디지털 증거

제 4장 디지털 증거

- 전자 증거(electronic evidence) : 전자기기에 저장되어 있거나 전자기기에 의해 전송되는 수사상 가치가 있는 정보

- 디지털 증거(digital evidence) : 0과 1이라는 디지털 형태로 저장되거나 전송되는 증거가치를 지니는 정보

컴퓨터 또는 기타 디지털 저장 매체에 저장되거나 네트워크를 통해 전송 중인 자료로서 법정에서 신뢰할 수 있는, 증거가치가 있는 정보

1. 디지털 증거의 유형 및 특성

• 유형 구분

- 매체의 종류로 구분하는 방법

- 증거의 내용에 따라 구분하는 방법

- 법적 효력에 의해 구분하는 방법

- 디지털 정보의 휘발성 정도에 따라 구분하는 방법

디지털 데이터 : 사람이 입력한 데이터(contents) + 메타 데이터(파일명, 해쉬값, 타임스탬프 등 디지털 데이터를 식별하거나 분류하는데 도움이 되는 모든 부가적인 정보)

 → 보관증거 : 디지털 기기에 저장된 증거

 → 생성증거 : 디지털 기기에 의하여 자동으로 생성된 증거

(생성주체를 중심으로 디지털 증거를 구분하면 

보관 증거 -> 사용자 생성 증거

생성 증거 -> 시스템 생성 증거)

• 디지털 데이터의 특성
  

 디지털 데이터는 0과 1의 나열이므로 출력 장치에 의해 사람이 인식할 수 있는 형태로 변환되어야 의미가 있음

이로 인해 포렌식 도구를 사용해야 하는데 신뢰성이 입증된 도구 사용을 권하며, 새로 개발하였거나 다른 환경에서 사용할 때는 반드시 신뢰성을 검증해야 함

 → 진본 : 디지털 데이터 복제를 할 때 특별한 소프트웨어를 사용하면 변경 이력이 생성되지 않도록 할 수 있음

이러한 모든 내용이 동일한 것을 진본이라 함

 → 원본 : 디지털 데이터는 주 기억 장치나 네트워크상에서 일시적으로 존재하여 전원이 차단되면 사라지는 특성이 있음

 따라서 디지털 포렌식 조사를 할 때에는 조사하고자 하는 데이터를 수집한 후부터 최종 결론이 도출되기가지 변경되지 않도록 보존 조치를 취해야 함

 이처럼 디지털 포렌식 조사를 할 때에는 디지털 증거가 수집 이후에 원본이 변경, 훼손되지 않았다는 무결성을 보장하는 것이 중요

• 디지털 데이터의 보관 특성

- 저장 매체에 많은 용량의 데이터 존재

- 다른 성격의 데이터가 혼재되어 있을 가능성이 높음

- 공간상의 제약이 없음

- 특정 데이터가 외국에 있는 경우 사법관할권 문제가 발생하고, 현재의 법률체계에서는 압수 수색 불가능

2. 디지털 증거의 증거능력

 디지털 증거가 법정에서 유효한 증거로 인정받는다는 것은 해당 디지털 증거가 증거능력(admissibility)이 있고, 충분한 증명력(weight)을 갖는다는 것

 법정에서 제출하는 증거는 진정성과 무결성이 보증되어야 증거능력 확보 가능

 국내에서는 위법수집증거배제원칙과 전문법칙에 따라 증거 능력 인정 여부 결정^[각주:1]

• 위법수집증거배제원칙

 : 위법한 절차에 의하여 수집된 증거의 증거능력을 부정하는 원칙

 미국 연방대법원의 판례를 통하여 형성된 이론으로 미국 헌법에서 보장하고 있는 적법절차를 보장하고 피의자의 인권을 보호하기 위한 목적

 국내에서는 2008년 1월 1일 개정된 형사소송법 내 308의2조에 “적법한 절차에 따르지 아니하고 수집된 증거는 증거로 할 수 없다”라고 명확히 규정

 

• 전문법칙(傳聞法則, Hearsay Rule) (=전문증거배제법칙)

전문 : 사실의 진위여부는 알지 못한 상태에서 전해들은 말

전문법칙 : 사실을 입증하기 위해 법정에서 제출된 전문은 증거능력 배제

영미법 체계에서는 전문법칙에 근거하여 디지털 기기에 저장되어 있는 디지털 자료를 전문증거로 판단하여 증거능력을 인정하지 않는 경우가 많음

- 미국 연방증거규칙과 국내 형사소송법에 의한 전문법칙 예외

첫째, ‘신용성의 정황적 보장’이 성립될 때에는 전문법칙 예외에 해당되어 전문법칙이 적용되지 않는다. 신용성의 정확적 보장이란 해당 진술의 진실성을 담보할 수 있는 구체적인 외부 정황이 있어야 함을 의미한다.

