제2절 디지털 증거의 압수수색
I. 압수수색영장 청구권자
- 검사는 지방법원 판사에게 청구하여 발부한 영장을 갖고 집행.
- 사법경찰관은 검사를 통하여 영장을 청구한다.
II . 영장의 특정
1. 영장청구 시 기재내용 : 이름, 죄명, 물건, 신체, 발부년월일, 유효기간, 사유, 시간 등
2. 특정의 문제
- 디지털 정보는 유체물을 기준으로 하는 장소적인 의미를 그대로 적용할 수가 없음.
- 클라우드 컴퓨팅 상황에서는 그 필요성이 더욱 커지고 있다.
III . 압수의 방법
1. 현행 법규정
- 형사소송법 제106조 제3항에서는 원칙적으로 선별압수, 예외적으로 매체압수를 규정하고 있음.
2. 선별압수의 한계
- 영장집행 현장에서의 디지털 증거에 대한 선별압수
-> 장시간 동안 진행되는 선별압수로 인해 피압수자의 사생활의 평온을 매우 심각하게 침해
+ 2차적인 피해(주변인들에게도 좋지 않은 시선으로 범죄자라는 편견을 갖게 함)까지 당할 수 있음.
3. 현장 조사관의 재량
- 원칙적 선별압수, 예외적 매체압수의 입장을 취하고 있는 현 상황에서는 구체적으로 어떤 형태로 압수할 것인가를 현장 상황을 잘 아는 현장 디지털 포렌식 수사관의 재량으로 선택할 수 있음. -> 다만, 남용한 경우에는 사후 증거능력을 배제하는 방향으로 사법적 통제를 강화!
4. 단계별 요령
(1) 기본원칙
- 디지털 증거의 무결성 유지를 위해 정보저장매체 등을 압수수색•검증, 디지털 정보를 수집•분석할 때
:정보저장매체 또는 디지털 정보를 수집한 때로부터 법정에 증거로 제출할 때까지 변경 또는 훼손되지 않도록 무결성을 유지하여야 하고 그 과정을 기록하여 수사기록에 첨부함.
(2) 사전준비
가. 정보저장매체 등을 압수•수색•검증하거나 디지털 정보를 수집하고자 할 경우에는 사전에 아래 사항을 확인 후 계획 수립함.
(i) 사건개요, 압수수색 장소 및 대상
(ii) 압수수색 대상 정보처리시스템이 유형과 규모
(iii) 압수수색 대상 현장 네트워크의 구성 형태
(iv) 기타 정보저장매체의 보유 현황 등
나. 압수목적 달성을 위해 사건의 성질에 따라 대상 범위 선정, 원본 또는 사본 전체, 출력물과 복사물 등 선별 압수의 필요성을 다음과 같이 명확하게 구분하여 영장을 청구함.
(3) 압수수색 요령
가. 정보저장매체 등을 압수수색검증하거나 전자정보를 수집하는 현장에서 복제 분석을 실시하는 경우에는 쓰기방지 기능이 포함된 기기를 사용하는 등으로 자료가 변경 또는 훼손되지 않도록 주의해야 함.
나. 압수대상 정보저장매체는 식별값을 특정할 수 있도록 기록하고, 불가능할 경우에는 촬영, 시리얼확인등 향후 증명을 위한 적절한 조치를 취함.
다. 피압수자 또는 참여인을 참여시키고 수색할 결과물이 대상 정보처리시스템의 자료로서 검색 된 것임을 확인시킨 후 다음의 내용을 작성하여 피압수자 또는 참여인의 확인서명을 받음.
(i) 압수수색검증 착수 시작과 종료 시간
(ii) 정보,처리시스템의 종류와 구성
(iii) 정보처리시스템의 고유번호(가능한 경우)
(iv) 검색 하드카피 이미징 도구와 방법
(v) 압수한 디지털 자료에 대한 해시값
라.정보저장매체 등을 압수수색•검증하거나 전자정보를 수집하는 현장에서 사용자가 대상 정 보시스템의 전원과 운영장치에 대한 전원 차단, 강제 종료 등 임의적 조작 행위 등을 방지 하기 위하여 통제한다.
마. 압수수색•검증 대상 정보처리시스템이 네트워크에 연결되어 있고 피압수수색 대상자가 네트워크로 접속하여 저장된 자료를 임의로 삭제할 우려가 있을 경우 -> 네트워크 연결 케이블을 차단함.
(4) 이송, 보관 요령
가. 디지털 정보가 저장된 정보저장매체 등을 운반 또는 보관할 경우
: 정전기차단, 충격방지 등의 조치를 취하여 해당 기기 등이 파손되거나 저장된 디지털 자료가 손상되지 않도록 관리해야 함.
나. 장기간 보관의 경우
:디지털 증거 보관케이스에 넣고 습기 등을 차단하는 등의 조치를 취하고, 복사본을 만들어 둠으로써 손상에 대비하여야 함.
다. 배터리에 의해 구동되는 장치에 대해서는 이미징을 하는 등의 즉각적인 대응 조치가 필요함.
(5) 분석과정
가. 증거물 육안검사
: 물리적 훼손 유무 검사, 증거물 매체 종류 파악 및 인식장비 준비
나. 증거물의 데이터 인식
: 장비에 증거물을 인식, 인식불가 시 복구 시도, 복구 실패 시 사건 담당자에게 통지 후 사건 종료
다. 해시값 비교
: 증거물이 인식되면 해시값과 비교, 해시값이 다르면 훼손된 경우이므로 담당 자에게 통지 후 사건 종료
라. 쓰기방지장치 사용
: 증거물이 변경 가능한 상태인 경우 쓰기방지장치를 사용하여 증거물 을 열람, 정밀분석이 필요한 경우 쓰기방지장치 장착 후 이미징
마. 복구 시도
: 분석내용 중 데이터 복구 필요 시 복구시도
바. 증거데이터의 소유자 파악
: 증거물 데이터의 소유자를 특정하는 증거를 찾아 소유자에게 확인, 파일 이력을 추적하여 생성지를 파악
사. 증거물의 분석
: 결정적 증거 발견 시 내용을 캡쳐 또는 메모하고 보고서에 상세히 기록, 중요한 사안일수록 다각도적으로 분석
아. 증거물의 확인
: 담장자와의 지속적인 의사소통으로 사건에 최대한 근접한 분석결과 도출, 자료 미발견 시 증거분석을 반복적으로 시도
자. 다른 범죄사실의 발견
: 영장에 미기재된 다른 범죄사실 발견 시 담당자에게 연락하여 분석범위를 판단, 추가 영장을 청구하여 재분석을 시도
차. 증거분석 보고서의 작성
: 요약부분을 먼저 기술, 쉬운 용어 사용, 객관적 사실만을 작성, 결정적 증거물의 경우 캡처하고 상세설명증거자료가 너무 많으면 별지 활용, 분석자 소속 및 성명 기재, 서명날인