증거법

1. 증거법 기본원칙

1) 디지털 포렌식 기본원칙

정당성의 원칙

- 증거는 적법한 절차를 거쳐 얻어져야 한다.

재현의 원칙

- 같은 조건에서는 항상 같은 결과가 나와야 한다.

신속성의 원칙

- 휘발성 정보들은 수사 진행상 신속하게 획득을 하여야 한다.

절차 연속성의 원칙

- 증거물을 '획득 - 이송 - 분석 - 보관 - 제출'의 각 단계에서 담당자와 책임자를 명확히 해야 한다.

- 증거물이 이송 중 물리적 손상을 받았다면 해당 내용을 인수/인계해야 하며, 복구 보고서 작성 등 적절한 조치를 취해야 한다.

무결성의 원칙

- 수집 당시 디스크의 Hash 값과 증거 제출 당시 디스크의 Hash 값이 같음을 증명해야 한다.

 

2) 위법수집증거 배제원칙

- 형사소송법 제308조의2(위법수집증거의 배제)에 따르면 위법(헌법 정신에 반하는 또는 형사소송법 위반)한 절차에 의해 수집된 증거의 증거능력을 인정하지 않는다는 원칙이다.

 

3) 독수독과이론

- 위법하게 수집된 1차적 증거(독수)에 의하여 발견된 새로운 2차적 증거(과실)의 증거능력은 인정할 수 없다는 이론이다.

 

4) 당사자주의(★)

- 소송의 주도적 지위가 당사자에게 있다는 의미로, 필연적으로 탄핵주의(형사재판에서 판사와 검사로 나뉘어져있는 것 의미)와 결합하였고 소송절차뿐만 아니라 소송물에 대해서도 당사자의 처분이 허용된다.

- 소송의 당사자인 원고와 피고 또는 검사와 피고인이 서로 대등한 위치에서 법률적으로 공방을 하고 법관(판사)은 중립적인 위치에서 심의 판결한다.

 

5) 직권주의

- 법원이 소송의 주도적 지위를 차지하며, 당사자의 청구 또는 주장에 구속을 받지 않고, 직권으로 증거를 수집하고 조사할 수 있다.

- 판사가 소송을 주도하여 진행하고 적극적으로 유/무죄를 심판한다.

 

6) 증거재판주의

- 형사소송법 제307조 증거재판주의로, 사실의 인정은 반드시 감정이나 추측이 아닌 증거에 의해야 하고 범죄 사실의 인정은 합리적인 관점에서 의심이 없는 정도에 이르러야 한다.

 

7) 자백배제법칙

- 위법한 방법에 따라 얻어낸 자백을 유죄인정의 근거로 사용할 수 없도록 하는 원칙으로, 헌법 제12조 제7항에 의하면 피고인의 자백이 고문/폭행/협박과 같은 방법으로 진술의 내용이 자의로 진술된 것이 아니라고 인정될 때에는 이를 유죄의 증거로 삼거나 이를 이유로 처벌할 수 없다고 헌법상의 원칙으로 삼고 있고 형사소송법 제309조에도 위의 내용을 규정하고 있다.

 

8) 디지털 증거 위법수집 배제법칙

- 형사소송법 제308조의2에 나타나 있다.

- 적법한 절차에 의해 발부된 영장 없이 디지털 증거를 압수하거나, 영장에서 정한 범위와 방법을 위반하여 디지털 증거를 수집하게 되면 법정에서 디지털 증거로의 효력을 발휘할 수 없게 된다.

- 최근에는 압수/수색영장에 의해 수집한 디지털 증거라도 압수/수색의 범위가 범죄와의 관련성을 넘어 지나치게 확장된 때에는 증거 전체를 위법수집증거로 보고 전체 증거를 부정해야 한다는 주장이 힘을 얻고 있다.

 

9) 공판중심주의(★)

- 법관이 공판심리에 의해서만 유죄의 심증을 형성하여야 한다는 원칙으로, 공판기일에 피고인신문과 증거조사에 의해서 공소사실 관계를 형성해야 한다.

