[Digital Forensics] "압수 수색"에 대해 알아보기

먼저 압수의 대상을 확인해야 한다.

압수의 대상 中 전자적 기록은 가시성과 가독성을 갖추지 않은 무형정보

   압수 · 수색의 대상이 될 수 있는가에 대한 논의가 있다.

현행 형사소송법 제106조 1항의 경우 압수 · 수색의 대상을 증거물 or 몰수물이라고 정의

증거물 = 일반적으로 ‘강제적으로 점유이전의 처분에 당하여 대체성이 없고 물리적으로 관리 가능한 유체물’

(Q. 실질적으로 압수 가능한 것일까?)

 

개정 형사소송법을 보면 제106조 3항은 ‘법원의 압수 목적물이 컴퓨터용 디스크, 그 밖에 이와 비슷한 정보저장 매체(이하 이 항에서 ’정보저장 매체 등’이라고 한다)인 경우에는 기억된 정보의 범위를 정하여 출력하거나 복제해 제출받아야 한다.'

하지만 범위를 정하고 출력 또는 복제하는 방법이 불가능하거나 압수의 목적을 달성하기에 현저히 곤란하고 인정되면 “정보저장 매체” 등을 압수 할 수 있다’라고 정의하고 있다.

 

압수하는 정보의 유형에 대해서 알아보겠다.

 

1. 저장 매체에 기억된 정보

형사소송법 제106조 3항은, “압수의 목적물이 컴퓨터용 디스크, 그 밖에 이와 비슷한 정보저장 매체인 경우”라고 하여 압수의 목적물을 “정보저장 매체”로 명시하고 있으나, 현행법상 정보에 대한 정의 규정과 저장 매체 그 자체에 대한 정의 규정이 없다.

예외 ) 형법 ) 기록 그 자체를 범죄의 대상이나 수단으로 규정

형사소송법 제106조 3항에 의하면 전자적 저장 매체에 기억된 정보는 위와 같이 정보저장 매체가 압수의 목적물로 되어 있으므로, 정보 자체에 대한 압수와 구체적인 방법을 명문화하는 규정의 입법이 이루어지기 전까지는 출력문 또는 가져간 USB 메모리에 복제하거나, 매체 그 자체를 압수해야 한다.

 

2. 휘발성 메모리(임시기억장소)에 기억된 휘발성 증거

컴퓨터를 종료하게 된다면 네트워크의 접속상태, 프로세스의 구동 상태, 사용 중인 메모리 정보가 사라지게 된다.

이러한 정보도 저장 기간에 차이가 있을 뿐 컴퓨터 전원이 꺼지지 않는 한 저장 매체에 기록된 정보라는 사실에는 변함이 없으므로 저장 매체에 기억된 정보로 보아야 한다.

따라서 휘발성 정보의 압수에서도 원칙적으로 “형사소송법”상의 정보가 기록된 저장 매체 압수의 법리가 적용된다.

다만 이 경우에는 매체 자체의 압수는 의미 X / 영장 범죄 사실과 관련된 정보만은 선별적으로 압수할 수밖에 없을 것이다.

 

Q. 휘발성 정보인 RAM(메모리)에 있는 기록은 과연 증거로 채택 될 수 있을까?

가능하다. “저장 매체에 기억된 정보”임을 인정하고 있다.

 

하지만 이런 휘발성 정보를 압수하는 때도 있어서 현실적으로는 “저장 매체 자체의 압수” 보다는 “출력 · 복제하여 압수”하는 방식(형사소송법 제106조 3항)이 먼저 고려되어야 한다.

이런 정보들은 그 정보가 사라지기 전에 압수현장에서 신속히 보전하여 수집하여야 한다.

또한, 증거수집 시에도 비교적 장기간 저장 매체에 저장되는 비휘발성 증거(정보)보다도 소멸 가능성이 큰 휘발성 증거가 결정적인 가치를 가질 수도 있다.

휘발성 정보의 경우에는 디스크 이미지 복제방법으로 정보를 수집하기 어렵기 그 때문에 휘발성 정보에 적합한 원본과의 동일성 입증을 위한 기술적 조치가 강구되어야 한다.

 

3. 네트워크를 통해 전송 중인 디지털 정보

범죄 사실의 입증을 위해 수집해야 할 정보는 정보저장 매체에 저장되어 존재할 수도 있지만, 네트워크를 통해 전송 중인 정보, 이메일, 메신저 등 통신서비스가 개인 · 기업 · 정부의 영역을 불문하고 기술발전에 따라 증가하고 있어 범죄대응을 위해 정보통신망을 통해 유통되는 전자적 증거의 수집 필요성이 더욱 높아지고 있다.

컴퓨터는 패킷 교환방식(Packet Switching System)을 이용하여 발신자가 수신자에게 전송한 정보는 많은 단계를 거쳐 도달하게 된다.

즉, 우선 발신자에 의해서 발송할 정보가 작성되고 그 정보는 발신자 및 수신자의 IP와 통신내용을 포함한 작은 패킷으로 분할된다. 그런 다음 그 패킷은 발신자의 컴퓨터로부터, 근처 패킷 교환기로 개별적으로 전송되고 거기서 일시적으로 저장된 다음 최종 목적지 방향으로 다음 이용 가능한 교환기로 전송된다.

다른 패킷들은 네트워크의 이용 상황 및 부하에 따라 네트워크를 통해 다른 경로로 전송될 수 있다. 패킷들이 수신되자마자 패킷들은 원본 파일과 정확히 같게 재조합된다.

 

통신 정보는 아래의 4단계를 거쳐서 진행된다.

1. 수신자가 확인하기 전에 발신자의 원본 파일이 패킷으로 분할되는 단계,

2. 교환기에 일시적으로 저장되는 단계

3. 다음 교환기 또는 단말기로 재전송되는 단계

4. 전송받은 패킷을 재조합하는 단계

 

자세히 설명하자면,

디지털 정보는 아날로그 방식처럼 입력된 파형을 그대로 기록하지 않고 분해해서 비트라고 불리는 가장 단순한 신호로 변환해서 기록하며 다른 매체에 저장되더라고 그 데이터 값이 같다면 같은 가치의 정보로 이해할 수 있다는 점.

 

디지털 정보의 존재형식에서도 “저장 매체에 저장”되어 있거나 “네트워크를 통해 전송”되며 특히 컴퓨터 실행 시 일시적으로 메모리 또는 임시 파일에 저장되는 증거로 컴퓨터 종료와 함께 사라지는 “휘발성 정보”의 경우에도 컴퓨터 전원이 꺼지지 않는 한 저장 매체에 기록된 정보라는 사실에는 변함이 없으므로 저장 매체에 저장된 정보로 보아야 한다는 점에서 일시적으로 정보가 저장된 경우는 물론 통신 내역 정보인 헤더 정보는 감청의 대상이라기보다는 압수의 대상이 된다고 해석해야 한다.

 

오탈자나 문의는 pental@kakao.com 으로 보내주세요 :)