둘째, ‘필요성’ 요건이 성립될 때 전문법칙의 예외에 해당되어 전문법칙이 적용되지 않는다. 필요성 요건이란 전문증거이긴 하지만 동일한 가치의 증거를 얻는 것이 다른 방식으로는 불가능하기 때문에 전문증거라도 사용할 필요가 있을 경우를 말한다.(e.g. 원진술자의 공판정 출석이 어려운 경우)

ⅰ. 비 진술 증거로서의 디지털 증거

: 생성증거는 사람의 사상이나 감정이 개입되지 않고, 디지털 기기에 의하여 자동적으로 생성/기록되는 자료이므로 이러한 디지털 데이터 자체가 증거로서 제출되는 경우 진정성, 무결성, 신뢰성 등이 인정되면 증거능력 인정

ⅱ. 진술 증거로서의 디지털 증거

 : 디지털 파일로 된 비즈니스 기록(Business Record)은 진술증거임에도 일정 요건이 만족되는 경우 전문법칙의 예외로 인정

• 디지털 증거의 증거능력 요건

ⅰ. 디지털 증거의 증거능력을 보장하기 위한 특성

- 디지털 증거가 변경되었는지, 조작되었는지, 생성된 후에 훼손되었는지에 대한 의문을 제기하는 형태  - 디지털 증거를 산출한 프로그램의 신뢰성 문제에 의문을 제기하는 형태  - 디지털 증거에 대한 진술자, 작성자의 신원 확인 문제에 의문을 제기하는 형태

ㄱ. 디지털 증거의 진정성(Authenticity)

: 법정에 제출할 증거가 요증 사실을 설명하기 위한 바로 그 증거라는 사실을 증명하는 것

디지털 증거가 수집 이후 보관단계에서 위조되거나 변조 될 가능성을 없애기 위해 디지털 증거 수집 단계에서 법원 제출 단계에까지 연계보관 로그(Chain of Custody Log)를 기록해야 함

ㄴ. 디지털 증거의 무결성(Integrity)
: 디지털 증거가 원본으로부터 수집되어 보관·분석 되는 과정에서 부당한 수정(alteration), 변경(modification), 손상(damage or destruction)이 없도록 유지되어야 하며, 이러한 수정·변경·손상이 발생하지 않았음을 검증할 수 있어야 한다는 것

디지털 증거의 무결성은 1비트라도 변화가 되었고 결과적으로 해쉬값이 변경되었다면 무결성이 훼손되었다고 봄

ㄷ. 디지털 증거의 원본성과 동일성

: 디지털 증거는 그 자체로는 가기성이 없으므로 가시성이 있는 인쇄물로 출력해야 함

 → 미국의 최량증거규칙(Best Evidence Rules)

: 문서의 원본이 내용증명을 위해 증거로 제출되어야 한다는 것

미연방증거규칙 1002조 “서면, 기록물 또는 사진의 내용을 증명하기 위해서는 원본의 서면, 기록물, 사진이 요구된다.”

원본이 파기되었다면, 복제본이 그 다음 최량증거가 되기도 함(하드 디스크 이미지 증거의 경우에도 적용 가능)^[각주:2]

 → 국내의 원본성 규칙

 : 현행 국내 형사소송법은 최량증거원칙을 채택하고 있지 않으며, 단지 압수한 하드 디스크 등 저장 매체의 원본에 저장된 내용과 출력한 문건이 동일한지 여부가 문제될 뿐임

(이는 일심회 판례를 통해 알 수 있다. 일심회 판례는 이후에 자세히 설명하도록 한다.)

