[Digital Forensic] 디지털 포렌식 관련 법규

2020. 5. 11. 03:34

[Digital Forensic] 디지털 포렌식 관련 법규

디지털 포렌식에서 법률은 매우 중요한 부분이며, 최근 디지털 포렌식의 관심과 연구가 늘어나고 또 인력에 대한 수요와 기술적 수요가 늘어나면서 디지털 포렌식에 관련된 법률 또한 신설되어 디지틸 포렌식과 관련된 법률 공부를 하지 않고서는 제대로 된 디지털 포렌식을 수행할 수 없다.

(1) Digital Forensic 관련 법규

디지털 포렌식과 관련된 법률은 다음과 같은 법률들이 존재한다.

1-1. 디지털 증거 수집 및 분석 규정

1-2. 디지털 포렌식 수사관 인증심의위원회 운영 규정

1-3. 형사소송법

제 106조 (압수)
제 215조 (압수 / 수색 검증)
제 218조의 2조 (압수물의 환부, 가환부)
자유심증주의
위법수집증거배제원칙
전문증거배제법칙

1-4. 통신비밀보호법

제 9조의 3 (압수 / 수색 / 검증의 집행에 관한 통지)
제 13조 (범죄 수사를 위한 통신 사실 확인 자료 제공의 절차)
제 13조의 3 (범죄 수사를 위한 통신 사실 확인 자료 제공의 통지)

1-5. 정보통신망 이용촉진 및 정보보호 등에 관한 법률

1-6. 부정경쟁방지 및 영업비밀보호에 관한 법률

1-7. 산업기술의 유출방지 및 보호에 관한 법률

1-8. 신용정보의 이용 및 보호에 관한 법률

위에서 언급한 법률들 중 법률의 일부 조항만이 디지털 포렌식과 관련이 있는 법률도 있지만 대부분의 법률의 모든 조항들이 디지털 포렌식과 관련이 있어 이 책에서 모두 언급하지 못하였다.

(2) 법률 관련 용어

다음은 디지털 포렌식 법률에 관한 용어들에 대한 설명들이다.

2-1. 위법수집증거 배제원칙

위법한 절차에 의하여 수집된 증거에 대한 증거 능력을 배제(인정하지 않는) 법칙
형사소송법 제 308조 2에 의하여 적법한 절차에 따르지 아니하고 수집한 증거는 증거로 할 수 없음
미국에서 유래하였으며, 우리나라에서는 2007년 6월 1일 개정한 형사소송법에 이 법칙의 규정을 신설

2-2. 독수독과이론 (독수과실이론)

위법하게 수집된 증거(독수)에 의하여 발견된 제 2차 증거(독과)의 증거 능력은 인정할 수 없다는 이론
위법수집증거배제법칙이 적용된 증거에서 파생되거나 추출한 제 2차 증거에도 증거 능력으로 인정 받을 수 없는데 이를 독수독과이론 또는 독수과실이론이라고 함

2-3. 자유심증주의

법정에 제출된 증거의 증거 능력을 법률을 근거로 판단하는 것이 아닌 법관의 자유 판단을 근거로 판단하는 주의
법정증거주의에 대한 것으로서 증거의 증명력을 적극적 또는 소극적으로 법정하지 아니하고 이를 법관의 자유로운 판단에 일임하는 주의

2-4. 진술거부권 고지

진술거부권 피고인, 피의자, 증인, 감정인 등이 질문 또는 심문에 대하여 진술을 거부할 수 있는 권리
다른 말로 묵비권이라 함

2-5. 법정증거주의

증거의 증명력에 관한 법칙을 법률로 정립하여, 사실의 인정에 있어 법관으로 하여금 반드시 이 법칙을 따르도록 하는 주의

2-6. 무죄추정의 원칙

피고인이 유죄로 판결이 확정될 때까지는 무죄로 추정한다는 원칙

2-7. 별건증거 (플래인뷰)

