디지털포렌식과 친해지기
  • 디지털포렌식전문가 2급 실기와 친해지기(실기)
    • 1. 디지털 포렌식 실기 준비하기
      • 1. BIT, BYTE, 파일 그리고 Hash
      • 2. 섹터와 사본 이미지 생성
        • 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)
        • 2-2. EnCase 활용 물리이미징(EnCase 쓰기방지)
        • (연습용) 가상디스크 만들기
      • 3. 파티션과 파일시스템 복구
        • 3-1) 파티션과 파티션 테이블
          • 3-1.1) GPT 헤더, 파티션 Entry 복구
        • 3-2) 파일시스템과 파일시스템 복구
        • 3-3) 파일시스템 복구 실전 연습
      • 4-1. 무료도구 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • 무료도구 활용 분석연습 정리
      • 4-2. EnCase 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • EnCase를 활용한 분석연습 정리
      • 5. 주관식 - 기본 절차 및 증거법 관련
        • (정리 중) 디지털 증거관련 주요 판례
      • 6. 답안 제출 및 보고서 작성
      • 7. 요령 및 주의사항
    • 2. 실력 다지기
      • 1. 문제 저장매체 만들고 풀어보기
        • 기초 연습문제1-분석해보기(무료도구)
        • 기초 연습문제1-분석해보기(EnCase)
      • 2. 파일시스템 복구 연습
      • 3. NTFS 로그 분석 연습
    • 3. 실전 연습 문제
      • 2018 실전 연습 문제
        • 2018 실전 연습 - 분석해보기(무료도구)
        • 2018 실전 연습 - 분석해보기(EnCase)
      • 2019 실전 연습 문제
        • 2019 실전 연습 - 분석해보기(무료도구)
        • 2019 실전 연습 - 분석해보기(EnCase)
      • 2020 실전 연습 문제
        • 2020 실전 연습 - 분석해보기(무료도구)
        • 2020 실전 연습 - 분석해보기(EnCase)
      • 2023 실전 연습 문제(종합유형)
        • 2023 실전 연습 - 분석해보기(무료도구)
        • 2023 실전 연습 - 분석해보기(EnCase)
      • 2024 실전 연습 문제
        • 2024 실전 연습 - 분석해보기(무료도구)
        • 2024 실전 연습 - 분석해보기(EnCase)
    • 4. 기출 유형
  • 디지털포렌식과 친해지기
    • 1. BIT의 저장
      • 0) 준비사항!
        • 0-1) 주요 분석 도구 간단 소개 및 설정
        • 0-2) Python 을 이용한 개발 환경 구성
        • 0-3) Python 소스로 실행파일 만들기
      • 1) BIT, BYTES와 파일 그리고 Hash
        • 1-1) Hex Viewer 만들기
        • 1-2) BIT의 저장(참고)
      • 2) 저장매체와 섹터 그리고 물리이미징
        • 2-1) 가상 디스크 설정
        • 2-2) 물리이미징(raw) 실습
        • 2-3) 물리이미징 수집 도구 만들기(기초)
      • 3) 파티션
        • 3-1) MBR 파티션 테이블 구조
        • 3-2) GPT(GUID Partition Table) 구조
        • 3-3) 파티션 분석 도구 만들기(기초)
      • 4) 파일시스템 기초 분석
        • 4-1) 파일시스템 직접 만들어 보기
        • 4-2) FAT32 분석
          • 4-2.1) FAT32 분석(BR, Directory Entry - 데이터의 접근)
          • 4-2.2) FAT32 분석 2(FAT, LFN, 삭제)
          • 4-2.3) FAT32 분석 3 (특징과 분석 도구)
        • 4-3) NTFS 기초 분석
          • 4-3.1) NTFS 기초 분석(NTFS BR과 DATA 영역)
          • 4-3.2) $MFT와 MFT Entry
          • 4-3.3) MFT Entry의 주요 속성1($SI,$FILE,$DATA)
          • 4-3.4) MFT Entry의 주요 속성2(인덱스1, resident/Nonresident)
          • 4-3.5) MFT Entry 찾기(인덱스2, $ATTRIBUTE_LIST)
          • 4-3.6) NTFS 에서 파일의 접근 정리
          • 4-3.7) NTFS 주요 메타데이터 파일
          • MFT Entry 분석용
      • 5) 파티션과 파일시스템
      • 6) 사본 이미지 생성(논리/물리이미징)
      • 7) 파일과 친해지기
Powered by GitBook
On this page
  • 0. 살펴보기에 앞서
  • 1. 디지털 포렌식 표준 절차
  • 2. 주요 키워드 및 형사소송법
  • 3. 기출 문제 유형의 접근
  1. 디지털포렌식전문가 2급 실기와 친해지기(실기)
  2. 1. 디지털 포렌식 실기 준비하기

5. 주관식 - 기본 절차 및 증거법 관련

하단의 내용 중 붉은 색 표시가 된 것은 비교적 최근 시험에 출제된 키워드로 파악하고 있습니다. 한번 정도는 읽어보고 가시는 것을 추천드리며 답안작성 연습을 위해선 실제 시험 처럼 주관식으로 메모장에 작성해보는 연습이 필요합니다. 절대로 아래 내용들을 달달 외우려고 하지 마시고 이해하고 주요 키워드는 빠지지 않도록 자신만의 방식으로 작성하는 연습을 하는 것을 추천합니다.

0. 살펴보기에 앞서

  • 먼저 주의사항으로 아래 정리되어 있는 절차와 내용들은 다소 오래되었고, 최근 실무 또는 법조가 현행화 되지 않았을 수도 있습니다. (시간이 허락할 때 업데이트 해보도록 하겠습니다.) 큰 변화가 없는 부분으로 자주 업데이트 하지 못한 내용으로 오타나 적절하지 않은 부분이 있으면 너그럽게 이해하시고 넘겨주시길 부탁 드립니다. (발견하는 대로 수정하도록 하겠습니다.)

  • 그럼에도 시험 합격 여부에 크게 주관식 점수의 영향도가 적은 보이는 이유로 포렌식 2급에서는 절차 또는 증거법 관련 문제 유형이 크게 변경되지 않는 것 입니다.

  • 시험 초기에는 상당히 배점이 컸으나 최근에는 알려진 정확한 배점은 확인이 어렵고, 문제 마다 다른듯 합니다. ex) 배점 30점 안에 주관식 문제 + 분석보고서 작성을 합산하는 문제가 출제 되었습니다. (주관식이 몇점인지 알 수 없고 작성한 답안의 일부가 맞을 경우 몇 점인지 알 수 없습니다.)

