Digital Forensics 글 연재 (2) - 증거와 5대원칙

증거란...

 

앞선 글에서 디지털 포렌식이란 무엇인가에 대한 내용들을 얘기 해 보았다.

아마도 가장 중요한 문장단어라면 '증거 능력'이 아닐까 싶다.

그런데 이러한 증거에도 종류가 있다는 사실을 독자 여러분들은 알고 계실까?

 

증거라는 실체가 있을수도, 없을수도 있는 어떤 개념이 법적인 쟁점을 다룰 때 어떻게 논의되는지 어떻게 정리해야 할지는 잘 모르겠다.

 

정리한 후 법을 전공한 친한 동생에게 자문을 구해보겠지만, 만약 독자분들 중에 법에 정통한 독자가 있다면 오류를 수정해주면 정말 감사하겠다.

 

일단 형사 사건에서는 증거라는 개념을 두고 정말 여러가지로 다루고 있다. 이래저래 찾아보니 13 가지 정도 확인이 되는데, 이것 외에 더 구분하는 용어가 있을지도 모르겠다.

 

천천히 설명 해 보겠다. 다음은.. 내가 찾아보고 정리한 증거의 구분 예시다.

사실 실제로 저렇게까지 구분하는지는 모르겠지만..

그리고 읽어보면 알겠지만 어떤 증거들은 어 이거랑 저거랑 겹치는거같은데? 하는것도 많이 보일 것이다.

 

증거의 구분
증거	정의	예시
직접 증거	사실을 직접적으로 증명하는 증거	피고인의 자백, 피해자의 진술 목격자의 증언, CCTV 영상 등
간접 증거	사건을 직접적으로 증명하지는 않지만 간접적으로 증명, 추론할 수 있는 증거	지문, 혈흔, 체액, 타액, 머리카락, 족적(신발자국) 등
행동 증거	용의자의 행동이나 패턴을 분석하여 제공되는 증거	용의자의 행동 패턴: 특정한 행동이나 패턴이 사건과 관련이 있을 때. 심리 프로파일: 용의자의 심리 특성 분석
진술 증거	증인이 법정에서 구두로 진술하는 증거	목격자의 증언, 전문가의 의견 증언, 피해자의 진술
비진술 증거	구두 진술 이외의 모든 형태의 증거	DNA 분석 결과, 이메일, 계약서, CCTV 영상 등
물적 증거	사건 현장에서 발견된 물리적 물체나 흔적	범행 도구, 유전자 증거, 물리적 흔적
본래 증거	물리적으로 존재하는 실	범행 도구, 혈액, 마약, 지문 등
전문 증거	제3자가 법정 밖에서 한 진술을 증언자가 법정에서 진술하는 증거	친구가 피고인이 범죄를 저질렀다고 말하는 것을 들었다"는 증언
문서 증거	사건과 관련된 서면 문서나 기록	계약서, 영수증, 차용증, 편지, 메모 등
사진 및  비디오 증거	사건과 관련된 사진이나 비디오 기록	범죄 현장, 피해자, 용의자 등의 사진. CCTV 영상, 휴대폰 영상 등 사건을 기록한 비디오
오디오 증거	사건과 관련된 음성 기록	전화 통화 녹음, 비밀 녹음, 사건과 관련된 음성 기록 등
포렌식 증거	과학적 방법으로 수집되고 분석된 증거	포렌식 증거: 시체 검시 결과 디지털 포렌식 증거: 컴퓨터, 모바일 기기에서 추출된 데이터 분석 결과.
디지털 증거	전자 기기에서 수집된 모든 형태의 정보	컴퓨터 파일, 문서, 이메일, 문자메시지, 소셜 미디어 메시지, 시스템 로그, 네트워크 로그 등

 

각 증거들의 특성을 가지고 분류를 한 것인데

어떤 증거는 직접 증거이면서 진술 증거가 될 수 있고

또 어떤 증거는 간접 증거이면서 물적 증거가 될 수도 있네..

뭐 이런 식이다.

 

그리고 사진 및 비디오 증거라고 해서 꼭 디지털 증거에 포함이 되지 않을수도 있다. 아날로그식 데이터가 있기 때문이다.

 

아날로그 데이터 -> 디지털 샘플링을 통한 디지털화 이경우에도 적법한 절차대로 이루어지지 않았다면 디지털 증거로써 취급되지 않을 가능성이 있다.

 

 

디지털 데이터는 어떤 증거에 속할까..

여기까지 왔다면, 그리고 당신이 프로 궁금러라면 과연 디지털 포렌식으로 수집 및 분석된 데이터는 어떤 증거에 속할까 하는 의문증 생길 것이다.