특정 범죄 혐의에 대해 영장을 발부 받아 압수수색한 휴대전화에서 다른 범죄의 증거가 나온 경우, 다른 범죄 증거에 대해 사후영장을 받지 않았다면 그 증거나 이에 기반한 관련자 진술은 증거 능력이 없다는 판결이 나옴
법원은 다만 검찰이 새롭게 드러난 별건의 범죄 혐의에 대해 2차 압수수색영장을 받았다면 절차적 위법성이 치유되어 증거 능력이 인정된다고 판단함

2-8. 이익형량

충돌하는 기본권의 법익을 비교 & 형량하여 결정하는 방법
공익 대 공익, 공익 대 사익 간에도 이익형량 법칙이 적용됨

2-9. 압수수색

증거물 또는 몰수할 것으로 예상되는 물건의 점유를 취득하여 유지하는 처분인 압수와 사람의 신체, 물건, 주거 기타의 장소에서 압수할 물건이나 사람을 발견하기 위해 이를 찾는 처분인 수색
많은 국가에서 압수 수색을 위해 영장을 요구하며, 불법적인 압수수색으로 부터 보호받을 헌법적 권리를 보장받고 있음

2-10. 참여권보장

수사기관은 압수수색한 저장매체에서 영장 혐의와 상관 없는 별도의 범죄 혐의와 관련된 전자 정보를 발견하더라도 피압수자 측에 적정한 참여권 등을 보장하지 않으면 적법하게 그 내용을 압수할 수 없음
또 압수한 전자 정보를 수사기관으로 가져와 복제하고 재복제하는 등 순차적인 압수수색 과정에서 한 차례라도 정보 소유자의 참여권을 보장하지 않았다면 해당 압수수색 전체가 위법하므로 이 과정에서 획득한 증거는 증거 능력을 인정받을 수 없음

2-11. 압수수색과 참여권

수사기관의 전자 정보에 대한 압수수색은 원칙적으로 영장 발부의 사유로 된 범죄 혐의사실과 관련된 부분만을 문서 출력물로 수집하거나 수사 기관이 휴대한 저장매체에 해당 파일을 복제하는 방식으로 이루어져야 함
저장매체 자체를 직접 반출하거나 복제본 형태로 수사기관 사무실 등 외부로 반출하는 방식은 현장의 사정이나 전자 정보의 대량성으로 관련 정보 획득에 긴 시간이 소요되거나 전문 인력에 의한 기술적 조치가 필요한 경우 등 범위를 정해 출력 또는 복제하는 방법이 불가능하거나 압수의 목적을 달성하기에 현저히 곤란하다고 인정되는 때에 한해 예외적으로 허용될 수 있음
저장매체 자체를 직접 반출하거나 복제본 형태로 이용하는 것이 허용되는 예외적인 경우에도 이를 수사기관 사무실 등에서 복제, 탐색, 출력하기 위해서는 피압수자나 그 변호인에게 참여 기회를 보장하고 혐의 사실과 무관한 전자 정보의 임의적인 복제 등을 막기 위한 적절한 조치를 취하는 등 영장주의 원칙과 적법절차를 준수해야 함
이와 같은 예외적인 경우에도 혐의 사실과 관련된 전자 정보 이외에 이와 무관한 전자 정보를 탐색 / 복제 / 출력하는 것은 원칙적으로 위법한 압수수색에 해당하므로 허용될 수 없음

2-12. 임의수사

강제력을 행사하지 않고, 상대방의 동의나 승낙을 받아서 행하는 수사
임의동행, 보호실 유치, 수색, 거짓말 탐지기, 마취 분석, 최면 수사 등이 포함
수사의 필요성과 상당성, 자유의사에 대한 승낙
상대방의 승낙을 매개로 강제수사에 대한 법적 규제를 회피하거나 탈법적으로 이용해서는 안 됨

2-13. 강제수사

강제 처분에 의한 수사
체포 (형사소송법 제 200조의 2)
피의자 구속 (형사소송법 제 201조의 2)
압수수색검증 (형사소송법 제 215조)

