[Digital Forensic] Chain of Custody
(1) CoC
-
현재의 증거가 최초로 수집된 상태에서 지금까지 어떠한 변경도 되지 않았다는 것을 보증하기 위한 절차적 방법
-
미국의 경우 Chain of Custody가 지켜지지 않으면 해당 증거물은 법적 증거 효력을 갖지 못하게 되며 해당 증거물에서 나오는 모든 증거물은 법적 증거효력을 갖지 못함
-
Chain of Custody는 수사 기관 등에서 의도적 증거 조작으로부터 피의자를 보호하려는 성격을 지님
1-1. Chain of Custody 부정
-
Chain of Custody 부정 방법 중 대표적인 것은 일시적 증거 무관리 상태를 증명하는 것
-
일시적 증거 무관리 상태란, 증거 보관자와 증거가 물리적으로 떨어진 상태를 말함
-
무관리 상태는 증거 보관자가 증거와 떨어져 있는 사이 증거가 변경될 수 있다는 가정을 의미하기 때문에 부정 방법으로 쓰임
1-2. Chain of Custody 수행
-
Chain of Custody를 수행하기 위해 작성하는 문서가 있는데 이 문서의 포맷은 어떠한 표준이 있는 것은 아님
-
각 기관(회사)마다 조금씩 양식의 차이가 있음
-
그러나 기입하는 내용은 대부분 동일
Chain of Custody는 '연계 보관성'으로 번역되기도 한다.
CoC의 가장 중요한 점은 어떠한 물건이 이동하는 과정의 기록이라 할 수 있다.
디지털 포렌식 입장에서는 증거물의 이동 과정에서 그 대상의 무결성이 보존되었다는 증거로도 활용되며 그 과정에서 발생되는 사건에 대해서 기록되어야 한다는 것이다.
디지털 포렌식에 있어서 무결성이란 그 무엇보다 중요시 하기도 하며 그 무결성에 의해 큰 제약을 받기도 한다.
# Reference
'Digital Forensics > Forensic Theory' 카테고리의 다른 글
| [Digital Forensic] 디지털 포렌식 준비도 (0) | 2020.05.11 |
|---|---|
| [Digital Forensic] E-Discovery 전자증거개시제 (0) | 2020.05.10 |
| [Digital Forensic] 안티 포렌식 (0) | 2020.05.09 |
| [Digital Forensic] PE(Portable Executable) 구조 (0) | 2020.05.09 |
| [Digital Forensic] Registry 분석 (0) | 2020.05.08 |