  • 주요 키워드를 잘 작성하였다면 어느정도 확보할 수 있는 점수 부분이 주관식이며, 시험에 합격여부의 핵심은 결국 분석을 잘 해내는 것입니다. 따라서 이론이나 주관식 공부에 비중을 많이 둘 필요성은 상당히 적습니다.

  • 각자의 방식으로 정리 하신 뒤 시험 몇일전에 상세히 손으로 또는 메모장에 작성해보는 연습으로 충분할 것입니다.

  • 물론 앞으로 출제 방향이 달라 질 수 있으나 절차나 증거법은 사실상 디지털 포렌식의 필수에 해당하는 매우 중요한 부분이나 복잡한 것은 아니기에 어렵게 생각할 필요는 없습니다. 다른 디지털포렌식 기술 관련 자격증과 가장 차이가 나는 부분이 이 부분이라고 생각합니다.

  • 개인적으로 다른 기술 자격증과 다른 특징인 이러한 절차나 증거법 부분은 이 정도 수준에서 출제되었으면 좋겠다는 의견이긴 합니다. (너무 어려울 필요도 없고, 공부 과정에서 꼭 필요한 절차, 디지털증거의 특징 정도는 수험자가 생각해보게 하는 것이 매우 중요하다고 생각합니다.)

  • 따라서 아래 내용은 시험 전에 가볍게 살펴보고, 추후에 기출 문제를 메모장 등에 한번 답안 작성해보시길 바랍니다. 다만 이런 답안 작성에서 주요한 것은 꼭 들어가야할 키워드들이 빠지지 않도록 주의 하시면 충분히 주관식 점수는 확보할 수 있을 것입니다.

1. 디지털 포렌식 표준 절차

  1. 사전 준비

    1. 사전 수사 계획 수립

      1. 압수/수색 대상 및 장소 정보 확인

      2. 피압수자가 사용하는 디지털 저장매체 정보

      3. 컴퓨터 하드웨어 , 소프트웨어, 저장장치 정보

      4. 데이터베이스 및 네트워크 관련 정보

      5. 시스템 또는 네트워크 책임자나 관리자 정보

      6. 그 외 필요하다고 인정되는 정보

    2. 사전 수사팀 구성

      1. 디지털 포렌식 관련 전문 자격증을 보유하거나 관련 교육 및 실무 경험이 있는자를 배치

      2. 피압수자가 특별한 시스템이나 프로그램 사용 시, 관련 내용을 아는 자 배치

      3. 수사팀 구성 시 압수/수색의 방법, 범위, 주의사항에 대한 사전 교육 실시

      4. 대상 시스템에 대한 사전지식을 습득

      5. 일반 수사관들에게도 포렌식 교육 실시

    3. 디지털 포렌식 장비 준비

      1. 검증된 포렌식 도구 및 프로그램 준비

      2. 압수수색 대상에 따라 종류와 특성 고려하여 어떤 방법으로 포렌식 할 것인지에 따라 관련 도구 및 프로그램 준비

      3. 디지털 증거수집 및 분석용 컴퓨터

      4. 원본 증거의 위/변조 방지를 위한 쓰기방지 장치

      5. 증거수집을 위해 공 USB, 공 하드디스크 등..

      6. 안전 이송을 위한 정전기 방지 봉투, 에어캡 봉투, 증거 테이프, 증거박스 등

      7. 분해와 해체를 위한 공구

    4. 그 외..

      1. 압수 수색영장 집행 시 피처분자의 참여 여부 파악

      2. 공무소 등에 대한 압수수색시 그 책임자가 누구인지 파악

      3. 주거지에 대한 압수수색 영장 집행 시 참여할 수 있는 피처분자의 가족 여부, 인거인 등 파악

      4. 사무실 압수수색 시 참여할 사무실 직원 여부, 관리인 등 파악

      5. 만약 대비를 위해 참여인으로 지방공공단체 직원 미리 섭외

      6. 디지털 포렌식 절차의 객관성 및 피처분자의 포렌식 조력권 보장을 위해 포렌식 전문가 입회인으로 참여시킬 수 있다.

  2. 압수 수색 집행 단계

    1. 압수 수색 준비

      1. 현장 스케치

        1. 수색팀은 본격적 수색에 앞서 캠코더 및 카메라를 이용하여 압수수색 현장의 전체 모습 녹화 및 촬영

        2. 컴퓨터 대상물 및 주변장치 등 자세히 촬영/녹화

        3. 컴퓨터의 전원이 켜져있는 경우 모니터 화면을 촬영/녹화

        4. 범죄사실 관련 증거 및 디지털 정보가 발견되면 즉시 카메라로 촬영한 후, 발견 장소, 시간, 간략 내용 등을 적어 '압수 조서'에 그 사실을 기재

        5. 수사관은 발견된 내용을 기억 환기용으로 본인 수사수첩에 적어 상세히 기록

      2. 캠코더 설치

        1. 영장 집행 현장 전체 모습을 녹화할 수 있도록 캠코더 설치

        2. 디지털 포렌식을 수행하는 포렌식 테이블을 녹화할 수 있도록 캠코더 설치

      3. 디지털 포렌식 준비

        1. 영장집행 현장에서 디지털 포렌식을 신속히 실시할 수 있도록 포렌식 테이블 구축

        2. 포렌식 테이블에는 수사관을 제외한 외부인의 접촉을 차단

        3. 디지털 포렌식 장비의 상태 확인

      4. 참여권 보장과 고지

        1. 수사관은 각각의 디지털 저장매체에 대한 압수 수색 시 피압수자의 참여권을 보장

        2. 영장집행 현장에서 디지털 포렌식이 실시되는 경우, 수사관은 피압수자 또는 관련자에게 디지털 포렌식 절차 및 포렌식 도구에 대해 설명해주고 절차에 참여할 것을 고지

        3. 수사관이 참여권을 고지하였음에도 불구하고 피압수자가 거부한 경우, 캠코더를 이용하여 참여권 고지 및 거부의 상황을 촬영함으로써 고지의무를 위반하는 피고측의 주장에 대하여 선의의 항변을 할 수 있다.

        4. 피압수자 및 참여인이 참여할 수 없는 경우, 디지털 포렌식 전 과정을 캠코더를 이용하여 촬영하거나 디지털 포렌식 전문가를 입회인으로 참여할 수 있다.

    2. 압수 수색

      1. 영장집행 현장에서 데이터의 범위를 정하여 출력/복제

        • 원칙 : 영장 집행 현장에서 범죄사실과 관련된 디지털 데이터의 범위를 정하여 문서로 출력하거나 저장매체에 복사하는 방법으로 압수한다.