2-14. 영장주의

피의자 체포, 구속, 압수, 수색, 검증 등의 강제수사를 함에 있어 판사가 발부한 영장에 의하여야 한다는 원칙

임의수사로 볼 것인지 강제수사로 볼 것인지에 대한 새로운 수사 방법을 고려해야 한다. (비디오 촬영, CCTV, 음주 측정, 해혈, 채뇨, 체액이나 채모 채취, DNA 감정, 무인카메라 등)

2-15. 전문증거

원진술자가 공판 기일 또는 심문 기일에 행한 진술 이외의 진술로서 그 주장 사실이 진실임을 입증하기 위하여 제출된 것
경험 사실을 들은 타인이 전문한 사실을 법원에서 진술하는 경우, 경험자 자신이 경험 사실을 서면에 기재하는 경우 및 경험 사실을 들은 타인이 서면에 기재하는 경우가 포함

2-16. 전문증거배제법칙

전문증거는 사실 인정이라는 기초하에 경험자가 경험적 사실을 법원에 직접 보고하지 않고 다른 형태로 간접적으로 보고하는 것을 뜻함
이런 증거는 원천적으로 증거가 될 수 없다는 법칙이 전문증거배제법칙
현재 형사소송법 제 310조의 2에 명시, 규정 됨

2-17. 자백배제법칙

피고인의 자백 또는 그 피고인에게 불이익한 유일한 증거인 때는 유죄의 증거로 하지 못함

(3) 증거 인증 과정

디지털 포렌식에서 무결성은 굉장히 즁요하고, 무결성을 입증 하는데에는 여러 가지 절차와 해시 값 등이 사용된다고 언급하였다.

실제로 수사기관과 법원 사이의 증거 인증 과정은 다음과 같다.

먼저 수사기관에서는 획득할 증거를 구별하고 증거 수집에 있어 동의서 확인을 받은 후 증거를 획득하기 시작한다.

증거 획득 과정에서는 무결성을 입증하기 위해 해시 값을 생성하는데, 이때 생성된 해시 값은 수사기관에서 별도로 기록하여 관리하기도 하지만 법원에 이 해시 값이 전달된다.

법원에서는 전달 받은 해시 값을 자신들의 인증서로 전자서명 하여 전자증거 보관소에 저장한다.

그 후 추후에 수사시관에서 증거를 제출하면 법원은 전자증거 보관소에 저장되어 있는 해시 값과 수사기관이 제출한 증거의 현재 해시 값을 비교해 증거가 변조 또는 훼손되었는지 판단한다.

이때 당연히 해시 값이 일치하지 않다면 증거는 훼손되었다는 것이 입증되며 증거는 증거 효력을 가지지 못하게 된다.

이런 과정이 있기 때문에 증거를 획득하는데 있어 무결성을 위한 해시 값은 굉장히 중요하다.

또 해시 알고리즘 특성상 1bit만 변경되더라도 해시 알고리즘에 의해서 생성되는 값은 전혀 다른 값이기 때문에 증거의 훼손 정도 또한 판단할 수 없어 증거 효력을 잃게 된다.

그러므로 증거를 획득할 때에는 신중히 절차대로 증거를 수집해야 한다.

(4) 증거 효력

4가지의 증거력과 5가지의 디지털 포렌식 증거력으로 나눌 수 있으며 다음과 같다.

4-1. 증거력

1) 진정성(Authenticity)

해당 증거가 특정인이 특정 시간에 생성한 파일이 맞는지 여부

2) 무결성(Integrity)

원본으로부터 증거 처리 절차 과정동안 수정, 변경, 손상이 없어야 함

3) 원본성(Originality)

실제 법정에 제출되는 원본과 다른 사본 증거에 대한 증거 능력을 부여할 수 있는가?

4) 신뢰성(Relability)

증거의 분석 과정에서 증거가 위조 / 변조 되거나 의도하지 않은 오류를 포함해서는 안 됨

4-2. 디지털 포렌식 증거력

1) 정당성

적법절차에 의해 수집되었는가?

2) 재현성

같은 조건 상황에서 같은 결과를 가지는가?

3) 신속성

전 과정이 신속하게 진행되었는가?

