모바일기기 생체인식 잠금장치 해제명령 영장 도입 필요성 및 방안

Abstract

We are using so many locking devices in our daily lives. As the times change, shaves, driving systems, and methods of locking devices are changing. Nowadays, the most common locking device might be the screen lock function of smartphones. Especially, regarding the screen lock function of smartphones, not only the diversity of methods such as password, pattern, fingerprint verification, iris scan, and face recognition but also security is constantly evolving. In these changes, the investigative environment is changing dramatically. It is important that the related file is confiscated by searching the smartphone and computer of the subject to find the tangible truth from the point of investigative authoritys view. In contrast, as for personals view, the security of smartphone recording all things of personal life is emphasized. Accordingly, a manufacturer of smartphones and a developer of operating systems strengthen the security of the latest smartphones, so it became a battle of spear and shield between investigative authority and individual. After iOS 8 and Android 5.0, mobile forensic becomes no longer available since mobile devices are encrypted. In this situation, the so-called Nth room case, which recently made children and teenagers shoot extortion videos, uploaded them on Telegram(SNS) chat rooms, and sold these videos to anonymous members, was revealed and shocked South Korea. But the principal offender Cho *-Bin used Telegram which was not confirmed where the server was and mainly used cryptocurrency (Monero) which was practically difficult to track. Even he didnt tell the password of seized smartphone, the investigative authority struggled to the investigation. As above, the security of the mobile device is strengthened by matching the constant development of technology and demand for security and the needs of making a profit from the increased sales of the products, so it is hard for investigative authority to keep up with the speed of security technology. It would be hard to prevent the crimes in the past and future if the digital forensic investigation about the mobile device is getting hard. Thus, we must solve this matter which threatens the safety of peoples lives and property in terms of peoples livelihood crime and shakes the existence of a nation by destroying the most essential safety net of national and social in terms of terrorist crime. First, we can consider introducing key recovery and key escrow systems. But, in terms of economic, key recovery and key escrow systems are uneconomical since keeping and managing keys are costly. Even if not, there is a fear that the country can invade private lives if it put its mind to it. Moreover, if one of the consigned institutions is hacked, or someone from the institutions leaks all encryption keys, the keys will be exposed to danger. For these reasons, introducing key recovery and key escrow systems has negative opinions. Subsequently, we can consider the introduction of compelled decryption. It can give orders to let the person having the obligation to order of performance decrypt the cyphertext and submit the encryption key which can decrypt the cyphertext. Accordingly, if those who violate this rule without a valid reason, they can be punished. Regulation of Investigatory Powers Act(RIPA) is represented in examples of legislation of other countries. The Ministry of Justice also distributed The research of imposing the duty to cooperate when searching and seizing the digital evidance on Nov 13th, 2020. They said the introduction of compelled decryption was taken into account in Korea and they clarified the plan which researches the RIPA of UK. But the compelled decryption has four problems as outlined below. First, in case of the order to submit something is decrypted, it is difficult to be specified. Also if the suspect performing imperfectly and deleting the decrpted contents, it is difficult to be verified too. Secondly, they have the burden of intention proof in case of the order to submit the encryption key, especially if they insist that they can not remember the password. Thirdly, in criminal penalties, being punished for non-compliance with the obligation to order of performance gives them an advantage over the main suspect. Also, it could infringe the innocent until proven guilty by reporting that the media misread the obligation to order of performance as the main suspects offense and it has issues of double punishment or aggravated punishment. Lastly, above all, the punishment regulations are essential when the obligation to order of performance being failed to implement, but it is necessary to exist the legislation because the punishment regulations infringe the basic human rights, involving the fundamental limit which can be impossible to introduce the compelled decryption without legislation. So, we should introduce a warrant for the mobile device biometric decryption order. As a prerequisite, if a user sets a letter password and a patterned password (hereinafter a 'statement password') as a screen lock function of a smartphone, it must be mandatory to set other biometric locks (hereinafter a 'biometric password'). Because a letter password and a patterned password correspond to statement, which made of expressing ones idea and emotion, delivering knowledge, using language (including words or physical action) through the thinking process, which is suspects mental action, and forcing statement is likely to violate the right to silence or privilege against self-incrimination, above all, if smartphone users are uncooperative, the execution of warrant would be virtually impossible. Therefore, if there is a duty of setting up a biometric password and statement password simultaneously, the investigative institution can unlock the screen lock with a warrant regardless of the statement password acquisition. This additional setting obligation of the biometric password is imposed on the mobile communication company. By setting the smartphone user interface(UI) of a mobile communication company, it is possible that additional setting obligations can be imposed on the company. Therefore, a key telecommunications business operator such as the representative mobile communication company(SKT, KT, and LG U+) must be registered by the Minister of Science and ICT according to the presidential decree. Also, the Minister of Science and ICT can attach a condition to the mobile communication company to promote the fair competition and protect the user and improve the quality of service and efficiently utilize the resource of info-communication. Since the mobile communication companies are the domestic companies, they have a duty without the additional legislation and the issue of international law even if a manufacturer of smartphone and a developer of operating system is not domestic companies such as Apple and Google. In practice, the general search warrant can allow the investigative institute to force to recognize with fingerprint, iris, face. But since there is no clear precedent, each judge has different standards, and it starts to appear ambiguous problems. Thus, the warrant for the biometric decryption order of mobile devices should be introduced. It will be the most effective solution to use it as a clear basis by adding a new form to the court practice requirement which is a guideline related to the practice of the existing warrant.

