컴퓨터 포렌식

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요

컴퓨터 포렌식은 디지털 증거를 수집, 분석하여 법적 증거로 활용하는 기술 및 절차를 의미한다. 범죄 수사, 저작권 침해, 조작 등 다양한 디지털 관련 범죄에 사용되며, 디지털 증거의 무결성을 유지하고 증거 능력을 확보하는 것이 중요하다. 컴퓨터 포렌식은 1990년대 한국에서 디지털 증거의 증거 능력에 대한 논의를 시작으로 발전해왔으며, 관련 법률 및 제도가 마련되어 있다. 디지털 포렌식은 데이터 획득, 조사, 분석, 보고의 단계를 거치며, 삭제 파일 복구, 스테가노그래피, 모바일 기기 분석 등 다양한 기술을 활용한다. 디지털 포렌식 전문가는 디지털 증거 분석, 사이버 침해 사고 대응, 법정 증언 등의 역할을 수행하며, 관련 자격증을 통해 전문성을 인증받을 수 있다.

더 읽어볼만한 페이지

정보 기술 감사 - 코드 감사
코드 감사는 소프트웨어의 소스 코드를 체계적으로 분석하고 검토하여 잠재적인 취약점을 식별 및 해결함으로써 애플리케이션의 보안 수준을 향상시키고 고위험 취약점을 예방하는 과정이다.
정보 기술 감사 - 컴퓨터 사기
컴퓨터 사기는 컴퓨터 시스템을 이용하여 부정한 방법으로 재산상의 이익을 취하는 행위로, 허위 정보 입력이나 부정한 명령을 통해 성립하며 금융 시스템 불신을 초래할 수 있고, 법적 처벌 대상이 된다.
법과학 - 디지털 포렌식
디지털 포렌식은 법정 증거로 사용될 수 있는 디지털 환경의 증거를 수집하고 분석하는 과학적인 조사 기법으로, 컴퓨터 범죄 진화와 함께 발전하여 표준화 필요성이 대두되었고, 다양한 하위 분야로 나뉘어 전문성을 더하고 있다.
법과학 - 사후경직
사후경직은 사망 후 ATP 고갈로 근육이 굳어지는 현상으로, 사망 시간 추정과 육류 연화 정도에 영향을 미치며 장례 과정에서 시신 처리에 어려움을 줄 수 있다.
컴퓨터 포렌식 - 트렌드 마이크로
트렌드 마이크로는 1988년 미국에서 설립된 사이버 보안 회사로, 바이러스 버스터 시리즈를 주력으로 개인 및 기업용 보안 솔루션을 제공하며, 클라우드 보안 분야를 강화해왔다.
컴퓨터 포렌식 - 트렐릭스
트렐릭스는 (설명)이며, (추가 정보)이고, (중요성 및 영향)이다.

컴퓨터 포렌식
개요
분야	디지털 포렌식
하위 분야	컴퓨터 과학, 법과학
관련 분야	데이터 복구, 보안 감사, 침투 테스트, 데이터 유출 방지
목적	컴퓨터 시스템에서 증거를 수집하고 분석하여 범죄 행위 또는 무단 행위를 밝히는 것
주요 기술	데이터 복구, 파일 시스템 분석, 로그 분석, 네트워크 포렌식
활용 분야	형사 사건 조사 민사 소송 증거 수집 기업 내부 감사 보안 사고 대응
역사
초기 발전	1980년대, 개인용 컴퓨터 보급과 함께 시작
발전 배경	컴퓨터 바이러스 확산, 해킹 증가, 데이터 범죄 증가
주요 사건	1986년 클리포드 스톨의 컴퓨터 침입 사건 추적
학문적 발전	1990년대 후반, 학계에서 연구 시작
표준화	2000년대 초반, NIST (미국 국립표준기술연구소)에서 표준 지침 개발
기술 및 절차
증거 수집	휘발성 데이터 (RAM, 네트워크 연결 상태 등) 확보 비휘발성 데이터 (하드 디스크, USB 드라이브 등) 이미지 생성 증거 보관 체인 유지
분석 방법	파일 시스템 분석: 파일 생성/수정/삭제 시간, 파일 내용 분석 레지스트리 분석: 시스템 설정 및 사용자 활동 기록 분석 로그 파일 분석: 시스템 이벤트, 애플리케이션 실행 기록 분석 네트워크 포렌식: 네트워크 트래픽 분석 데이터 복구: 삭제된 파일 및 데이터 복구
도구	EnCase FTK (Forensic Toolkit) Autopsy Sleuth Kit Volatility (메모리 포렌식)
보고서 작성	분석 결과 요약, 증거물 목록, 분석 과정 상세 기록, 법정 제출용 보고서 작성
법적 고려 사항
증거 인정 요건	증거 수집 절차의 적법성 증거 보관 체인의 무결성 분석 방법의 신뢰성 전문가 증언의 객관성
관련 법규	개인정보보호법 정보통신망 이용촉진 및 정보보호 등에 관한 법률 형사소송법
국제적 협력	국제 공조 수사 시, 각국 법률 및 절차 준수 필요
윤리적 고려 사항
개인 정보 보호	개인 정보 침해 최소화, 수집 목적 외 사용 금지
비밀 유지	분석 과정에서 얻은 정보에 대한 비밀 유지 의무
객관성 및 공정성	편견 없는 분석 수행, 증거에 기반한 결론 도출
교육 및 자격증
교육 과정	대학 및 전문 교육 기관에서 관련 과정 제공
주요 자격증	CFCE (Certified Forensic Computer Examiner) EnCE (EnCase Certified Examiner) GCFE (GIAC Certified Forensic Examiner) CHFI (Computer Hacking Forensic Investigator)
미래 전망
기술 발전	인공지능 및 머신러닝 활용 증거 분석 자동화 클라우드 포렌식, 모바일 포렌식, IoT 포렌식 등 새로운 분야 등장 안티 포렌식 기술에 대한 대응
사회적 중요성 증가	디지털 전환 가속화에 따른 사이버 범죄 증가, 디지털 포렌식의 역할 확대

