검색불가능 이메일 첨부파일에 대한 현장 탐지기법 연구

Abstract

압수수색을 집행함에 있어서 기업 IT환경에 대처하기가 더욱 더 힘들어지고 있다. 기업 내 인프라환경이 클라우드 환경으로 대체되어 가고 있고, 매체제어 및 DRM 솔루션을 도입하는 기업도 많아졌다. 이는 비용절감 및 내부정보유출 방지를 위한 기업의 정상적인 흐름이지만, 단시간 내에 사건관련 자료를 수색하고 분석해야하는 수사기관입장에서는 이런 환경에서의 작업이 인적/기술적으로 힘든 과제가 되어가고 있다. 특히 대량 데이터(Volume of data)에 대한 선별작업은 전체자료를 확인하기 쉽지 않기 때문에 더욱 더 어려운 작업이다. 분석해야할 디지털 자료가 압축파일이나 이메일파일인 경우 내부에 존재하는 다양한 형태의 서브파일까지 확인해야 되기 때문에 자료 확인 및 선별과정에 장시간이 소요된다. 특히 이메일자료의 경우는 대량/대용량의 형태를 가지면서 파일내용에는 대상자가 누구와 어떤 행위를 했는지 또는 어떤 자료를 송수신했는지에 대한 행위기록이 저장되어 있기 때문에 가장 중요한 디지털파일 중 하나이다. 이런 이메일의 특성으로 이메일 자료 확인을 위해서는 PC에 존재하는 다른 디지털파일과는 다른 선별절차를 거친다. 이메일의 송수신자, 시간, 제목 등의 이메일 메타데이터를 기반으로 본문내용이나 첨부파일을 확인하는 번거롭고 반복적인 과정을 거쳐야 하기 때문에 현장에서 최종적으로 선별을 하기보다는 원본 및 사본을 복제하여 별도의 분석실로 이동한 후 피압수자(참관자)의 참여하에 참관절차를 진행하면서 사건관련성을 종합적으로 판단한 후 선별을 마무리한다. 본 논문은 압수현장에서 이메일 압수수색 프로세스를 살펴보고 현장 상황에 따라 이메일 선별을 압수현장에서 진행하거나 이메일 첨부파일까지 세부적으로 분석해야 하는 상황이 발생하였을 때 효과적으로 사용할 수 있는 도구를 구현하여 압수수색을 단시간에 효율적으로 가능하게 하는 방안을 제시하였다.

It is becoming increasingly difficult to cope with corporate IT environments in the search and seizure. IT infrastructure environments in corporate are being replaced by cloud based, and more companies are adopting media access control/DRM solutions. This is a normal flow for cost reduction and prevention of information leaks in the company, but it is becoming a tough and difficult challenge for the investigating organization to search and analyze incident data in a short period of time. In particular, e-mail data is one of the most important digital files because it has the large volume of data and e-mail file contains a record of the person's actions with whom and what data was exchanged. In order to check the e-mail data, different analyzing procedure is performed from other digital files existing on the PC. It must go through a time-consuming and repetitive process of identifying textual content or attachments based on email metadata such as the sender, recipient, sendtime, and subject of the email. This paper suggests a method to shorten the search and seizure procedure time for the e-mail files and a method to identify and detect a DRM file, a document encryption file, and a document scan file, which can not be searched for a keyword. This can shorten the seizure time at the seizure site and prevent the omission of important evidence.