[Digital Forensic] E-Discovery 전자증거개시제
(1) E-Discovery 전자증거개시제
1-1. E-Discovery 전자증거개시제란?
-
Electronic Discovery의 약자로 우리나라 말로 '전자증거개시제' 혹은 '디지털 증거개시제'라고 함
-
해당 단어는 미국의 법률이 개정되면서부터 사용
-
미국에서 민사소송 규칙이 개정되면서 Discovery에 사용되는 증거 범위에 전자 포맷의 문서(ESI)가 포함되어 해당 단어가 사용되기 시작
-
Discovery는 소송자가 공판 전 공판에서 사용될 증거들을 법정에서 사용하는 방법으로 수집하여 법원에 120일 이내에 제출하는 것을 말함
E-Discovery를 시행하는 이유는 모든 소송자가 해당 증거물을 검토할 수 있게 하여 공정한 재판을 하기 위해서이다.
ESI에는 PC 문서, 이메일, 메신저 대화 내용 등이 모두 포함되며, 소송에 관련된 어떠한 전자적인 자료도 해당된다고 볼 수 있다.
ESI를 증거로 제시할 때에는 무결성 또는 진정성, 신뢰성 등이 보장되어야 한다.
현재 여러 국가에서 전자증거개시제를 시행하고 있지만 제일 처음 전자증거개시제를 시행한 곳이 영국과 캐나다이지만 현재로서는 미국에서 가장 많이 활용되고 있다.
위 그림은 EDRM(Electronic Discovery Reference Model)에서 제시하는 전자증거개시제 참조 모델이다.
(2) E-Discovery 과정
2-1. 정보 관리(Information Management) 단계
-
전자증거개시제에 필요한 정보들을 신속하게 사용할 수 있도록 관리하는 단계
-
즉, 미리 준비하는 단계라고 말할 수 있음
-
증거 개시가 요청되면 제한 시일내에 증거 개시가 이루어져야 하기 때문에 미리 필요한 정보를 준비해두는 것
2-2. 식별(Identification) 단계
-
정보 관리 단계에서 관리하였던 정보들 중 증거 개시 가능성이 존재하는 모든 자료를 식별하는 단계
-
정보를 식별하며 정보의 소유자와 관리자를 명확히 하고 증거의 출처 등을 명확하게 하는 단계
2-3. 보존(Preservation) 단계
-
식별 단계에서 식별한 정보의 무결성과 안전성을 유지하는 단계
-
실수였든 고의였든 이유를 불문하고 훼손된 증거에 대해서는 법정에서 불이익을 받기 때문에 이 단계는 매우 중요
2-4. 수집(Collection) 단계
-
식별되고 보존된 정보에서 원본의 무결성을 유지하며 증거로 사용될 만한 일련의 데이터(파일 내용, 파일명, 파일 타임라인 등)을 추출해 내는 단계
-
원본의 보존을 위해 원본의 물리적 복사본을 이용하던가, 논리적 이미징을 수행해 이미지를 통해 데이터를 추출
2-5. 처리(Processing) 단계
-
수집 단계에서 수집 된 데이터들을 연관성이 있는 정보들끼리 결합하는 단계
-
각각의 데이터는 별 의미가 없어보이지만 결합할 시 증거에 큰 도움이 되는 데이터가 될 수 있음
-
이러한 이유 외에도 추후 분석 솔루션 등을 이용할 때 효율성 있게 분석하기 위해 데이터들을 결합하기도 함
2-6. 검토(Review) 단계
-
처리 단계에서 처리된 자료들에 대해 관련 사건과 관련 있는지 검토하는 단계
-
이 단계는 일반적으로 법률 관계자(변호사 등)가 수행하는 단계
2-7. 분석(Analysis) 단계
-
수집 단계에서 수집된 데이터들에서 사건과 관계가 있는 키워드나 문맥 등을 추출해 내는 단계
-
검토나 처리 단계와 비슷하다고 생각할 수 있는데 위 사진의 세 가지 단계는 상호 관계에 있는 단계들
2-8. 제작(Production) 단계
-
위 세 단계를 거진 정보를 소송 당사자들과 합의한 제출 포맷이나 법정에서 제시한 제출 포맷으로 정보를 제작하는 단계
-
가끔 합의한 포맷으로 변환하지 않고 원본 데이터를 제출하는 경우도 있지만 대부분은 PDF 등의 포맷으로 변환하여 상대방이 검토하기 좋게 하여 제출함
2-9. 제출(Presentation) 단계
-
제작 단계를 거친 정보를 소송 당사자들끼리 약속한 제출 방법
-
서로에게 전달하거나 법원에 해당 정보를 제출하는 단계
(3) EDBP란?