2. 역사

디지털 포렌식은 컴퓨터 범죄의 증가와 함께 발전해왔다. 포렌식 기술과 전문 지식은 하드 디스크 또는 CD-ROM과 같은 저장 매체나 이메일 메시지 또는 JPEG 이미지와 같은 전자 문서 등 ''디지털 아티팩트''의 현재 상태를 설명하는 데 사용된다. 포렌식 분석의 범위는 단순한 정보 검색에서 일련의 사건을 재구성하는 것까지 다양하다. 2002년 책 ''컴퓨터 포렌식''에서 저자 크루즈와 하이저는 컴퓨터 포렌식을 "컴퓨터 데이터의 보존, 식별, 추출, 문서화 및 해석"과 관련된 것으로 정의한다. 그들은 이 분야를 "과학보다는 예술에 가깝다"고 묘사하며, 포렌식 방법론은 유연성과 광범위한 도메인 지식에 의해 뒷받침된다고 언급했다. 그러나 주어진 컴퓨터에서 증거를 추출하는 데 여러 가지 방법을 사용할 수 있지만, 법 집행 기관에서 사용하는 전략은 상당히 엄격하며 민간 영역에서 발견되는 유연성이 부족하다.

2. 1. 발전 과정

1980년대 초 개인용 컴퓨터가 널리 보급되면서 사기를 돕는 데 사용되는 등 범죄 행위에 사용되는 사례가 증가하였다. 동시에 크래킹과 같은 새로운 "컴퓨터 범죄"가 나타났다. 이러한 상황에서 법정에서 사용할 수 있도록 디지털 증거를 복구하고 조사하는 방법으로 컴퓨터 포렌식이 등장했다. 그 이후로 컴퓨터 범죄 및 컴퓨터 관련 범죄가 증가하여, FBI는 2020년에 791,790건의 인터넷 범죄가 의심된다고 보고했는데, 이는 2019년에 보고된 수치보다 69% 증가한 것이다.^[1]^[2] 오늘날 컴퓨터 포렌식은 아동 포르노, 사기, 스파이, 사이버 스토킹, 살인 및 강간을 포함한 광범위한 범죄를 조사하는 데 사용된다. 또한, 민사 소송 절차(예: 전자 증거 개시)에서 정보 수집의 한 형태로도 활용된다.

2. 2. 한국

1996년 영남위원회 사건에서 법원이 디지털 증거의 증거 능력을 부정하면서 디지털 증거에 대한 논의가 시작되었다.^[26] 이후 여러 사건에서 디지털 증거가 중요한 역할을 하면서 관련 법률 및 제도가 정비되었다.

