전자 증거 개시재도와 사이버포렌식의 차이점

제1장 서 론

 

제1절 연구의 목적

 

1. 연구의 범위

현재 대부분의 기업에서 약 90% 이상의 문서와 데이터는 전자적인 형태로 생성되어 사용 및 저장되고 있다. 이러한 전자정보(Electronically Stored Information, 이하 ESI)는 데이터, 정보의 폭발적인 증가와 저장 장치 기술을 발전으로 지속적으로 성장해 왔다. 이렇듯 대부분의 정보들이 ESI의 형태로 존재하다 보니 사이버포렌식과 이디스커버리(E-Discovery)라는 말은 동일한 내용으로 사용되고 있다.

분명 서로 다른 영역이지만 둘다 ESI를 생성하고 저장하는 장비들을 분석·조사하는 등 기술적인 부분의 상당부분을 공유하고 있으며 높은 연계성을 보여주고 있기 때문이다. 하지만 두 분야는 활용되는 목적과 요구되는 전문성에는 차이가 있으며, 본 문서를 통해 알아보고자 한다.

 

제2장 본 론

 

제1절 전자증거개시

1. 전자증거개시(E-Discovery)의 개념

디스커버리(Discovery)는 증거개시제도 또는 소 제기 전 증거조사제도라고 하는 영미법계 국가의 민사소송 절차 중 하나로, 소송 당사자가 소송 상대방이나 제 3자로부터 소송과 관련된 증거를 수집할 수 있도록 허용하는 제도이다. 미국의 경우 소송가액 4만달러 이상의 민사소송의 경우 약 90% 이상이 디스커버리를 시행하고 있으며, 디스커버리를 진행한 소송의 95%는 사실 심리 전에 합의 및 조정 등의 형태로 종결된다.

이디스커버리(E-Discovery)는 이러한 디스커버리에 전자문서를 뜻하는 ‘e’를 붙인 것으로 미국에서 2006년부터 도입되어 활용되어 왔다. 이디스커버리 이전에는 증거자료가 문서의 형태였다면, 이디스커버리는 ‘전자문서’의 형태를 갖는 것이다. 이러한 전자문서의 범위는 워드, 엑셀, PPT와 같은 오피스 문서 뿐만 아니라 이메일, 데이터베이스, 오디오, 비디오 파일은 물론 SNS, 홈페이지 등 다양한 형태가 포함된다.

 

2. 전자증거개시(E-Discovery)의 전자적 자료

ESI는 컴퓨터의 하드웨어나 소프트웨어에 사용하기 위해 디지털 형태로 생성․가공․통신․저장 및 사용되는 정보로, 컴퓨터 기반 장치를 통해 생성되고 또한 검색 가능한 형태로 저장된다. 이러한 ESI는 종이로 된 증거와 달리 아래와 같은 다른 특성을 가지고 있다.

 

(1) 기하급수적인 증가

ESI는 종이문서와 달리 생성하거나 복사·배포하는 방법이 상대적으로 쉽기 때문에 그 양의 증가또한 급속도로 이루어진다.

 

(2) 높은 복잡도

ESI는 메타데이터가 포함되어 있어 종이 문서보다 많은 문서 보존 정보를 제공한다. 메타데이터는 문서에는 보이지 않는 히스토리로서 문서의 제목, 주제, 작성자, 저장위치, 문서 생성 시간, 액세스 시간, 인쇄 시간 등을 포함한다. 많은 이디스커버리 분쟁들이 이러한 메타데이터로 인해 발생되므로 문서 관리 시 손상되지 않은 메타데이터를 포함할 수 있도록 주의해야 한다.

 

(3) 보존 및 삭제의 어려움

ESI는 종이 문서에 비해 수정하기가 용이하고 저장 매체에만 존재할 수 있다. 해당 저장 매체가 덮어씌워지거나, 손상되었을 시 읽을 수 없게 될 수 있기 때문에 ESI를 보다 적극적으로 보존해야 한다.

또한 복사나 데이터 전송이 쉽게 때문에 만약 저장된 ESI가 서버에 저장되거나 이메일로 전송되었다면, 해당 문서는 삭제 효력을 잃게되므로 ESI의 삭제를 더욱 어렵게 만든다.

 

(4) 소프트웨어나 하드웨어 의존성

파일을 열어보기 위해서는 특정 소프트웨어가 필요하며, 기존의 소프트웨어 환경에서 벗어난 경우 읽을 수 없는 상태가 될 수 있기 때문에 소프트웨어나 하드웨어의 의존성이 높은 편이다.

 

3. EDRM(Electronic Discovery Reference Model)

 

디지털 정보의 특성으로 인하여 전자증거개시만을 위한 별도의 절차적이 논의되었는데 EDRM(Electronic Discovery Reference Model)이 바로 전자증거개시참고모델이다. EDRM은 전자증거개시의 각 절차에 대한 기능을 정의하고 세부적인 절차를 제시하고 있다. 단, 해당 모델은 주로 민사소송에서 사용되고 있는 모델로 형사소송까지 적용하기 위해서는 일정부분 수정이 필요하다. 기본적인 EDRM의 절차는 아래와 같다.