        • 압수방법

          1. 피압수자 또는 참여인에게 참여권 고지

          2. 범죄사실과 관련된 디지털 데이터만을 선별하여 출력/복제

          3. 해시값을 산출하여 피압수자 또는 참여인에게 확인시켜준 후 서명

          4. 압수목록에 해당하는 디지털 데이터의 내용을 기록

      2. 영장 집행 현장에서 복사본 형태로 반출

        • 원칙 : 범죄 사실과 관련된 디지털 데이터의 범위를 정하여 출력/복제 방법이 불가능하거나, 압수 목적 달성이 현저히 곤란한 경우 저장매체에 들어 있는 디지털 데이터를 전부 피압수자의 참여하에 하드카피/이미징한 후 그 복제본을 외부로 반출

        • 압수 방법

          1. 피압수자 또는 참여인에게 참여권 고지

          2. 영장집행 현장에서 보관용, 복제본 2개 생성 후 해시값을 산출하여 피압수자 또는 참여인에게 확인

          3. 영장집행 현장에서 증거테이프를 이용하여 복제본은 봉인 후 피압수자 또는 참여인에게 봉인상태를 확인시켜준 후 서명을 받는다.

          4. 외부반출 후, 피압수자 등에게 참여권을 보장해주고, 봉인된 복제본의 봉인상태를 피압수자에게 재확인 후 봉인 해제 한다.

          5. 피압수자 등에게 참여권을 보장하고, 복제본에서 범죄사실과 관련된 디지털 데이터만을 출력/복제한 후 해시값을 산출하여 피압수자에게 확인시킨 후 서명을 받는다.

          6. 압수목록에 해당 디지털 데이터의 내용을 기록한다.

          7. 압수목록에 기재된 디지털 데이터를 제외한 나머지 데이터에 대해 삭제/폐기하고 그 취지를 고지한다.

        • 복제본 반출해야 하는 예외 상황으로 아래의 경우 반출

          1. 컴퓨터 포맷, 파일 암호화 등 증거의 삭제 또는 은닉의 흔적이 발견된 경우

          2. 사건이 복잡하고 방대한 디지털 데이터에 대한 종합적 관련성 분석이 필요한 경우

          3. 피압수자 또는 참여인이 협조하지 않거나 협조를 기대할 수 없는 경우

          4. 피압수자 또는 참여인의 영업활동이나 사생활의 평온을 침해하는 경우

          5. 그 밖에 위 사유에 준하는 경우

      3. 영장집행 현장에서 디지털 저장매체 원본 반출

        • 원칙 : 영장집행 현장에서 디지털 저장매체의 복제복 획득이 불가능하거나, 압수 목적을 달성하기에 현저히 곤란한 경우에 한해 피압수자 등의 참여하에 저장매체 원본을 봉인 후 외부로 반출

        • 압수방법

          1. 피압수자 또는 참여인에게 참여권 고지

          2. 영장집행 현장에서 원본에 대한 해쉬값을 산출하여 피압수자 또는 참여인에게 확인시켜 준다.

          3. 영장집행 현장에서 증거테이프를 이용하여 원본을 봉인하고 피압수자 또는 참여인에게 봉인상태 확인 후 서명을 받는다

          4. 외부반출 후, 피압수자 등에게 참여권을 보장해주고, 봉인된 원본의 봉인상태를 피압수자에게 재확인시켜 준 후 봉인을 해제한다.

          5. 피압수자 등에게 참여권을 보장해주고, 원본으로부터 분석용과 보관용 복제본을 생성한 후 해쉬값을 산출하여 피압수자에게 확인시켜준 후 서명을 받는다.

          6. 압수목록에 기재된 디지털 데이터를 제외한 나머지 데이터에 대하여 삭제/폐기하고 그 취지를 고지한다.

          7. 원본은 특별한 사정이 없는 한 10일 이내 피압수자에게 반환해주고, 반환취지를 고지한다.

        • 원본 반출해야하는 예외 상황으로 아래의 경우 반출

          1. 디지털 저장매체 등의 특성으로 현장에서 복제 또는 출력할 수 있는 장비가 구비되어 있지 않거나 미개발되어 있는 경우

          2. 방대한 양의 디지털 데이터를 복제하는 시간이 과도하게 소요될 것으로 예상되거나, 해당 디지털 데이터를 저장할 수 있는 저장매체가 없는 경우

          3. 피압수자 또는 참여인이 협조하지 않거나 협조를 기대할 수 없는 경우

          4. 피압수자 또는 참여인의 영업활동이나 사생활의 평온을 현저하게 침해하는 경우

          5. 그 밖에 위 사유에 준하는 경우

      4. 영장집행 현장에서 디지털 기기의 압수

        • 원칙 : 범죄사실 관련 디지털 데이터의 범위를 정하여 출력/복제하는 방법이 불가능하거나, 압수의 목적을 달성하기에 현저히 곤란한 경우, 또는 형법 제48조 몰수의 대상인 경우에는 영장집행 현장에서 디지털 기기를 압수한다.

        • 압수방법

          1. 포렌식 수사관은 디지털 기기에 대한 압수의 필요성 여부를 판단한다.

          2. 압수가 필요하다고 판단되면, 피압수자 또는 참여인에게 참여권을 고지한 후 압수의 필요성에 대하여 설명해준다.

          3. 영장집행 현장에서 디지털 기기에 대한 해쉬값을 산출하여 피압수자 또는 참여인에게 확인시켜 준다.

          4. 영장집행 현장에서 디지털 기기에 대한 해쉬값 산출이 불가능한 경우, 증거테이프를 이용하여 디지털 기기를 봉인하고 피압수자 또는 참여인에게 봉인상태를 확인 시켜준 후 서명을 받는다.

          5. 외부반출 후, 피압수자 등에게 참여권을 보장해주고, 봉인된 원본의 봉인상태를 피압수자에게 재확인시켜 준 후 봉인을 해제한다.

          6. 피압수자 등에게 참여권을 보장해주고, 원본으로부터 분석용과 보관용 복제본을 생성한 후 해쉬값을 산출하여 피압수자에게 확인시켜준 후 서명을 받는다.

          7. 피압수자 등에게 참여권을 보장해주고, 복제본에서 범죄사실과 관련된 디지털 데이터만을 출력/복제한 후 해쉬값을 산출하여 피압수자에게 확인시켜준 후 서명을 받는다.

          8. 압수목록에 기재된 디지털 데이터를 제외한 나머지 데이터에 대해서 삭제/폐기하고 그 취지를 고지해준다.