사건	내용
영남위원회 사건	법원은 디지털 증거를 전문 증거로 취급해야 하므로 원 진술자가 진술에 의해 인정해야 한다고 판시하여 디지털 증거의 증거 능력을 부정하였다.
일심회 사건	수사기관은 USB, PC, 플로피 디스크 등의 저장매체 12종을 압수하여 조사하였다. 법원은 디지털 증거에 대해 작성자 또는 진술자의 진술에 의해 진정성이 증명될 때에 한해 증거로 인정한다고 판시하였다.
외무부 전문 변조사건	외무부의 공문이 변조여부를 판단하기 위해 외국 공관에 있는 동일한 컴퓨터들의 하드 디스크를 모두 수거하여 분석한 사건^[26]
창원지법 진주지원 재심사건	하드디스크 분석 과정에서 전문가가 아닌 비전문가가 분석을 수행하여 분석 도중 파일 접근 시간이 변경되어 확정 판결이 번복된 사건
삼성 비자금 의혹 관련 특별검사	특검팀이 삼성에서 압수한 하드디스크로부터 삭제된 파일을 복구하여 수사를 진행
신정아 스캔들	주고 받은 이메일 내용을 복구하여 수사 진행
통합진보당 비례대표 부정경선 사건	서버 압수 및 서버 이미징， 분석
황우석 논문 조작 사건	황 교수의 연구팀에 있는 노트북을 포맷된 후 새로운 파일로 하드디스크의 영역을 덮어씌운 노트북을 복원하여 400여쪽에 달하는 실험 노트를 확보하였다.^[27]
카지노 횡령사건	계좌추적과 전화통화 내역 조사
국정원 여직원의 대선 관련 덧글 사건	국정원 여직원의 노트북 등의 디지털 기기를 습득해 분석하였다.

3. 관련 법률 및 제도

컴퓨터 포렌식에서는 디지털 증거에 일반적으로 요구되는 요건 외에도 특별히 많은 지침과 법적 절차가 존재한다.^[1] 관련 법률 및 제도는 다음과 같다.

형사소송법/형사소송법규칙^[1]
디지털증거수집 및 분석규정 (대검찰청 예규)^[1]
정보통신망 이용 촉진 및 정보보호 등에 관한 법률^[1]
통신비밀보호법^[1]
부정경쟁방지 및 영업비밀보호에 관한 법률^[1]
산업기술의 유출방지 및 보호에 관한 법률^[1]
신용정보법 등 개인정보 관련 규정^[1]

3. 1. 대한민국

컴퓨터 포렌식에서는 디지털 증거에 일반적으로 요구되는 요건 외에도 특별히 많은 지침과 법적 절차가 존재한다. 관련 법률은 다음과 같다.

형사소송법/형사소송법규칙^[1] (제106조(압수), 제215조(압수/수색/검증), 제218조의2(압수물의 환부, 가환부), 자유심증주의, 위법수집증거배제원칙, 전문증거배제법칙)
디지털증거수집 및 분석규정 (대검찰청 예규)^[1]
정보통신망 이용 촉진 및 정보보호 등에 관한 법률^[1]
통신비밀보호법^[1] (제9조의 3(압수, 수색, 검증의 집행에 관한 통지), 제13조(범죄수사를 위한 통신사실 확인자료제공의 절차 〈개정 2005.5.26〉), 제13조의3(범죄수사를 위한 통신사실 확인자료제공의 통지))
부정경쟁방지 및 영업비밀보호에 관한 법률^[1]
산업기술의 유출방지 및 보호에 관한 법률^[1]
신용정보법 등 개인정보 관련 규정^[1]

3. 2. 영국

영국의 수사관은 경찰청장 협회(ACPO)의 지침을 따른다. 이 지침은 디지털 증거의 완전성을 유지하기 위한 다음 4가지 원칙으로 구성된다.

# 법 집행 기관 또는 그 대리인은 나중에 법정에서 요구될 수 있는 컴퓨터 또는 기록 매체에 보관된 데이터에 어떠한 변경도 가해서는 안 된다.

# 컴퓨터 또는 저장 매체에 보관된 원본 데이터에 접근할 필요가 있다고 판단하는 예외적인 상황이 발생할 경우, 접근하는 자는 그 자격을 갖추어야 하며, 해당 행위의 타당성과 의미를 설명하고 증거를 제시할 수 있어야 한다.

# 전자적 증거를 토대로 컴퓨터에 적용되는 모든 과정의 감사 기록 또는 기타 기록은 작성 및 보존되어야 한다. 독립적인 제3자가 해당 과정을 조사하여 동일한 결과를 얻을 수 있어야 한다.

# 수사 담당자(the case officer)는 법과 이러한 원칙이 준수되도록 하는 모든 책임을 진다.

4. 디지털 포렌식 절차

디지털 증거 처리 과정은 식별, 수집, 획득, 보존, 분석 등의 단계를 거치며, 증거 가치를 최대화하고 위험을 최소화하기 위해 수행된다. 디지털 증거는 손상되기 쉬우므로 취급자는 발생 가능한 결과와 위험성을 관리하고 식별할 수 있어야 하며, 모든 행위와 그 근거는 문서화되어야 한다.

