Publications

Detailed Information

삭제 후 복구된 디지털 파일의 증거능력 인정 요건에 관한 연구 : A Study on Requirements for Recognizing Evidence of Digital File Recovered after Deletion

Cited 0 time in Web of Science Cited 0 time in Scopus
Authors

김방글

Advisor
이중식
Issue Date
2020
Publisher
서울대학교 대학원
Description
학위논문(석사)--서울대학교 대학원 :융합과학기술대학원 수리정보과학과,2020. 2. 이중식.
Abstract
세계에서 생성되는 정보의 약 90% 이상이 디지털 형태로 만들어지고 있다고 한다. 민사소송, 증거개시절차에서도 전자적 자료의 중요성이 커지고 있고, 수사 및 형사소송에서도 디지털 형태의 증거가 더욱 중요해 지고 있다. 그런데 디지털 증거는 기존의 물리적 증거와는 다른 특징들을 가지고 있어서 형사소송에서 디지털 증거에 대한 적법성, 압수‧수색과 증거 분석의 방법 및 증거능력 인정 요건 등의 중요성이 더욱 커지고 있다.
피압수자가 디지털 파일을 작성하여 정보저장매체에 저장한 후 실수로 이를 삭제해 버리거나 정보저장매체 용량의 부족 또는 디지털 파일 보관의 필요성이 없다는 이유로 디지털 파일을 삭제하는 경우가 존재한다. 또한 최근 안티포렌식을 목적으로 디지털 파일을 삭제하는 경우가 증가하고 있고, 이를 위해 디가우징 등 전문적인 방법까지 이용되고 있다.
디지털 포렌식은 이러한 디지털 증거를 수집, 복원, 분석, 보고서 작성 및 증거 보존하는 일련의 작업을 의미하는데, 기존의 디지털 포렌식은 정보저장매체의 비할당된 영역에서 삭제된 파일을 복구하는 것보다는 할당된 영역에 존재하는 파일을 수집하고 분석하는데 초점을 맞추고 있었다. 그런데 위와 같이 디지털 파일이 다양한 이유로 삭제되는 경우가 증가하고 있어 향후 비할당된 영역에서 삭제된 파일을 복구하는 것이 중요해질 것으로 보이는데, 삭제된 파일의 복구와 이에 대한 논의는 부족하였다.
사용자가 정보저장매체에서 저장되어 있던 디지털 파일을 삭제하고 나면, 사용자의 입장에서는 삭제 처리된 디지털 파일이 보이지 않아 완전히 사라진 것처럼 보인다. 그런데 정말 삭제 처리된 디지털 파일은 정보저장매체에서 영구 삭제, 완전히 사라진 것일까. 정답은 그렇지 않다. 삭제된 디지털 파일의 정보는 정보저장매체의 비할당된 영역에 저장되어 있는 경우가 많고, 복구가 가능하다. 물론, 안티포렌식 기술의 발달과 HDD 등 새로운 정보저장매체의 등장 등으로 디지털 파일의 복구가 어렵거나 불가능한 경우도 증가하고 있지만, 이로 인하여 수사기관이 삭제된 파일을 발견해 복구해 내는 것은 더 중요해지고 있고, 삭제된 디지털 파일의 복구 기법도 역설적으로 활발히 연구되어 발달하고 있다.
그렇다면 수사기관에서 삭제된 디지털 파일을 복구하여 그 복구된 디지털 파일을 형사소송에서 증거로 사용되는 경우, 증거능력을 어떻게 인정받을 것인지 여부가 문제된다.
기존 실무와 판례에서는 할당된 영역에 존재하는 파일을 압수하여 이를 증거로 사용하는 경우가 대부분이었기 때문에 증거능력에 대한 논의는 정보저장매체에 저장된 디지털 파일과의 동일성, 무결성을 입증하는데 집중되어 왔다. 또한, 디지털 증거의 대량성 특징으로 인하여 관련성이 중요시됨에 따라 원칙적 선별 압수, 예외적 매체 압수가 강조되었고, 개별 디지털 파일을 단위로 하여 범죄사실과 관련성이 있는 개별적 디지털 파일만을 선별하여 압수하면서 동일성, 무결성의 입증도 정보저장매체 전체에서 개별 디지털 파일로 확장되어 왔다.
디지털 파일이 삭제 후 복구된 경우에는, 복구 이후의 시점부터는 기존과 동일하게 압수된 복구 파일이 복구 시점 이후에 변경되지 않고 동일하다는 것에 대한 입증은 가능하다. 그런데 피압수자의 입장에서 삭제되었던 디지털 파일은 실제 정보저장매체의 비할당영역에 존재했던 것이지만 전문적인 디지털 복구 도구를 이용하지 않고는 접근할 수 없고, 삭제되기 전 디지털 파일을 존재하지 않으며, 삭제되기 전 디지털 파일의 해시값도 알 수 없기 때문에 삭제되기 전 디지털 파일을 원본으로 본다면 기존과 같이 단순히 해시값의 비교로 증거능력을 인정할 수 없다. 이에 삭제 후 복구된 디지털 파일의 증거능력의 인정 요건, 즉 무엇을 원본으로 볼 것인지, 원본과의 동일성, 무결성을 입증하는 방법 및 그 입증 정도 등이 문제된다.