사실 예전에 BoB 디지털 포렌식 과정에서 디지털 증거의 증거능력과 실제 판례에 대한 수업을 들은 적이 있는데 기억이 나질 않는다.. 늙은 머리란..

아무튼.. 디지털 데이터는 전문 증거가 될 수도있고, 본래 증거가 될 수도 있으며 직접 증거 및 간접 증거가 될 수도 있을것이다.

그리고 적법한 절차로 수집이 되었는지 수집 및 분석 과정에서 Chain of Custody 가 지켜졌는지, 분석 도구의 신뢰성은 있는지 그리고 분석가의 분석 결과와 의견은 얼마나 신뢰성이 있는지, 그리고 사건과는 얼마나 관련이 있는 지에따라 증거 능력을 인정 받을 수도 없을 수도 있을것이다.

위의 논의는 나중에, 좀 더 예전 기억을 떠올리고, 공부한 다음에 포스팅 해보도록 하겠다.

 

디지털 포렌식의 5대 원칙

앞서 디지털 포렌식을 수행하는 목적과 그 결과물이 무엇인지에 대해 간단하게 알아보았다.

그렇다면 이번에 챕터에서는 디지털 포렌식을 수행하면서 지켜져야하는 5대 원칙에 대해 설명해보고자 한다.

 

먼저 얘기하자면 5대 원칙은 다음과 같다.

 

디지털 포렌식의 5대 원칙
구분	설명
정당성 (Legality)	증거 수집 시 적법한 절차를 준수해야 하며, 수집, 분석 과정에서 위법한 절차가 있을 경우 수집된 증거는 법적 효력을 상실함
재현 가능성 (Verifiability)	누구든 같은 데이터에 대해 같은 도구로 같은 방법을 사용해 분석을 진행할 경우 동일한 결과를 얻을 수 있어야함
연계 보관성 (Chain of Custody)	수집, 이동, 보존, 분석, 제출 각 단계에서 모든 과정이 문서화 되고 추적 가능 해야 함
신속성 (Volatility)	휘발성 데이터의 경우 가장 먼저 수집이 고려되어야 함
무결성 (integrity)	수집 된 증거가 이동, 분석 과정에서 위 변조 없이 원본과 동일함을 보여야 함

1. 정당성(legality)

영어로는 legality가 되겠다. 설명을 나타내는 단어가 한글 정당성 보다는 영어 단어 리갈리티가 더 적절하다는 생각이 든다.

말 그대로 증거 수집과 분석 과정이 적법했는가? 하는 것이다.

이전 글에서 설명했듯 수사과정에서 위법한 사항이 발생했다면 수 집된 증거가 법적 효력을 상실할 가능성이 있다. 예를 든다면 이런 상황이지 않을까..

 

불법 도박사이트를 운영중인 업체의 서버를 경찰들이 압수수색 영장 발부 없이 강제로 압수, 포렌식 분석을 수행한 경우.

분명 서버 컴퓨터에서 불법 도박사이트를 운영한 정황이 발견되었지만, 수사 과정에서 위법한 과정이 발결되었으므로 수집&분석된 증거가 법적 효력을 상실해 혐의를 입증할 수 없다.

 

또는 증거를 조작한 경우, 무죄 추정이 이루어지지 않은 경우, 포렌식 분석 시 피분석자에게 참석 여부를 확인했는지? 이런 사유들이 있지 않을까 하는 생각이 든다.

 

이를 형사소송 308조의 2(위법수집증거배제의 원칙) 이라고 하며,

참조: https://casenote.kr/

 

독수독과이론(毒樹毒果理論, "Fruit of the poisonous tree" doctrine) 과도 연결된다.

이에 관해서는 나중에 따로 또 포스팅할 기회가 있을 것이다.

 

2. 재현가능성(Verifiability)

재현 가능성은 말 그대로 분석 결과에 대해 재현이 가능한가? 하는 것이다. 수집된 데이터와 전문가가 분석에 사용한 방법으로 다른 누군가가 똑같이 분석을 진행했을 때 동일한 분석 결과를 확인할 수 있어야 한다는 것이다.

 

예를 든다면..

만약 다른 누군가가 같은 데이터에 대해 동일한 방법으로 분석을 수행했는데, 다른 결과가 확인된다면 이것이 과연 증거능력을 가질 수 있을까?