컴퓨터 포렌식 수사는 획득, 검사, 분석, 보고의 4단계 절차를 따르며, 주로 획득된 이미지와 같은 정적 데이터를 대상으로 한다. 이는 초기 포렌식 방식과 구별되며, 컴퓨터 포렌식에는 특별한 지침과 법적 절차가 적용된다.

4. 1. 일반적인 절차

디지털 증거를 처리하는 과정은 식별, 수집, 획득, 보존, 분석 등의 과정을 통해 증거가 가지는 잠재적인 가치를 최대화하고 발생할 수 있는 위험을 최소화하기 위해 수행된다. 디지털 증거는 현실적으로 손상되기 쉽다. 부적절한 취급이나 분석 중에 훼손되거나 변경, 조작될 수 있다. 따라서 디지털 증거를 취급하는 사람은 어떤 행위를 할 때 발생할 수 있는 결과와 위험성을 관리하고 식별할 수 있는 능력을 가져야 한다. 적절한 수단으로 디지털 증거 처리에 실패할 경우 디지털 증거는 사용하지 못할 수도 있기 때문에 모든 행위와 그 근거는 문서화될 필요가 있다.

컴퓨터 포렌식 수사는 일반적으로 획득, 검사, 분석 및 보고의 4단계로 구성된 표준 디지털 포렌식 프로세스를 따른다. 수사는 대개 "라이브" 시스템보다는 정적 데이터(획득된 이미지)를 대상으로 수행된다. 이는 전문화된 도구의 부족으로 수사관이 라이브 데이터로 작업해야 했던 초기 포렌식 방식과는 다르다.

컴퓨터 포렌식에서는 디지털 증거에 일반적으로 요구되는 요건 외에도 특별히 많은 지침과 법적 절차가 존재한다.

4. 2. 추가 고려 사항

디지털 증거는 현실적으로 손상되기 쉬우므로 부적절한 취급이나 분석 과정에서 훼손, 변경 또는 조작될 수 있다. 따라서 디지털 증거를 다루는 사람은 어떤 행위를 할 때 발생할 수 있는 결과와 위험성을 관리하고 식별할 수 있는 능력을 갖춰야 한다. 적절한 수단을 통해 디지털 증거를 처리하지 못하면 해당 증거를 사용하지 못할 수도 있기 때문에, 모든 행위와 그 근거는 문서화되어야 한다.^[8]

컴퓨터 포렌식 랩은 전자 데이터를 통제된 환경에서 보존, 관리 및 접근할 수 있는 안전한 환경으로, 증거의 손상이나 변조 위험을 최소화한다. 포렌식 수사관은 조사하는 장치에서 의미 있는 데이터를 추출하는 데 필요한 자원을 제공받는다.^[8]

5. 디지털 포렌식 기술

디지털 포렌식 기술은 증거 수집 및 분석에 사용되는 다양한 방법론을 포괄한다. 여기에는 라이브 분석, 삭제된 파일 복구, 드라이브 간 분석, 확률적 포렌식, 스테가노그래피, 휘발성 데이터 분석 등이 포함된다. 모바일 기기 포렌식은 통화 기록, 연락처, 문자 메시지, 사진, 오디오 녹음 등을 분석하여 사건 관련 정보를 얻는 기술이다. 컴퓨터 포렌식 분석에는 Autopsy (소프트웨어), Belkasoft Evidence Center, Forensic Toolkit(FTK), EnCase와 같은 도구들이 사용된다.^[1]

5. 1. 주요 기술

라이브 분석: 운영 체제가 작동 중인 상태에서 포렌식 도구나 시스템 관리 도구를 사용하여 증거를 추출하는 기술이다. 암호화 파일 시스템을 다룰 때 유용하며, 네트워크 시스템이나 클라우드 기반 장치 검사에도 활용된다.^[11]
삭제된 파일 복구: 삭제된 파일을 복구하는 기술이다. 대부분의 운영 체제와 파일 시스템은 파일을 완전히 삭제하지 않기 때문에, 디스크 섹터에서 데이터를 재구성하여 복구할 수 있다. 포렌식 소프트웨어는 파일 헤더를 검색하여 삭제된 데이터를 재구성한다.
드라이브 간 분석: 여러 하드 드라이브에서 발견된 정보를 상호 연관시켜 분석하는 기술이다. 소셜 네트워크를 식별하거나 이상 징후를 감지하는 데 사용될 수 있다.^[9]^[10]
확률적 포렌식: 시스템의 확률적 속성을 활용하여 활동을 조사하는 방법이다. 데이터 절도와 같이 기존 디지털 아티팩트가 없는 경우에 유용하다.
스테가노그래피: 다른 파일 내에 데이터를 숨기는 기술, 또는 이를 탐지하는 기술이다. 파일 해시를 비교하여 숨겨진 데이터의 존재 여부를 파악할 수 있다.
휘발성 데이터 분석: RAM, 레지스트리, 캐시 등 휘발성 데이터를 분석하는 기술이다. 전원이 꺼지면 데이터가 손실되므로, 시스템이 작동 중일 때 데이터를 확보해야 한다. '라이브 포렌식'이라고도 불린다. 콜드 부팅 공격과 같은 기술을 통해 전원 손실 후에도 메모리 셀에서 데이터를 복구할 수 있다.