4) 절차 연속성 (연계 보관성)

수집, 이동, 보관, 법정 제출의 각 단계에서 담당자 및 책임자가 명확한가?

5) 무결성

수집된 증거가 위조 / 변조 되지 않았는가?

(5) 추가 내용 정리

법정에서 유효한 증거가 되기 위해서는 디지털 증거가 증거 능력을 갖고 충분한 증명력을 갖는다는 것을 의미한다.

증거 능력은 증거가 엄격한 증명의 자료로 사용될 수 있는 법률상의 자격을 말하며, 조건은 다음과 같다.

5-1. 법정에서 유효한 디지털 증거

증거 능력 관점에서 유의하여 증거를 수집 / 분석 / 제출해야 함 (진정성, 무결성 보증)
판사에 의해 증거 능력이 인정 됨
위법수집증거배재원칙과 전문법칙에 따라 증거 능력 인정 여부가 결정 됨
증명력은 증거의 실질적 가치를 의미, 신빙성의 정도를 가리킴
재판을 통해 증명력을 평가 받음
자유심증주의에 근거하여 법관의 자유로운 판단에 의해 결정

5-2. 전문법칙의 예외

1) 전문법칙 예외

진술이 진실일 가능성이 큰 경우
잘못된 의미를 전달할 가능성보다 다른 요소가 더 큰 경우
전문가 증언의 경우 전문가들이 근거로 하는 자료
원진술자가 법정에서 증언할 수 없다는 것을 입증할 경우

2) 전문법칙 예외 기준

해당 진술의 진실성을 담보할 수 있는 구체적이고 외부적인 정황이 있음
전문증거이지만 동일한 가치의 증거를 얻는 것이 다른 방식으로는 불가능하여 이 증거라도 사용할 필요가 있을 경우
원 진술과 동일한 내용의 진술을 구하는 것이 불가능하거나 현저히 곤란하여 비록 전문증거라도 사용하여 실체적 진실을 규명할 필요가 있을 경우

3) 일반적인 전문법칙의 예외

법원 또는 법관의 면전조서
피의자 신문조서
진술조서 및 진술 기재서
진술서
검증조서
감정서
증거 능력이 있는 서류 등

4) 디지털 증거와 전문법칙의 관계

디지털 증거는 사람의 지각, 기억, 표현, 서술이라는 진술 과정을 거치지 않고 그것이 기계적으로 처리되어 작성된 것
전문법칙에 근거하여 컴퓨터에 저장되어 있는 디지털 자료는 전문증거로 판단되어 증거 능력을 인정할 수 없음
압수한 디지털 증거가 무결성 문제, 신뢰성 문제 및 원본성 문제를 모두 통과하여도 디지털 증거가 진술 증거로 인정되는 경우에는 전문법칙이 적용되어 증거 능력이 부정될 수 있음
디지털 증거는 프로그램을 이용, 사람이 표현하고자 하는 내용의 자료를 입력하여 처리, 생성된 부분이 존재
따라서 내용의 진실성 입증을 위해 전문 법칙의 관계에 유의하여 증거 능력에 대한 검토가 필요
디지털 증거도 적절한 조건을 갖출 경우 전문법칙의 예외로 적용

5) 전문법칙의 예외의 디지털 증거

주로 컴퓨터에 의해 생성된 증거 (생성 증거)
컴퓨터 시스템이 작동하면서 자동적으로 기록, 저장되는 디지털 증거들
시스템 로그 파일, 이벤트 기록 및 인터넷 웹 히스토리, 파일 등
이러한 디지털 데이터 자체가 증거로서 제출되는 경우에는 진술 증거가 아니므로 전문 법칙이 적용될 여지 없음
또한 진정성, 무결성, 신뢰성 등이 인정되면 일반적으로 증거 능력 인정

6) 진술 증거로서의 디지털 증거(전문 여부 판단 필요)

주로 컴퓨터에 저장된 증거 (보관 증거)
대부분 진술 증거로서 전문 법칙 적용
전자 문서로 된 비즈니스 기록은 진술 증거임에도 일정 요건이 만족되는 경우 전문 법칙의 예외로 인정

(6) 형사소송 절차

수사는 기본적으로 임의수사와 불구속수사를 원칙으로 하며, 수사기관은 법원의 영장을 전제로 강제수사를 할 수 있다.