디지털 증거가 무엇인지 살펴보면, 디지털 증거는 디지털 형태로 저장되거나 전송되는 정보를 의미하므로, 한컴오피스, Microsoft Word, Excel, Powerpoint 등 각종 소프트웨어 프로그램을 통해 보고 읽을 수 있는 개별 디지털 파일이 아니라 정보저장매체에 저장된 데이터, 정보 그 자체로 보아야 한다. 삭제 후 복구된 디지털 파일의 경우, 삭제되기 전이 아닌 삭제되고 난 이후, 압수 시점에서의 정보저장매체에 저장된 디지털 형태의 정보를 원본으로 보아야 한다.
또한, 증거능력의 인정 요건으로 원본과의 동일성, 무결성 및 신뢰성이 있다. 수사 실무적으로 디지털 증거 중 삭제 후 복구된 디지털 파일을 압수하는 방법으로 정보저장매체에서 삭제된 디지털 파일들을 복구한 후 선별하여 관련성이 있는 복구된 디지털 파일들만을 이미징하여 압수하는 방법(복구 후 선별 압수 방법이라 한다)과 정보저장매체 자체를 이미징한 후 삭제된 디지털 파일들을 복구한 이후에 선별하여 압수하는 방법(전체 이미징 후 복구 및 선별 압수 방법이라 한다)이 있다. 각각의 경우에 따라 해시값 비교의 대상을 무엇으로 볼 것인지, 재현가능의 입증 정도도 달라진다.
먼저 복구 후 선별 압수 방법에서는 삭제 후 복구된 디지털 파일들과 다른 파일들을 이미징하여 복사한 것이기 때문에 정보저장매체 전체가 아닌 복구된 디지털 파일들을 포함한 압수된 디지털 파일들과 그것을 이미지한 파일의 해시값을 비교하는 방법으로 동일성, 무결성을 증명할 수 밖에 없다. 이미징 이전의 단계, 즉 복구 과정이 문제된다면 재현가능성을 입증하기 위하여 저장저장매체나 그 정보저장매체 전체에 대한 이미지 파일이 필요한데, 정보저장매체나 그 정보저장매체 전체에 대한 이미지 파일 모두 없는 상황에서 복구가 제대로 이루어졌는지 여부를 증명하기 곤란한 상황이 발생한다. 따라서 재현가능성에 대한 입증의 정도를 완화하여 디지털 증거 분석 도구의 신뢰성, 디지털 포렌식 수사관의 전문성 등으로 이를 보완하는 것이 필요하다.
다음으로, 전체 이미징 후 복구 및 선별 압수 방법에서는 정보저장매체 자체를 이미징하였기 때문에 정보저장매체에 저장되어 있던 전체 정보를 원본으로 보고, 정보저장매체 전체의 해시값과 이미지 파일의 해시값을 비교한 후, 이미지 파일에서 삭제된 디지털 파일이 복구되었고, 그 복구된 파일의 사본이라는 것을 증명하여야 한다. 이 경우, 재현가능성을 입증하기 위하여 원본 정보저장매체나 이미지 파일이 필요하다. 보통 원본 정보저장매체는 피압수자에게 반환하고 이미지 파일은 복구 및 선별 압수 후 삭제하나 이러한 경우 재현가능성 입증을 위해 이미지 파일을 보관하는 것이 필요하고, 이미지 파일의 보관 방법 등을 논의할 필요성이 있다.
현재까지 삭제 후 복구된 파일의 증거능력 인정 요건에 대해 명시적으로 판결한 판례가 존재하지 않는다. 판례는 디지털 증거의 증거능력 인정 요건에 대하여 종합판단설의 입장을 취하고 있으므로, 비할당영역에 압수할 데이터가 존재하였고, 전문성을 갖춘 디지털포렌식 수사관이 신뢰할 수 있는 복구 도구를 이용하여 복구하였으며, 이를 재현할 수 있음을 종합적으로 증명함으로써 동일성, 무결성 및 신뢰성을 인정받을 수 있다고 생각한다. 구체적으로, 디지털 증거분석 도구의 신뢰성, 디지털 포렌식 수사관의 법정 증언 및 재현가능성 검증, 저장매체에 저장되어 있는 디지털 정보 자체의 확인, 부수데이터의 분석, 제3의 전문기관 등에 의한 감정 등 다양한 방법으로 이를 효과적으로 입증할 수 있다.
앞으로도 정보저장매체 원본이 존재하지 않거나 HDD 등 저장매체의 특성상 해시값이 변경되는 상황이 존재할 것이다. 과학기술은 계속적으로 발전하면서 변화하고 있고, 디지털 포렌식 및 이에 대응하는 안티포렌식도 계속적으로 발전하면서 변화하고 있다. 따라서 디지털 증거의 특징을 고려하여 다양한 방법으로 증거능력의 인정 요건인 진정성, 무결성 및 신뢰성을 입증할 수 있도록 해야 하는 방안이 계속적으로 연구되어야 할 것이라고 생각한다.
Language
kor
URI
http://dcollection.snu.ac.kr/common/orgView/000000160146
Files in This Item:
Appears in Collections:

Altmetrics

Item View & Download Count

  • mendeley

Items in S-Space are protected by copyright, with all rights reserved, unless otherwise indicated.

Share