5. 2. 모바일 기기 포렌식

통신 회사는 전화 통화 기록을 보관하며, 이는 사건 발생 시 용의자의 위치와 시간 순서를 파악하는 데 도움이 된다. 연락처 목록은 피해자와의 관계를 통해 용의자를 좁히는 데 유용하다. 문자 메시지에는 타임스탬프가 포함되어 있고, 기기에서 삭제되어도 회사 서버에 남아 있을 수 있어 개인 간 의사소통을 재구성하는 데 중요한 증거가 된다. 사진은 촬영 위치와 시간을 보여주어 알리바이를 뒷받침하거나 반증하는 결정적인 증거가 될 수 있다. 오디오 녹음은 공격자의 목소리와 같은 세부 정보를 포착하여 중요한 증거를 제공할 수 있다.

5. 3. 분석 도구

컴퓨터 포렌식에는 수많은 오픈 소스 및 상용 도구가 사용된다. 일반적인 포렌식 분석에는 미디어 수동 검토, 윈도우 레지스트리 분석, 패스워드 크래킹, 키워드 검색, 이메일 및 이미지 추출 등이 포함된다. Autopsy (소프트웨어), Belkasoft Evidence Center, Forensic Toolkit(FTK), EnCase와 같은 도구들이 디지털 포렌식 분야에서 널리 사용된다.^[1]

주요 컴퓨터 포렌식 도구는 다음과 같다.

EnCase
FTK
PTK 포렌식
The Sleuth Kit
The Coroner's Toolkit
COFEE
Selective file dumper^[1]

6. 활용 분야 및 사례

컴퓨터 포렌식 증거는 법정에서 디지털 증거에 대한 일반적인 요구 사항을 따른다. 정보는 진본이고, 신뢰할 수 있게 획득되었으며, 증거로 채택될 수 있어야 한다. 국가별로 증거 복구에 대한 구체적인 지침과 관행이 있는데, 영국에서는 감정인들이 경찰청장 협회 지침을 따르는 경우가 많다.

컴퓨터 포렌식은 1980년대 중반부터 형법에서 증거로 사용되어 왔으며, 국내에서는 다음과 같은 주요 사건들에서 활용되었다.

1996년 영남위원회 사건: 법원은 디지털 증거를 전문 증거로 취급해야 하므로 원 진술자가 진술해야 한다고 판시하여 디지털 증거의 증거 능력을 부정하였다.
2006년 일심회 사건: 수사기관은 USB, PC, 플로피 등의 저장매체 12종을 압수하여 조사하였다. 법원은 디지털 증거에 대해 작성자 또는 진술자의 진술에 의해 진정성이 증명될 때에 한해 증거로 인정한다고 판시하였다.
외무부 전문 변조사건: 외무부의 공문 변조 여부를 판단하기 위해 외국 공관에 있는 동일한 컴퓨터들의 하드디스크를 모두 수거하여 분석하였다.^[26]
창원지법 진주지원 재심사건: 하드디스크 분석 과정에서 비전문가가 분석을 수행하여 파일 접근 시간이 변경되어 확정 판결이 번복되었다.
삼성 비자금 의혹 관련 특별검사: 특검팀이 삼성에서 압수한 하드디스크로부터 삭제된 파일을 복구하여 수사를 진행하였다.
신정아 스캔들: 주고받은 이메일 내용을 복구하여 수사를 진행하였다.
통합진보당 비례대표 부정선거: 서버 압수 및 서버 이미징, 분석을 하였다.
황우석 논문 조작 사건: 황 교수 연구팀의 포맷된 노트북을 복원하여 400여 쪽의 실험 노트를 확보하였다.^[27]
카지노 횡령사건: 계좌 추적과 전화 통화 내역을 조사하였다.
국정원 여직원의 대선 관련 덧글 사건: 국정원 여직원의 노트북 등 디지털 기기를 분석하였다.

