클라우드에 저장된 전자정보의 압수·수색 방법에 관한 연구

Abstract

클라우드 컴퓨팅이란, 실시간 통신 네트워크로 연결된 다수의 컴퓨터가 관여된 다양한 컴퓨팅 개념을 표현하는 일반적·통칭적 개념이다. 클라우드 컴퓨팅 서비스는 2010년경부터 보급되기 시작하였는데 현재는 아마존, 구글, 마이크로소프트 등 다양한 서비스제공자가 클라우드 서비스를 제공하고 있고, 서비스의 범위도 점차 넓어지고 있다. 오늘날 클라우드 컴퓨팅 서비스 환경은 대중화되어 개인 사용자는 물론 기업에 이르기까지 다양한 분야에서 폭넓게 사용되고 있다. 이와 같은 클라우드 컴퓨팅 서비스의 확산에 따라 기업 또는 개인 사용자들의 데이터는 스마트폰, PC 내의 로컬 저장소에서 클라우드 저장소로 옮겨가고 있고 그 양도 방대하다. 그러므로 수사기관의 사건 관련 증거 수집의 대상도 클라우드 저장소의 데이터들까지 포함하는 것으로 범위가 확장되어야 한다. 개인 사용자들은 스마트폰, PC 등을 사용하면서 클라우드 컴퓨팅 서비스를 이용하여 수시로 스마트폰, PC 등을 통해 생성한 정보를 동기화하므로 클라우드 저장소에는 특정한 개인에 대한 자세하고 많은 정보가 존재하게 된다. 그리고 이와 같이 스마트폰, PC 등을 사용하는 과정에서 메타데이터가 해당 디바이스에 존재하게 된다. 한편, 클라우드 컴퓨팅 서비스는 전자정보가 원격지 서버 등 컴퓨터와 네트워크로 연결되어 있는 외부 저장매체에 저장되어 있는 경우가 많다. 이러한 경우 압수·수색 장소를 어떤 방식으로 특정할 것인지 문제가 될 수 있는데, 이것이 원격 압수·수색 및 역외 압수·수색의 문제이다. 이것이 현행 형사소송법상 허용되는지에 관하여 긍정·부정의 견해가 나뉘고 대법원은 모두 허용되는 취지로 판시한 바 있다. 그러나 보다 근본적으로는 법령을 개정하거나 사이버범죄협약에 가입하는 방안을 검토해야 할 것이다. 클라우드에 대한 디지털포렌식은 수사기관이 법정 증거로 사용하기 위한 디지털 증거를 클라우드에서 찾아내는 포렌식 절차이다. 클라우드에 대한 디지털포렌식은 클라우드 서비스에 접속한 디바이스를 대상으로 디지털 아티팩트를 찾기 위해 실시되는데, 네트워크, 물리적 하드웨어, 호스트 운영시스템, 하이퍼바이저, 게스트 운영체제, 게스트 응용프로그램 등 각각의 단계에서 기술적인 어려움이 존재한다. 클라우드에 대한 디지털포렌식 방법에 관하여, 이 논문에서는 메타데이터 기반 파일을 수집하는 방법, 클라우드의 사용 및 삭제 흔적을 추적하는 방법을 검토하였는데, 사용자의 스마트폰, PC 등 디바이스에 저장되어 있는 메타데이터 등을 확보하여 증거를 수집하거나 서드파티앱을 통해 인증 토큰을 받아 클라우드 계정에 접속한 다음 클라우드 내 파일리스트, 메타데이터 및 컨텐츠를 획득할 수 있다.

Cloud computing is a general and collective concept expressing various computing concepts involving a large number of computers connected by a real-time communication network. Cloud computing services began to spread around 2010, but now various service providers such as Amazon, Google, and Microsoft are providing cloud services, and the range of services is gradually expanding. Today, the cloud computing service environment has become popular and is widely used in various fields ranging from individual users to companies. With the spread of such cloud computing services, data of companies or individual users is moving from local storage in smartphones and PCs to cloud storage, and the amount is enormous. Therefore, the scope of the investigation agency's case-related evidence collection must also be expanded to include data in the cloud storage. Individual users use cloud computing services while using smartphones and PCs to synchronize information generated through smartphones and PCs from time to time, so detailed and large amounts of information about specific individuals exist in cloud storage. In this way, in the process of using a smartphone, PC, etc., metadata exists in the corresponding device. Meanwhile, in cloud computing services, electronic information is often stored in an external storage medium connected to a computer through a network, such as a remote server. In this case, it can be a problem how to specify the seizure/search location, which is the problem of remote seizure/search and offshore seizure/search. Positive and negative opinions are divided as to whether this is permitted under the current Criminal Procedure Act, and the Supreme Court has ruled that both are permitted. However, more fundamentally, it will be necessary to review ways to revise the law or join the Cybercrime Convention. Digital forensics for the cloud is a forensic procedure in which an investigative agency finds digital evidence in the cloud for use as forensic evidence. Digital forensics for the cloud is conducted to find digital artifacts for devices connected to cloud services. Technical difficulties arise at each stage, such as network, physical hardware, host operating system, hypervisor, guest operating system, and guest application. exist. Regarding the digital forensic method for the cloud, this paper reviewed a method for collecting metadata-based files and a method for tracking usage and deletion traces of the cloud. to collect evidence, or obtain an authentication token through a third-party app to access your cloud account and obtain filelists, metadata, and content in cloud.