우리는 일상생활 속에서 수많은 잠금장치를 사용하고 있다. 시대의 변화에 따라 잠금장치의 모양도 구동방식도 사용방법도 다양하게 변화하고 있다. 요즘 가장 많이 사용하는 잠금장치는 아마도 스마트폰의 화면 잠금 기능일 것이다. 특히나 스마트폰의 화면 잠금 기능과 관련 하여서는 비밀번호, 패턴, 지문인식, 홍채인식, 얼굴인식 등 그 방법의 다양성 뿐만 아니라 보안성까지 끊임없이 진화하고 있다. 이러한 변화 속에서 수사 환경도 급변하고 있다. 수사기관의 입장에서는 실체 진실을 발견하기 위해서 수사대상자의 휴대전화와 컴퓨터를 검색하여 관련 파일을 찾아 압수하는 것이 훨씬 더 중요해 졌고, 반대로 개인의 입장에서는 개인사(史)의 모든 것을 기록하는 스마트폰의 보안에 대해서 그 무엇보다 중요시하게 되었으며, 이에 맞춰 스마트폰의 제조업체 및 운영체제 개발업체 또한 매번 출시하는 스마트폰의 보안을 더욱 공고히 하여 결국 수사기관과 개인(또는 기업)간 디지털 창과 방패의 싸움이 되었다. iOS8, Android5.0 이후의 운영체제에서는 모바일 기기에 암호화가 걸려 있어 모바일 포렌식이 사실상 불가능해졌다. 이러한 상황 속에서 최근 아동·청소년을 대상으로 성착취 동영상을 촬영하게 하고 이를 텔레그램(SNS) 대화방에 업로드 한 뒤 익명의 회원들에게 판매하여 엄청난 수익을 올린 이른바 N번방 사건이 드러나 대한민국을 충격에 빠뜨렸다. 하지만 주범인 조○빈은 서버가 어디에 있는지도 확인되지 않는 텔레그램을 사용하고, 추적이 사실상 어려운 암호화폐(모네로)를 거래수단으로 하였으며, 압수된 스마트폰의 비밀번호를 말하지 않아 수사에 난항을 겪었다. 위와 같이 끊임없는 기술의 발전, 소비자의 보안에 대한 수요와 기업의 더 많은 제품 판매를 통한 이윤창출의 니즈가 일치하여 모바일 기기의 보안은 더욱 강화되고 있고, 수사기관은 이러한 기업의 보안기술 발전 속도를 따라가기 벅찬 상태가 되었다. 이처럼 모바일 기기에 대한 디지털 포렌식 수사가 점차 어려워진다면 이미 발생된 범죄의 수사와 향후 발생할 범죄의 예방을 점차 어렵게 만들고 있고, 민생 범죄의 측면에서는 국민의 생명, 신체, 재산에 대한 안전을 위협받으며, 테러 범죄의 측면에서도 사회와 국가의 가장 기본적인 안전망을 흔들어 국가와 사회의 존립을 흔들 수도 있으므로 이를 해결할 방안은 반드시 필요하다. 먼저 키 복구 및 키 위탁 제도의 도입을 검토해 볼 수 있다. 그러나 키 복구 및 키 위탁 제도는 경제적인 측면에서 보면 키 보관 및 관리 등에 많은 비용이 들어 비경제적일 뿐더러 설령 그렇지 않다고 하더라도 국가에서 마음만 먹으면 모든 개인의 사생활을 다 들여다 볼 수 있을 것이라는 불안감과 수탁기관 1곳이 해킹된다면 그곳에 보관 중인 모든 암호키가 안전하지 않을 뿐만 아니라 수탁기관 직원의 고의 또는 과실로 이를 유출하거나 유출될 위험성까지 있어 도입에 부정적이다. 다음으로 복호화명령제도의 도입을 검토해 볼 수 있다. 이는 명령이행의무를 지는 상대방에 대하여 암호문을 복호화하여 제출하게 하거나 암호문을 복호화할 수 있는 암호키를 제출하도록 명령하고, 정당한 이유 없이 이를 위반할 경우 형사처벌을 가한다. 외국의 입법례로는 영국의 수사권한규제법이 대표적이다. 2020년 11월 13일 법무부 역시 디지털 증거 압수수색시 협력의무 부과 법안 연구와 관련하여 보도자료를 배포하면서, 우리나라에도 사실상 복호화명령제도 도입을 검토하고, 그 모델로 영국의 수사권한규제법 등을 연구하겠다는 취지의 추진방침을 밝힌 바 있다. 