증거 수집의 A to Z! 해시 검증부터 연계 보관성까지, 법률적 완벽을 위한 기술

서론: '증거'의 무게, 그리고 디지털 시대의 새로운 패러다임

현대 사회에서 증거 수집은 단순히 사실을 기록하는 행위를 넘어, 진실을 규명하고 정의를 실현하는 데 결정적인 역할을 하는 고도로 전문적인 영역이 되었습니다. 특히, 일상의 거의 모든 활동이 디지털 환경에서 이루어지는 오늘날, '증거'의 형태는 아날로그적 기록물에서 디지털 증거(Digital Evidence)로 빠르게 이동했습니다.

 

디지털 증거는 그 본질적인 특성상 훼손(Tampering), 변경(Modification), 삭제(Deletion)가 매우 용이하며, 심지어 접근하는 순간에도 증거가 변질될 수 있는 휘발성(Volatility)을 지니고 있습니다. 따라서 디지털 증거가 법정에서 그 가치를 인정받기 위해서는, 적법 절차 준수는 물론, 기술적 무결성(Integrity)과 진정성(Authenticity)을 확보하는 섬세하고 구체적인 과정이 필수적입니다.

 

사건과 관련하여 고객님이 저에게 포렌식 작업을 의뢰하셨기 때문에, 저는 제가 사용할 수 있는 모든 디지털 포렌식 기술을 동원하여 사실관계에 근거한 디지털 증거를 확보하는 데 온 힘을 쏟을 것입니다. 이 글에서는 법적 효력을 갖는 디지털 증거를 수집하기 위해 반드시 알아야 할 기술적이고 절차적인 핵심 요소들을 깊이 있게 다뤄보고자 합니다.

 

---

1. 디지털 증거의 생명: 무결성(Integrity) 확보 기술

디지털 증거 수집의 제1원칙은 "증거를 변경하지 않는다"입니다. 원본 데이터가 수집 과정에서 1비트라도 변경되면 그 증거 능력은 심각하게 훼손됩니다. 이 원칙을 지키기 위한 핵심 기술이 바로 해시(Hash) 알고리즘을 통한 무결성 검증입니다.

1.1. '지문'을 만드는 해시 함수 (Hashing Function)

해시 함수는 임의의 길이의 데이터를 입력받아 고정된 길이의 고유한 값(Hash Value 또는 Fingerprint)을 출력하는 수학적 알고리즘입니다. 가장 널리 사용되는 해시 알고리즘으로는 SHA-256이나 이전의 MD5가 있으나, 충돌 위험 때문에 SHA-256 계열이 더 권장됩니다.

1. 수집 전 해시 값 계산: 증거로 지정된 원본 저장 매체(하드디스크, USB 등)의 이미징(Imaging) 작업을 시작하기 직전에 원본 데이터 전체의 해시 값을 계산하여 기록합니다.
2. 이미징(Bit-stream Copy) 수행: 원본 매체의 모든 섹터(Sector)를 1:1로 복제하는 '비트스트림 복사(Bit-stream Copy)' 또는 '포렌식 이미징(Forensic Imaging)' 작업을 수행하여 복제본(Image File)을 생성합니다. 이 작업에는 반드시 쓰기 방지 장치(Write Blocker)를 사용하여 원본 매체에 데이터가 기록되는 것을 원천적으로 차단해야 합니다.
3. 수집 후 해시 값 비교: 생성된 복제본 파일의 해시 값을 다시 계산하여 수집 전 원본의 해시 값과 정확히 일치하는지 확인합니다.

기술적 의미: 원본과 복제본의 해시 값이 일치한다는 것은, 수집 과정에서 데이터가 단 한 비트도 변경되지 않고 훼손 없이 완벽하게 복제되었음을 기술적으로 증명하는 가장 강력한 수단입니다.

---

2. 휘발성 증거: 현장 보존 및 확보의 순서

컴퓨터의 RAM(Random Access Memory)이나 실행 중인 프로세스처럼 전원이 차단되면 사라지는 데이터를 휘발성 증거(Volatile Data)라고 합니다. 사건 발생 당시의 시스템 상태를 파악하는 데 결정적 역할을 하므로, 수집 순서를 엄격히 준수해야 합니다.

2.1. 휘발성 증거 수집의 원칙 (PoV: Principle of Volatility)

증거의 휘발성이 높은 순서대로 수집하는 것이 정석입니다.

1. 레지스터, CPU 캐시: (가장 휘발성 높음) 전문 도구 없이는 수집이 극히 어려움.
2. 시스템 메모리(RAM): 메모리 덤프(Memory Dump) 도구(예: FTK Imager Lite, WinPmem)를 사용하여 현재 RAM에 남아 있는 모든 데이터(실행 중인 프로세스, 네트워크 연결 정보, 암호화 키 등)를 이미지 파일로 추출합니다. 이 과정에서 시간 정보가 변경될 수 있으므로, 해당 도구의 타임라인(Timeline) 정보 기록이 중요합니다.
3. 네트워크 상태: 현재 활성화된 네트워크 연결, 열린 포트, 라우팅 테이블 등 (예: netstat, ipconfig/ifconfig 명령의 결과 기록).
4. 실행 중인 프로세스 및 시간 정보: 시스템 시각, 로그인 기록, 시스템 로그 등.

