2014년 4월 23일 수요일

PFP 소개(2) - 디지털 증거

Page info


PFP 소개(2) - 디지털 증거(본포스트)
PFP 소개(4) - 디지털 포렌식 기술 지원 플랫폼 PFP















지난 글에서는 디지털 포렌식 전문가에 관해 알아보았다. 

이번에는 디지털 포렌식 전문가라면 누구나 한 번쯤 짚고 넘어가야 하는 '디지털 증거'에 관해 잠시 알아보자. 

 


디지털 포렌식 전문가와 디지털 증거

초기의 디지털 포렌식은 디지털 데이터를 기반으로 사건의 그림을 그리고 그 내용을 법정에서 입증하기 위한 증거를 채득하기 위해 발달했다. 그렇게 발달한 기술이 현재에는 법조계에 국한되지 않고 침해사고 대응, 보안 감사, 보안사고 예방, 데이터복구 다양한 분야에서 활용되기에 이른다. 

이에 따라, 디지털 포렌식 전문가의 활동 범위도 점차 넓어지고 있으며, 개중에는 디지털 증거 채득과는 전혀 무관한 분야도 존재한다. 

하지만 어떤 분야에서 종사를 하더라도, 디지털 포렌식 기술이 디지털 증거 채득을 위한 목적으로 개발되기 시작한 만큼 디지털 증거에 대한 이해가 바탕이 되어야, 핵심 기술에 대한 이해가 용이하므로 한번 쯤은 그 특징을 살펴볼 필요가 있다.


디지털 증거의 정의

디지털 증거는 컴퓨터 또는 기타 디지털 저장 매체에 저장되거나 네트워크를 통해 전송 중인 자료로 법정에서 신뢰할 수 있는, 증거가치가 있는 정보를 말한다. 

이런 디지털 증거는 여타 증거들과 다르게 0 1 논리적인 조합으로 이루어져 있으며 전기신호 등으로 해석되기 때문에 물리적인 실체가 존재하지 않아 법적 고려사항이 많다. 


보관 증거와 생성 증거

디지털 증거는 크게 보관증거와 생성증거 두가지로 구분된다. 우선 보관증거란, 디지털 증거 중 사람이 직접 작성한 데이터를 의미하며 작성자의 사상, 감정이 표현되어 있는 경우가 많다. 

그리고 생성 증거는, 보관 증거와 다르게 미리 정해진 알고리즘에 의해 작성자가 개입하지 않더라도 여러 가지 디지털 데이터 생성 과정에서 자동으로 생성된 증거를 의미한다. 

하나의 예로, 문서파일이 하나 작성되었을 때, 사용자가 직접 작성한 글과 그림 등의 내용은 보관증거가 된다. 반면, 문서 파일의 생성, 수정시간 정보와 같은 여러가지 속성 정보는 생성 증거가 된다. 

이와 같이 디지털 증거의 유형을 구분하는 이유는, 정당한 법 집행을 위해 보관 증거로 분류되는 내용은, 작성자 동의 없이는 증거로 인정되지 않기 때문이다. 이와 같은 경우 생성증거를 활용해 주변 정황을 파악, 진정성을 입증하여 증거로 사용 해야한다.

다시 예를 들자면, 증거가 문서파일의 내용(보관 증거)을 작성, 수정한 혐의를 입증하려 , 용의자가 혐의를 부인 한다면, 용의자의 알리바이와 컴퓨터 사용 흔적, 그리고 해당 시간대의 문서 파일 수정 시간 정보(생성 증거)등을 종합하여 혐의를 입증하는 것이 이에 해당 한다. 



디지털 증거의 특성

디지털 증거는 여타 증거들과 다르게 아래와 같은 특징을 가진다. 

  • 비가시성눈에 보이지 않는 0 1 논리적인 조합으로 디지털 매체에 저장되어 있음
  • 변조가능성전산상 오류나 의도적인 변조가 상대적으로 쉬운 , 또한 변조 사실을 입증하기 어려워 조작 논란에 휩싸이는 경우가 많음
  • 복제용이성원본과 동일하게 복제하는 것이 가능하며, 원본과 동일한 복제본은 증거 능력을 가짐
  • 휘발성운용중인 시스템에는 시간 내에 영원히 소실되는 휘발성 데이터가 존재, 신속한 수집 필요
  • 대규모성과거 서버 군에서도 이미 GB, TB이상의 정보를 저장 왔으며, 2010 이후로는 빅데이터로 불리는, 크기를 가늠하기 힘든 데이터 처리 기술이 이슈가 될 만큼 대용량 데이터를 처리하고, 사건에 관련된 데이터를 빠르게 분류해내는 기술이 각광 받게
  • 초국경성인터넷으로 세계의 네트워크가 연결되고, 클라우드 서비스가 등장하며, 디지털 데이터는 생성하는 자의 국가에 종속되지 않고 원거리에 저장되어 있는 경우가 많음. 따라서 전산, 해킹사고에서는 국가간의 공조 수사가 요구되거나 재판 관할권의 문제가 종종 발생함

특히 초국경성, 복제용이성과 같은 특징은 디지털 시대 이전에는 고려될 필요가 없었던 내용이기에, 디지털 시대에 알맞는 법 집행을 위해 관련 법제도 전문가들이 지속적으로 보완하고 있다.

디지털 포렌식 기술 역시 위와 같은 디지털 증거의 특징을 모두 고려하여 개발되고 있으며, 디지털 데이터에 대한 분석 결과가 정당성을 입증받을 수 있도록 하기 위한 노력이 앞으로도 꾸준히 이어질 전망이다.


증거능력 보존에 관하여

디지털 증거는 앞서 설명한 특성 변조가능성에 따라 법정에서 종종 증거에 대한 신뢰성 문제가 발생하게 된다. 

물론, 디지털 데이터에 대한 신뢰성을 문제 삼으려면, 데이터가 조작되었다는 정확한 근거가 필요하다.

하지만 어떠한 상황에도 대비하기 위해, 디지털 포렌식 전문가는 각각의 조사 수행 과정에서 무결성 보장을 위한 장치를 마련하는 등, 항상 증거의 수집과 분석 과정에서 데이터가 변조, 조작되지 않았음을 입증할 수 있도록 노력해야 한다. 

단, 침해사고 조사와 같이 사고 원인 규명 및 대응책 마련 목적으로 신속한 조사가 필요한 경우에는 데이터 무결성에 관한 고려가 생략되기도 한다.

댓글 없음:

댓글 쓰기

질문이나 조언은 언제든 환영입니다.
악의적 댓글이나 무조건적인 비방은 삼가주세요.