SeoulTech 2011-2 nd 컴퓨터보안 제 4 장디지털증거 박종혁교수 Tel: 970-6702 Email: jhpark1@snut.ac.kr ac kr
개요 학습목표 디지털증거의개념과특성을살펴보고, 법적증거로서허용받기위한기본적인원칙, 절차, 요건등에대해학습한다. 실제디지털데이터가증거로서인정받은국내외판례를살펴보고, 이를통해법적인배경지식과이해를넓힌다. 학습내용 디지털증거의개념과특성 디지털증거의법적허용성을위한원칙 디지털증거의법적인보장을위한장치 디지털데이터의증거능력관련판례
목차 1. 디지털증거의개념및특성 2. 디지털증거의법적허용성 위법수집증거배제의원칙 (Exclusionary Rule of the Illegally Collected Evidence) 전문법칙 ( 傳聞法則, Hearsay Rule) 3. 디지털증거의법적허용성요건 디지털증거의증거능력을보장하기위한특성 디지털증거의법적허용성보장을위한장치 4. 디지털데이터의증거능력관련판례
디지털증거의정의 디지털증거관련용어 전자증거 (Electronic Evidence) 전자기기에저장되어있거나전자기기에의해전송되며, 증거로써가치가있는정보와데이터를의미 전자정보 (ESI: Electronically Stored Information) 미국에서는전자정보혹은전자적으로저장된정보 (Electronically Stored Information) 라는의미의 ESI라는용어를주로사용 디지털증거 (Digital Evidence) 정의 컴퓨터또는기타디지털저장매체에저장되거나네트워크를통 해전송중인자료로서법정에서신뢰할수있으며증거가치가있는정보 IOCE(International Organization on Computer Evidence) 정의 이진수형태로저장혹은전송되는것으로법정에서신뢰할수있는정보 미국 SWGDE(Scientific Working Group on Digital Evidence) 정의 디지털형태로저장되거나전송되는증거가치가있는정보
디지털증거의종류 (1/3) 디지털증거의종류를구분하는방법 저장매체의종류, 증거의내용, 법적효력또는디지털정보의휘발성정도 디지털증거의진정성과무결성을만족시켜주는속성에따라구분 디지털증거의속성에따른분류 내용물 Contents 사건을직접적으로증명해주는증거 문서의내용, 디지털이미지, 동영상과같은컨텐츠 특성정보 Characte ristics 파일명, 해쉬값, 타임스탬프등 디지털증거를식별하거나분류하는데도움이되는모든부가적인정보 : 메타데이터
디지털증거의종류 (2/3) 자동으로생성되는디지털증거 인위적으로생성되는디지털증거 인터넷사용기록 방화벽로그 운영체제이벤트로그등 각종메타데이터 문서파일 전자메일 동영상및사진 소프트웨어 암호데이터
디지털증거의종류 (3/3) 휘발성증거 비휘발성증거 프로세스 파일및파일시스템 예약작업 운영체제 인터넷연결정보 로그데이터 네트워크공유정보 설치된소프트웨어 메모리정보등
디지털데이터의특징개관 비가시성, 비가독성 눈에보이지않는 0 과 1 의조합인디지털형태로저장되어있어그자체는육안식별이불가능 한잠재성, 은닉성, 불가시성, 불가독성을갖는무체물이므로그발견과증명이어려움 취약성 ( 변조가능성 ) 오류에의한손상이나의도적인변조가쉬우며, 변조사실을찾아내기어려운취약성존재 사후에법정에서증거의조작여부, 증거획득절차의적정성등을고려해야함 복제용이성 ( 매체독립성 ) 원본과동일한내용으로쉽게복제할수있으며, 원본과복제본의구별어려움 대량성 기업전산회계자료, 데이터베이스자료나파일서버문서자료등은데이터양이수십테러바이트에이를만큼양이방대함
