디지털 포렌식 프로세스의 리엔지니어링

전문가 제언

○ 디지털 포렌식의 정의는 “디지털 기기를 매개체로 하여 발생한 특정 행위의 사실관계를 법정에서 규명하고 증명하기 위한 절차와 방법”이다. 이 정의 에서 중요한 단어가 “법정에서”이다. 디지털 자료가 법정에서 디지털 증거로 인정받기 위해서는 증거능력(admissibility)이 있어야 하는데, 이를 갖추기 위한 요건 중 가장 중요한 것이 초기 수집된 데이터가 법정에 제출될 때까지 변조되지 않아야 한다는 무결성(integrity)이다.

 

○ 아날로그 증거는 자료를 획득？보관？분석？제출하는 과정에서 변조될 가능성이 크지 않지만 디지털 증거는 단순히 “0”과 “1”이라는 비트로 존재하고, 저장매체에 따라 자기장, 전기적, 전자적 방식 등으로 기록되어 있어 증거를 획득？보관？분석？제출하는 과정에서 손쉽게 변경될 수 있다. 무결성을 지키기 위해서 기존의 포렌식 프로세스에서는 개별과업들을 엄격히 분리하는 포렌식 절차를 준수하였다. 즉 기존의 디지털 포렌식 절차는 크게 사전준비, 증거수집, 포장 및 이송, 조사 분석, 보고서 작성의 5단계로 구분된다.

 

○ 그러나 포렌식 조사 수요건수가 급증하고, 매 건당 조사해야 할 데이터 양이 기하급수적으로 폭증함에 따라 증거능력 유지를 위한 “무결성”도 중요하지만, 디지털 포렌식 업무 전체의 “효율성”과 “효과성” 확보도 긴요해졌다. 특히 경찰이나 검찰 등 법집행기관이 자체적으로 수행하는 포렌식 조사와 달리 고객으로부터 포렌식 조사 계약에 의해 수행하는 민간 포렌식 조사 업계에 있어서 “효율성”과 “효과성”은 동종업계 내에서의 경쟁력 유지와 생존의 차원에서 중요한 과제로 대두되고 있다.

 

○ 그런 의미에서 기존의 디지털 포렌식 프로세스의 문제점을 지적하고 포렌식 프로세스 전체를 리엔지니어링(업무혁신, 업무 재설계)하는 방안을 제시한 본 연구 결과는 국내 민간 포렌식 업계의 국제 경쟁력 제고에 크게 기여할 것으로 판단된다. 다만 이를 위해서는 기존의 포렌식 업무절차 내의 개별과업 간의 분리원칙은 유지될 수 없으므로 이에 대한 보완책이 강구되어야 한다.

저자

Eoghan Casey, Gary Katz, Joe Lewthwaite

자료유형

학술정보

원문언어

영어

기업산업분류

정보통신

연도

2013

권(호)

10()

잡지명

Digital Investigation

과학기술
표준분류

정보통신

페이지

138~147

분석자

조*철

분석물

• 디지털 포렌식 프로세스의 리엔지니어링.pdf [371,793 byte]

이미지변환중입니다.