          9. 디지털 기기 원본은 특별한 사정이 없는 한 10일 이내 피압수자에게 반환해주고, 반환취지를 고지해준다.

        • 디지털 기기 압수 해야하는 예외에 상황으로 아래의 경우 반출

          1. 디지털 기기가 물리적으로 손상된 경우

          2. 디지털 기기의 파일시스템의 메타데이터 영역이 손상된 경우

          3. 암호화 되어 데이터를 확인할 수 없는 경우

          4. 디지털 기기가 레이드시스템으로 구성되어 재구성할 수 없는 경우

          5. 도박/음란/기타 불법사이트 운영 사건 등 디지털 기기가 다시 범죄에 이용될 우려가 있는 경우

          6. 디지털 기기에 아동/청소년 음란물 또는 사생활 보호의 대상이 되는 내용 등을 담고 있어 유포 시 개인의 인격에 상당한 피해가 우려되는 경우

          7. 디지털 기기에 불법 또는 정당하지 않은 방법으로 취득한 타인의 영업비밀에 관한 내용이 포함되어 있는 경우

          8. 디지털 기기가 형법 제48조 몰수의 대상물인 경우

      5. 별건 디지털 정보의 압수

        • 원칙 : 압수수색영장에 기재된 범죄사실과 관련된 디지털 정보를 선별하는 과정에서 영장 기재 범죄사실과 다른 별도의 범죄혐의와 관련된 디지털 정보를 우연히 발견한 경우, 별건정보에 대한 추가 탐색을 중지하고 별도의 범죄혐의에 대한 새로운 압수/수색영장(제2영장)을 발부 받아 추가 탐색을 진행한다.

        • 2. 압수방법

          1. 별건정보에 대한 새로운 압수/수색영장(제2영장) 집행 시에도 피압수자 또는 참여인에게 참여권을 고지

          2. 별건 범죄사실과 관련된 디지털 데이터만을 선별하여 출력/복제한다.

          3. 해쉬값을 산출하여 피압수자 또는 참여인에게 확인시켜 준 후 서명을 받는다.

          4. 압수목록에 해당 디지털 데이터의 내용을 기록한다.

      6. 압수목록의 교부

        • 압수목록 유형

          1. 출력/복제한 [디지털 데이터 상세목록]

          2. 디지털 저장매체(기기 포함)를 압수한 경우 [매체압수목록] -

        • 압수/수색영장 집행 현장에서의 교부

          1. 영장집행 현장에서 디지털 데이터를 선별하여 압수한 시점에 교부

          2. 디지털 저장매체 원본 또는 복제본의 형태로 압수한 시점과 외부 반출 후 수사기관 분석실 등에서 디지털 데이터를 선별하여 압수한 시점에 교부

          3. 디지털 기기를 압수한 시점에서 압수목록을 교부

        • 제외정보 삭제/폐기 통지

          1. 압수목록 교부 후, 압수목록에 기재된 이외의 디지털 정보는 삭제/폐기 되었음을 피압수자 등에게 통지(폐기확인서 제공)

          2. 상세목록 교부 시, 목록에서 제외된 디지털 정보는 삭제/폐기 또는 반환하였다는 취지를 명시함으로써 통지에 갈음 할 수 있다.

      7. 증거의 이송 및 보관

        • 기본 원칙 : 디지털 저장매체 및 기기를 압수하여 이송 및 보관하는 과정에 파손되거나 손상되지 않도록 관리하여야 한다.

        • 이송 및 보관절차

          1. 증거목록 작성 - 압수된 디지털 증거물마다 라벨링하여 목록을 작성함으로써 증거의 식별을 용이하게 한다.

          2. 디지털 증거 포장 - 디지털 저장매체(기기)를 우선 정전기 차단용 봉투에 1차적으로 담고 다시 에어캡 봉투에 2차적으로 담아 증거테이프로 봉인한다. 증거테이프로 봉인 후 겉표지에 봉투에 담긴 매체에 관한 간략한 정보를 기재하고 피압수자 또는 참여인의 확인서명을 받는다.

          3. 디지털 증거 이송 - 증거목록의 내용을 보면서 누락된 증거가 없는지 확인, 외부충격에 약한 디지털 증거물 보호를 위해 스티로폼 또는 스펀지 등이 내장된 충격완화용 보호박스에 담아 이송한다.

          4. 디지털 증거 보관 - 충격완화용 증거보관 박스에 담아 습기, 정전기, 전자파 등을 차단하는 등의 조치, 복사본을 만들어 둠으로써 손상에 대비한다.

    3. 디지털 증거 분석 절차

      1. 증거 분석 의뢰 및 접수

        1. 원칙 : 수사관 등은 디지털 증거분석관에게 디지털 증거 분석에 필요한 정보를 제공하고 분석의뢰자 및 증거분석관은 증거물의 무결성과 연계보관성을 유지해야한다.

        2. 증거 분석 의뢰 시 유의사항

          1. 디지털 압수물의 원본 또는 복제본을 충격, 자기장, 습기 및 먼지 등에 의해 손상되지 않도록 안전히 보관할 수 있는 용기에 담아 송부하여야 한다.

          2. 디지털 압수물은 분석의뢰자가 직접 운반하거나 등기우편 등 신뢰할 수 있는 방법으로 송부한다.

          3. 분석의뢰시에는 정해진 양식에 따라 증거분석 의뢰서를 작성

        3. 증거분석 의뢰서 작성 시 기재사항

          1. 주요 내용

            1. 사건 개요

            2. 증거물 수집 및 일시 및 장소

            3. 제조일자, 고유번호, 모델명 이외 기타 정보

            4. 분석 의뢰 내용

            5. 사건담당자 소속과 계급, 이름 및 연락처

            6. 기타 참고 사항

          2. 세부 내용

            1. 키워드 : 분석에 참고할 수 있는 사건 관련 주요 단어

            2. 파일 : 작성일자, 확장자, 파일크기 등 찾고자 하는 파일과 관련된 상세정보

            3. 인터넷 : 인터넷 사용내역 분석이 필요한 시간대 특정 및 접속 사이트 등

            4. 전자우편 : 분석이 필요한 시간대 특정 및 사용자나 상대방 이메일 주소 등

            5. 메신저 : 분석이 필요한 사긴대 특정 및 사용자나 상대방 메시전 ID 등

            6. 인쇄내역 : 분석대상 컴퓨터에서 출력된 것으로 추정되는 인쇄물의 내용 등

            7. 프로그램 : 특정 프로그램의 설치 여부 확인, 프로그램 이름 등 참고자료

            8. 기타 : 분석 시 필요한 참고사항

        4. 증거분석 의뢰서 접수

          1. 디지털 증거 분석팀은 의뢰사항 및 증거물 등을 확인하여 증거분석을 접수하여야 한다.

