데이터베이스 은닉행위 식별을 위한 System Artifacts 조사 기법에 대한 고찰

Abstract

압수수색 영장 집행과정에서 데이터베이스의 조사 또는 수색 시, 디지털 포렌식 수사관은 다양한 상황에 직면하게 된다. 그에 따라 현장 상황을 신속하게 판단하고 적합한 대응을 하여야 한다. 수사관의 현장 상황에 대한 판단 및 대응은 압수수색 결과에 많은 영향을 미친다. 최근 압수수색 현장에서 데이터베이스에 저장된 범죄 혐의와 관련된 데이터를 삭제하거나 데이터가 저장된 제장매체 또는 파일을 은닉한 정황을 흔치않게 목격하게 된다. 이러한 데이터베이스 은닉행위가 발생하였을 경우 압수수색 현장에서는 법률적, 기술적, 절차적인 관점에서 다각적인 검토가 필요하다. 우선 법률적인 관점에서 혐의사실과 관련 없는 부분을 포함한 전체 데이터 파일의 압수를 위한 판단 근거가 필요하다. 또한 본 건의 범죄사실 이외에 추가적인 별도의 증거인멸 혐의에 대한 증거 확보가 요구된다. 은닉행위를 식별하기 위해서는 데이터베이스와 이와 연관되어 작동하는 시스템에서 생성되는 아티팩츠를 조사 및 수집하여 한다. 하지만 압수수색 당일 현장에서 사용자의 행위 분석을 위하여 시스템에서 생성된 모든 아티팩츠를 조사한다는 것을 현실적으로 불가능하다. 따라서 수많은 아티팩츠 중 사전에 데이터베이스의 은닉행위와 관련된 아티팩츠를 정의하여야 한다. 또한 위 법률적, 기술적인 검토사항을 반영하여 압수수색 전 과정을 효율적으로 진행하기 위한 구체적인 계획 또는 절차가 필요하다. 이에 본 논문에서는 압수수색 현장에서 피 압수자의 데이터 은닉행위를 식별할 수 있는 시스템 아티팩츠의 조사 방법에 대해 고찰하였다. 피 압수자의 은닉행위를 하드디스크 교체, 데이터베이스 교체, 레코드 삭제의 세 가지 유형으로 구분하여 정의하였다. 각 유형 별로 은닉행위자가 수행하게 되는 수반행위 따라 생성되는 시스템 아티팩츠를 선정하고 이에 대한 조사 방법을 제시하였다. 이러한 과정을 통해서 압수수색 현장에서 은닉행위가 발생할 경우, 행위 유형에 따른 조사와 압수수색 절차를 구분하여 진행함으로써 압수수색 전과정의 효율성을 높였다.