을 확보하기 위해서 국가기관으로부터 우수 교육기관 인증을 받거나 그 외의 방법으로 공신력을 인정받은 외부 교육기관에 교육을 위탁하 는 것이 교육시설의 측면에서도, 교강사 확보의 측면에서도 더욱 효과적일 것이다. 효율성을 담보하려면 1~2개 교육기관과 위탁교육 파트너십을 체결하고 이를 공고히 하여야 한다. 위탁교육을 실시함으로써 교육대상자들에게 디지털 포렌식을 더 넓은 범위에서 바라볼 수 있게 할 수 있으며, 교육내용의 정합성과 일관성을 담보할 수 있다. 재정적 지원 포렌식 기관이 직무훈련과 재교육을 실시하는 데에는 재원이 필요하다. 포렌식 조사관들에게 는 통상적인 업무 외에도 재교육을 받을 시간과 기관에 새로 유입되는 신입 조사관을 멘토링할 시간이 부여되어야 한다. 이 결과 해당 포렌식 조사관을 잠시 활용하지 못하게 될 수 있다. 이는 필연적인 것으로, 기관의 포렌식 능력 유지를 위하여 필요하다는 점은 명확하지만 동시에 기관 입장에서는 비용지출의 성격을 가지며 나아가 일시적으로 포렌식 능력이 소폭 저하될 가능성도 있다. 관리부서에서는 포렌식 분석실의 분석인원들을 적절히 재배치하는 식으로 대처할 수밖에 없다. 따라서 이러한 비용을 메꾸기 위해서는 넉넉한 재정이 필요하다. 상술한 것처럼 포렌식 기관은 조사관들에게 심도 있는 실무교육을 제공하기 위하여 다른 교육기관과 연계하여야 한 다. 연계를 통하여 실무에 투입되는 디지털 포렌식 분석실과 소속 연구원의 부담을 경감하고, 오히려 비용을 절감할 수 있다. 교육기관의 입장에서는 이와 같은 연계를 통해 교육프로그램을 개발하고, 교강사를 유치하고 교육시설을 확충하는 등 실질적인 디지털 포렌식 교육이 이루어질 수 있도록 재정지원을 받을 수 있다. (6) 현행 교육의 문제점 현재 고려대학교에서 국방학과를 신설, 국방부 디지털 포렌식 인원들에 대하여 교육을 실시 하고 있는 것은 고무적이라고 하겠다. 하지만 위와 같은 교육모델에 비추어볼 때 여러 가지 아 쉬운 점이 있으므로 고려대학교는 디지털 포렌식 전문가를 양성하기 위해 필요한 다양한 분야의 강좌를 개설 하 여 지능화되는 사이버 범죄에 대응할 법률, 수사, 디지털 분석 역량을 겸비한 디지털 포렌식 203

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 전문가 양성을 목표로 함 을 밝히고 있다. 이는 교육과제의 제시에 불과하며, 단순히 포렌식 분 석기술을 갖춘 수사관을 양성한다고 하였을 뿐이어서 지나치게 지엽적이다. 즉 교육이념의 수 준에 다다르고 있다고 보기에 어렵다. 기본적인 인재상과 교육 이념을 설정하고, 기술 법지식 윤리의 3요소를 모두 갖추고 이를 융 합하여 행동할 수 있는 인재를 양성할 수 있도록 하는 것이 바람직하다. 진로에 대한 로드맵이 부실 물론 향후 진로가 어느 정도 정해져 있는 경찰조직을 대상으로 실시하는 교육이니만큼, 이에 대한 로드맵이 잘 갖추어져 있지 않은 것도 이해할 수 있으나, 다소 기계적인 디지털 포렌식 방 법론에 치중한 감이 있고, 그 때문에 교육생들이 디지털 포렌식 연구가나 정책설정자, 포렌식 팀 리더 등 다양한 진로로 뻗어나갈 기회가 제한되고 있는 점이 아쉽다. 디지털 포렌식 윤리교육의 부실 디지털 포렌식에 대한 지식과 기술은 위에서 지적한 바와 같이 양날의 검이다. 악용하는 경우 수사기관의 디지털 포렌식 능력을 저해하고 증거를 은닉하는 데에 활용할 수 있다. 물론 교육대 상자가 수사기관의 일원인 만큼 디지털 포렌식 기술을 활용하여 범죄행위를 할 가능성은 높지 않다고 볼 것이다. 하지만 그렇다고 하여 윤리교육에 소홀할 수는 없는 일이며, 이와는 별개로 제3자에게 교육내용이 누설되어 수사기관의 디지털 포렌식 능력이 방해되는 일이 없도록 서면 으로 보안서약을 받는 등의 조치가 이루어져야 할 것이다. 폐쇄적인 교육과정운영 디지털 포렌식은 현재 충분히 독립적으로 성숙한 학문분야라고 보기에 다소 부족하다. 따라서 최대한 많은 사람들이 참여하여 학문의 발전에 기여하고 저변을 확대할 필요가 있다. 향후 경찰만 을 대상으로 하지 않은 공개과정이 신속히 개설되는 것이 바람직하며, 많은 홍보가 필요할 것이다. 204