          2. 의뢰 받은 디지털 압수물의 증거분석은 [디지털 증거 수집 및 처리 등에 관한 규칙] 제5조에 의해 선발된 증거분석관이 하여야 한다.

          3. 디지털 증거의 수집 및 분석 시에는 정확성과 신뢰성이 있는 과학적 기법, 장비 및 프로그램을 사용하여야 한다.

      2. 증거분석

        1. 원칙

          1. 증거의 안전한 보존 및 무결성 확보 - 디지털 증거 분석은원본에 대한 복제본을 생성하여 증거분석을 수행하여야 한다. 다만, 수사상 긴박한 사정이 있거나 복제본을 생성할 수 없는 불가피한 사정이 있는 경우에는 디지털 압수물로 분석할 수 있다.

          2. 증거 분석기법과 도구의 신뢰성 확보

        2. 증거 분석 시 유의 사항

          1. 분석장비 점검

          2. 증거분석실 등의 출입제한

        3. 결과 보고서 작성 및 통보

          1. 원칙

          2. 결과보고서 기재사항

            1. 필요적 기재사항

              1. 사건번호 등 분석의뢰정보 및 분석의뢰자정보

              2. 증거분석관의 소속 부서 및 성명

              3. 분석의뢰물의 정보 및 의뢰 요청사항

              4. 분석의뢰물의 접수일시 및 접수자 등 이력정보

              5. 분석에 사요된 장비/도구 및 준비과정

              6. 증거분석으로 획득한 자료 등 분석과정 및 결과

            2. 임의적 기재사항

              1. 상세분석 결과

              2. 분석과정을 기록한 사진 및 영상자료의 첨부

              3. 그 밖에 분석과정에서 행한 조치 등 특이사항

          3. 결과 통보 방식 및 기간

            1. 결과 통보방식

              1. 증거분석관은 디지털 증거분석 결과보고서를 문서 또는 전자정보 형태로 작성하여 분석의뢰자에게 통보한다.

              2. 분석결과 통보시 디지털 압수물, 복제본 및 증거분석을 통해 획득한 디지털 증거를 송부하여야 한다.

            2. 결과 통지기간 분석관은 다음 어느 하나에 해당하는 경우를 제외하고 의뢰 증거물 접수시점으로부터 1개월 이내에 분석결과를 회신하여야 한다.

              1. 획득 또는 분석기법이 개발되지 않아 연구개발이 필요한 겨우

              2. 획득 또는 분석을 수행하기 위해 새로운 장비나 소프트웨어가 필요한 경우

              3. 그 밖에 사당한 사유로 인해 기한 내에 통보하기가 어려운 경우

          4. 증거분석용 사본 처리

            1. 디지털 압수물, 복제본 및 증거분석을 통해 획득한 디지털 증거는 분석의뢰자에게 반환 후 지체 없이 삭제/폐기하여야 한다.

2. 주요 키워드 및 형사소송법

  • 참여권 보장 관련(제121조~제123조)

    1. 제121조(영장집행과 당사자의 참여) :검사, 피고인 또는 변호인은 압수수색에 참여 가능

    2. 제122조(영장집행과 참여권자에의 통지) : 압수수색할 떄는 일시 장소를 통지하여야 함. 관련자가 참여하지 안한다고 명시(서명필요)하거나 급속을 요할떄 예외

    3. 제123조(영장의 집행과 책임자의 참여) : 공무사, 군사용, 타인의 주거, 간수자있는 가옥이나 항공기 등 압수시 관련자가 참여해야 함, 없을 경우 지방공공단체 직원 참여해야 함

  • 위법수집증거배제법칙 (제308조의2)

    • 적법한 절차에 따르지 않는 경우 증거로 할 수 없다.

    • 위법하게 수집한 증거로 부터 파생된 2차적 증거 또한 증거로 사용할 수 없습니다.(독수독과 이론)

    • 그러나 모든 2차적 증거가 제한될 경우 실체적 진실 규명이 어렵게 될 수 있다. 이익형량설, 오염희석이론, 불가피한 발견의 이론, 독립된 증거원의 이론, 선의의 신뢰의 이론 등 독수독과의 예외의 이론에 해당하는 경우 증거로 인정 받을 수 있다. -> 진실 발견이라는 공익"과 "개인의 사생활 보호라는 사익"을 비교 형량해서 증거능력 여부를 결정

  • 전문법칙(제310조의2) : 진술증거는 전문법칙의 예외를 제외하고는 기본적으로 증거능력이 없다. 전문법칙의 예외 (제311조~제316조) - 증거 능력이 있다.

    1. 제311조(법원 또는 법관의 조서) : 법관 법원의 조서

    2. 제312조(검사 또는 사법경찰관의 조서 등) : 신빙할 수 있는 상태에서 검사 또는 사법경찰관의 조서

    3. 제313조(진술서등) : 성립의 진정이 증명된 제3자의 진술서, 진술자가 성립의 진정을 부인할 경우 과학적 분석결과에 기초한 디지털 포렌식, 감정 등 객관적 방법으로 성립의 진정이 증명될 때 증거로 할 수 있다.

    4. 제314조(증거능력에 대한 예외) : 진술자가 진술불능(사망, 질병, 해외 거주)에도 특히 신빙할 수 있는 상태의 조서 및 서류는 증거 사용 가능

    5. 제315조(당연히 증거능력이 있는 서류) : 등본,초본 등 공무원, 외국공무원이 직무상 증명 가능한 문서 / 상업 장부, 항해 일지 등 업무상 필요로 작성된 통상 문서

    6. 제316조(전문의 진술) : 제3자의 진술이 제3자에 대한 진술로 내용을 특히 신빙할 수 있는 상태의 진술. 이때 진술자가 진술불능일때 증거가능

[참고] 디지털 증거와 관련한 법 관련한 큰 흐름(?)

  • 강제처분 법정주의 형사소송법 제 199조(수사와 필요한 조사)

    1. 수사에 관하여 그 목적을 달성하기 위해 필요한 조사를 할 수 있다. 강제처분은 특별한 규 정이 있는 경우에 한하며, 필요 한도 범위 안에서만 하여야 한다.

    2. 수사에 관하여 공무소 기타 공사단체에 조회하여 필요한 사항의 보고를 요구할 수 있다.