 

10) 자유심증주의와 법정증거주의

- 자유심증주의는 형사소송법 제308조(증거의 증명력은 법관의 자유판단에 의한다)로서, 증거의 증명력을 법률로 규정하지 않고 법관의 주관적인 판단으로 시행되는 원칙을 말한다. 실체적인 진실 발견을 위한 장점이 있지만, 법관의 자의가 개입되기 쉬운 단점이 있다.

- 법정증거주의는 법관이 주관적인 판단을 하는 것을 방지하기 위해 고안된 원칙이다. 형사소송법 제307조인 증거재판주의에 따라 증거는 매우 중요하다.

 

11) 무죄추정의 원칙

- 피고인의 범죄에 대한 확실한 증거와 증언이 존재한다고 해도 법정에서 유죄로 판결하지 않으면 무죄가 판결된다는 의미이다. 이 원칙에 따라 검사에 의하여 기소된 피고인은 물론 수사기관에서 조사를 받는 피의자도 유죄판결이 확정될 때까지는 누구든지 그를 범죄자로 단정해서는 안 되고, 단순히 수사기관에 의해서 혐의를 받고 있음에 불과하다고 인식하고 대우해야 할 뿐만 아니라, 오히려 적극적으로 무죄라고 추정해 주어야 한다.

 

12) 입증책임(★)

- 거증책임이라고도 하며 법원이 판결을 내리는 판단을 하는 데 있어서 요건사실의 존부가 확정되지 않을 때 당해 사실이 존재하지 않는 것으로 취급되어 받는 불이익을 뜻한다.

- 입증책임은 주장하는 쪽에 있는 것이 일반적이다.

※요건사실: 권리의 발생, 장애, 소멸 등 각 법률효과가 인정되는지 여부는 그 발생요건에 해당하는 구체적 사실 유무에 달려 있으며, 이러한 사실을 요건사실이라 한다.

 

13) 특신상태(★)

- '특히 신빙할 수 있는 상태' 또는 '신용성의 정황적 보장'이란 '진술내용이나 조서 또는 서류의 작성에 허위개입의 여지가 거의 없고 그 진술내용의 신빙성이나 임의성을 담보할 구체적이고 외부적인 정황이 있는 경우'를 말한다.

- 특히 신빙할 수 있는 상태에서 원진술자의 진술이나 서류의 작성이 이루어졌는가의 여부는 진술내용뿐만 아니라 진술 경위 및 진술 전후의 정황 등을 종합적으로 고려해서 판단하여야 한다. 특히 신빙할 수 있는 상태의 존재에 대해서는 검사가 구체적으로 증명하여야 하지만 소송법적 사실이므로 자유로운 증명으로 가능하고, 그 심증형성의 정도에 있어서는 합리적인 의심이 없는 정도의 증명에 이르러야 한다.

- 형사소송법의 개념으로 전문증거가 증거력을 가지기 위한 요건이다.

 

14) 간접 증거와 직접 증거

간접 증거

- 간접 사실을 증명함으로써 요증사실의 증명에 이용되는 자격이며 지문, 혈흔, 진단서, 증인의 증언이 이에 속한다.

직접 증거

- 직접 요증사실의 증명에 이용되는 증거이며 피고인의 자백, 위조통화, 위조 공문서, 디지털 자료 등이 이에 속한다.

 

15) 관할권

-  주권과 영토를 기준으로 재판 관할권을 결정해야 하며 속지주의, 속인주의, 보호주의, 보편주의, 효과주의 또한 고려되야 한다.

속지주의(Territorial Principle)

- 행위와 사실이 발생한 장소를 근거로 행사되는 관할권이다.

- 국가가 영역에 대한 주권을 가졌음을 근거로 한다.

- 국제법상 널리 인정되고 있는 입장이다.

속인주의(Nationality Principle)

- 국가는 그 국적을 보유하고 있는 자에 대해 관할권을 행사하는 것이다.

보호주의(Protective Principle)

- 한 국가의 중요한 법인 국가안보, 독립, 보전 등을 침해하는 외국인에 대해 국가의 관할권을 행사할 수 있다는 것이며, 대다수의 국가가 사이버공간에서 보호주의를 관할권의 근거로 주장한다.