제5장 바람직한 디지털 포렌식 교육방안 모델 제4절 디지털 포렌식 전문가 제도와의 연계 미국에서는 현 디지털 포렌식 자격제도가 모두 민간자격으로 진행되고 있으며, 공인된 자격 증 제도는 없다. InfoSec이라는 웹사이트를 보면 산업에서 제공되고 있는 미국의 디지털 포렌 식 자격증 제도를 볼 수 있는데, 일괄적으로 공인된 디지털 포렌식 자격증 제도는 없다. 그렇지만 포렌식 자격증 제도에는 NASA, 국보안보부(Homeland Security), 미국 육군 (U.S Army)등 주요 기관들이 참여하지만 공인이 안되고 있는 바이다. 한국에서는 현 한국포렌식학회에서 1급과 2급 디지털 포렌식 자격시험을 제공하며, 민간자격 을 취득하고 곧 공인자격도 취득할 것이다. 하지만 국내에서는 디지털 포렌식 자격 시험을 제공 하는 곳은 한국 포렌식 학회 박에 없으며 자격증 시험 제도의 다양성이 부제하다. 또한 국내에 서는 주요기관들이 자격증 시험제도에 참여하고 있지 않다. 그러므로 적합한 디지털 포렌식 자 격시험에서는 주요기관의 참여와 자격시험의 다양성을 갖춘 전문적인 디지털 포렌식 자격 제도 가 되어야 될 것이다. 1. 자격제도의 필요성과 시행경과 그동안 디지털 포렌식 수사관의 교육과 양성은 국가기관 및 학회, 협회 등에서 다양한 방식으 로 이루어졌다. 그러나 대부분 객관적인 기준 없이 일정한 교육 훈련과정을 이수하는 방식으로 이루어졌다. 뿐만 아니라 디지털 포렌식 수사관의 전문능력을 객관적으로 검증할 수 있는 평가 장치가 마련되지 않아 수사관의 능력에 대한 신뢰성 및 공정성을 입증하기가 어려운 형편이다. 짧은 기간이었지만 디지털 포렌식 전문가 2급 시험 자격제도는 디지털 증거의 수집 분석을 수 행하는 수사관의 전문성을 입증하고 신뢰성을 제고시킬 수 있는 하나의 메카니즘이 되었고, 향 후 법정의 증언으로 까지 보편화됨에 따라 디지털 증거의 증거능력을 판단하는 핵심적 잣대가 될 것이라고 확신한다. 자격제도는 디지털 포렌식 분야의 전문능력을 객관적으로 입증할 수 있는 신호기제(signal) 로서 작용할 뿐만 아니라, 관련 전문가를 체계적으로 양성 및 관리하기 위한 교육훈련을 선도하 는 기능도 수행 하게 될 것이다. 결론적으로, 자격제도는 전문가 당사자에게는 관련분야의 전문 지식 및 기술을 개발하고 향상시킬 수 있는 평생 경력관리시스템으로 기능하고, 국가 사회적으 205

국제기준에 적합한 디지털 포렌식 기술교육의 표준모델 개발 로는 우수 인재를 디지털 포렌식 전문가로 충원 및 활용할 수 있는 인재개발시스템으로서 기능 하게 될 것이다. 2급 시험은 5회 실시되어 응시된 자료는 아래와 같다. 구 분 최종 접수 인원 필기 합격자 수 필기 합격율 최종 합격자 수 최종 합격율 제1회 37 32 86.5% 28 75.6% 제2회 78 31 39.7% 23 29.4% 제3회 89 29 32.5% 25 28.9% 제4회 71 44 61.9% 제5회 119 36 30.3% 합계 394 172 50.2% 76 37.3% Encase 프로그램 등 포렌식 Tool을 개발하는 산업계와 이를 증거로 사용하는 수사기관, 이론 적으로 분석하고 검증하는 학계와의 연계가 중요시 된다. 이를 위해 (사)한국포렌식 학회의 구 성을 다양화 하고, 공청회나 심포지엄, 학회지 발간 등을 통한 포렌식 저변 확대에도 공동 노력 을 강구해 나가야 한다. 206

제5장 바람직한 디지털 포렌식 교육방안 모델 2. 자격시험과의 연계강화 포렌식(FORENSIC) 시험의 관리는 무엇보다도 시험내용과 절차에 있어서 공정성과 객관성, 전문성을 목표로 하여야 한다. 이를 위해서는 전문자격제도에 상응하는 기본적인 기술과 자격을 테스트하는 것은 물론 그러 한 기술은 시대발전에 따라 유연성을 가지고 끊임없이 개발되어야 하며(Flexible test contents), 누구에게나 공개된 시험으로서 열려 있는 시험제도이어야 만이 공정성이 확보될 수 있다(Open for everyone). 나아가 실무와 연계성을 가지고 실제적인 상황에서 조사관으로서의 합리적인 대처능력을 포함하고 있고(Rational and field-oriented), 전문적인 기술과 능력을 검증할 수 있는 효과적이고, 신뢰할 수 있는 시험제도이어야 한다(Efficient and reliable). 또한 국지적인 제도로서가 아니라 국가전체에서 통용되는 자격제도(Nationwide recognition), 체계적인 시험위원의 조직과 구성(Systematic test scheme), 통합적인 시험과목 구성 (Integrated test subjects)과 완전한 디지털 포렌식 지식 평가 체계(Complete digital forensic knowledge assesment)의 구축을 지향해 가는 것을 목표로 삼고 있다. 207