Publications
Detailed Information
전자증거의 선별압수와 매체압수에 관한 연구 : A Study on Acquisition of Digital Evidences, On-site or Off-site
| DC Field | Value | Language |
|---|---|---|
| dc.contributor.advisor | 이상원 | - |
| dc.contributor.author | 오현석 | - |
| dc.date.accessioned | 2019-05-07T04:12:28Z | - |
| dc.date.available | 2019-05-07T04:12:28Z | - |
| dc.date.issued | 2019-02 | - |
| dc.identifier.other | 000000155267 | - |
| dc.identifier.uri | https://hdl.handle.net/10371/151409 | - |
| dc.description | 학위논문 (석사)-- 서울대학교 대학원 : 융합과학기술대학원 수리정보과학과, 2019. 2. 이상원. | - |
| dc.description.abstract | The basic principle in Korean criminal procedure law put that investigators are entitled to seize selectively only those electronic evidences which can be regarded relevant to the case. They are not allowed to keep the acquired information any longer, once it is revealed as irrelevant. The selective seizure of relevant digital evidences can be done in either of two methods ― an on-site acquisition, primarily and an off-site acquisition, secondarily.
This study maintains that the on-site acquisition method is vulnerable to possible failures in finding out the truth or the subject matter, because of various limits of digital forensics in technological aspect as well as legal aspect. Those limits originate from the nature of keyword search and logical imaging. Moreover, many kinds of highly developed techniques of digital forensics are not applicable to the evidence image acquired through logical imaging. Therefore, this study contend that investigators should be allowed to seize a little expansive range of digital evidence, including artifacts, or to take the off-site acquisition method. However, as shown by the charts from D-NET, investigators indulge in the off-site acquisition method for almost all mobile forensic cases. The principle of due process and the protection of privacy are now in danger, especially in mobile forensics. Judges and legal researchers may have taken the off-site mobile acquisition for granted so far, without the knowledge that the on-site acquisition is technically possible even for mobile forensics. This study may be the first one that proves the technical possibility of a selective acquisition of information stored in a mobile device, that challenges rampant usages of the off-site acquisition method, and that suggests the revision of the mobile acquisition process as well as of MFA, the mobile acquisition tool developed by the Korean Prosecutors' Office. Korean criminal procedure law guarantees the right to participate in the scene during search and seizure, the right to observe and challenge the investigators' plan, and the right to demand the complete-wiping of irrelevant information. This study suggests the implementation of highly sophisticated ways to ensure those rights for the person subject to the seizure: screen-recording and logging of the digital-forensic investigator's PC | - |
