안티포렌식 환경에 대한 대응과 디지털 포렌식 준비도에 관한 연구

Abstract

In modern society, as various digital devices are released and their use is common, the storage capacity of digital devices is increasing and digital documentation is accelerating, in which paper documents stored in the conventional form of general documents disappear.

Due to such digital documentation, most important data of not only individuals but especially companies are stored and managed in the form of digital documents. This change is more pronounced in criminal investigations. In particular, in the case of corporate crimes such as accounting fraud or trade secret leakage, most of the evidence has been converted into digital evidence. For this reason, the search and collection of digital evidence has taken a more important position in criminal investigations. Currently, efforts to collect digital evidence through digital forensic technology research and efforts to inhibit it through anti-forensic technology coexist and compete with each other.

In order to solve this problem, in the United States, since the early 2000s, e-discovery (electronic disclosure system) was introduced in civil litigation, requiring electronic evidence to be submitted before the commencement of litigation, thereby increasing the speed and efficiency of litigation, and sanctioning the counter party who fails to comply with the order to submit evidence in litigation. or give a disadvantage that leads to a losing judgment. In the UK, since around 2009, Digital Forensic Readiness, which allows an environment to collect digital evidence in criminal litigation to be established in advance, has been institutionalized and forensic equipment such as digital document management system and data indexing software has been established and utilized.

However, the relevant legal system in Korea has some difficulties in responding to such an anti-forensic environment. In particular, the uniform discipline that ultimately restricts the method of seizure to selective seizure has limitations in regulating the dynamic reality of seizure and search that requires the seizure of digital evidence while overcoming the anti-forensic environment. In terms of 'protection of personal information' and 'protection of right to defense', our legal system related to the seizure of digital evidence has been enacted to be carried out with the participation of relevant parties to the minimum necessary extent, which contributes to securing such as 'protection of information and human rights of defendants, witnesses, etc'. However, it inevitably imposes barriers to information access and restrictions on the use of forensic technology and autonomy in case of seizure and search, especially in the anti-forensic environment, which exposes the limitations of domestic digital evidence collection.

In this paper, we will first look into the restrictions and limitations in the technical aspects we face in collecting digital evidence in the dynamic reality of seizure and search. In particular, we will look at the types of anti-forensics and their limitations. Next, we will probe the domestic legislation and various factors that are inappropriate to respond to the anti-forensic environment. Lastly, the concept and case of both e-discovery system enforced in civil litigation in the United States and forensic readiness is implemented in British criminal litigation are studied. By comparing the two systems, I will propose a guideline for forensic readiness suitable for the domestic environment, and seek a way for companies to voluntarily participate in order to institutionalize it.

The two ideologies of discovery of the substantive truth and guaranteeing the human rights of the accused are mutually incompatible principles. Therefore, it must be realized in harmony and in mutual equality. With this thesis as an opportunity, I hope to overcome the anti-forensic environment, guarantee the human rights of the accused, and take one step closer to discovering the substantive truth.

현대 사회에 있어서 각종 디지털기기가 출시되고 그 사용이 보편화됨에 따라 디지털기기의 저장 용량이 대용량화가 되어가고 있으며 종래 일반문서 형태로 보관하던 종이문서가 사라지고 디지털 형태로 보관하는 디지털문서화가 가속화되고 있다. 이와 같은 디지털문서화로 인해 개인 뿐 아니라 특히 기업의 중요자료 대부분 이 디지털 문서형태로 저장되어 관리되고 있다. 이러한 변화는 범죄수사에서 더 두드러지는데 특히 회계부정이나 영업비밀유출과 같은 기업범죄의 경우 대부분의 증거가 디지털 증거 형태로 변화하게 되었다. 이러한 이유로 디지털 증거를 수색하고 수집하는 일은 범죄수사에 있어 더욱 중요한 위치를 점하게 되었고, 현재 디지털포렌식 기술 연구를 통해 디지털 증거를 수집하고자 하는 노력과 안티포렌식 기술을 통해 이를 저해하고자 하는 노력이 공존하면서 서로 경쟁하게 되었다.

안티포렌식에 활용되고 있는 기술은 디지털기기에 저장된 데이터를 고의로 은닉 또는 삭제하거나 기업의 자료유출방지나 정보보호를 위해 고안된 DRM 기술 등 암호화에 이르기까지 다양하다. 또한 비용 등의 이유로 많은 기업들이 사용자 시스템 로그 기록이나 파일변경 이력 등을 추적하기 위한 시스템 환경을 구축하고 있지 않고, 스토리지 부족 또는 개인정보 보호 정책 등의 이유로 업무용 이메일이나 사내 메신저의 보관기간을 짧게 하는 등 디지털 증거 수집을 지연․방해하는 다양한 안티포렌식 환경에 직면한지 이미 오래다. 이러한 문제를 해소하고자 미국에서는 2000년초반부터 민사소송에서 e-discovery(전자증거개시제도)를 도입해 소송개시전 전자증거를 제출하게 함으로써 소송의 신속성과 효율성을 기하고, 증거 제출명령에 불이행하는 상대방에게 소송에서 제재를 가하거나 패소판결로 이어지는 불이익을 주고 있다. 영국에서는 2009년경부터 형사소송에서 디지털증거를 수집할 수 있는 환경을 사전에 구축하도록 하는 디지털 포렌식 준비도(Digital Forensic Readiness)를 제도화하여 디지털문서관리시스템과 데이터 인덱싱 소프트웨어 등 포렌식 장비를 구축하여 활용하고 있다. 그러나 국내의 관련 법제는 이러한 안티포렌식 환경에 대응하기에는 다소 어려움이 있다. 특히 압수의 방법을 최종적으로 선별 압수로 제한하는 획일화된 규율은 안티포렌식 환경을 극복하면서 디지털 증거를 압수해야 하는 동태적인(Dynamic) 압수·수색 현실을 규율하는 데 한계가 있다. 디지털증거 압수와 관련된 우리 법제는 개인 정보 보호 및 방어권 보호의 측면에서 관계자의 참여하에 필요최소한의 범위에서 수행하도록 법제화되어왔고, 이는 피고인, 참고인 등의 정보 보호 및 인권 보호 등을 확보하는 데는 기여하였지만 필연적으로 압수·수색시 정보 접근의 장벽, 포렌식 기술 활용 및 자율성에 대한 제한을 부여하게 되어 특히 안티포렌식 환경에서는 국내 디지털 증거 수집의 한계점을 드려내게 되었다.

본고에서는 먼저 동태적인 압수·수색 현실에서 디지털 증거를 수집함에 있어 당면한 기술적 측면에서의 제약 및 한계에 대하여 살펴보겠다. 특히 안티 포렌식 유형과 한계에 대하여 살펴보고, 다음으로 국내의 법제를 고찰해보고 안티포렌식 환경에 대응하기에 부적합한 다양한 요인들을 살펴보겠다. 마지막으로 미국의 민사소송에서 시행되는 e-discovery 제도와 영국의 형사소송에서 시행되는 포렌식 준비도의 개념과 사례를 연구하고 이 두 제도의 비교를 통해 국내 환경에 적합한 포렌식 준비도의 가이드라인을 제안하고 이를 제도화하기 위한 방안을 모색하고자 한다. 실체적 진실발견과 피고인의 인권보장이라는 두 이념은 상호 양보할 수 없는 원칙이다. 그러므로 상호 대등한 가운데 조화롭게 실현되어야 한다. 이 논문을 계기로, 안티포렌식 환경을 극복하고 피고인의 인권을 보장함과 동시에 실체적 진실발견에 한 걸음 더 다가갈 수 있기를 희망한다.