디지털데이터의특징개관 전문성 디지털방식으로자료를저장하고이를출력하는데컴퓨터기술과프로그램이사용됨 디지털증거의수집과분석은전문적인기술이사용되므로, 디지털증거의압수 분석등에있어포렌식전문가가필수적임 휘발성 컴퓨터메모리나네트워크상에서만일시적으로존재하는휘발성데이터가존재하며, 디지털증거압수과정에서사라지지않도록각별히주의해야함 초국경성 ( 네트워크관련성 ) 디지털증거는네트워크로상호연결되어있을수있으며, 장소에구애받지않아원거리또는타국소재로인한문제가발생할수있음
디지털데이터의특성 (1/3) 비가시성 ( 非可視性 ), 비가독성 ( 非可讀性 ) 디지털저장매체에저장된디지털증거그자체는사람의지각으로바로인식이불가능 따라서일정한변환절차를거쳐모니터화면으로출력되거나프린터를통하여인쇄된형태로출력되었을때가시성과가독성을가짐 따라서디지털증거와출력된자료와의동일성여부가중요 취약성 디지털증거는삭제 변경등이용이 하나의명령만으로하드디스크전체를포맷하거나파일삭제가가능하며, 파일을열어보는것만으로파일속성이변경됨 수사기관에의한증거조작의가능성도배제할수없으므로디지털증거에대한무결성문제가대두
비가시성 ( 非可視性 ), 비가독성 ( 非可讀性 )
디지털데이터의특성 (2/3) 복제용이성 ( 매체독립성 ) 디지털증거는 유체물 이아니고각종디지털저장매체에저장되어있거나네트워크를통하여전송중인정보그자체 정보는값이같다면어느매체에저장되어있든지동일한가치를가지며, 디지털증거는사본과원본의구별이불가능함 대량성 저장기술의발전으로방대한분량의정보를하나의저장매체에모두저장할수있게되었으며, 회사의업무처리에있어컴퓨터의사용은필수적이고, 모든업무자료는컴퓨터에저장됨 또한대형서버시스템이나파일서버가수사대상일경우, 수집할데이터양이방대하며, 압수대상일경우업무수행에지장을줄수있어업무연속성에지장을주는경우
디지털데이터의특성 (3/3) 전문성 디지털방식으로자료를저장하고이를출력하는데컴퓨터기술과프 로그램이사용됨 디지털증거의수집과분석에도전문적인기술이사용되므로, 디지털증거의압수 분석등에있어포렌식전문가가필수적임 전문성의부재는디지털증거에대한신뢰성문제가대두됨 휘발성 디지털증거에는컴퓨터메모리나네트워크상에서만일시적으로존재 휘발성데이터는사건이발생한시점의상태를파악할수있는중요한정보이므로, 디지털증거압수과정에서사라지지않도록각별히주의해야함 초국경성 ( 네트워크관련성 ) 디지털환경은각각의컴퓨터가고립되어있는것이아니라인터넷을비롯한각종네트워크를통하여서로연결되어있음 따라서디지털증거는공간의벽을넘어전송되고있으며, 그결과재판관할권을어느정도까지인정할것인지국경을넘는경우국가의주권문제까지도연관됨
디지털증거의증거능력 법정에서유효한증거가되기위해서는증거능력관점에서유의하여증거를수집 / 분석 / 제출해야함 자유심증주의증거의증명력을평가할때아무런제한이나구속력을두지않고오로지법관의자유로운판단에맡기는주의
위법수집증거능력배제원칙 위법수집증거능력배제원칙 (Exclusionary Rule of the Illegally Collected Evidence) 위법한절차에의하여수집된증거, 즉위법수집증거는증거능력을부정하는원칙 미국연방대법원의판례를통하여형성된이론으로미국헌법에서보장하고있는절차를보장하고인권을보호하기위한목적 국내법에서위법수집증거능력배제원칙 진술증거특히자백에대하여증거능력을제한하는명문규정을두었으나, 비진술증거인증거물과관련하여그증거능력에아무런규정이없었음 기존의판례는위법행위여부와상관없이비진술증거에대해서는증거능력이인정되었지만, 최근에는형사소송법내 308의2조에 " 적법한절차에따르지아니하고수집된증거는증거로할수없다" 라고명확히위법수집증거배제원칙을규정하고있음
