[자격증/정보보안기사(산업기사)]디지털 포렌식의 5대 원칙

이번 2022년도 제2회 정보보안산업기사 실기 서술형에 나왔던 문제다. (정확히 몇 번에서 나왔는지는 시간이 지나서 기억이 나질 않는다.) 다른 내용은 다 적었는데 하필 "절차 연속성의 원칙"을 "책임 추적성의 원칙"이라고 적어버려서 오답 처리되었을듯싶다. (정보보안기사는 평가 기준 등이 철저히 비공개를 고수하고 있으므로 사실상 알 길은 없긴 하지만 말이다.)

위에서 언급한 거처럼 어처구니없이 틀리지 않게 다시 한 번 블로그에 필기해본다.

 

앞서 디지털 포렌식이란 "합법적으로 디지털 기기에 저장된 증거 등을 추출하거나 발견된 증거를 분석함으로써 법정에서 증거로 활용하기 위한 모든 방법 및 절차"라 할 수 있다.

 

디지털 포렌식의 5대 원칙

1. 정당성의 원칙

획득한 증거 자료가 적법한 절차를 준수해야 하며, 위법한 방법으로 수집된 증거는 법적 효력을 상실한다.

참고로 적법한 절차를 따르지 않고 수집한 증거는 법적 효력이 없다는 점을 형사소송법[제308조의2(위법수집증거의 배제)]에서 언급하고 있다.

또한 위법하게 수집된 증거(독수)에 의하여 발견된 제2차 증거(독과)의 증거능력은 인정할 수 없다는 독수독과이론도 적용된다.

 

2. 재현의 원칙

법정에서 증거를 제출하려면 피해 직전과 같은 조건에서 현장 검증을 실사하거나, 재판이나 법정의 검증과정에서도 동일한 결과가 나와야 한다.

 

3. 신속성의 원칙

휘발성 증거의 수집 여부는 신속한 조치에 의해 결정되므로 모든 과정은 지체 없이 진행되어야 한다.

추가로 주요 휘발성 데이터는 레지스터 및 캐시 정보, ARP 캐시, 메모리, 임시 파일 시스템, 디스크, 원격 로그 및 모니터링 데이터, 네트워크 토폴로지 등이 있다.

 

4. 절차 연속성의 원칙(연계 보관성의 원칙)

증거물 획득 → 이송 → 분석 → 보관 → 보관 → 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야 하는 등 일련의 과정이 명확해야 하며 추적이 가능해야 한다. 

이를 절차 연속성 또는 연계 보관성(Chain of Custody)이라 한다.

 

5. 무결성의 원칙

수집한 증거가 위/변조되지 않았음을 증명할 수 있어야 한다. 일반적으로 수집 당시의 데이터에 대한 해시값과 법정 제출 시점에서의 데이터 해시값이 같다면 해시함수의 특성에 따라 무결성이 입증된다.

 

참고문헌

김일준,「군도 군무원 정보보호론」,시대고시기획,2022

임호진,「2021 이기적 정보보안기사(산업기사) 실기」,영진닷컴,2020