보편주의(Universal Principle)

- 특정 행위에 대해서는 행위자의 국적, 행위지를 고려하지 않고 모든 국가가 관할권을 행사할 수 있다.

효과주의(Effects Principle)

- 한 국가에서 행위가 완성되었지만, 그로 인해 타국에 간접적인 피해가 발생하는 경우, 그러한 행위 규율을 위한 관할권의 기초를 의미한다.

 

16) 헌법 제27조(★)

헌법 제27조 1항(재판을 받을 권리)

- 모든 국민은 헌법과 법률이 정한 법관에 의하여 법률에 의한 재판을 받을 권리를 가진다.

헌법 제27조 2항(군사재판과 민사재판의 분리)

- 군인 또는 군무원이 아닌 국민은 대한민국의 영역 안에서는 중대한 군사상 기밀/초병/초소/유독음식물공급/포로/군용물에 관한 죄 중 법률이 정한 경우와 비상계엄이 선포된 경우를 제외하고는 군사법원의 재판을 받지 아니한다.

헌법 제27조 3항(신속한 재판을 받을 권리)

- 모든 국민은 신속한 재판을 받을 권리를 가진다. 형사피고인은 상당한 이유가 없는 한 지체 없이 공개재판을 받을 권리를 가진다.

헌법 제27조 4항(형사 피고인의 무죄 추정의 원칙)

- 형사피고인은 유죄의 판결이 확정될 때까지는 무죄로 추정된다.

헌법 제27조 5항(형사 피해자의 공판 진술권)

- 형사 피해자는 법률이 정하는 바에 의하여 당해 사건의 재판절차에서 진술할 수 있다.

 

2. 디지털 증거 효력

1) 디지털 증거의 종류

- 디지털 증거를 분류하는 형태는 디지털 증거능력에 관한 규정 작용을 염두에 두고 구분한 경우가 많다. 그러나, 중요한 것은 수집된 증거가 진술증거인지 아니면 비진술즈억인지 혹은 진술증거라 할지라도 전문증거인지 원본증거(비전문증거)인지에 따라 구분해야 한다.

존재형식에 따른 분류

• 휘발성 증거
  - 특정한 프로그램이 실행될 때만 컴퓨터에 저장되어 있고, 프로그램 혹은 컴퓨터가 종료되면 사라지는 데이터를 의미
• 매체에 저장된 증거
  - 하드디스크, CD-ROM 등과 같이 물리적 매체에 데이터 형식으로 저장된 증거를 의미
• 전송 중인 증거
  - 데이터 통신망을 통해 통신 프로토콜을 사용하여 네트워크를 통해 전송되고 있는 형태

휘발성 정도에 따른 분류

• 휘발성 정보
  - 네트워크 장비 및 유무선 통신 매체를 통해 전송 중인 정보 혹은 RAM(Random Access Memory) 형태를 의미
• 준 휘발성 정보
  - 휘발성 메모리에 저장되지는 않지만, 운영체제 종료 여부에 따라 사라지는 정보를 의미
• 비휘발성 정보
  - 컴퓨터 전원이 꺼지더라도 계속 유지되는 정보를 의미

증거로서의 의미에 따른 분류

• 존재 자체가 유죄인 증거
  - 정품이 아닌 불법 프로그램, 타인의 동의 없이 촬영된 영상/사진 파일, 위조된 전자문서, 국가보안법 위반 내용이 포함된 전자문서, 기업 영업 비밀이 포함된 전자문서 등을 의미
• 내용이 유죄인 증거
  - 범죄와 관련하여 피고인이 작성해 놓은 메모 등과 같은 파일

 

2) 증거의 정의와 종류

- 증거란 일반적으로 어떤 사실의 진위를 가리는 데 사용하는 수단이다.