6. 1. 활용 분야

컴퓨터 포렌식은 아동 포르노, 사기, 스파이, 사이버 스토킹, 살인 및 강간을 포함한 광범위한 범죄를 조사하는 데 사용된다.^[1] 또한 정보 수집의 한 형태로 민사 소송 절차(예: 전자 증거 개시)에도 사용된다.

포렌식 기술과 전문 지식은 컴퓨터 시스템, 저장 매체(예: 하드 디스크 또는 CD-ROM), 전자 문서 (예: 이메일 메시지 또는 JPEG 이미지)와 같은 ''디지털 아티팩트''의 현재 상태를 설명하는 데 사용된다.

컴퓨터 포렌식은 물리적 및 디지털 범죄에 연루된 사람들을 유죄로 판결하는 데 사용된다. 이러한 컴퓨터 관련 범죄에는 방해, 가로채기, 저작권 침해 및 조작 등이 있다. ''방해''는 컴퓨터 부품 및 디지털 파일의 파괴 및 절도와 관련이 있다. ''가로채기''는 기술 장치에 저장된 파일 및 정보에 대한 무단 접근이다.^[4] 저작권 침해는 소프트웨어 불법 복제를 포함하여 저작권이 있는 정보를 사용, 복제 및 배포하는 것을 의미한다. ''조작''은 무단 소스를 통해 시스템에 삽입된 허위 데이터 및 정보를 사용하여 누군가를 비난하는 것을 포함한다. 가로채기의 예로는 은행 NSP 사건, Sony.Sambandh.com 사건, 비즈니스 이메일 침해 사기가 있다.^[5]

6. 2. 주요 사례

BTK 연쇄 살인범 데니스 레이더는 16년 동안 연쇄 살인을 저지른 혐의로 유죄 판결을 받았다. 이 기간 말기에 레이더는 플로피 디스크에 경찰에게 편지를 보냈는데, 문서 내의 메타데이터가 "Christ Lutheran Church"의 "Dennis"라는 필자를 지목하여, 레이더를 체포하는데 결정적인 역할을 했다.^[6]^[7]

조셉 에드워드 던컨: 던컨의 컴퓨터에서 복구된 스프레드시트에는 그가 범죄를 계획하고 있음을 보여주는 증거가 포함되어 있었다. 검찰은 이를 사용하여 계획 살인을 입증하고 사형을 확보했다.

샤론 로파트카: 로파트카의 컴퓨터에 있던 수백 통의 이메일은 수사관들이 그녀의 살인범인 로버트 글래스를 찾아내는 데 기여했다.

코코란 그룹: 이 사건에서 컴퓨터 포렌식은 소송이 시작되었거나 합리적으로 예상되었을 때 당사자들이 디지털 증거를 보존해야 할 의무가 있음을 확인했다. 하드 드라이브를 분석했지만, 전문가는 삭제의 증거를 찾지 못했으며, 증거는 피고가 의도적으로 이메일을 파기했음을 보여주었다.

콘래드 머레이 박사: 마이클 잭슨의 주치의인 콘래드 머레이 박사는 치사량의 프로포폴을 보여주는 의료 문서를 포함한 디지털 증거로 부분적으로 유죄 판결을 받았다.

7. 윤리적 문제 및 한계

컴퓨터 포렌식은 디지털 증거를 다루는 과정에서 여러 윤리적 문제와 한계에 직면한다.
개인정보 침해: 컴퓨터 포렌식 과정에서 개인의 민감한 정보(사생활, 금융 정보 등)가 노출될 위험이 있다. 개인정보 보호법 등 관련 법규를 준수하고, 필요한 최소한의 정보만 수집, 분석해야 한다.
증거의 무결성 훼손: 디지털 증거는 쉽게 변조될 수 있으므로, 증거 수집 및 분석 과정에서 원본 데이터가 훼손되지 않도록 주의해야 한다. 해시 함수 등을 이용하여 증거의 무결성을 검증하고, 쓰기 방지 장치를 사용하여 원본 데이터의 변경을 방지해야 한다.
전문가의 편향: 포렌식 전문가의 개인적인 편견이나 선입견이 분석 결과에 영향을 미칠 수 있다. 객관적이고 중립적인 자세를 유지하며, 다양한 전문가의 의견을 종합하여 결론을 도출해야 한다.
기술적 한계: 모든 디지털 증거를 완벽하게 복구하거나 분석하는 것은 불가능하다. 삭제된 파일, 암호화된 데이터, 손상된 저장 매체 등은 복구가 어려울 수 있으며, 최신 기술을 적용해도 한계가 있을 수 있다.
법적 문제: 수집된 디지털 증거가 법정에서 증거로 인정받기 위해서는 적법한 절차를 거쳐야 한다. 영장 없이 증거를 수집하거나, 증거 수집 과정에서 절차를 위반하면 증거 능력이 부정될 수 있다.