6-1. 임의수사 절차

1) 강제처분법정주의

수사에 관해 그 목적 달성을 위해 필요한 조사를 할 수 있음

2) 임의 동행

수사기관이 피해자의 동의를 얻어 피의자와 수사기관까지 동행하는 것

3) 승낙 또는 동의에 의한 경우

일반적으로 임의수사는 상대방의 승낙을 전제로 포기 가능

4) 함정 수사

범죄의 실행에 필요한 기회를 제공하여 범죄 실행을 기다렸다가 체포

5) 피의자 신문

수사에 필요할 때 피의자 출석을 요구하여 진술을 들을 수 있음

6) 진술권의 고지

헌법 제 12조 제 2항은 '누구라도 자기에게 불리한 진술을 강요당하지 아니한다.'고 규정

7) 참고인 조사

수사에 필요한 때는 피의자가 아닌 출석을 요구하여 진술을 들을 수 있고 피의자가 아닌 자를 참고인이라 함

8) 감정, 통역, 번역의 위촉

9) 사실 조회

6-2. 강제 수사 절차

대물적 강제 처분 : 증거물을 수집하기 위한 강제 처분을 뜻함

1) 영장에 의한 압수 / 수색

압수 증거물이나 몰수가 예상되는 물건의 점유를 취득하는 것
강제적 점유인 압수
임의적 이전인 영치를 합하여 통칭 압수라 함
수색은 압수할 물건이다 피의자 발견을 위해 사람의 신체, 물건 또는 주거 기타 장소에 대한 강제 처분을 뜻함
일반적 / 탐색적인 압수 / 수색은 금지되고, 압수 / 수색에 대한 대상과 장소는 특정되어야 함

2) 영장에 의하지 않은 압수 / 수색

2-1) 사후 영장을 요하지 않은 경우

타인의 주거나 타인이 간수하는 가옥에서 피의자 수사, 유류물(남겨진 물건)이나 임의 제출물들의 영치, 동의에 의한 압수 수색

2-2) 사후 영장이 필요한 경우

체포 또는 구속 현장에서의 압수나 수색
범죄 장소에서의 압수, 수색, 검증
긴급 체포된 자의 소지 보관물
특수기록 매체 포함 (컴퓨터), 48시간 이내에 압수 / 수색 영장 청구해야 함
영장을 발부 받지 못한 때에는 즉시 반환해야 함

컴퓨터 등을 압수하는 과정에서 우연히 발견된 다른 죄의 증거임이 명백한 증거물에 대해서 피의자를 현행범으로 체포하면서 압수할 수 있다.

그리고 이 경우에는, 압수의 필요성이 있는 경우에는 당연히 사후 압수 / 수색 영장을 발부 받아야 한다.

3) 검증 / 감정

검증은 사실 확인을 위해 장소나 물건 또는 사람의 인체에 관해 오감을 통해 감지하는 강제 처분이며, 강제 처분이란 점에서 압수 수색과 같이 영장에 의해야 하고, 검증은 그 자체가 검증 조사
감정은 툭별한 지식, 경험을 가지고 있는 자로부터 구체적 사실에 적용하여 얻은 판단을 보고

(7) 증거 법칙

증거는 사실을 인정하기 위한 근거로서 정보를 전달해 주는 것이며, 증명의 3원칙은 다음과 같다.

1) 증거재판주의

형사소송법 제 307조는 '사실의 인정은 증거에 의하여야 한다.'라고 규정하여 증거재판주의를 선언
증거재판주의는 실체 진실을 발견하기 위한 증거법의 기본 원칙
민사 소송에 있어서는 당사자가 자백한 사실(다툼이 없는 사실)에 대해서는 증명을 요하지 않는다(민소법 제 261조)
그러나 실체진실주의가 적용되는 형사 소송에 있어서는 자백한 사실 일지라도 그 사실은 증거에 의하지 아니하면 인정할 수 없음

2) 검사의 거증 책임

공소가 제기된 범죄 사실에 대한 증명 책임은 검사에게 있음

3) 자유심증주의

증거의 증명력을 평가할 때 아무런 제한이나 구속력을 두지 않고 오로지 법관의 자유로운 판단에 맡기는 주의

(8) 과학적 증거의 허용성

과학적 증거의 허용성 인정을 위해서는 과학적 검사 기술의 타당성이 인정되어야 한다.

