디지털 증거의 본질에 어울리는 증거조사 방안

Abstract

The aim of criminal proceedings is to determine specific legal relations, that is, whether or not a crime is established, and to determine the appropriate type and amount of punishment if a crime is established. These legal relations presuppose a certain factual relationship, and the data used to confirm the factual relationship is evidence. Evidence encompasses three meanings. That is, ① the method of proof referring to the objects or people themselves(eg: witness, evidentiary documents, article of evidence) that become the data of fact recognition, ② the evidential data indicating what they learned by investigating the method of proof(eg: the witness testimony, the nature of article of evidence), and ③ the evidence results that include the evidential data and the other non-verbal data obtained through examination of evidence(eg: the expression or attitude of a witness during the examination of a witness).

Digital evidence can be defined as "information that can be trusted in court as stored or transmitted in binary form." This concept focuses on 'the evidential data among the above three meanings of evidence.

In the investigation and judicial practice about digital evidence in Korea, identity, integrity, and reliability should be met as requirements for the admissibility of evidence, and in the case of duplicating, serching or printing digital data storage media or hard copy or imaging, etc, by moving to the office of an investigative agency, the Supreme court says that in principle, the confiscated person or lawyer should be given an opportunity to participate in such a series of processes. In practice, when collecting digital evidence, a hash value is calculated and a confirmation written in it is issued to the participants to deal with issues such as identity.

However, as shown by the controversy about the CCTV video storage device of the Ferry Sewol, when the confiscated person cannot participate when collecting digital evidence for the first time, distrust may arise over the time and subsequent analysis process of the first collection of digital evidence.

Therefore, this paper first examines the hierarchical structure of digital evidence, and then proposes the following three ways to improve the Methods for Examination of Evidence that best suits the nature and characteristics of digital evidence.

The first is not to provide evidence of documents printed from digital storage media that is confiscated article(= corresponds to the method of proof that requires verification of identity, integrity, reliability, etc), but to collect and submit 0 or 1 digital form of information itself(= correspons to the evidential data) to the court. In this case, the file itself which is information in digital form(primary evidence) and a screen or document reproduced in a program, such as a document viewer(secondary evidence) are submitted together, which can be compared to document written in a foreign language or a technical code(primary evidence) and a translation or a result of appraisal(secondary evidence). The second is the improvement of the technical sealing measure to secure the authenticity of digital evidence submitted as primary evidence as above. Currently, the hash value of the file itself, which is the evidence, is calculated and a confirmation letter is issued to the participants. In addition to the file as evidence, lets include the time of collecting digital file that can be objectively verified' to parameters of the hash function. If the time of collecting is acquired by an authorized method and included to the parameters of the hash function, the time of collecting the digital evidence can be objectively guaranteed even if there is no participant at the collection site. As the technical means, NTP or TSA can be considered.

The third is a virtual machine. In order to gain confidence in the above series of evidence collection and analysis processes, a system that performs all procedures such as file collection, analysis, and time check is implemented as a virtual machine, and all actions performed in the virtual machine are recorded. After that, the hash value for the virtual machine itself and the hash value for the behavior record are calculated and preserved. As a result, it is possible to secure trust in the subject of the forensic investigation and the investigation process.

As above, the improvement measures for the deficiencies in the current practice regarding the collection and investigation of digital evidence were reviewed at the theoretical level. When the electronic system of criminal procedure is completed soon, the investigation of digital evidence in the way proposed will be smoothly conducted in the courtroom.