ㄹ. 디지털 증거의 신뢰성(Reliability)

 : 증거 데이터의 분석 등 처리 과정에서 디지털 증거가 위＇변조되거나 의도되지 않은 오류를 포함하지 않았다는 것

 → 디지털 포렌식 표준 가이드라인의 제정 : 디지털 증거가 법적 증거로서 허용되려면 수집·분석되어 최종 보고되기까지 위·변조 되지 않고 무결성과 진정성을 보증해줄 수 있는 표준화된 순서와 절차가 있어야 한다. 따라서 공신력 있는 기관에서 논리적이고 체계화된 디지털 증거 처리 표준가이드라인을 제정할 필요가 있다.

 → 디지털 증거 수집 장비의 검증 : 디지털 포렌식 도구들에 대한 검증을 수행해야 하며, 이를 위해서 검증 항목 및 절차 수립, 디지털 포렌식 도구 검증을 위한 테스트 베드 구축을 통하여 사용자로 하여금 신뢰할 수 있는 도구를 선택할 수 있도록 해야 한다.

 → 디지털 포렌식 조사자의 전문성 : 위의 두 조건, 즉 디지털 포렌식 표준절차에 따라 신뢰성 있는 도구를 사용한다 하더라도 디지털 포렌식 조사자의 자격 및 능력이 보장되지 못했다면 디지털 증거가 법적 증거로 인정되지 못하고 있는 상황이므로, 포렌식 도구 사용능력 및 디지털 증거에 대한 이해와 그 수집 절차의 숙지 여부를 평가하는 조사자 인증 제도를 구축하여 일정 수준 이상의 조사자만이 디지털 증거 수집 작업에 관여할 수 있도록 해야 한다.

 → 디지털 증거 분석 시설의 검증 : 수집된 디지털 증거를 보관하고 분석하는 디지털 증거 분석실의 시설과 인력, 절차가 디지털 증거의 무결성을 보장할 수 있을 만큼 신뢰성이 높음을 보증할 수 있도록 디지털 증거 분석실에 대한 검증과 인정이 수행되어야 한다.

ⅱ. 디지털 증거의 증거능력 보장을 위한 장치

ㄱ. 디지털 중거의 진정성, 무결성 보장 장치

 : 디지털 증거를 수집·보존·분석·법정제출에 이르는 일련의 처리 과정에서 진정성과 무결성이 보장되었음을 증명하고, 각 인수인계 단계마다 진정성과 무결성을 검증할 수 있는 절차로서 연계 보관성(Chain of Custody) 유지 필요

- 증거를 발견하고 수집한 사람, 장소, 일시  - 증거를 취급하고 조사한 사람, 장소, 일시  - 증거를 보관하는 사람, 보관 기관 보관, 보관 방식  - 증거 관리가 변경되었을 때의 이송 방법과 일시

ㄴ. 디지털 증거의 신뢰성 보장 장치

디지털 증거 신뢰성 확보를 위한 제도적 장치

 → 디지털 증거 처리 표준 가이드라인 제정

: 미국 NIST에서 표준화된 디지털 증거 표준 가이드라인 제시하였고, 현재 RFC 3227에서도 디지털 증거 취급에 관한 국제 표준을 선도하기 위해 노력 중

국내에서도 경찰청에서 발표한 ‘디지털 증거 처리 표준 가이드라인’ 有

이를 발전시킨 ‘컴퓨터 포렌식 가이드라인’이 한국정보통신기술협회(TTA) 표준으로 채택

원본 보존, 무결성 보장, 분석 도구의 신뢰성 확보 등 기본 원칙 정의, 증거 수집을 위한 각 단계별 준수사항 명시, 디지털 증거 처리를 위해 필요한 하드웨어 장비, 소프트웨어 도구 정보를 제공하고, 사전준비, 디지털 증거물 수집, 증거 분석 등 각 단계별 절차 제시해야 함

 → 디지털 증거 처리 인력의 신뢰성 인증

: 공판 절차에 디지털 자료가 증거로 제출되는 경우 법원은 디지털 증거의 수집·분석을 수행한 조사자의 전문성 요구, 지식 및 기술에 대한 전문성을 갖춘 자일 것 요구