전문법칙 전문 ( 傳聞, Hearsay) 사실의진위여부는알지못한상태에서전해들은말을의미 진실을입증하기위해법정밖에서진술된것 전문법칙 (Hearsay Rule) 전문법칙 ( 전문증거배제법칙 ) 은전문증거의증거능력을배제하는증거법상의원칙 원진술자가말한진술상의취약점을파악할방법이없음 현행형사소송법제310조의2에서는이러한전문증거의증거능력을원칙적으로부인 전문이아닌예 진술이진실을입증하려고제출하는것이아닌경우 상대방에게영향을준것을보여주기위해제출하는경우 서로관련있다는것을보이기위한경우 진술자의동기에관한정황증거인경우 진위여부와상관없이진술되었다는것에관한경우 의문문또는명령문인경우 동물과기계로부터획득된정보
전문법칙의예외 전문법칙의예외 진술이진실일가능성이큰경우 잘못된의미를전달할가능성보다다른요소가더큰경우 전문가증언의경우전문가들이근거로하는자료 원진술자가법정에서증언할수없다는것을입증할경우 일반적인전문법칙의예외들 법원또는법관의면전조서, 피의자신문조서, 진술조서및진술기재서, 진술서, 검증조서, 감정서, 당연히증거능력이있는서류등 전문법칙의예외기준 신용성의정황적보장 해당진술의진실성을담보할수있는구체적이고외부적인정황이있음을의미 필요성의원리 원진술과동일한내용의진술을구하는것이불가능하거나현저히곤란하기때문에비록전문증거라고하더라도이를사용하여실체적진실을규명할필요가있을경우
전문법칙의예외 디지털증거와관련된예외 [ 형사소송법 315조 ] 신용성의정황적보장과필요성원리를적용하여당연히증거능력이있는서류를전문법칙의예외로둠 따라서, 315 조에해당되는디지털증거의출력문건 무결성, 신뢰성이인정된다면증거능력이인정됨 형사소송법제 315 조 ( 증거능력이있는서류 ) 다음에게시한서류는증거로할수있다. 1. 가족관계기록사항에관한증명서, 공정증서등본기타공무원또는외국공무원의직무상증명할수있는사항에관하여작성한문서 2. 상업장부, 항해일지기타업무상필요로작성한통상문서 3. 기타특히신용할만한정황에의하여작성된문서
디지털증거와전문법칙의관계 디지털증거와전문법칙 디지털증거는직접적으로사람의지각ㆍ기억ㆍ표현ㆍ서술이라는진술과정을거치지않고그것이기계적으로처리되어작성된것 전문법칙에근거하여컴퓨터에저장되어있는디지털자료는전문증거로판단되어증거능력을인정하지않을수있음 압수한디지털증거가무결성의문제, 신뢰성의문제및원본성의문제를모두통과하였다고하더라도디지털증거가진술증거로인정되는경우에는전문법칙이적용되어증거능력이부정될수있음 전문법칙예외조항에디지털증거적용 디지털증거는특정프로그램을이용, 사람이표현하고자하는내용의자료를입력하여처리ㆍ생성된부분이존재 따라서내용의진실성을입증하기위해서는전문법칙의관계에유의하여증거능력에대한검토가필요 디지털증거도적절한조건을갖출경우전문법칙의예외로적용됨