| dc.description.abstract | providing the realtime screen telecast through video-conference channel or remote desktop service | - |
| dc.description.abstract | disclosing the results of information audit monthly or annually to the public. | - |
| dc.description.abstract | 전자증거의 압수시 사건과 관계가 있다고 인정할 수 있는 전자정보만을 골라서 압수해야 한다는 것은 형사소송법의 대원칙이다. 매체압수라고 다를 바 없다.
현장에서의 선별 또는 반출 후 선별의 2가지 방법이 있는데, 현장에서의 선별압수가 원칙이기는 하지만 실체진실발견에는 한계가 있다. 선별압수의 실효성을 방해하는 실패 요인의 첫째는 키워드 검색의 규범적ㆍ기술적 한계이고, 둘째는 논리이미징의 한계이며, 세 번째 실패 요인은 진상규명 수단인 디지털 포렌식의 다양한 고급 기법들이 선별압수 결과물에는 적용되지 못하고 만다는 점이다. 이러한 한계는 달리 회피하기 어려우므로, 실체진실을 위한 본격적인 디지털 포렌식 분석이 필요한 경우에는 매체압수, 즉 현장외 선별 압수를 적극 단행하거나 관련성 인정 범위를 확대하는 판단이 필요함을 주장한다. 영장 별지 기재도 재검토해야 한다. 모바일의 경우에는 압도적으로 매체압수가 횡행하는 실태임을 확인하였다. 모바일은 매체압수가 기술적으로 불가피하다는 것이 기존 통념인데, 본고는 처음으로 이를 극복하였다. 모바일 기기 압수시 선별압수 원칙에 부합하는 기술적 대안을 밝혀낸 첫 논문이다. 모바일 압수절차 모델의 개선방안과 함께 제시한다. 모바일기기의 이미지 중에서 무관계한 부분을 계속 보유하는 것의 위법 여부도 검토한다. 한편, 매체압수시 그 탐색 및 선별 과정에서 참여권 보장은 적법성 확보에 핵심적으로 중요하다. 참여권 행사에 어려움이 많은데도 개선 노력이 미흡하므로 본고는 다음과 같은 개선방안을 제시한다. 첫째, 탐색과정에서 참여권을 충실하게 보장할 수 있는 방법을 수사기관은 적극 도입하여야 한다. 화면녹화, 원격영상 제공 등 참여권 보장 방법을 고도화하는 개선방안을 제안한다. 둘째, 법령과 판례는 이의제기권을 명문화해야 한다. 무관정보 삭제ㆍ폐기 요구권을 포함하며, 더 넓은 개념이다. 이의제기를 받으면 수사기관은 합리적 대응조치를 하여야 하는 의무가 있다. 셋째, 수사기관은 전자증거의 철저한 관리, 관리이력 내지 관리실태의 공개, 분석팀과 수사팀의 분리 등 신뢰 증진 방안을 강구해야 한다. | - |
| dc.description.tableofcontents | I. 서론 1 II. 선별압수ㆍ매체압수 실태 4 제1장 용어 정의 4 제2장 전자증거 압수에 관한 검찰의 실태 5 제1절 검찰의 전자증거 압수ㆍ분석 기본 현황 5 제2절 선별압수와 매체압수를 비교한 검찰 현황 8 1. PC의 경우: 선별압수가 80% 초과 8 2. 모바일의 경우: 매체압수가 절대 다수 9 3. 대세는 모바일 10 제3장 전자증거 압수에 관한 경찰의 실태 11 제1절 경찰의 전자증거 압수ㆍ분석 기본 현황 11 제2절 경찰의 선별압수ㆍ매체압수 현황 12 III. 선별압수의 원칙 15 제1장 선별압수 입법 15 제2장 선별압수 원칙에 관한 영장 변천사 16 제1절 적정한 압수 절차 모색의 시작 16 제2절 압수의 방법을 제한하는 영장의 등장 17 제3절 관련성 요건을 명시한 영장 별지의 등장 20 제4절 3단계 선별압수 영장의 본격화 22 제5절 현행 압수 대상 및 방법의 제한 24 제3장 선별압수 원칙화에 대응한 선행 연구들 27 제1절 모바일 선별압수 선행연구 미흡 27 제2절 수집도구 개선 연구 27 제3절 안전한 증거관리 방식의 연구 28 제4절 암호화하여 제3의 기관에 위탁하자는 연구 31 제5절 무관증거 폐기 방법에 관한 연구 32 제6절 원본압수와 선별압수에 관한 연구 33 IV. 디지털 포렌식을 위한 매체압수, 관련성 확대 필요성 34 제1장 디지털 포렌식의 위기 34 제2장 선별압수의 실패 요인들 35 제1절 관련성 요건에 대한 판단의 한계 35 1. 본질적 모호성 35 2. 집행현장의 상황적 한계로 인한 판단 제약 38 3. 구분 단위의 불분명 39 4. 아티팩트의 관련성 유무 판단 곤란 40 5. 안티포렌식 행위 유무에 따른 관련성 범위 변동 40 제2절 키워드 검색의 한계에 따른 선별 실패 40 1. EnCase 키워드 검색의 한계 40 2. CFT 키워드 검색의 특징과 한계 44 3. 파일 특성, 안티포렌식으로 인한 검색 실패 등 44 제3절 논리이미징의 원리상 포렌식에 부적합 46 1. 논리이미징의 기술적 동작 원리 46 2. 논리이미징의 원리상 디지털포렌식에 부적합한 측면 51 3. 영장집행 현장에서의 상황적 한계 52 제3장 선별압수 결과에 대한 포렌식 분석의 실패 53 제1절 아티팩트 분석에 의한 진상규명의 곤란 53 1. 아티팩츠 53 2. 분석 시나리오 55 제2절 삭제된 파일의 복구 곤란 내지 불가능 56 제3절 볼륨 섀도우 카피를 활용한 파일복구 곤란 57 제4절 완전삭제 도구 사용 흔적의 탐지 곤란 58 제5절 파일 날짜시각 변작 탐지의 불가능 59 1. NTFS 파일시스템의 날짜시각 기록 원리 59 2. 