디지털 증거분석

1. 용어의 정의

용어의 정의에 대하여 경찰청과 대검찰청 규정에서 적용하는 용어의 정의를 먼저 설명하고 절차에 대하여는 대검찰청 규정을 중심으로 기재하였다.

- 대검찰청 "디지털 증거의 수집·분석 및 관리 규정(2021.1.1. 시행) 제3조 용어의 정의

"디지털 증거"란 범죄와 관련하여 디지털 형태로 저장되거나 전송되는 증거로서의 가치가 있는 정보를 말한다.

"디지털포렌식"이란 디지털 증거를 수집·보존·분석·현출하는데 적용되는 과학기술 및 절차를 말한다. 고 규정하고 있다.

"포렌식 이미지"(이하 이미지 파일이라고 한다)란 법률적으로 유효한 증거로 사용될 수 있도록 정보저장매체 등에 저장된 전자정보를 포렌식 도구를 사용하여 비트열 방식으로 동일하게 복사하여 생성한 파일을 말한다.

"증거파일"이란 법률적으로 유효한 증거로 사용될 수 있도록 정보저장매체 등에 저장된 전자정보를 파일 또는 디렉터리 단위로 복사하여 생성한 파일을 말한다.

 

- 경찰청 디지털 증거의 처리등에 관한 규칙(시행 2021.1.22) 제2조 정의

1. "전자정보"란 전기적 또는 자기적 방법으로 저장되거나 네트워크 및 유·무선 통신 등을 통해 전송되는 정보를 말한다.

2. "디지털포렌식"이란 전자정보를 수집·보존·운반·분석·현출·관리하여 범죄사실 규명을 위한 증거로 활용할 수 있도록 하는 과학적인 절차와 기술을 말한다.

3. "디지털 증거"란 범죄와 관련하여 증거로서의 가치가 있는 전자정보를 말한다.

4. "정보저장매체등"이란 전자정보가 저장된 컴퓨터용 디스크, 그 밖에 이와 비슷한 정보저장매체를 말한다.

 

2장 전자정보 압수·수색·검증의 기본원칙

4(적법절차의 준수) 디지털 증거는 수사에 필요한 범위 내에서 적법한 절차를 엄격히 준수하여 수집·분석 및 관리되어야 한다.

5(디지털 증거의 원본성 유지) 디지털 증거는 법정에서 원본과의 동일성을 재현하거나 검증하는데 지장이 초래되지 않도록 수집·분석 및 관리되어야 한다.

6(디지털 증거의 무결성 유지) 디지털 증거는 압수·수색·검증한 때로부터 법정에 제출하는 때까지 훼손 또는 변경되지 아니하여야 한다.

7(디지털 증거의 신뢰성 유지) 디지털 증거는 디지털포렌식 전문가에 의해 신뢰할 수 있는 도구와 방법으로 수집·분석 및 관리하여야 한다.

8(디지털 증거의 보관의 연속성 유지) 디지털 증거는 최초 수집된 상태 그대로 어떠한 변경도 없이 보관되어야 하고, 이를 위해 보관 주체들 간의 연속적인 승계 절차를 관리하는 등의 조치를 취해야 한다.

디지털 증거의 분석

44(디지털 증거의 분석 시 유의사항) 디지털 증거의 분석은 분석결과의 신뢰성을 확보할 수 있도록 디지털포렌식 수사관이 행하여야 하고 분석에 적합한 장비와 프로그램을 사용하여야 한다.

45(이미지 파일 등에 의한 분석) ① 디지털 증거의 분석은 이미지 파일로 한다.

② 제1항에도 불구하고 이미지 파일로 복제하는 것이 곤란한 경우에는 압수 또는 복제한 정보저장매체 등을 직접 분석할 수 있다. 이 경우 정보저장매체 등의 형상이나 내용이 변경·훼손되지 않도록 적절한 조치를 하여야 한다.

46(분석보고서의 작성) ① 디지털포렌식 수사관은 디지털 증거에 대한 분석을 종료한 때에는 별지 제11호에 따라 분석보고서를 작성한다. 다만, 사안의 경중과 분석의 난이도 등을 고려하여 약식보고서를 활용할 수 있다.

② 디지털포렌식 수사관은 디지털 증거를 분석하는 과정에서 생성된 자료가 있는 경우에는 사후 검증이 가능할 수 있도록 이를 업무관리시스템에 등록하여야 한다.

③ 디지털포렌식 수사관은 수사상 필요하다고 판단되거나 주임검사등의 요청이 있는 때에는 디지털 증거를 분석하는 과정에서 생성된 자료를 CD 등 별도의 정보저장매체에 저장하여 주임검사등에게 인계할 수 있다.

47(분석결과의 통보) ① 디지털포렌식 수사관은 디지털 증거의 분석을 종료한 때에는 분석보고서를 업무관리시스템에 등록하는 방법으로 회신한다. 다만, 긴급을 요하는 경우에는 구두 또는 전화 등 기타 방법으로 분석결과를 통보하고 사후에 분석보고서를 업무관리시스템에 등록할 수 있다.

② 디지털포렌식 수사관은 분석 대상물을 접수한 때로부터 15일 이내에 분석결과를 회신하여야 한다. 다만, 부득이한 사정이 경우 중간 분석상황을 통지하는 등으로 그 사유를 소명하여 회신기한을 연장할 수 있다.

48(생성 이미지 파일 등 삭제) 43조에 의한 분석을 위해 생성한 이미지 파일이나 분석 과정에서 생성된 일체의 전자정보는 분석결과 회신 후 지체 없이 삭제하여야 한다. 다만, 42조 및 제45조에 따라 업무관리시스템에 등록한 전자정보와 분석보고서는 분석결과의 정확성, 신뢰성 등에 대한 검증을 위해 계속 보관할 수 있다.