디지털 포렌식 5대원칙

디지털 포렌식이란?

사이버 범죄 수사에 활용되며 컴퓨터와 인터넷을 통한 정보의 흐름을 조사하고 범죄 사실에 대한 증거를 확보하는 기술이 디지털 포렌식이다.

크게 증거 수집 -> 증거 분석 -> 증거 제출로 구분된다.

증거 수집은 컴퓨터 메모리, 하드디스크 드라이브 USB 메모리 등 저장 매체에 남아 있는 데이터를 취합하는 것 인데, 원본 데이터가 손상되거나 변형되지 않아야 하기 때문에 원본 데이터의 무결성을 보장하는 이미징 기술등을 사용한다.

증거 분석 단계에서는 수집된 데이터에서 수사에 필요한 유용한 정보를 끌어내기 위해 자세히 분석한다. 일부 데이터는 숨겨져 있을 수 있기 때문에 삭제된 파일을 복구하거나 암호화된 파일을 해독하는 기술 등이 활용된다.

마지막으로 이런 과정을 통해 입수된 디지털 증거가 법정 증거로 채택되기 위해서는 증거 자료의 신뢰성을 확보한다. 이를 위해 법률적으로 디지털 포렌식에 대한 표준 절차뿐 아니라 증거 수집 및 분석에 사용된 포렌식 툴에 대한 검증 절차도 이뤄진다.

디지털 포렌식 5대원칙

1.정당성의 원칙

- 획득한 증거 자료가 적법한 절차를 준수해야 하며, 위법한 방법으로 수집된 증거는 법적 효력을 상실한다.

2. 무결성의 원칙

- 수집 증거가 위/변조되지 않았음을 증명할 수 있어야 한다.(Hash)

3. 재현의 원칙

- 같은 조건과 상황에서 항상 같은 결과가 나오도록 재현할 수 있어야 하고, 수행할 때마다 다른 결과가 나온다면 증거로 제시할 수 없다.

4. 신속성의 원칙

- 휘발성 증거의 수집 여부는 신속한 조치에 의해 결정되므로 모든 과정은 지체없이 진행되어야한다.

5. 관리 연속성의 원칙(Chain of Custody)

- 증거물 획득 -> 이송 -> 분석 -> 보관 -> 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야한다.