물리적 증거

- 실제로 존재하는 증거이며, 눈으로 볼 수 있고 만질 수 있는 물건

직접 진술

- 사건을 목격한 사람의 경험에 의한 증언

정황 증거

- 개인적 관찰에 기반을 둔 증거는 아니지만, 결론을 이끌어 내는데 도움을 주는 관찰이나 지식

디지털 증거

- 증거를 압류한 시점에서 물리적 항목과 객체, 이미징 된 자료 포함

 

3) 디지털 증거의 특징

잠재성(Latent)

- 내용 확인을 위해서는 판독장치가 필요

- Browsing, Data Viewing 기술 필요

취약성(Fragile)

- 위/변조 및 삭제 용이

- 디지털 증거 무결성 확보를 위한 절차 및 기술이 필요

복제성(Duplication)

- 원본과 사본의 구분의 어려움

- 파일 시스템과 파일의 메타데이터 분석 기술이 필요

대량성(Massive)

- 방대한 자료

- 파일 식별, 빠른 검색, 미리 보기 기술이 필요

다양성(Various)

- 수많은 형태를 가지며 일부 상호변환 가능

- 파일 포맷 변환, 각 포맷에 따른 분석 기술 필요

 

4) 재판에서 적용되는 증거의 의미

- 재판은 사건의 구체적인 사실을 기반으로 판단되며, 사실관계를 증명하기 위해서는 과거에 있었던 어떤 사건의 사실을 알려주는 매개체가 필요한데 이 매개체를 증거라고 부른다.

- 형사절차에서 심판대상인 피고인과 범죄사실을 구체적으로 확인하는 과정이 필수적인데, 이 사실관계의 확인 자료가 증거가 되는 것이며 증거에 의해 사실이 확인되는 과정을 증명이라고 한다.

 

5) 위법수집증거 배제법칙에서 유의 사항 항목

영장주의 적용 관련

- 해당 증거수집이 임의수사인지 강제수사인지 확인

- 영장주의의 예외 해당 여부 확인(형사소송법 제216조, 제217조, 제 218조)

영장 집행의 범위 및 방법 준수 여부

- 영장에 기재된 증거물의 장소, 대상, 방법에 대해 증거수집 시 확인

범죄 관련성의 문제

- 압수, 수색 과정에서 혐의사실이 된 범죄와 객관적 관련성, 주관적 관련성이 있는 것으로 대상을 한정하는 조치가 있었는지 여부

참여권 보장 및 통지 여부

- 형사소송법 제121조, 제123조, 제124조의 참여권 보장 여부

- 형사소송법 제122조, 제106조 제4항, 제107조 제3항, 통신비밀보호법 제9조의3의 통지의무 이행 여부

위법수집증거 배제법칙의 적용 예외 사유 해당 여부

- 판례 : 2007도3061, 2011도12407, 2013도7101, 2014도 10978

 

6) 디지털 증거의 특성

매체 독립성

디지털 데이터는 복제가 용이하기 때문에 디지털 증거는 사본과 원본의 구별이 쉽지 않다는 점이다. 값이 같다면 어느 매체에 저장되어 있든지 동일한 가치를 가지며, 디지털 증거는 사본과 원본의 구별이 불가능하다.

비가독성

디지털 저장매체에 저장된 디지털 데이터 자체는 사람의 지각으로 바로 인식이 불가능하다는 특성을 지녔다는 점이다. 따라서 일정한 변환 절차를 거쳐 모니터 화면으로 출력되거나 프린터를 통해 인쇄된 형태로 출력됐을 때 가독성을 갖도록 해야 한다.

취약성 

디지털 데이터는 삭제, 변경 등이 용이하다. 이는 조사자에 의한 증거 조작의 가능성이 커진다는 의미로, 무결성, 진정성에 취약할 수 있다.

대량성

대형 서버 시스템이나 파일 서버가 조사 대상일 경우 수집해야 하는 데이터양이 방대하다. 이러한 특성을 감안해 형사소송법 106조 3항에서는 데이터의 선별 압수가 명시돼 있다.

초국경성

디지털 환경은 각각의 컴퓨터가 고립돼 있는 것이 아니라 인터넷을 비롯해 각종 네트워크를 통해 서로 연결되어 있다. 디지털 데이터는 공간의 벽을 넘어 전송되고 있으면, 그 결과 재판관할권을 어느 정도까지 인정할 것인지 국경을 넘는 경우 국가의 주권문제까지도 연관된다. 따라서 원격 압수의 절차와 이에 대한 신뢰성 확보가 필요하다.