주의사항: 휘발성 증거 수집을 위해 새로운 프로그램을 실행하거나 명령어를 입력하는 행위 자체가 기존 RAM 데이터를 덮어쓰거나 변경시킬 수 있습니다. 따라서 최소한의 변경만을 유발하는 전문 포렌식 도구를 사용하는 것이 핵심입니다.

---

3. 절차의 연속성: 연계 보관성(Chain of Custody)의 완벽한 기록

기술적 무결성만큼 중요한 것이 절차적 무결성입니다. 증거가 수집된 시점부터 법정에 제출될 때까지, 증거가 누구에게, 언제, 어디서, 어떻게 취급되고 보관되었는지를 한 치의 오차도 없이 기록해야 합니다. 이것을 연계 보관성(Chain of Custody, COC)이라고 합니다.

3.1. 필수 기록 사항

• 발견 및 수집: 증거 발견자, 수집 일시, 장소, 사용된 장비(쓰기 방지 장치 모델명, 이미징 소프트웨어 버전), 수집 전/후 해시 값.
• 봉인 및 이송: 증거물이 담긴 봉투/박스의 봉인(Sealing) 상태 (서명 및 날인), 봉인된 증거물을 이송한 사람, 이송 시간, 이송 경로.
• 보관 및 분석: 보관 장소(보안 시설 여부), 보관 기간, 분석을 수행한 전문가, 분석 시작 및 종료 시간.

실무적 적용: 봉인된 증거물이 전달될 때마다 **'증거물 인수인계서'**를 작성하고, 인수인계자의 서명과 날인을 받아야 합니다. 봉인된 부분은 사진으로 명확하게 기록하여, 훼손 시도를 방지하고 추후 검증의 여지를 남기지 않아야 합니다.

---

4. 법적 효력의 완성: 위법 수집 증거 배제의 원칙

아무리 확실한 디지털 데이터라도, 수집 절차가 법이 정한 요건을 위반했다면 위법 수집 증거 배제 원칙에 따라 증거 능력을 인정받을 수 없습니다. 이는 헌법상 적법 절차의 원칙을 실현하기 위한 것입니다.

4.1. 적법 절차 준수의 중요성

• 영장주의: 수사기관은 원칙적으로 법원에서 발부한 압수수색영장에 근거하여 증거를 수집해야 합니다. 영장 없이 수집된 증거는 증거 능력을 잃을 가능성이 매우 높습니다.
• 참여권 보장: 압수수색 및 이미징 과정에서 피압수자 또는 변호인의 참여권을 보장해야 합니다. 참여가 불가능할 경우 그 사유를 명확히 기록해야 합니다.
• 선별 압수 및 관련성: 디지털 저장 매체에는 방대한 정보가 담겨 있어 사생활 침해 위험이 크므로, 혐의 사실과 관련된 정보만을 선별적으로 압수해야 합니다. 수사기관은 압수 대상 파일 목록을 피압수자에게 교부하고 확인받아야 합니다.

핵심 교훈: 기술적 완벽함이 법적 효력으로 이어지기 위해서는, 증거 수집의 전 과정이 법률과 규정(예: 디지털 증거의 수집·분석 및 관리 규정 등)이 정한 가장 엄격한 절차를 따라야 합니다. '진실 발견'이라는 목적이 '적법 절차'라는 수단을 정당화할 수 없습니다.

---

결론: 기술과 법의 조화, 정의 실현의 초석

디지털 증거 수집은 디지털 포렌식(Digital Forensics)이라는 고도의 전문 분야로 자리매김했습니다. 이는 단순한 데이터 복구가 아닌, 법적 절차와 과학적 방법론을 융합하여 기술적 진실을 법적 진실로 승화시키는 과정입니다.

 

증거 수집 과정에서의 섬세한 기술적 조치(해시 검증, 쓰기 방지, 휘발성 증거 확보)와 엄격한 절차적 준수(연계 보관성, 적법 절차)는 궁극적으로 디지털 증거의 신뢰성(Reliability)을 보장합니다. 이 복잡하지만 명확한 과정의 기록이야말로, 사법 시스템 내에서 디지털 증거가 흔들림 없는 토대로 작용하여 진정한 정의 실현에 이바지하게 만드는 핵심 열쇠입니다.

 

궁극적으로, 이 섬세한 기술과 절차에 대한 이해는 법적 분쟁을 대비하는 모든 이들에게 필수적인 지식이 될 것입니다.

 

밤 9시까지 근무합니다. 포렌식이 필요하시면 편하게 연락주세요.