새로운 기술의 경우 당사자의 입증, 전문가의 증언에 의한 인정이 필요한 경우가 많다.

두 가지의 판결 기준이 있으며, 다음과 같다.

8-1. frye 기준

거짓말 탐지기 결과를 증거(과학 분석 결과)로 사용하지 않은 사례
특정 분야에 있어서 일반적인 승인을 얻은 충분히 확증된 것이어야 함
지문, DNA 검증과 같이 보편적인 승인을 얻어야 함
법원이 과학적 사실에 관하여 사실로 받아들이기 위한 요건으로는 적절하지만 기준이 너무 엄격

8-2. Daubert 기준

8인의 전문가를 통해 진행된 실험실 테스트 결과를 증거로 제시
이전까지 frye 기준을 사용하였지만, 어느 사건 이후로 frye를 폐기하고 새로운 기준 제시

Daubert 기준에 대한 판단 제시 사항은 다음과 같다.

1) 문제된 여론과 기술이 검증될 수 있고 검증된 바가 있는지 여부

2) 동료에 의해 평가되거나 출판된 적이 있는지

3) 잘 알려진 또는 잠재적 오류율이 있는지

4) 문제된 이론과 기술의 운용을 통제하는 기준의 존재 및 지속성 여부

5) 과학적 공동체 내에서 일반적 기법이나 이론을 수용하는지 여부

과학적 증거의 사용이 계속하여 전문적이고 새로워지는 현실에서 일반적 승인을 받기까지 기다리고만 있을 수 없기에 과학적 공동체 내에서 일반적으로 수용한다면 인정하는 기준이지만, 너무 완화해서 인정하는 것은 위험하다.

(9) 통신제한조치와 개인정보보호

9-1. 통신제한조치

1) 우편물의 검열

당사자의 동의 없이 개봉하거나 기타 방법으로 내용을 알아내는 것

2) 감청

타인의 대화를 녹음하거나 전자 장치 또는 기계적 수단을 이용하여 청취하는 것
상대 동의 없이 녹음하는 것은 증거로 사용 가능
그러나 제 3자의 경우 통신하는 모두의 동의를 받지 않는 한 위법한 감청에 해당

9-2. 개인정보와 수집제한

1) 개인정보

개인에 관한 정보로 성명, 주민등록번호 뿐만 아니라 둘 이상의 정보로 개인을 특정할 수 있는 정보를 의미
개인정보처리자는 개인정보 수집할 경우 최소한의 개인정보를 수집해야 함
입증 책임은 개인정보 처리자가 부담

2) 민사절차상 전자적 증거

형사소송과 달리 자유심증주의를 채택하기에 원칙적으로 증거 능력의 제한은 없음
위법하게 수집한 증거는 원칙적으로 증거 능력이 없으나 민사소송에서는 법원의 재량에 맡김

# Reference

http://www.yes24.com/Product/Goods/8511539

https://blog.naver.com/PostView.nhn?blogId=bitnang&logNo=220692059829&parentCategoryNo=&categoryNo=38&viewDate=&isShowPopularPosts=true&from=search

저작자표시

'Digital Forensics > Forensic Theory' 카테고리의 다른 글

[Digital Forensic] 이미지 포렌식 (0)	2020.05.18
[Digital Forensic] 클라우드 보안과 디지털 포렌식 (0)	2020.05.17
[Digital Forensic] 디지털 포렌식 어카운팅 (0)	2020.05.11
[Digital Forensic] 디지털 포렌식 준비도 (0)	2020.05.11
[Digital Forensic] E-Discovery 전자증거개시제 (0)	2020.05.10

Yum_Yum