  • 압수 / 수색

    • 형사소송법 제106조(압수수색)

      1. 법원은 필요한 때에는 피고사건과 관계가 있다고 인정할 수 있는 것에 한하여 증거물 또 는 몰수할 것으료 사료하는 물건을 압수할 수 있다. 단 법률에 규정이 있을 때 는 예외

      2. 법원은 압수할 물건을 지정하여 소유자, 소지자 또는 보관자에게 제출을 명할 수 있다.

      3. 법원은 압수의 목적물이 ~~ 정보저장매체인 경우 기억된 정보의 범위를 정하여 출력하거 나 복제하여 제출받아야 한다. 다만, 범위를 정하여 출력 또는 복제하는 방법이 불가능하 거나 압수의 목적을 달성하기 현저히 곤란하다고 인정될 경우 정보저장매체등을 압수할 수 있다. ➢ 원칙적 선별 압수 / 예외적 매체 압수

      4. 법원은 3항에 따라 정보를 제공받은 경우 개인정보보호법 제2조제3호에 따른 정보주체에 게 사실을 알려야 한다.

    • 형사소송법 제108조(임의 제출물 등의 압수)

      • 소유자, 소지자 또는 보관자가 임의로 제출한 물건 또는 유류한 물건은 영장없이 압수가능 제109조(수색)

      • 법원은 피고사건과 관계가 있다고 인정할 수 있는 것에 한해 피고인의 신체, 물건 또는 주거, 그 밖의 장소를 수색할 수 있다.

      • 피고인 아닌 자의 신체, 물건, 주거 기타 장소에 관하여는 압수할 물건이 있음을 인정할 수 있는 경우에 한해 수색할 수 있다. 제219조(준용규정)

      • 제106조~ 검사 또는 사법경찰관의 본장의 규정에 의한 압수, 수색 또는 검증에 준용 단 사법경찰관이 130조, 132조 및 134조에 따른 천분을 함에는 검사의 지휘를 받아야 함 압수와 수색은 주로 장래 공소유지를 위한 증거보전차원에서 이뤄지는 강제처분

      • 압수 : 강제적으로 점유를 이전하는 압수(제106조, 제219조)와 임의적 이전인 영치(제108조,제219조)를 합하여 통칭 압수라 한다.

      • 수색 : 압수할 물건, 피의자 발견을 위해 사람의 신체, 물건 또는 기타 장소에 대한 강제 처분(제109조, 제219조)

    • (영장의 의한 압수 수색)

      제113조(압수/수색 영장)

      • 공판정 외에서 압수 또는 수색 함에는 영장을 발부하여 시행 제215조(압수, 수색, 검증)

      • 검사는 의심할만한 정황이 있고, 사건과 관계가 있을 경우 지방법원판사에게 청구하여 받은 영장에 의하여 압수, 수색, 검증 할 수 있다.

      • 사법경찰관이 사건과 관계가 있다고 인정할 수 있는 것에 한정하여 검사에게 신청 하여, 검 사의 청구로 지방법원 판사가 발부한 영장에 의하여 압수, 수색 검증을 할 수 있다. 제114조(영장의 방식)

      • 영장에는 피고인의 성명, 죄명, 압수할 물건, 장소, 발부년원일, 유효기간에 집행하고, 못할 경우 영장 반환

      • 수사관, 사법경찰관은 검사에세 압수수색 신청하여 법원의 영장에 의해 진행

    • (영장에 의하지 않은 압수수색)

      • 제216조(영장에 의하지 아니한 강제처분)

        1. 검사 또는 사법경찰관은 영장에 의한 체포(제200조의2), 긴급체포(제200조의3), 구속(제 201조), 현행범체포(제212조)에 의하여 피의자 체표, 구속하는 경우에 필요한 때에는 영 장 없이 처분할 수 있다.

        2. 타인의 주거나 타인이 간수하는 장소 의 파의자 수사

        3. 채포현장에서의 압수 수색 검증 (구속영장 집행의 경우 준용) – 2호

        4. 긴급을 요하는 경우 사후에 지체없이 영장을 받아야 한다.

      • 제217조(영장에 의하지 아니하는 강제처분)

        1. 긴급체포(제200조의3)의 경우 물건에 대해 긴급 압수할 경우 체포한 때로부터 24시간 이 내에 영장없이 압수 수색 검증할 수 있다

        2. 216조에제1항제2호에 따라 압수한 물건을 계속 압수할 필요가 있는 경우 지체없이 압수 수색영장을 청구해야 하며, 체포한 때로부터 48시간 이내 영장 청구해야 한다.

        3. 영장을 발부받지 못한 때에는 압수한 물건을 반환해야 한다 218조(영장에 의하지 아니한 압수

        4. 피의자 기타인의 유류한 물건이나 소유자, 소지자 또는 보관자가 임의로 제출한 물건을 영장 없이 압수할 수 있다. 영장에 의한 체포(200조의2), 긴급체포(200조의3), 구속(201조), 현행범(212조)인 경우 영장에 의하 지 않고 24시간 이내 압수 수색 가능 영장에 의하지 않은 압수수색은 48시간 이내 반드시 영장 청구 해야하고, 사후 영장의 발부가 안 된 경우 즉시 반환 다른 사람의 주인인 경우 동의에 의한 압수 수색은 사후영장 X , 영장청구 기각 시 반환

    • (영장의 집행)

      • 제115조(영장의 집행)

      • 제118조(영장의 제시)

      • 제119조( 집행 중의 출입 금지)

      • 제121조(영장집행과 당사자의 참여)

      • 제122조(영장집행과 참여권자의 통지) : 사전에 규정한자에게 통지 / 참여하지 아니한다는 의사를 명시한 때, 급속을 요할때는 예외

      • 제123조(영장의 집행과 책임자의 참여) : 책임자에게 통지, 참여자 없으면 지방 공공단체 직원이라도 참여

      • 제124조(여자의 수색과 참여) : 여자 신체 수색 시 성년의 여자 참여

      • 제125조(야간집행의 제한) : 영장에 야간집행 없으면 안됨

      • 제129조(압수목록의 교부) : 압수목록 교부해야한다.

    • (압수물의 환부/가환부)

      제133조(압수물의 환부, 가환부)

      1. 압수를 계속할 필요가 없으면, 환부. 증거에 공할 압수물은 소유,소지,보관자 또는 제출인 의 청구에 의해 가환부 가능

      2. 증거에만 공할 목적으로 압수한 물건으로 소유자또는 소지자가 계속 써야하면 사진촬영 기타 원형보존의 조치를 취하고 신속히 가환부 해야함

  • 디지털 증거

    • (증명의 기본원칙) 제307조(증거재판주의)

      • 사실의 인정은 증거에 의한다.