3-1) EDBP(Electronic Discovery Best Practice)
-
EDRM에서 추구하고자 하는 법률적, 기술적 가이드라인에 대한 제시와는 달리 법률적인 분야에 더 세부적인 절차를 제시하여 기업들에게 법률 서비스를 제공하는 모델
-
이런 이유로 EDBP에서는 EDRM의 디지털 포렌식 기술 등을 제외하고 EDRM의 모든 절차를 근거로 하는 법률적인 분야의 내용만 제시
-
즉, EDBP는 EDRM을 근거로 기업에게 법률 서비스를 제공하는 분야로 볼 수 있음
-
EDBP는 법률적 사실을 제공하기 위해 연방민사소송규칙에 명시된 절차를 중점적으로 하여 모델을 구성하였고, 모델에서 언급하는 과정 중간에 근거들을 제시하여 신뢰성을 더함
다음은 EDBP에서 제시하는 EDBP 모델이다.
각 항목을 살펴보면 굉장히 세부적으로 많이 나누어 무언가를 제시하고 있는 것을 볼 수 있다.
대부분의 내용을 종합해 생각해보면 EDBP는 법률적 분야를 다루는 모델이어서 그런지 소송 준비 단계에서부터 정책과 관련한 이야기를 많이 다루고, 제시하고 있다.
(4) EDRM과 EDBP의 차이?
EDRM과 EDBP의 차이는 제시 모델의 내용에서부터 확인할 수 있다.
-
EDRM은 '정보 관리' 항목을 소송 전 준비 단계에서 중요한 부분으로 단계 전반에 걸쳐 다룸
-
EDBP는 '정보 관리'를 소송 전 준비 단계의 일부분으로 다룸
이는 EDBP가 조금 더 자세하고, 여러 주제에 대해 '정보 관리'를 생각하고 있음을 말해주고 있다.
EDBP는 기존에 있던 E-Discovery의 판례들을 모델에 적극적으로 제시하고 있다는 것을 '정보 관리'에서 부터 보여주고 있는 것이다.
또 EDBP는 정보를 분석하고 식별하는 팀을 구성하여 키워드 검색을 하는 기술적 중심으로 절차를 구성하는 EDRM과는 다르게 절차가 전반적으로 사람 중심이다.
시람 중심이라는 의미는 EDRM의 절차가 주로 면담을 통해서 이루어진다는 것을 의미한다.
EDRM 또한 사람들을 만나 절차가 이루어지지만 면담을 통해 여러가지 방안을 제시하는 EDBP와는 달리 내용 확인을 위한 사람과의 만남이 주를 이룬다.
EDBP를 E-Discovery에 이용한다면 소송 준비 단계부터 E-Discovery 비용을 절감할 수 있으며, E-Discovery의 전 과정에서 소송 비용을 절감하기 위한 모델이라는 것을 EDBP 각 단계에서 느낄 수 있다.
어찌보면 비용 절감 측면에서 EDBP는 상업적 면이 굉장히 많이 부각될 수 있다.
하지만, 세부적 절차와 신뢰성 있는 근거를 제시하는 모델인 만큼 상업적 측면보다는 조금 더 E-Discovery를 준비함에 있어 필요한 모델임이 분명하기에 많은 로펌이나 컨설턴트들이 참조하고 있다는 것을 알아야 한다.
# Reference
'Digital Forensics > Forensic Theory' 카테고리의 다른 글
[Digital Forensic] 디지털 포렌식 어카운팅 (0) | 2020.05.11 |
---|---|
[Digital Forensic] 디지털 포렌식 준비도 (0) | 2020.05.11 |
[Digital Forensic] CoC(Chain of Custody) (0) | 2020.05.10 |
[Digital Forensic] 안티 포렌식 (0) | 2020.05.09 |
[Digital Forensic] PE(Portable Executable) 구조 (0) | 2020.05.09 |