전문법칙의예외조항으로디지털증거 비진술증거로서의디지털증거 ( 전문아님 ) 주로컴퓨터에의해생성된증거 (Computer-generated Evidence) 컴퓨터시스템이작동하면서자동적으로기록ㆍ저장되는디지털증거들 시스템로그파일, 이벤트기록및인터넷웹히스토리파일등 이러한디지털데이터자체가증거로서제출되는경우에는진술증거가아니므로전문법칙이적용될여지가없음 또한진정성, 무결성, 신뢰성등이인정된다면일반적으로증거능력이인정됨 진술증거로서의디지털증거 ( 전문여부판단필요 ) 주로컴퓨터에저장된증거 (Computer Stored Evidence) 대부분진술증거로서전문법칙이적용됨 전자문서로된비즈니스기록은진술증거임에도일정요건이만족되는경우전문법칙의예외로인정 비즈니스기록 : 기업의일상적인비즈니스과정에서비즈니스와관련된어떤사실을기록하기위해준비되거나이용되는모든회계장부나기타문서들 많은국가에서비즈니스기록은전문증거규칙의예외로적용
디지털증거의증거능력요건 진정성 (Authenticity) 증거데이터의저장, 수집과정에서오류가없으며, 의도된결과가정확히획득되었고, 그로인해생성된자료임이인정됨을뜻함 무결성 (Integrity) 증거데이터가수집및분석과정을거쳐법정에제출되기까지변경이나훼손없이안전하게보호되는것을말함 신뢰성 (Reliability) 증거데이터의분석등처리과정에서디지털증거가위ㆍ변조되지않았고의도되거나의도되지않은오류를포함하지않음을의미 원본성 (Originality) 자체적으로가시성과가독성이없는디지털증거를변환하여제출하는과정에서제출되는증거데이터가원매체에있는데이터와동일함을의미 디지털증거가법적효력을가지고증거능력을인정받기위해서는디지털증거의진정성, 무결성, 신뢰성, 원본성이기본적으로보장되어야함
진정성과무결성 진정성 (Authenticity) 디지털증거의저장, 수집과정에서오류가없었으며, 의도된결과가정확하고그로인해생성된자료임이인정되어야함 디지털증거는다른증거와달리훼손, 변경이용이한특성으로인하여최초증거가저장된매체에서법정에제출되기까지확실한인수인계를통해변경이나훼손이없어야함 ( 연계보관성 - Chain of Custody) 무결성 (Integrity) 디지털증거가원본소스로부터수집되어보관, 분석되는과정에서부당한수정, 변경, 손상이없도록유지해야하며이를검증 ( 보장 ) 할수있어야함 법정제출시디지털증거를검증하여위조여부를판별해야함 고소인측에서연계보관성을통한무결성을증명하더라도, 피고소인이디지털증거의위조가능성을이유로증거효력을무력화할경우, 디지털증거의신뢰성을입증할수있어야함
원본성 (1/2) 디지털증거의원본성 (Originality) 디지털증거자체로는가시성, 가독성이없으므로가시성있는인쇄물로출력하여법원에제출할수밖에없음 원본성과디지털증거사본 대용량시스템에서의증거수집은원본매체자제를다른저장매체에복제혹은기타방법으로이동시켜수집함 실제법정에제출되는증거들은원본증거와는다른형태를취하게되며, 증거원본이제출되어야하는증거법상의원칙상제출되는사본증거, 그리고가시성, 가독성있는형태로변환된증거를원본으로인정할수있는가라는법적문제가제기될수있음
원본성 (2/2) 최량증거규칙 (The Best Evidence Rule) 영미권에서발달한증거원칙으로문서의원본증거가증거로서그내용을증명하기위해제출되어야한다는것 미국최량증거규칙은연방증거규칙 (Federal Rules of Evidence) 에서명시 연방증거규칙 1002조는 " 서류, 기록물또는사진의내용을증명하기위하여문서, 기록물, 사진의원본이요구된다." 고최량증거원칙을규정 1001조 1호에의하면디지털증거는자기적혹은전기적방식에의한기록물로서 1002조의서류, 기록물등에포함되므로, 디지털증거도기본적으로당연히원본으로제출될것을요구받음 1004조에는다음과같은경우에는복제물도 Best Evidence로법정증거로허용된다고명시 FRE 1004 (Federal Rules of Evidence) 1 원본이삭제되거나멸실된경우 : 해쉬함수와적절한이미지로검증된복제본임을쉽게입증할수있 음 2 원본을획득하기힘들경우 : 상대편에게장비를돌려줘야하거나상대편이원본을파괴한경우 3 상대편이원본을소유하고있는경우 : 상대편이해당원본증거에접근하는것을거부한경우
