반응형

이번에는 디지털 범죄의 증거수집 방법에 대해서 논해보도록 하겠습니다. 디지털 증거의 수집은 비활성 데이터의 수집과 활성 데이터의 수집으로 나누어진다고 볼 수가 있습니다. 비활성 데이터의 수집은 디스크 포렌식이라고 볼 수 있고 압수 수색에서 가장 많이 수집되고 있는 방법이라고 보시면 됩니다. 이번에 다룰 이야기로는 디지털 증거를 수집하는 디스크 포렌식에 대해서 알아보도록 하겠습니다.

 

압수수색 현장 조치

압수수색의 영장이 발부되거나 혐의자의 동의에 의하여 디지털 증거를 수집하기 위한 단계는 영장 제시, 현장 통제, 현장 분석, 네트워크 통제 이렇게 총 4단계로 이루어진다고 보면 됩니다.

 

먼저 현장에서 수사를 지휘하는 책임자는 관계 임원이나 관리자를 별도의 장소에서 영장을 제시하고 압수 수색의 이유에 대해서 말해줍니다. 그 후에 협조를 구하고 시작합니다. 만약 동의에 의한 경우라면 직접 동행을 하거나 연락을 하여 필요한 정보를 제출할 수 있도록 협의하도록 합니다. 하지만 대부분 실제 사건들은 현장을 급습하여 협의 없이 이루어지는 게 많다고 보시면 될 듯합니다.

 

두 번째로는 현장통제에 관한 것입니다. 현장통제란 현장에 임한 관계자는 해당 조직의 전체 조직도와 직원 명부 등을 활용하여 누구까지 압수수색을 할지 범위를 정한 다음 불필요한 사람들을 결리 시켜 압수수색에 지장이 없도록 합니다. 휴대폰 등 압수에 필요한 소형 디지털 저장매체는 필요한 장소에 제출하거나 일정한 장소에 취합하여 보관하도록 합니다. 개인 컴퓨터, 서버 등 전산 장비에는 패스워드가 설정되어 있으므로 사용자에게 신분을 확인할 수 있는 자료를 제출하도록 요청합니다. 추후 패스워드까지 같이 제출할 수 있도록 유도해야 합니다. 이후에 소지품 검사를 실시하고 USB, SD카드와 같은 소형 메모리카드까지 은닉하지 못하도록 잘 살펴본 후 제출하도록 합니다.

 

세 번째로는 현장 분석이라고 할 수가 있습니다. 사무실 구조와 전산 시스템의 상태를 검사하여 현장에서 필요한 정보의 추출 및 분석이 필요한지 확인해줘야 합니다. 서버의 경우에는 디지털 장비 전체를 압수할 수가 없어서 단순 하드디스크 같은 저장매체만 있으면 되는 것인지 아니면 소형 메모리까지 챙겨야 하는지 필수적으로 조사해야 합니다. 또한 원본을 가져갈 수 없을 경우에는 전문가의 협조를 받아 필요한 데이터를 백업해두는 것이 좋습니다. 일반 컴퓨터의 경우에는 주로 사용하는 컴퓨터의 프로그램을 확인하고 현장을 카메라나 녹화기를 이용하여 촬영해두는 것이 좋습니다.

 

마지막으로 이야기할 분야로는 바로 네트워크 통제입니다. 서버 컴퓨터와 네트워크 장치 주변에 사람들이 접근하지 못하도록 통제하며 외부에서 원격으로 컴퓨터나 서버에 접근하지 못하도록 해야 합니다. 네트워크를 통하여 데이터의 삭제 가능성이 있는 경우에는 네트워크 랜선을 제거하여 인터넷을 차단하도록 합니다. 서버 시스템에 설치된 소프트웨어의 종류를 파악하고 회계, 자체 운용 프로그램 등이 있는 경우는 DB 관리자와 협의를 통해 진행하도록 합니다. 주로 압수한 장비들에게는 로그 기록을 살펴보기도 하지만 심지어 지문까지 채취를 하기도 합니다. 이와 같이 행동을 하는 이유는 압수수색이라고 무조건 업무를 방해할 정도로 하는 것은 아닙니다. 신속하고 정확하게 실시하여 필요한 디지털 정보만 획득하고 그 뒤에는 철수하여 업무에 지장을 주지 않도록 해야 합니다.

 

이상으로 디지털 범죄 증거 수집방법에 대해서 토론해보았습니다. 생각 외로 복잡하기도 하고 영화나 드라마에 나오는 것처럼 대단한 것도 아닙니다. 하지만 절대로 이것을 무시하고는 진행될 수 없는 절차들입니다.

반응형
  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기

댓글을 달아 주세요

">