그러나 복호화명령제도는 아래의 네 가지 문제점을 가진다. ① 복호화 된 내용을 제출하라는 명령의 경우 그 내용을 특정하기 어렵고, 피의자가 불완전 이행할 경우 확인하기 힘들며, 피의자가 이미 삭제한 경우 사실상 제출할 방법도 없다. ② 암호키를 제출하라는 명령의 경우 특히 비밀번호가 기억나지 않는다고 주장할 경우 고의 입증의 문제가 발생한다. ③ 형사처벌과 관련하여 중한 본범보다 가벼운 명령이행의무 불이행으로 처벌받는 것이 유리하고, 명령이행의무 위반을 마치 본범 위반으로 오해할 만한 보도행태 등으로 인해 본범에 대한 무죄추정의 원칙이 몰각될 위험도 있으며, 이중처벌 또는 가중처벌의 문제도 발생한다. ④ 무엇보다도 명령이행의무 불이행시 처벌규정이 반드시 필요하나 처벌규정은 국민의 기본권에 대한 중대한 침해이므로 반드시 법률이 필요하고, 법률 없이는 복호화명령제도는 도입이 불가능한 태생적 한계를 내포한다. 따라서 모바일기기 생체인식 잠금장치 해제 명령 영장의 도입이 필요하다. 먼저 전제조건으로 사용자가 비밀번호와 패턴형 암호(이하에서 진술형 암호라 함)를 스마트폰의 화면 잠금 기능으로 설정할 경우 반드시 그 이외의 생체인식 잠금장치(이하에서 생체인식형 암호라 함)를 함께 설정하도록 의무화할 필요가 있다. 왜냐하면 비밀번호와 패턴형 암호는 피의자의 정신적 작용인 사고과정을 거쳐 자신의 사상이나 감정을 표현하고, 지식을 전달하며 이러한 수단으로 언어(말 또는 신체적 행동을 포함)를 사용하여 이루어지는 결국 진술에 해당하며, 이를 강제하는 것은 진술거부권 또는 자기부죄거부의 권리를 위반할 여지가 있고, 무엇보다도 스마트폰 사용자의 비협조시 영장 집행이 사실상 불가능하기 때문이다. 따라서 진술형 암호 설정시 생체인식형 암호를 의무적으로 함께 설정 하도록 하여야 진술형 암호의 습득 유무와 상관없이 모바일기기 생체인식 잠금장치 해제 명령 영장으로 생체인식형 암호를 취득하여 스마트폰의 화면 잠금을 해제할 수 있을 것이다. 이러한 생체인식형 암호의 필수 추가 설정 의무는 이동통신 업체를 상대로 부과한다. 이동통신 업체가 스마트폰의 사용자인터페이스(UI)를 설정하므로 필수 추가 설정 의무 부과가 가능하고, 대표적인 이동통신 업체인 SK텔레콤, KT, LG U+와 같은 기간통신사업을 경영하려는 자는 대통령령으로 정하는 바에 따라 과학기술정보통신부장관에게 등록하여야 하고, 과학기술정보통신부장관은 기간통신사업의 등록을 받는 경우에는 공정경쟁 촉진, 이용자 보호, 서비스 품질 개선, 정보통신자원의 효율적 활용 등에 필요한 조건을 붙일 수 있으므로, 과학기술정보통신부장관이 이동통신 업체에 대해 위와 같은 의무를 부과할 수 있고, 별도의 추가적인 법률은 필요하지 않으며, 스마트폰 제조업체나 운영체제 개발업체가 애플과 구글처럼 국내 기업이 아니더라도 이동통신 업체는 모두 국내기업이므로 국제법적 쟁점 없이 적용이 가능하다. 현재 실무에서는 일반 압수수색영장으로 지문, 홍채, 안면의 강제인식을 허용하기도 한다. 그러나 명확한 실무례나 판례가 확정되어 있지 않아 각각의 판사마다 그 기준이 다르고 모호한 문제가 발생하기 시작하였다. 따라서 새로운 형태의 모바일기기 생체인식 잠금장치 해제 명령 영장의 도입이 필요하고, 이는 기존 영장 실무와 관련된 지침인 법원실무제요에 새로운 양식을 추가함으로써 명확한 근거로 삼는 것이 가장 효과적인 해결방법이 될 것이다.