      • 범죄사실의 인정은 합리적 의심이 없는 정도의 증명에 이르러야 한다.

    • 제325조(무죄의 판결)

      • 피고사건이 범죄로 되지 아니하거나 범죄사실의 증명이 없는 때에는 판결로 써 무죄를 선고 ➢ 거증책임이란 요증사실의 존부에 대해 증명이 불충분한 경우에 불이익을 받을 당사자의 법 적 지위, 즉 불이익을 받을 위험부담을 바로 거증책임이라고 한다. ➢ 법치국가원리로써 “의심스러울 때는 피곤인의 이익으로” 내지 무죄추정 원칙이 적용되므로 원칙적으로 검사가 거증책임을 부담

    • 제308조(자유심증주의)

      • 증거의 증명력은 법관의 자유판단에 의한다.

    • 증거능력

      • 제308조의2(위법수집증거의 배제)

        • 적법한 절차에 따르지 아니하고 수집한 증거는 증거로 할 수 없다. (독수독과 원칙) 다만 침해되는 법익과 진실발견이라는 공익을 비교형량하여 침해되는 법익이 중 대한 경우 증거능력 배제 -> 이익 형랼설의 입장

    • (자백배제법칙) 제309조(강제등 자백의 증거능력)

    • [증거의 동의] 제318조(당사자의 동의와 증거능력

      1. 검사와 피고인이 증거로 할 수 있음을 동의한 서류, 물건은 증거 가능

      2. 피고인의 출정없이 증거조사를 할 수 있는 경우 피고인이 출정하지 아니한 때는 동의가 있는 것으로 간주, 단 대리인/변호인이 출정한 때는 예외

    • [전문법칙] 제310조의2(전문증거와 증거능력 제한)

      • 제311조(법원 또는 법관의 조서) 내지 제316조(전문의진술)에 규정한 것 이외의 진술에 대신 하여 진술을 기재한 서류나 타인의 진술내용은 이를 증거로 할 수 없다. ➢ 전문증거(hearsay) : 원칙적으로 증거능력 부정, 그러나 원칙일 뿐 수많은 예외를 발전시켜옴

    • [전문증거의 예외]

      • 제311조 (법원 또는 법관의 조서)

      • 제312조(검사 또는 사법경찰관의 조서)

      • 제313조(진술서 등) : 진술을 기제한 서류로써 진술자의 자필, 서명이나 날인이 있는것 (정보저장정보저 저장된 것 포함) 그럼에도, 디지털포렌식 자료, 감정등 객관적 방법으로 성립의 진정을 증명 하는 경우 증거로 할 수 있다.

      • 제314조(증거능력의 예외)

        • 제312조,제313조의 경우 진술자가 사망, 질병, 외국거주, 소재불명 등~~~ 증거로 할 수 있다 다만 상당히 신빙할 수 있는 상태에서 작성

      • 제315조(당연히 증거능력 있는 서류)

        • 가족관계증명서, 공무원등의 증명서

        • 상업장부, 항해일지 등 업무상 필요로 작성된 통상문서

        • 기타 특히 신용할 만한 정황에 의해 작성된 문서

      • 제316조(전문의 진술)

        • 특히 신빙할 수 있는 상태로피고인이 아닌 자의 진술이 피고인의 진술을 그 내용으로 하는 것일 때

  • [디지털 증거는 전문증거인가?]

    • 시스템이 자동 생성하는 로그, 레지스트리, 인터넷 히스토리 등 사람의 진술이 아닌 비진술증거로 진성정을 갖추면 증거능력 인정

    • 진술내용을 보관한 경우 기본적으로 증거능력은 없으나, 실질적 성립의 진정이 인증되고 특신 상황이 인정될 경우 증거능력 인정된다.

    • 성립의 진정을 부인하는 경우 과학적 분석결과에 기초한 디지털포렌식자료, 감정 등 객관적 방법으로 성립의 진정이 증명될 경우 증거로 할 수 있다.

3. 기출 문제 유형의 접근

  • 디지털 포렌식에서 기본적으로 많이 언급되는 주요 법률 관련 문제가 출제되었습니다. 문제를 어떻게 내더라도 문제에서 요구하는 디지털 증거의 핵심 성질을 파악하여 답안 작성하여야 합니다.

  • 문제 예시

    1. 절차문제(무결성, 동일성 확보 관련 문제)

      • 디지털 포렌식 전문가 현장에 도착하면 해야 할 일을 서술하시오.

      • 간혹 법정에서 상대 측 변호인이 증거의 무결성 훼손을 주장 할 때가 있다 . 다음 경우에 관련하여 증거의 무결성을 입증 할 방법을 자세히 서술하여라.

      • 포렌식 전문가가 영장을 발부 받고 4일 뒤 현장에 분석진행을 하러 가는데 있어서 필요한 내용 기술 하시오.

      • 법정에서 상대 측에서 증거의 타당성을 의심할 때 이때 증거능력 확보를 위해 진행되어야 할 포렌식 전문가가 해야할 내용 서술하시오.

      • 본 사건에 대한 포렌식 조사 절차(준비 , 수집 , 보관 , 이송)를 상세히 기술하시오 .

      • 증거물 USB 의 무결성 확보 절차에 대해 상세히 기술하시오 .

      • 증거분석실 분석관이 증거파일을 분석할 때 법적 절차에 따라 지켜야 할 것은 무엇인지 기술하시오.

      • 대법원 판결에 근거하여 원본과 증거사본의 동일성을 증명하기 위한 조치를 기술하시오.

      • 수사기관은 영장을 청구하여 ***의 노트북을 압수하였고, 그 노트북에서 관련 자료를 수집하였다. 이 수집 절차에 대하여 설명하시오.

    2. 디지털 증거의 전문법직 적용 여부 관련 문제(진술증거 / 비진술 증거)

      • 검사는 증거사본에서 아르바이트생이 甲에게 보낸 이메일이 불법을 저지른 주요 증거로 판단되어 법정제출 하였다. 위 증거의 증거 능력에 관하여 기술하시오.

      • 증거 중 용의자가 작성한 문서가 발견 되었다. 이 문서의 증거능력에 관해 기술하시오.

    3. 디지털 증거의 증거능력에 관한 문제

      • 丙후보는 당시 아르바이트 팀장 B 가 지금까지 여론조작을 진행하면서 매일 기록한 업무 내용이 담긴 USB 메모리를 소지하였다는 정보를 입수하여 흥신소에 의뢰하여 해당 USB 메모리를 절취 후 검사측에 전달하였다. 이USB 를 제출하는 경우 USB 의 증거능력을 기술하시오.