 

조금 더 나아간다면 교차 검증(다른 분석 도구를 사용해 분석해도 같은 결과를 얻을 수 있는가) 또한 이 카테고리에 묶일 수 있지 않을까? 하는 생각이 든다

 

3. 신속성(Volatility)

신속성이라 하지만 사실 음.. 뭔가 이 원칙의 성격을 나타내기에는 뭔가 모자란 느낌. 영어단어 또한 그냥 '휘발성' 이라는 뜻이기 때문에 무슨 말을 하고 싶은지는 알겠는데, 정확한 단어 선정은 아닌것 같다.

데이터 수집이 필요하다고 생각되면 신속하게 이루어져야 한다는 것 그리고 휘발성(주로 메모리) 데이터 수집이 필요할 시 휘발성 데이터를 가장 먼저 수집해야 한다는 것이다.

어쩌면 이는 당연한 것이다. 컴퓨터의 로깅 시스템 상 날짜가 오래된 데이터는 오버라이트 되어 소실될 가능성이 있으므로 최대한 빠르고 신속하게 수집하는 것이 좋고, 메모리 데이터는 수집하는 그 순간에도 변화하는 데이터 이기 때문에 가장 먼저 수집이 고려되어야 하는 것이다.

휘발성 데이터에는 메모리 이외에도 네트워크 연결 정보, 프로세스, 핸들 등등 여러가지가 있는데 이는 나중에 아티팩트를 설명할 때 좀더 자세히 다뤄보도록 하겠다.

 

4. 무결성

무결성은 수집된 데이터가 수집 된 이후로부터 아무런 위변조가 되지 않았음을 증명하는 것이다. 만약 무결성이 훼손된다면 수집된 데이터가 증거 능력을 잃을 가능성이 크다.

또한 분석 과정에서도 수집 된 데이터 원본을 사용하는 것이 아니라 이미징과 같은 복제 기능을 거쳐 사본을 사용해 분석 하는경우가 일반적일 것이라 생각된다. 따라서 이 경우에도 이 복제 또는 복사된 데이터가 원본가 동일한 데이터인지 증명할 수 있는 정보가 필요하다.

이를 우리는 무결성이라 부르고 주로 'Hashing' 이라는 방법을 사용해 무결성을 증명한다.

해싱과 이미징, 복사, 복제에 대해서는 추후에 좀 더 다뤄보면 좋을 것 같다.

 

5. 연계보관성

아마 포렌식에 관심이 있는 독자라면 'Chain of Custody' 라는 용어를 정말 많이 들어보았을 것이라는 생각이 든다. 이는 다음 각 과정 동안 누가 수집 된 증거물을 담당 관리하고 책임을 지는지 책임과 관리 소지를 명확히 하고 데이터의 위변조는 없는지를 파악하기 위함이다.

 

수집: 디지털 증거물이 어디에서, 어떤 시점에, 누구에 의해 수집되었는지를 명확히 기록해야 한다. 수집 과정에서 발생한 모든 활동과 관련된 정보(예: 수집 시간, 장소, 수집자 정보)가 기록되어야 한다.

 

이동: 증거물이 수집된 이후에 다른 장소로 이송되는 경우, 이 과정도 문서화되어야 한다. 전송 경로와 방법, 전송 시간 등이 기록되어야 한다.

 

보존: 증거물이 전송된 후 보존이 어떻게 이루어졌는지를 기록해야 한다. 보존 장소와 방법, 접근 제한 등이 문서화되어야 한다.

 

분석: 증거물이 분석 과정에 사용된 도구와 방법이 명확히 기록되어야 한다. 분석 과정에서 발생한 데이터의 변경이나 수정 사항도 기록되어야 한다.

 

제출: 법정에서 증거로 제출될 때에는 연계보관성이 유지되어야 한다. 이는 증거물이 제출된 시점과 방법이 기록되며, 증거물이 법정에 제출되기 전까지의 연계보관성이 끊기지 않도록 해야 한다.

 

쉽게 생각한다면 최초 수집 이후로 최종 법정에서 증거로 제출되기 전까지 수집된 데이터의 무결성이 지켜져야 한다는 것이다.

 

 

사실 각 원칙을 나타내는 단어가 맞는 건지는 아직 팩트체크가 안 된 상황(gpt의 도움)이라 NIST에서 발행한 문서 등을 좀 더 찾아보고 보완하는 것이 맞을 듯 하다.

 

그중 증거로써 인정받을 수 있는 조건과 직결된 3개의 원칙, 무결성, 재현성, 정당성을 가리켜 디지털 포렌식의 3대 요건이라고 부릅니다. <- 라고는 하는데.. 여기저기서 하는말도 조금씩 다르고 용어도 달리서 이것이 팩트인지는 잘 모르겠습니다.

 

 

 

 

 

일단 여기까지 끝!