이러한 윤리적 문제와 한계를 극복하기 위해, 컴퓨터 포렌식 전문가는 지속적인 교육과 훈련을 통해 전문성을 강화하고, 윤리 강령을 준수해야 한다. 또한, 관련 법규 및 기술 발전에 대한 꾸준한 관심과 연구가 필요하다.

8. 관련 직업 및 교육

컴퓨터 포렌식 관련 직업으로는 디지털 포렌식 전문가가 있다. 이들은 디지털 증거를 보존, 수집, 분류하고 분석하며, 사이버 침해 사고에 대응하고 보고서를 작성하며 법정에서 증언하는 역할을 한다.^[12] 디지털 포렌식 전문가는 컴퓨터 포렌식 분석가, 디지털 포렌식 검사관, 사이버 포렌식 분석가, 포렌식 기술자 등으로 불리기도 한다.^[13]

관련 자격증으로는 ISFCE 공인 컴퓨터 감정사, 디지털 포렌식 수사 전문가(DFIP), IACRB 공인 컴퓨터 포렌식 감정사 등이 있다. 유럽 연합(EU) 내에서 가장 인정받는 벤더 중립적인 자격증은 공인 사이버 포렌식 전문가(CCFP)이다.^[14]^[15] 많은 상업용 포렌식 소프트웨어 회사 또한 자체 자격증을 제공한다.^[16] 미국 대부분의 주에서는 컴퓨터 포렌식 감정인에게 전문적인 인증 또는 사립 탐정 면허 취득을 요구하고 있다.

자격증 이름	주관 기관	비고
GIAC Certified Forensic Analyst(GCFA)	Global Information Assurance Certification (글로벌 정보 보증 인증)	2010년 기준 2100명 이상 취득^[20]
Certified Computer Examiner (CCE)	[http://www.isfce.com International Society of Forensic Computer Examiners] (국제 컴퓨터 포렌식 검사관 협회)	2010년 기준 28개국, 1000명 이상 취득자 또는 대리인 활동^[21]
Certified Computer Forensics Examiner (CCFE)	IACRB	2009년 7월 기준 1000명 이상 취득
Certified Forensic Computer Examiner (CFCE)	IACIS^[23]
IFS Cyber Forensic, Cyber Law, Cyber Crime and Cyber Security Certifications	IFS INDI^[24]
Certified Ethical Hacker	EC-Council^[25]
EnCase Certified Examiner (EnCE)	EnCase
AccessData ACE 인증	AccessData

8. 1. 디지털 포렌식 전문가

디지털 포렌식 분석가는 디지털 증거를 보존하고, 수집된 증거를 분류하며, 진행 중인 사건과 관련된 증거를 분석하고, 사이버 침해 사고에 대응하며(종종 기업 환경에서), 발견 사항을 포함하는 보고서를 작성하고, 법정에서 증언하는 책임을 맡는다.^[12] 디지털 포렌식 분석가는 컴퓨터 포렌식 분석가, 디지털 포렌식 검사관, 사이버 포렌식 분석가, 포렌식 기술자 또는 유사한 명칭으로 불리기도 하지만, 이러한 역할은 유사한 임무를 수행한다.^[13]

8. 2. 관련 자격증

ISFCE 공인 컴퓨터 감정사, 디지털 포렌식 수사 전문가(DFIP), IACRB 공인 컴퓨터 포렌식 감정사 등이 있다. 유럽 연합(EU) 내에서 가장 인정받는 벤더 중립적인 자격증은 공인 사이버 포렌식 전문가(CCFP)이다.^[14]^[15]

많은 상업용 포렌식 소프트웨어 회사 또한 자체 자격증을 제공한다.^[16] 컴퓨터 포렌식과 관련하여 다양한 인증이 존재한다. 미국 대부분의 주법은 컴퓨터 포렌식 감정인에게 전문적인 인증 또는 사립 탐정 면허 취득을 요구하고 있다.