    4. 별건증거 발견할 경우의 관한 문제

      • 수사관 A 가 분석실에서 USB 탐색 중 우연히 인천시에서 국회의원선거에 출마한 후보자 丁후보가 甲에게 자신의 선거에 유리하도록 여론조사 청탁 내용 이메일을 발견하였다고 가정하였을 때 수사관 A 가 취해야 하는 법적 조치는 무엇인가.

      • 기술 유출에 관한 사건에서 주요 증거 USB를 분석 도중 아동 포르노 영상이 발견되었다. 이때 수사관 A가 취해야하는 법적 조치는 무엇인가.

    5. 원격지 압수 관련 문제

      • 수사관 A는 기술 유출에 관한 사건을 분석하던 도중 외국에 서버가 있는 이메일을 주고 받은 정황이 발견되었고, ID와 비밀번호도 발견 되었다. 이 메일의 내용을 적법하게 압수 할 수 있는 조치를 기술하시오.

  • 답안 작성시 필요한 주요 키워드

    1. 절차문제(무결성, 동일성 확보 관련 문제)

      • 절차 문제의 경우 위에서 언급하는 디지털 포렌식 표준 절차를 기반으로 주요 키워드들이 들어간 내용을 작성하여야 합니다.

    2. 디지털 증거의 전문법칙 적용 여부 관련 문제(진술증거 / 비진술 증거)

      • 컴퓨터가 자동으로 생성하는 로그나, 메타데이터와 같은 디지털 증거는 비진술 증거이고, 메일이나, 문서 등과 같이 사람이 작성한 디지털 증거는 모두 진술증거에 해당합니다.

      • 비진술 증거의 경우 임의성이 없으며, 전문법칙에 적용되지 않고, 증거동의 대상이 되지 않기에 증거능력이 있습니다.

      • 진술증거는 구두로 말하는 진술증거, 서면에 의한 진술증거 등이 포함되며 이러한 진술증거는 전문증거에 해당하며, 전문증거는 전문법칙에 적용됩니다. 임의성이 있으며, 증거의 동의대상입니다.

      • 이러한 전문증거는 기본적으로 증거능력이 없다는 것이 전문법칙입니다.(형사소송법 제310조의2)

      • 그럼에도 성립의 진정이 입증된다면 전문법칙의 예외가 되어 증거능력을 인정받을 수 있습니다. 만약 성립의 진정을 부인하는 경우 과학적 분석 결과에 기초한 디지털 포렌식 자료, 감정 등 객관적 방법으로 성립의 진정이 증명 된다면 증거로 사용이 가능합니다.(형사소송법 제313조) [디지털 포렌식을 하는 이유]

    3. 디지털 증거의 증거능력에 관한 문제

      • 기본적으로 적법한 절차에 따르지 아니하고 수집하는 증거는 증거로 할 수 없습니다.[형사소송법 제308조의2(위법수집증거 배제)]

      • 그러나 모두 위법하다고만 할 경우 사법정의 실현에 어려움이 있을 수 있다. 오히려 증거를 배제하는 것이 실체적 진실규명의 조화를 도모하고 형사사법 정의 실현에 반하는 예외적 경우라면 유죄의 증거로 사용할 수 있고, 실체적 진실 발견이라는 공익과 개인의 이익을 비교형량하는 이익형량설에 따라 위법수집증거도 증거능력이 있습니다.

      • 뿐만 아니라 위법하게 수집한 증거로 부터 파생된 2차적 증거 또한 증거로 사용할 수 없습니다.(독수독과 이론)

      • 또한 모든 2차적 증거가 제한될 경우 실체적 진실 규명이 어렵게 될 수 있습니다. 오염희석이론, 불가피한 발견의 이론, 독립된 증거원의 이론, 선의의 신뢰의 이론등의 독수독과의 예외의 이론에 해당하는 경우 증거로 인정 받을 수 있습니다.

    4. 별건증거 발견한 경우

      1. 절차에서도 확인할 수 있듯이, 별건정보가 우연히 발견된 경우 별건 정보에 대한 추가 탐색을 중지하고 별도의 범죄혐의에 대한 새로운 압수/수색영장(제2영장)을 발부받아 추가 탐색을 진행해야 합니다.

      2. 압수방법

        1. 별건정보에 대한 새로운 압수/수색영장(제2영장) 집행 시에도 피압수자 또는 참여인에게 참여권을 고지한다.

        2. 별건 범죄사실과 관련된 디지털 데이터만을 선별하여 출력/복제한다.

        3. 해시값을 산출하여 피압수자 또는 참여인에게 확인시켜준 후 서명을 받는다.

        4. 압수목록에 해당하는 디지털 데이터의 내용을 기록한다.

    5. 원격지 압수 관한 문제

      • 사실상 메일이나 클라우드와 같이 서버가 외국에 있을 경우 압수의 상당한 어려움이 발생할 수 있습니다. 그럼에도 ID, PW를 정상적인 방법으로 입수하였다면 로그인을 하여 주요 증거들을 수집하는 것이 적법한지에 대한 논의도 계속 되고 있으나 대법원 판례에서는 가능하다는 취지의 판례가 나왔습니다.

      • 이렇듯, 피의자와 변호인에게 영장제시, 참여권 보장 후 추가적인 전문가등이 참관인으로 참여하여 적법하게 취득한 ID, PW로로그인 후 해당 증거들을 수집하는 것이 가능하다는 것입니다.

PreviousEnCase를 활용한 분석연습 정리Next(정리 중) 디지털 증거관련 주요 판례

Last updated 5 months ago

수사기관이 압수 · 수색영장에 따라 피의자와 변호인에게 영장을 제시하여 참여의 기회를 부여하고, 압수 · 수색영장에 기재된 수색장소인 한국인터넷진흥원에 설치된 인터넷용 컴퓨터에서 한국인터넷진흥원 소속 직원인 전문가와 일반인 포렌식 전문가가 참여․ 입회한 가운데 외국계 이메일 홈페이지 로그인 입력창에 사전에 적법하게 취득한 아이디와 비밀번호를 입력하여 피의자가 이용하는 외국계 이메일 계정에 접속한 후 위 컴퓨터 화면에 현출된 이메일 본문 및 첨부문서 중 범죄 혐의사실과 관련된 부분만을 출력하거나 캡처, 저장하는 등의 방법으로 선별 압수·수색한 것이 적법하다고 한 사례

[링크]