형사소송의 목표는 구체적 법률관계 즉, 범죄의 성립 여부를 확정하고, 범죄가 성립하는 경우 적정한 형벌의 종류와 양을 정함에 있다. 이러한 법률관계는 일정한 사실관계를 전제로 하고, 그 사실관계를 확정하는데 사용되는 자료가 증거이다. 증거는 아래 3가지 의미를 포괄한다. 즉 ① 사실 인정의 자료가 되는 물건이나 사람 자체(예: 증인, 증거서류, 증거물)를 가리키는 증거방법, ② 증거방법을 조사함으로써 알게 된 내용(예: 증인의 증언내용, 증거물의 성질)을 가리키는 증거자료, 그리고 ③ 증거자료와 그 밖에 증거조사를 통해 얻는 비언어적인 자료(예: 증인신문시의 표정이나 태도 등)를 포괄하여 뜻하는 증거결과가 그것이다. 디지털 증거는 2진수 형태로 저장 혹은 전송되는 것으로서 법정에서 신뢰할 수 있는 정보라 정의할 수 있다. 이는 증거의 위 3가지 의미 중 증거자료에 주안점을 둔 개념이다. 우리나라에서 디지털 증거에 관한 수사 및 재판실무상 그 증거능력 인정 요건으로서 동일성, 무결성, 신뢰성 등을 충족하여야 하고, 전자정보가 담긴 저장매체 또는 하드카피나 이미징 등 형태를 수사기관 사무실 등으로 옮겨 복제·탐색·출력하는 경우 판례는 그와 같은 일련의 과정에서 원칙적으로 피압수자나 변호인에게 참여의 기회를 보장하여야 한다고 보고 있다. 실무상 디지털 증거를 수집할 때에 해시값을 산출하여 이를 기재한 확인서를 참여자에게 교부하는 방식으로 동일성 등의 문제에 대처하고 있다. 그런데 예컨대 세월호 선체의 CCTV 동영상 저장장치를 둘러싼 논란에서 보듯이 디지털 증거를 최초 수집할 때 피압수자 등이 참여할 수 없거나, 조사 주체에 대한 신뢰가 없는 상황에서는 디지털 증거를 최초로 수집한 시각 및 그 이후의 분석 과정에 대하여도 불신이 생길 수 있다. 이에 이 논문은 우선 디지털 증거에 관한 계층적 구조를 살펴보고, 디지털 증거의 본질과 특성에 가장 어울리는 증거조사 방법으로 아래 3가지 개선 방안을 제안한다. 첫째는 현재와 같이 압수물인 디지털 저장매체로부터 출력한 문건 등(= 증거방법에 해당, 증거능력 요건으로서 동일성, 무결성, 신뢰성 등 입증이 필요)을 증거로 제출하는 것이 아니라, 0과 1이라는 디지털 형태의 정보 자체(=증거자료에 해당)를 증거로 수집하여 법정에 제출하는 방안이다. 이 경우 디지털 형태의 정보인 파일 자체(1차 증거)와 이를 문서뷰어 등 프로그램으로 재현한 화면이나 문서(2차 증거)를 함께 제출하는데, 이는 예컨대 외국어나 기술부호로 기재된 문서(1차 증거)와 이를 번역 또는 감정한 결과(2차 증거)를 함께 제출하는 것에 비견될 수 있다. 둘째는 위와 같이 1차 증거로 제출하는 디지털 증거의 진정성을 확보하는 기술적 봉인기법의 개선 방안이다. 현재는 증거자료인 파일 자체에 대한 해시값을 산출하여 참여자에게 확인서를 교부하는데, 해시값 산출 대상에 증거자료인 파일 외에 객관적으로 검증 가능한 해당 파일의 수집시각을 포함하는 것이다. 해당 파일의 수집시각을 공인된 방법으로 획득하여 해시 대상에 포함시키면 수집 현장에 참여자가 없더라도 해당 파일의 수집시각을 객관적으로 보장할 수 있다. 그 기술적 수단으로는 NTP 또는 TSA 방식을 고려할 수 있다. 셋째는 위와 같은 일련의 증거수집 및 분석 과정에 대한 신뢰를 확보하기 위하여, 파일 수집, 분석 및 시각 확인 등의 모든 절차를 수행하는 시스템을 가상머신으로 구현하고, 그 가상머신에서 이루어지는 모든 행위를 기록한 후, 가상머신 자체에 대한 해시값과 행위기록에 대한 해시값을 산출하여 보존하는 것이다. 이로써 포렌식 조사 주체 및 조사 과정에 대한 신뢰를 확보할 수 있다. 이상과 같이 디지털 증거의 수집, 조사에 관한 현행 실무상 미비점에 대한 개선방안을 이론적 차원에서 검토하였다. 향후 형사전자소송시스템이 완비되면 법정에서 제안된 방식의 증거조사가 원활히 이루어질 수 있을 것이다.