또 법정에서 전문자 증인(Expert Witness)으로서의 디지털 증거 전문가 의견의 신뢰성 중요

 → 디지털 포렌식 도구의 신뢰성 검증

: 디지털 포렌식 도구 검증제도란 디지털 포렌식 도구가 유효한 결과물을 산출하는지 여부를 평가하기 위한 수단을 제공하는 제도

 디지털 포렌식 도구 검증제도란 : 디지털 포렌식 수사관들은 이 검증제도를 통해 산출된 포렌식 도구들에 대한 보고서를 참조하여 디지털 포렌식 도구의 선정 기준을 확립하며, 변호사와 검사들은 디지털 증거의 객관성을 증명하기 위한 자료로 활용할 수 있다. 이러한 제도를 통해 조사자가 다양한 도구를 이용하여 조사를 수행함에 있어 도구 선택에 대한 혼란을 예방할 수 있으며, 디지털 증거 처리에 적합한 도구를 인증함으로써 디지털 증거에 대한 신뢰성을 강화할 수 있다.

실험가능성(Testing)	신뢰성과 진실 입증 여부
오류율(Error Rate)	타당성을 검증할 수 있는 알려진 오류율
검토, 공표(Publication)	상호 검토나 출판과 같은 공표 절차 여부
일반적 수용(Acceptance)	연관된 과학 공동체에 의한 '일반적인 수용' 여부

Daubert Test 항목

 미국은 디지털 증거 처리 도구에 대한 신뢰를 높이기 위해 NIST(National Institute of Standards and Technology)에서 디지털 포렌식 도구 검증제도인 CFTT(Computer Forensics Tool Testing) 프로젝트를 수행하고 있음

 → 디지털 증거 분석실 인정

 : 신뢰성이 검증된 디지털 증거분석실에서 수행된 디지털 증거 분석행위는 디지털 증거의 증거능력을 높이게 됨

 현재 디지털 증거 분석실 전용 인정제도는 존재하지 않고 일반적인 실험실과 교정＇시험기관에 대한 인정제도인 ISO/IEC 17025와 국가 또는 기관의 개별적인 인증 제도를 디지털 증거 분석실에 적용하고 있는 상황임

 미국은 자체적으로 증거분석실 인정제도인 ASCLD/LAB(American Society of Crime Laboratory Directors/Laborotary Accreditation Board) 프로그램이 있는데, 2003년 4월 디지털 증거 분석 또한 ASCLD/LAB의 인증 프로그램에 공식적으로 포함되어 오디오 분석, 컴퓨터 포렌식, 디지털 영상 분석, 비디오 분석 등 4개의 하위분야 중 어느 하나라도 취급하는 증거 분석실은 디지털 증거를 췾급하는 기놩르오 인증 신청해야 함

1. 증거법상 증거를 취급하는 문제에 대해서는 크게 다음과 같은 두 가지 입법주의가 존재한다. ㄱ. 대륙볍 체계 : 자유로운 증거제출주의 및 증거능력 평가에 대한 자유심증주의를 채택하며, 원칙적으로 모든 종류의 증거를 사용할 수 있고, 그 중요도도 자유롭게 평가하고 있다. 대륙볍 체계에서는 제한 없이 컴퓨터 관련 데이터를 증거로 채택하여 그 증거능력을 인정하고 있다. ㄴ. 영미법 체계 : 구두변론주의와 배심원 제도가 지배하는 형사소송절차를 가지는 보통법 체계로 다른 사람이나 서적 또는 기록과 같은 자료에 의해 획득한 지식은 전문증거로 간주하며, 원칙적으로는 증거능력이 인정되지 않는다. 보통법 체계에서도 이러한 전문법칙에 예외를 두어 일정조건을 충족하면 그 증거능력을 인정하고 있다. 일반적으로 영미법 체계에서는 증거능력이 없는 증거를 공판정에 제출하고 조사하는 행위가 금지된다. [본문으로]
2. 최량증거규칙은 종이문서에 손으로 쓰는 방식으로 복사본을 만들던 시대에 형성되었으며, 인간의 오류 가능성 때문에 오류 있는 증거를 배제하는 원리로 적용되어 왔다. 하지만 기계적 정확성을 가진 전자적 복사가 가능하게 된 오늘날은 이 법칙의 적용도 바뀔 필요성이 있다고 인정되고 있다.) [본문으로]