신뢰성 디지털증거의신뢰성 증거데이터의분석등처리과정에서디지털증거가위ㆍ변조되거나의도 되지않은오류를포함하지않았음을의미 디지털증거의신뢰성은디지털증거자체의특성이아닌디지털증거를취급하는인력, 도구, 분석, 절차등과같은주ㆍ객관적인요소들의신뢰성증명을통해간접적으로증명가능 신뢰성관점에서디지털증거의법적활용 행위자에의한원본생성부터조사과정에서의수집, 분석, 법정제출까지의신뢰성확보를위한관리가필요 신뢰성확보를위한제도적, 과학적절차의마련이필요하며, 이는곧디지털포렌식연구목표와동일
디지털증거의진정성무결성보장장치 디지털증거는진정성과무결성을유지하기어렵움 저장매체의내부정보는외관확인으로증거물의상태를확인불가 각인수인계단계마다진정성과무결성을검증할수있는절차로서연계보관성 (Chain of Custody) 유지가필요 대검찰청의디지털증거수집및분석규정의 2조 " 디지털기기를압수ㆍ수색ㆍ검증하거나디지털자료를수집ㆍ분석할때에는디지털기기또는디지털자료를수집한때로부터법정에증거로제출할때까지변경또는훼손되지않도록절차의연속성을유지하여야하며그과정을기록하여야한다. 연계보관성유지를위한문서에기록되어야할정보 증거를발견하고수집한사람, 장소, 시간 증거를취급하고조사한사람, 장소, 시간 증거를보관하는사람, 보관기간, 보관방식 증거관리가변경되었을때의이송방법과날짜
연계보관성 (Chain of Custody) 연계보관성 디지털증거의발견방법과처리방법을비롯하여증거와관련된모든사항을명확히기술하고보관ㆍ이송과정에서인수인계과정에대한기록과검증이필요 대검찰청의디지털증거수집및분석규정의 2조 " 디지털기기를압수ㆍ수색ㆍ검증하거나수색디지털자료를수집ㆍ분석할때에는디지털기기또는디지털자료를수집한때로부터법정에증거로제출할때까지변경또는훼손되지않도록절차의연속성을유지하여야하며그과정을기록하여야한다." 라고연계보관성원칙을가장먼저명시 연계보관성유지를위해기록할정보 증거를발견하고수집한사람, 장소, 시간 증거를취급하고조사한사람, 장소, 시간 증거를보관하는사람, 보관기간, 보관방식 증거관리가변경되었을때의이송방법과날짜 ( 선적번호포함 )
디지털증거의신뢰성보장장치 디지털증거의법적허용성보장을위한제도적장치 국가차원의제도화를통해법집행력을높이고법정의를실현하는데도움을제공
현재의디지털증거의무결성입증방법 암호학적해쉬함수를이용하여디지털증거의무결성입증 암호학적해쉬함수 임의의긴입력값을적절하게처리하여고정된길이의값을출력 해쉬함수의출력값을이용하여역으로입력값을유추할수없음 같은출력값을갖는임의의입력값 2개를찾는것은계산상불가능 디지털증거의무결성입증을위한해쉬함수사용 디지털증거를획득 ( 하드디스크이미지 ) 획득한증거에대한해쉬함수적용 해쉬함수의출력값을별도보관 이후법정에서디지털증거의해쉬값을계산하여별도보관된해쉬값과비교하여일치하면무결성이입증됨
EnCase 의디지털증거무결성확보방법 Disk Imaging Case Info CRC' 64 Sector Of data V = h( H) = h( I) MD5. ' V ' = h( H') = h( I')
현재디지털증거무결성확보의문제점 디지털증거의신뢰성 디지털증거가위조되어법정에제출되는경우 디지털증거가위조되지않았음에도불구하고, 용의자또는피고소인이디지털증거가위조되었을가능성을이유로, 증거효력을무력화시키려하는경우 디지털증거발생 디지털증거수집 디지털증거분석디지털증거변조디지털증거제출 디지털증거무결성보장 증거위조