자격증 이름	주관 기관	비고
GIAC Certified Forensic Analyst(GCFA)	Global Information Assurance Certification (글로벌 정보 보증 인증)	2010년 기준 2100명 이상 취득^[20]
Certified Computer Examiner (CCE)	[http://www.isfce.com International Society of Forensic Computer Examiners] (국제 컴퓨터 포렌식 검사관 협회)	2010년 기준 28개국, 1000명 이상 취득자 또는 대리인 활동^[21]
Certified Computer Forensics Examiner (CCFE)	IACRB	2009년 7월 기준 1000명 이상 취득
Certified Forensic Computer Examiner (CFCE)	IACIS^[23]
IFS Cyber Forensic, Cyber Law, Cyber Crime and Cyber Security Certifications	IFS INDI^[24]
Certified Ethical Hacker	EC-Council^[25]
EnCase Certified Examiner (EnCE)	EnCase
AccessData ACE 인증	AccessData

9. 관련 학술지

IEEE Transactions on Information Forensics and Security|IEEE 정보 포렌식 및 보안 트랜잭션^영어
Journal of Digital Forensics, Security and Law|디지털 포렌식, 보안 및 법률 저널^영어
International Journal of Digital Crime and Forensics|국제 디지털 범죄 및 포렌식 저널^영어
Journal of Digital Investigation|디지털 수사 저널^영어
International Journal of Digital Evidence|국제 디지털 증거 저널^영어
International Journal of Forensic Computer Science|국제 포렌식 컴퓨터 과학 저널^영어
Journal of Digital Forensic Practice|디지털 포렌식 실무 저널^영어
Cryptologia|크립토로지아^영어
Small Scale Digital Device Forensic Journal|소규모 디지털 장치 포렌식 저널^영어

참조

_[1] 웹사이트 2020 Internet Crime Report https://www.ic3.gov/[...]
_[2] 웹사이트 IC3 Releases 2020 Internet Crime Report https://www.fbi.gov/[...]
_[3] 웹사이트 What Is Computer Forensics? https://www.wgu.edu/[...]
_[4] 서적 Computer Forensics: Incident Response Essentials Pearson Education 2001
_[5] 서적 Digital Forensics: How digital forensics is helping to bring the work of crime scene investigating into the real world One Billion Knowledgeable 2022
_[6] 웹사이트 The Capture of Serial Killer Dennis Rader, BTK https://www.psycholo[...]
_[7] 웹사이트 BTK serial killer's daughter: 'We were living our normal life... Then everything upended on us' https://abcnews.go.c[...]
_[8] 웹사이트 Chapter 3: Computer Forensic Fundamentals - Investigative Computer Forensics: The Practical Guide for Lawyers, Accountants, Investigators, and Business Executives [Book] https://www.oreilly.[...] 2022-03-04
_[9] 간행물 Forensic feature extraction and cross-drive analysis 2006-09-01
_[10] 간행물 A Two-Stage Model for Social Network Investigations in Digital Forensics https://dspace.lib.c[...] 2020-08-20
_[11] 문서 https://espace.curti[...]
_[12] 웹사이트 What Is a Digital Forensic Analyst? https://www.eccounci[...] 2022-12-28
_[13] 웹사이트 CISA Cyber Defense Forensics Analyst https://www.cisa.gov[...] 2022-12-28
_[14] 웹사이트 Cybersecurity Certification https://www.isc2.org[...] 2022-11-18
_[15] 웹사이트 CCFP Salaries surveys https://www.itjobswa[...] ITJobsWatch 2017-06-15
_[16] 웹사이트 X-PERT Certification Program http://www.x-pert.eu[...] X-pert.eu 2015-11-26
_[17] 뉴스 「森友」交渉記録、電子鑑識へPCデータ復元、国有地売却交渉を究明大阪地検産経新聞 2017-08-23
_[18] 뉴스 壊したスマホ証拠逃さぬ日経産業新聞 2017-11-09
_[19] 웹사이트 GIAC Certified Forensic Analyst (GCFA) http://www.giac.org/[...] 2010-07-31
_[20] 웹사이트 2,146 GCFA Credentials Granted - 199 GCFA Gold http://www.giac.org/[...] 2010-07-31
_[21] 웹사이트 International Society of Forensic Computer Examiners http://www.isfce.com 2010-08-23
_[22] 문서 Information Assurance Certification Review Board
_[23] 문서 International Association of Computer Investigative Specialists http://www.iacis.com
_[24] 문서 IFS Education Department http://www.forensic.[...]
_[25] 문서 EC-Council http://www.eccouncil[...]
_[26] 문서 p 39, 이준형, 디지털 포렌식의 세계
_[27] 문서 동아일보 매거진: 법과 과학-디지털 포렌식의 세계 http://shindonga.don[...]

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com