3. 사이버 포렌식

1. 디지털 데이터의 특성

복제 용이성 - 디지털 증거는 어느 매체에 저장되어도 동일한 가치를 가지게 된다.

사본 압수시 동일성을 확보해야한다.

초 국경성 - 국경성을 넘는 경우 국가간의 주권문제가 발생

변조 가능성 - 디지털 증거는 간단한 조작만으로도 삭제 변경의 용이가 가능하므로 신속한 증거 보전이 필요하다.

2. 법정에서의 디지털 증거

법정에서 유효한 증거가되기 위하여 증거능력 관점에 유의하여 증거를 수집/분석/제출하여야한다.

2.1 증거능력(Admissibility, 증거로서의 자격을 인정받아야 한다.)

- 전문법칙(Hearsay Rule)

들은것을 말하는 것은 증거가 될 수 없다.

- 위법 수집 증거 배제의 원칙 (Exclusionary Rule)

위법하게 수집한 증거는 증거가 될 수 없다.

2.2 증명력(Weight, 증거로서의 가치[중요성])

- 자유중심주의(Free Evaluation Principle) - 판사 마음대로 증거를 가지고 판단한다. (....??????)

3. 디지털 전문법칙의 예외

- 비진술 증거로서의 디지털 증거

컴퓨터에 의해 생성된 증거(Computer-Generated Evidence)는 인정받을 수 있다.

진정성, 무결성, 신뢰성 등이 인정된다면 일반적으로 증거능력 인정됨.

- 진술 증거로서의 디지털 증거

사용자가 생성한 증거 = 컴퓨터에 저장된 증거(Computer Stored Evidence)

과학적 분석결과에 기초한 디지털 포렌식 자료나 감정 등 객관적 방법으로 진정 성립이 증명되면 증거능력을 인정

4. 증거능력 보장 요건

4.1 진정성 : 해당 증거가 특정인이 특정 시간에 생성한 파일이 맞는지에 대한 여부

훼손, 변경을 방지하기 인수인계를 할때 모두 문서에 기록한다. (연계 보관성 - Chain of Custody, 수집 장소, 사람, 장소, 시간)

4.2 무결성 : 원본으로부터 증거처리절차 과정동안 수정, 변경, 손상이 없어야한다.

4.3 원본성 : 실제 법정에 제출되는 원본과 다른 사본 증거에 대한 증거 능력을 부여해야한다.

4.4 신뢰성 : 증거분석 과정 중 위/변조나 의도하지 않은 오류를 포함해서는 안됨. 프로그램이나, 사람의 신뢰도 포함하여야함

- 미국에서는 국익에 반하면 안되는 특징도 가지고 있다.

복사본

복사본이 처리될 때 원본, 사본이 완전 일치해야한다.

장기간, 취급 훼손에 주의해야한다.

3자 입회하에 해쉬값 공증이 필요하다.

네트워크 수집 증거

3자의 입회하에 수집 및 해쉬값 공증

실시간 네트워크에 대한 패킷을 캡쳐한다.

서버시스템

실시간이므로 원본은 사본이 될 수 없다.

그러므로 필요한 파일만 수집한다.

임베디드

논리적으로 수집하기엔 LIVE 상태이므로 원본이 사본과 같을 수 없다.

물리적으로 수집하는 것은 원본 사본이 같다.