인증서를사용한전자서명 Secret Key Encrypt Document Certification RSA Encryption Alice Valid Document Public Key Certification RSA Decryption Bob
디지털증거의인증방안 증거발생증거수집증거분석증거제출 수사기관 해쉬값전달 해쉬값전달 법원의인증서로전자서명 서명확인해쉬값비교 법원 서명및해쉬값전달 전자증거보관소 서명및해쉬값전달 불일치시증거무결성훼손입증
디지털증거의증거능력 (1/4) 디지털증거의복사본 디지털증거의특성상원본과사본의데이터는완벽히일치 장기간보관또는취급부주의로인한고장등으로데이터훼손가능 제3자의입회하에해쉬값에대한공증필요 해쉬값이동일한경우사본에대한증거력인정필요 네트워크정보의증거력 네트워크데이터는실시간으로변화 데이터의수집기간에따라해쉬값이바뀔수있음 제3자의입회하에수집및해쉬값계산, 공증 이후동일해쉬값을갖는데이터를원본으로인정
디지털증거의증거능력 (2/4) 대형시스템에서의디지털증거 대형시스템의경우이미징이현실적으로불가능 이미징을위해시스템을정지시킬수없음 기업의업무에피해를미침 모든데이터를출력물로생성하는것은현실적으로불가능 논리적파일로수집해야할필요성존재 제 3자의입회하에파일로수집하고이에대한해쉬값을공증 이후동일한해쉬값을갖는파일에대해증거력부여
디지털증거의증거능력 (3/4) 임베디드시스템에서의디지털증거 핸드폰, PDA, 게임기, PMP 등다양한임베디드시스템존재 데이터의수집자체가어려운경우가존재 다양한수집기법존재 : 물리적수집및논리적수집 따라서물리적수집과논리적수집된각디지털증거에대해증거력부여가필요
디지털증거의증거능력 (4/4) 분석을위해사본생성 증거분석 장기보관등으로인한데이터변조 제 3 자의입회하에해쉬값에대한공증 해쉬값이동일한경우사본의증거력인정필요 분석보고서제출 해쉬값이바뀜증거인정불가 법원
국내사례 (1)- 영남위사건 부산고등법원선고 99 노 123 [ 국가보안법위반 ] 수사도중디스켓에서북한을찬양한문서파일이발견됨, 이를국가보안법위반찬양고무등의혐의로기소한사건 대법원판례요지 " 컴퓨터디스켓이들어있는문건이증거로사용되는경우그컴퓨터디스켓은그기제의매체가다를뿐실질에있어서는피고인또는피고인아닌자의진술을기재한서류와크게다를바없고, 압수후의보관및출력과정에조작의가능성이있으며, 기본적으로반대신문의기회가보장되지않는점등에비추어그기재내용의진실성에관하여는전문법칙이적용된다고할것이고, 따라서형사소송법제313조제1 항에의하여그작성자또는진술자의진술에의하여그성립의진정함이증명된때에한하여이를증거로사용할수있다 38/97
국내사례 (2)- 일심회사건 대법원 2007.12.13 선고 207 도 7257 판결 [ 국가보안법위반 ] 반국가단체구성원으로부터플로피디스켓을전달 PC 방에서북한공작원과 e-mail 송수신및게시판글대북보고 3.5 디스켓과 USB, 노트북PC, CD, e-mail 출력물등압수 디지털저장매체원본과출력한문서의동일성이인정될것 디지털저장매체원본이문서출력시까지변경되지않았음이담보될것 하드카피나이미징으로부터출력된문서라면, 원본과이들사이의동일성도인정되어야하고, 이를확인하는컴퓨터의정확성과조작자의전문성도담보될것 압수된디지털저장매체로부터출력된문건을진술증거로사용하려면기재내용의진실성에관해전문법칙이적용됨