 

(1) 정보관리 단계

사건과 관련된 정보를 필요할 때 바르고 정확하게 산출할 수 있도록 관리하는 과정으로 증거개시 요청 받으면 일정 기간 내에 관련 자료를 전달해야 하는데 사전에 관련 데이터가 특징 별로 명확하게 구분되어 있지 않다면 증거개시 절차를 제대로 따를 수 없게 된다.

 

(2) 식별 단계

소송 발생 시 증거개시의 가능성이 있는 모든 자료를 확인하는 과정으로, 잠재적으로 활용될 수 있는 문서들에 대한 추가적인 분석과 검토를 위하여 식별하는 것을 말한다.

 

(3) 보존 단계

식별단계에서 확인된 자료가 변경 또는 삭제되지 않도록 보존하는 과정으로 소송자료 보존이라는 용어로 명시하고 있다. 보존해야 할 의무는 소송이 제기될 것이라고 합리적으로 기대되는 순간 시작된다.

 

(4) 수집 단계

식별하여 보존된 자료를 원본의 무결성을 훼손하지 않고 추출하는 과정으로 일단 문서가 보존되면 그 문서수집이 시작될 수 있다. 정보를 수집하는 방법으로는 포렌식 복제와 활성파일 복사의 두 가지로 구분할 수 있는데 그 중 가장 널리 사용되는 것이 포렌식 복제 이다.

 

(5) 처리 단계

수집된 자료의 정보를 취합하는 과정으로 수집과 보존 단계에서 또 다른 중요한 절차 중 하나는 사본의 제거와 불필요한 파일의 제거(culling), 색인화 (Indexing)과정이다. 처리가 이루어지는 동안 원래의 파일은 문서 검토를 위한 플랫폼에서 준비과정을 거치게 된다.

 

(5) 검토 단계

처리된 자료와 사건과의 관련성을 확인하는 과정으로 검토과정에서 문서들은 증거개시 요청에 대응하기 위해 검토가 되고 면책조건을 이용할 수 있는지 검토할 수 있다. 다양한 문서검토 플랫폼들은 해당 과정에서 잠재적으로 관련성 있는 문서의 신속한 식별이나 다양한 기준에 따른 문서의 선택을 가능하도록 해준다.

 

(6) 분석 단계

수집된 자료에서 사건과 관련된 문맥이나 내용을 기반으로 검토가 필요한 정보를 선별하는 과정으로 정보의 선별, 검토, 분석과정에서는 관련 실무자의 정보와 해석이 필요하기도 하며, ESI에 대한 기술적 정보가 필요할 수 있기 때문에 소송 관련 실무자와 디지털 포렌식 전문가가 함께 검토에 참여하여야 한다.

 

(7) 제작 단계

처리, 검토, 분석을 마친 자료를 당사자나 법원에서 합의된 형태로 변환하는 작업으로 문서들은 상대방 소송당사자의 대리인 변호사에게 전달되며, 이러한 과정은 구체적인 조건에 관한 동의 이후에 이루어진다.

 

(8) 제출 단계

최종적으로 서로 합의한 방법으로 법원에 공개하는 과정으로 여기서 증거제출 방식을 전자적인 도구를 이용할 수 있도록 법적 근거가 마련되어야 한다.

 

제2절 사이버포렌식

 

1. 사이버포렌식의 개념

사이버포렌식이란 범죄수사 대상이 되는 데이터가 디지털 기기(컴퓨터, 서버, 휴대폰, CCTV 등)에 저장되어 있거나 네트워크를 통하여 전송될 때, 해당 데이터를 수집·분석하여 법정에 제출하는 일련과 과정을 말한다. 이러한 사이버포렌식은 주로 범죄 수사단계에서 활용되고 있으며, 디지털 증거개시는 공소제기 이후의 절차에서 활용되어지고 있다는 점에서 법적 성격은 다르지만, 다지털 증거를 처리 대상으로 한다는 점에서는 많은 공통점이 있다.

절차적인 면 뿐만 아니라 디지털 기기나 저장매체에서 필요한 정보를 추출하여 범죄사실이나 요증 사실을 증명한다는 점에서 분석기법도 유사하다. 증거법 측면에서도 모두 증거의 진정성(동일성, 무결성, 신뢰성)을 확보해야 분석한 데이터의 증거능력이 인정된다는 점도 동일하다.

 

2. 사이버포렌식의 특징

사이버포렌식의 수행 절차는 전자증거개시 절차에 상당부분 유사함을 알수 있다. 사이버포렌식도 전자증거개시와 같이 수집부터 보존, 분석, 법정에 제출하는 단계까지의 절차가 정립되어 있으며, 이어한 절차는 전자증거개시참고모델(Electronic Discovery Reference Model)과 유사하다.

