구글·지메일(g-mail) 현장 선별 압수방법 연구

Abstract

Investigation agencies conduct a search and seizure is a normal process of investigation, and promptly and accurately retrieving data at this time has become a factor in determining the success or failure of the investigation result. In the era of the 4th industrial revolution, the seizure of digital evidence has become a necessity, and the development of cutting-edge digital devices has also made the media that must be searched and seized in the field diversified. Email also occupies a part among the media subject to seizure, and among emails, Google and Gmail currently occupy the number one market share, so research on related seizure methods is needed. Another change in the search and seizure scene is that the right to participate in the seizure is strengthened, unlike in the past, and the need to select and seize files related to the case during the on-site seizure and search is becoming a digital evidence seizure and search procedure. The search and seizure site is unpredictable what media and services are being used, and it is becoming increasingly difficult to select Google and Gmail files related to the case using appropriate digital forensic tools within a short search and seizure time, and to seize and retrieve the files according to the procedure. have. The following methods were studied to supplement the technical and procedural methods and seizure procedures of the increasing number of Google and Gmail site seizures and searches. First, when conducting on-site seizure and search of Google Gmail, use the 'Google Data Service', 'Digital Forensic Tool' and 'Google Gmail Backup Tool' to obtain access to Google Gmail online and then email It was confirmed about the method of making digital evidence by making a file. Second, the current digital forensic investigators explain how to seize Google Gmail on the spot, identify technical problems with such a search and seizure method, and improve the technical and procedural parts of the problem according to the basic nature of digital evidence. method was studied. Third, [Google Gmail Seizure Method Function Analysis and Comparison Table], which can be easily viewed according to the situation of the search and seizure site, suggests how to use the Google and Gmail seizure methods according to the site situation in the case of on-site seizure and search for Google/Gmail. [Flowchart of Google Gmail Seizure Method] was prepared and suggested the method so that when the investigation agency confiscates Google Gmail on the spot, it can most effectively carry out the seizure. As a result, the seizure of Google and Gmail proceeded smoothly in the field, contributing to the provision of a prompt and accurate investigation environment, and further research was conducted to help protect the personal information of the seized.

수사기관이 압수수색을 진행하는 것은 통상적인 수사의 한 과정이며 이때 자료를 신속하고, 정확하게 가져오는 것이 수사결과의 성공, 실패를 좌우하는 요소가 되었다. 4차산업혁명 시대에 디지털증거의 압수는 필수사항이 되었고, 최첨단 디지털기기의 발전은 현장에서 압수수색을 하여야 하는 매체 또한 다양하게 만들었다. 그 압수 대상 매체 중에 이메일 역시 한 부분을 차지하고 있으며, 이메일 중 구글·지메일은 현재 시장의 점유율 1위를 차지하고 있어, 관련 압수방법의 연구가 필요하다. 압수수색 현장의 또 다른 변화는 예전과 다르게 피압수자의 참여권이 강화되고, 현장 압수수색 시 사건과 관련된 파일을 선별하여 압수하여야 하는 것이 디지털증거 압수수색 절차로 자리 잡혀가고 있다. 압수수색 현장은 어떤 매체와 서비스를 이용하고 있을지 예측 불가하고, 짧은 압수수색 시간 내에 적절한 디지털포렌식 도구를 사용하여 사건과 관련된 구글·지메일 파일을 선별하고 절차에 맞게 압수하여 가져오는 것이 점점 더 어려워지고 있다. 이렇게 증가하고 있는 구글·지메일 현장 압수수색의 기술적이고 절차적인 방법과 압수 절차를 보완하기 위해 다음과 같은 방법들을 연구하였다. 첫째, 구글·지메일에 대한 현장 압수수색 진행 시 구글 자료제공 서비스, 디지털포렌식 도구 및 구글·지메일 백업 도구들을 사용하여 온라인 상태에서 구글·지메일에 대한 접근권한을 획득한 후 이메일을 파일화하여 디지털 증거화 하는 방법에 관해 확인하였다. 둘째, 현재 디지털포렌식 수사관들이 구글·지메일에 대하여 현장에서 압수하는 방법을 설명하고 그러한 압수수색 방법에 대한 기술적인 문제점을 식별하고 문제점에 대한 기술적, 절차적 부분을 디지털증거의 기본 성격에 맞춰 개선하는 방안을 연구하였다. 셋째, 구글·지메일에 대한 현장 압수수색 시 구글·지메일 압수방법들을 현장 상황에 맞게 사용하는 방법을 제시하고, 압수수색 현장 상황에 맞게 간단히 볼 수 있는 [구글·지메일 압수방법 기능 분석 및 비교표]. [구글·지메일 압수방법 흐름도]를 마련하여 수사기관이 현장에서 구글·지메일을 압수할 때 가장 효과적으로 압수를 수행할 수 있도록 그 방안을 제시하였다. 결과적으로, 현장에서 원활한 구글·지메일의 압수가 진행되어 신속·정확한 수사 환경 제공에 이바지하였으며, 나아가 피압수자의 개인정보 보호에 도움이 되는 연구를 진행하였다.