전문성

디지털 데이터의 수집과 분석에도 전문적인 기술이 사용된다. 이 때문에 디지털 증거의 수집, 분석 등에 있어 포렌식 전무가는 필수이다.

휘발성

휘발성 데이터는 조사 시점의 상태를 판단할 수 있는 중요한 역할을 한다. 이에 디지털 증거 수집 과정에서 사라지지 않도록 각별히 주의해야 한다는 점이다.

 

7) 디지털 포렌식에서 무결성 입증을 위한 절차

- 하드디스크 등의 저장매체를 압수한 뒤, 피의자의 서명을 받아 봉인한다.

- 서명, 봉인 과정을 동영상으로 녹화한다.

- 피의자가 입회한 상태에서 봉인을 푼 다음에, 인케이스(EnCase)와 같은 인증된 포렌식 도구를 사용하여 압수한 저장매체에 대한 이미지 파일을 생성한다.

- 별도의 저장장치에 이미지 파일을저장한다.

- 쓰기 방지 장치를 이용하여 압수한 저장매체를 연결하여 이미지 파일 생성을 수행하고, 이에 대한 해쉬를 계산하여 피의자가 해쉬값이 기재된 서면에 서명하게 한다.

- 피의자가 공판과정에서 무결성을 부정하는 경우에는 압수한 저장장치의 해쉬 값과 이미지 파일의 해쉬 값을 비교할 수 있도록 법원에 검증을 요구한다.

 

8) 무결성 입증을 위한 해쉬함수

- 디지털 증거를 획득(하드디스크 이미지)

- 획득한 증거에 대한 해쉬함수 적용

- 해쉬함수의 출력 값을 별도 보관

- 법정에서 디지털 증거의 해쉬 값을 계산하여 별도 보관된 해쉬 값과 비교하여 일치하면 무결성이 입증

 

9) 전문증거

- 전문증거란 사실인정의 기초가 되는 경험적 사실에 대해 경험자 자신이 직접 법원에 진술하지 않고, 타인이나 서면을 거쳐 간접적으로 판사에게 보고하는 것을 의미한다.

- 전문진술 또는 전문증언(경험사실을 들은 타인이 전문한 사실을 법정에서 진술하는 경우), 진술서(경험자 자신이 경험사실을 서면에 기재하는 경우), 진술녹취서(경험사실을 들은 타인이 서면에 기재하는 경우)

- 전문증거는 유죄의 증거로 사용할 수 없다는 전문법칙이 있어서, 대부분은 증거로 인정받지 못한다.

 

10) 디지털 증거가 증거로서의 능력을 발휘하기 위한 능력 요건

진정성(Authenticity)

- 현장으로부터 수집된 증거 데이터의 저장 또는 수집과정에서 오류가 없으며 최초 증거가 저장된 매체에서 법정에 제출되기까지 변경이나 훼손이 없어야 한다.

무결성(Integrity)

- 디지털 증거가 원본 소스로부터 수집되어 보관, 분석되는 과정에서 부당한 수정, 변경, 손상이 없도록 유지해야 하며 이를 검증할 수 있어야 한다.

- 법정 제출 시 디지털 증거를 검증하여 위조 여부를 판별해야 한다. 수집된 증거 데이터가 수집 및 분석과정을 거쳐서 법정에 제출되기까지 최초 수집 때와 비교하여 변경이나 훼손 없이 안전하게 보호되는 것을 이야기한다.

신뢰성(Reliability)

- 수집된 증거 데이터의 분석 등 처리 과정에서 디지털 증거가 위/변조되지 않았고 의도되거나 의도되지 않은 오류를 포함하지 않음을 의미한다.

원본성(Originality)

- 수집된 증거 자체적으로 가시성과 가독성이 없는 디지털 증거를 변환하여 제출하는 과정에서 제출되는 증거 데이터가 원본 매체에 있는 데이터와 동일함을 의미한다.

 

[참고]

이별 등 7명 - 문제로 배우는 디지털포렌식

보안뉴스