디지털 증거(Digital Evidence)란?

디지털 포렌식을 공부하기에 앞서 꼭 알아야 할 단어가 있습니다. 바로 디지털 증거(Digital Evidence)인데요, 이번 글에서 디지털 증거에 대해 자세히 다루어볼 예정입니다:)

 

 

♠ 디지털 증거(Digital Evidence)

 디지털 증거는 물리적 증거와 같이 사건과 사고의 원인이 되기도 하며, 도구가 되기도 하고, 때론 그것의 대상이 되기도 합니다. 시간이 지나면서 컴퓨터에 관한 기술이 급속도로 급증하면서 수사기관을 중심으로 범죄 현장에서 도움이 되기 시작하였고, 현재는 컴퓨터와 스마트폰, 데이터베이스, 인터넷 등 거의 모든 정보시스템을 아우르는 등 디지털 포렌식의 저변이 크게 확산하고 있습니다.

 이러한 디지털 증거는 이것을 다루는 기술과 절차를 지칭하는 디지털 포렌식과 함께 실체적 진실을 규명하는 데 반드시 필요한 과학적 조사 방법론의 핵심 개념이 되었습니다.

 

디지털 증거란?

 디지털 형태로 저장되거나 전송되는 증거 가치가 있는 정보를 말합니다. 흔히 전자 증거라고도 불리며 전자기기에 저장되어 있거나, 전자기기에 의해 전송되는 증거 가치가 있는 정보를 말합니다. 따라서 디지털 증거는 사용자가 개입하였는지에 따라 컴퓨터가 자동으로 생성한 증거와 컴퓨터에 저장된 증거로 나뉘게 됩니다.

 

컴퓨터가 생성된 증거

- 컴퓨터가 운영체제를 포함한 시스템의 모든 것을 유지하고 관리하기 위한 데이터.

- 시스템 로그가 대표적임.

- 사용자가 개입하여 작성한 데이터에 대한 출처 증명이나 진위 판정 등의 용도로 활용됨.

 

컴퓨터에 저장된 증거

- 컴퓨터 사용자가 인식하는 상태에서 생성하고 저장한 데이터.

- 사용자가 법정에서 자신의 것임을 인정하는 경우에만 법적으로 유효한 증거가 되는 경향이 있음.

- 혐의자의 진술이나 객관적 증거를 확보 및 신뢰할 만하다는 사실까지 입증해야 됨.

 

범죄와의 관계

● 범죄의 도구로서의 디지털 증거

 해킹 사건에서 공격자의 시스템이나 문서의 위변조에 이용된 컴퓨터는 각각 해당 범죄의 도구로 이용된 디지털 증거이며, 해킹 공격과 위변조라는 혐의자의 행위를 분석해야 하므로 디지털 디바이스 전체에 대한 획득을 전제로 합니다.

 

● 범죄의 목표가 된 디지털 증거

 해킹 사건에서 피해 시스템이나 데이터 절취 사건에서 목표가 된 데이터가 포함된 디지털 디바이스가 대표적이며, 침해로 인한 피해이 흔적에 대한 조사와 피해 복구가 함께 고려되어야 하는 특징이 있습니다.

 

● 데이터가 기록된 장소로서의 디지털 증거

 어떤 범죄이든 사건과 직접적으로 관련이 없는 제3자의 디지털 디바이스는 단순히 사건과 관련된 데이터가 기록된 장소로서의 의미만을 갖습니다.

 

 

♠ 디지털 증거의 특성

 전통적인 증거와는 달리 그 존재하는 형식에 의해 디지털 증거 특유의 속성이 있습니다. 디지털 증거는 증거로 사용되는 정보가 그것을 포함하는 기기나 매체와는 상관없이 독립적으로 존재하며, 디지털 증거를 구성하는 데이터는 2진 데이터를 기반으로 존재하여 그것을 인식하는 데 별도의 도구가 필요합니다. 또한 데이터의 위변조, 인멸, 훼손에 매우 취약하며, USB 메모리 한 개에 수백 기가바이트에 이르는 대량의 데이터를 저장할 수 있을 정도로 저장 용량이 매우 큽니다.

■ 독립성

■ 비가시성

■ 취약성

■ 복제 용이성

■ 대량성

 

 

♠ 디지털 증거의 4대 원칙

● 진정성

  디지털 증거가 증거로서 자격을 갖추고 있음을 증명할 것을 요구합니다. 증거로 제시되는 데이터는 혐의자가 특정 일시에 생성한 바로 그것이라는 사실을 입증할 필요가 있어, 디지털 포렌식 분석관은 발견되거나 확보한 디지털 증거를 철저하게 문서화하여야 하며, 이를 '연계 보관 문서'라고 합니다.

 

● 무결성

 디지털 증거가 과학적 증거로서 자격을 갖추기 위해서는 무결성을 입증해야 합니다. 디지털 증거를 획득하는 시점에 계산된 해시값과 검증의 시점에서 재계산한 해시값을 비교하는 방법으로 무결성을 검증하는 것이 일반적입니다.

 

● 동일성

  디지털 증거의 '동일성'은 원본인 디지털 증거와 같은 증거가 법정에 제시되어야 한다는 것입니다. 특히 공공영역에서 수사기관의 압수수색 집행과 법정에서의 증거 제출 시 강조되는 개념입니다. 디지털 증거가 회득 시점부터 법정 제출될 때까지 변경 또는 훼손되지 않아야 한다는 점을 강조하나, 그것만으로는 디지털 증거의 증거능력을 입증하기가 곤란한 상황이 있을 수 있습니다.

 

● 신뢰성

  디지털 증거가 과학적으로 유효한 증거가 되기 위해서는 디지털 증거를 취급하는 과정에 개입된 인적 또는 물적 자원, 관련 절차는 신뢰할 수 있어야 합니다. 디지털 증거를 취급하는 인력은 디지털 증거의 특성 이해 및 수집하는 절차와 관련 법 제도를 알고 있어야 하며, 디지털 포렌식 도구를 다룰 수 있어야 합니다. 디지털 증거를 수집하거나 분석하기 위해 사용된 하드웨어와 소프트웨어는 충분히 검증된 것이어야 하며 관련된 시설은 출입 통제, 시스템 보안 등 실험실에 따르는 일정한 안전 기준을 충족하여야 합니다. 또한 위와 같은 제반 요소를 포함하는 규정이나 표준 가이드라인을 세워야 합니다.