증거의 진정성 확보를 위해서는 수사과정에서 사이버포렌식 수행절차가 준수되어야 하며, 이러한 절차는 전자증거개시에도 동일하게 적용할 수 있다. 절차적인 면 뿐만 아니라 개시된 증거를 분석하는 과정에서도 사이버포렌식 기술이 활용되고 있다.

디지털 데이터에 포함되는 메타데이터는 일정한 규칙에 따라 콘텐츠에 생성·부여되는 데이터로 속성정보라고도 한다. 메타데이터를 증거로 개시하고, 개시된 메타데이터를 분석하기 위해서는 사이버포렌식 분석 기법을 활용할 수 밖에 없다. 이러한 메타데이터는 기계적으로 생성된 정보로써 컴퓨터 사용자에 의해 만들어지지 않고, 조작가능성이 낮아 사건을 구성하거나 변호하는데 전통적인 종이문서의 증거보다 높은 가치가 있다.

 

3. 전자증거개시와 차이점

기업과 개인이 컴퓨터, 모바일 장치 또는 클라우드에 상관없이 점점 더 많은 데이터를 전자 형식으로 저장함에 따라 법적 절차 및 분쟁에서 해당 정보를 추출하고 제공하는 기능이 더욱 중요하다. 사이버포렌식과 이디스커버리는 비슷한 의미로 해석하는 경우도 있으나 분명한 차이가 있다.

이디스커버리와 사이버포렌식의 프로세스는 유사한 부분이 많다. 둘 다 데이터의 식별, 보존, 수집, 분석 및 보고 를 포함한다. 하지만 일반적으로 이디스커버리가 활성데이터 (컴퓨터에 설치된 파일 관리자 및 프로그램을 통해 사용자가 쉽게 사용할 수 있는 정보)를 처리 하는 동안 사이버포렌식은 시스템, 로그 및 삭제 된 파일의 숨겨진 영역을 좀 더 자세히 분석하는 것이 포함된다.

또한 사이버포렌식은 타임라인을 제공하고, 데이터의 통신 경로와 USB 장치 사용 여부를 확인하기 위해 포렌식 전문가의 분석을 포함 할 가능성이 높다. 사이버포렌식은 특정 이벤트 또는 개인을 둘러싼 정보를 추출하는 데 특히 중점을 둔다.

수집 된 정보가 표시되는 방식에도 주요 차이점이 있다. 이디스커버리는 일반적으로 추가 조치를 위해 법무팀에 사실에 근거한 보고서를 제출하는 반면, 사이버포렌식 전문가는 결과를 제시하고 법원 또는 재판소에서 전문가 증인으로 증언하도록 요청할 수 있다.

 

제3장 결 론

이디스커버리와 사이버포렌식에 대한 정의와 특징들을 조사하면서 두 분야는 결과물의 무결성 또는 진정성이 확보되어야 한다는 점에서 유사하지만, 사용되는 목적과 요구되는 전문기술 및 지식에서는 분명히 다르다는 것을 확인할 수 있었다. 이러한 사이버포렌식이 수사에 활용되어지고 포렌식에 의해 분석된 전자증거가 법정에 제출됨에 따라 전자증거개시에 대한 관심이 증가하고 있으며, 현재 국내에서도 한국형 디스커버리 제도를 추진 중인 것으로 확인된다.

특허청을 중심으로 특허소송에 선 도입 후 확장할 계획으로 특허소송 시 침해입증 및 손해액 산정에 필요한 증거확보가 어렵고, 최근 국가경쟁력 강화를 위한 지적재산권 보호가 중요해지면서 해외에서 특허 소송 시 데이터가 외부로 유출될 가능성에 따라 한국형 디스커버리 도입을 선 추진하고 있다.

그래도 대중적인 관심과 역사적인 면에서 이디스커버리에 대한 많은 연구가 필요하지만 기업의 보안과 정보관리 환경 등에 연구와 노력이 지속된다면 사이버포렌식의 기술력과 이디스커버리의 수준도 향상될 것으로 기대한다.

 

 

참조

https://fronteo.co.kr/ediscovery/?idx=1959674&bmode=view

https://www.worklaw.co.kr/view/view.asp?in_cate=104&gopage=1&bi_pidx=31485

https://scienceon.kisti.re.kr/commons/util/originalView.do?cn=TRKO201300014717&dbt=TRKO&rn=

https://www.itfind.or.kr/WZIN/jugidong/1463/file65393-146302.pdf

https://www.elvidence.com.au/computer-forensics-vs-ediscovery/

https://www.boannews.com/media/view.asp?idx=36185

https://www.worklaw.co.kr/view/view.asp?in_cate=104&gopage=1&bi_pidx=31485