날짜시각 변작 사실을 탐지하는 기법 60 3. 논리이미징 결과물로써는 탐지 불가능 63 제6절 네트워크 포렌식, 이메일 포렌식의 경우 68 제7절 그 밖의 디지털포렌식 기법들 68 제8절 [소결론] 기초적 수준의 포렌식을 넘어서 70 제4장 매체압수 또는 관련성 인정범위 확대 필요성 71 제1절 매체압수를 단행할 필요성 71 제2절 매체압수 허용 요건의 재검토 73 1. 영장 별지 사유의 재검토 73 2. 영장 별지의 매체압수 허용 기재가 요건인지 여부 75 3. 관련 판결례 등 검토 76 제3절 관련성 인정 범위를 넓힐 필요성 78 제4절 소결론 79 V. 모바일에서의 선별압수 81 제1장 모바일 매체압수 실태의 문제점 81 제2장 모바일 포렌식의 획득 기술 82 제1절 획득 기술의 검토 82 1. 하드웨어 방식 83 2. 소프트웨어 방식 83 3. 키워드검색 가능 여부 85 4. 획득 단위의 세분화 여부 85 5. 기타 검토결과 86 제2절 MFA의 이해 87 1. MFA 개요 87 2. MFA 획득 단계의 절차 88 3. MFA 분석 단계의 절차 90 4. MFA에 대한 관찰결과 92 5. 현행 검찰 모바일 압수절차의 개요 93 제3장 MFA 프로그램 개선방안 94 제1절 사후 논리이미징 기능 추가 94 제2절 획득 단계에서 특정 앱의 DB 파일만 선별획득 95 제3절 키워드 검색 결과만 획득하는 기술 개발 97 제4장 모바일 선별압수를 위한 압수절차 개선 97 제1절 검찰 모바일 압수절차의 개선 방안 97 1. 일반 수사관이 즉석에서 시행하는 모바일 현장선별 97 2. 모바일 선별압수절차의 3가지 종류 98 3. MFA 보급 등 검찰의 준비된 여건 99 4. 모바일 압수절차 개선 방안의 장점 101 제2절 경찰 모바일압수 실무의 개선 방안 104 1. 모바일 기기 자체의 압수는 지양 104 2. 현장용 모바일 이미징 획득도구 보급 105 3. 일선 경찰 교육 등 107 제5장 모바일 매체압수의 적법 여부 107 제1절 모바일 매체압수가 적법하다는 통념의 극복 108 제2절 파티션 이미지 계속 보유의 위법 여부 108 VI. 매체 탐색선별 과정의 적법절차 111 제1장 매체 탐색ㆍ선별의 적법 요건 111 제1절 대법원의 일관된 입장 111 제2절 대법원 판례를 둘러싼 논쟁 113 제3절 본고의 초점 115 제4절 탐색ㆍ선별 개념과 분석 개념의 구분 115 제5절 관련 쟁점들 117 1. 참여권 보장의 시작과 끝 117 2. 이메일 압수 참여권자의 범위 118 3. 복호화 과정에서의 참여권 인정여부 121 4. 그 밖의 문제들 122 제2장 참여권 보장 방법의 고도화 123 제1절 참여권 보장의 의의 123 제2절 참여권 보장 및 참여권 행사의 실태와 문제점 124 제3절 참여권 보장 방식의 혁신 필요성 126 제4절 생활화된 IT 기술에서 찾는 대안 129 제5절 참여권 보장 방식 고도화 방안들 130 1. 수사관 작업화면의 동영상 캡처 130 2. 작업환경 로깅 133 3. 분석작업 PC의 가상머신화와 그 이미지 보존 및 제공 133 4. 원격데스크탑 방식으로 작업화면 제공 134 5. 화상회의 방식의 참관기회 제공 134 6. 입회인 제도 활성화 135 제6절 예상 쟁점 - 화면녹화물 개시 135 제3장 피압수자의 이의제기권, 수사기관의 합리적 대응조치 의무 137 제1절 이의제기권 명문화 필요성 137 제2절 이의제기권 행사 실태 138 제3절 무관정보 삭제ㆍ폐기 요구권 138 제4절 합리적인 대응조치를 하여야 하는 의무 139 제4장 전자증거 관리의 철저 및 관리이력의 공개 140 제1절 완전삭제의 철저 140 제2절 권한관리의 철저 141 제3절 D-NET 로그의 관리 142 제5장 선별 담당자와 수사 담당자의 인적 분리 143 제1절 미국연방 CDT 판례 143 제2절 인적분리 방안 144 제3절 장단점 비교 146 VII. 결론 147 참고문헌 149 Abstract 161 | - |
| dc.language.iso | kor | - |
| dc.publisher | 서울대학교 대학원 | - |
| dc.subject.ddc | 510.285 | - |
| dc.title | 전자증거의 선별압수와 매체압수에 관한 연구 | - |
| dc.title.alternative | A Study on Acquisition of Digital Evidences, On-site or Off-site | - |
| dc.type | Thesis | - |
| dc.type | Dissertation | - |
| dc.contributor.AlternativeAuthor | Hyonsok Oh | - |
| dc.description.degree | Master | - |
| dc.contributor.affiliation | 융합과학기술대학원 수리정보과학과 | - |
| dc.date.awarded | 2019-02 | - |
| dc.contributor.major | 디지털포렌식학 | - |
| dc.identifier.uci | I804:11032-000000155267 | - |
| dc.identifier.holdings | 000000000026▲000000000039▲000000155267▲ | - |
- Appears in Collections:
- Files in This Item:
Item View & Download Count
Items in S-Space are protected by copyright, with all rights reserved, unless otherwise indicated.