제이제이 IT 스토리

제2장 디지털 증거의 압수․수색

제6조 (과잉 압수․수색․검증 금지)

디지털기기를 압수․수색․검증하거나 디지털 자료를 수집․분석할 때에는 수사에 필요한 최소한의 범위에서 실시하고 전 과정에서 적법절차를 엄격히 준수하여야 한다.

제7조 (디지털포렌식수사관 등에 의한 압수․수색)

디지털기기의 압수․수색․검증과 디지털 자료의 수집은 디지털 포렌식 수사관 또는 대검찰청에서 실시한 디지털 증거 압수․수색 실무교육을 받은 직원이 하여야 한다. 다만, 긴급을 요하는 등 부득이한 사유가 있

는 경우에는 일반 직원이 이를 대신할 수 있으며 사후에 디지털수사담당관에게 그 사실을 통보하여야 한다.

제8조 (사전준비)

디지털기기를 압수․수색․검증하거나 디지털 자료를 수집하고자 할 경우에는 사전에 다음 각 호의 사항을 확인하고 계획을 수립하여야 한다.

1. 사건의 개요, 압수․수색 장소 및 대상

2. 압수․수색대상자가 운영하고 있는 정보처리시스템의 유형과 규모

3. 압수․수색대상자가 운영하고 있는 네트워크의 구성 형태

4. 기타 디지털기기의 보유현황 등

제9조 (컴퓨터 등 정보처리시스템의 압수․수색)

① 컴퓨터 등 정보처리시스템을 압수할 경우에는 가능하면 정보처리시스템으로부터 저장매체만을 분리하여 압수하는 것을 원칙으로 한다.

다만, 저장매체를 분리할 경우 수사목적을 달성할 수 없거나 기기 또는 디지털 자료가 손상, 훼손될 우려가 있을 때에는 정보처리시스템 전부를 압수할 수 있다.

② 제1항과 같이 정보처리시스템을 압수할 경우에는 별지 제3호 서식의 압수물 확인 부전지를 작성하여 압수대상 정보처리시스템 또는 저장매체에 부착하여 압수․수색대상자의 확인서명을 받고, 별지 제3호의 2 서식의 압수물 봉인 부전지를 이용하여 봉인한 후 위 대상자로부터 확인서명을 받아야 한다.

③ 압수․수색․검증의 현장에서는 전산관리자 또는 책임자를 통하여 대상 정보처리시스템의 구성 및 주변장치의 연결 상태 등을 파악하고 특별한 사정이 없는 한 이를 촬영한 후 특이사항을 기록하여야한다.

④ 정보처리시스템을 압수․수색․검증할 경우에는 대상 정보처리시스템의 설정시간을 한국 표준시간과 비교하여 기록하여야 한다.

⑤ 제1항의 방법으로 정보처리시스템을 압수하기 곤란한 사정이 있거나 또는 수사목적상 필요한 경우에는 대상 정보처리시스템에서 디지털 자료를 검색하여 이를 저장매체에 기록하여 그 저장매체를 압수하거나, 압수해야 할 디지털 자료를 다른 저장매체에 이전 또는 사본하여 그 다른 저장매체를 압수하거나 그 내용을 출력 인쇄하여 출력물을 압수할 수 있다. 이때에는 압수․수색대상자 또는 전산관리자를 입회시키고 수색한 결과물이 대상 정보처리시스템내의 자료로부터 검색·이전·사본 또는 출력된 것임을 확인시킨 후 별지 4호서식 또는 별지 제4호의 2 서식의 자료 확인서를 작성하여 입회인의 확인서명을 받아야 한다. 다만 확인서는 사용된 디지털 포렌식 도구에 의해 자동 생성된 자료로 갈음할 수 있다.

⑥ 데이터베이스(DB)가 구축된 정보처리시스템에 대하여 네트워크를 통해 다른 데이터베이스 시스템에 이식 가능한 형태의 파일로 변환 (Export, Dump)하여 압수할 경우에는 압수․수색대상자 또는 전산관리자를 입회시키고 압수된 데이터베이스 자료의 해시 값(Hash Value)을 포함하는 프로파일을 생성하여 입회인의 확인서명을 받아야 한다.

⑦ 정보처리시스템을 압수할 경우에는 해당 정보처리시스템의 사용자 또는 관리자의 인적사항을 파악하여 기록하고, 기타 정보처리시스템을 운영하는데 필요한 프로그램 매뉴얼, 설계도, 조직도, 개체관계도(ERD) 등을 함께 압수하여야 한다.

제10조 (압수․수색 시 유의사항)

① 디지털기기를 압수․수색․검증하거나 디지털 자료를 수집할 경우에는 대상 정보처리시스템으로부터 사용자를 격리하여 시스템 강제종료 등 임의적인 조작행위를 방지하여야 한다.

② 압수․수색․검증 대상 정보처리시스템이 네트워크에 연결되어 있고 압수․수색대상자가 네트워크로 접속하여 저장된 자료를 임의로 삭제할 우려가 있을 경우에는 네트워크 연결 케이블을 차단하여야 한다.

③ 디지털기기를 압수․수색․검증하거나 디지털 자료를 수집할 경우에는 대상 정보처리시스템내의 링크파일의 등록정보를 확인하는 등으로 휴대용 디지털 저장매체의 사용여부를 확인하고 그 사용 흔적이 발견된 경우에는 해당기기의 식별 값(Volume serial Number)을 특정하고 이를 압수할 수 있도록 현장에서 적절한 조치를 취하여야 한다.

④ 디지털기기를 압수․수색․검증하거나 디지털 자료를 수집하는 현장에서 분석을 실시하는 경우에는 쓰기방지장치를 사용하는 등으로 그 자료가 변경 또는 훼손되지 않도록 하여야 한다.

⑤ 디지털기기를 압수․수색․검증하거나 디지털 자료를 수집하는 현장에서는 정보처리시스템이나 프린터기 등의 임시 메모리(RAM, Cache Memory)에 기록된 디지털 자료에 대하여도 확인하고 필요한 경우에는 메모리 덤프(dump) 등의 적절한 방법을 사용하여 이를 수집하여야 한다.

⑥ 수사목적상 정보처리시스템의 사용자를 특정 하는 것이 필요한 경우에는 해당 정보처리시스템의 마우스, 키보드 등에서 지문을 채취하는 등 다른 수사방법으로 조치를 취한 후 정보처리시스템을 압수․ 수색․검증 하여야 한다.

제11조 (압수물의 관리 및 인수인계)

압수한 디지털기기 등은 각 품목별로 별지 제5호 서식에 따라 관리하고, 이를 인수인계할 경우에는 별지 제6호의 서식에 따라 인수인계표를 작성하여야 한다.

제1장 총 칙

제1조 (목적)

이 규정은 컴퓨터 등 디지털기기로부터 디지털 증거를 수집하거나 분석하는 과정에서 준수하여야 할 기본적 사항을 정함으로써 실체적 진실 발견에 기여하고 국민의 인권을 보호하는 것을 그 목적으로 한다.

제2조 (디지털 증거의 무결성 유지)

디지털기기를 압수․수색․검증하거나 디지털 자료를 수집․분석할 때에는 디지털기기 또는 디지털 자료를 수집한 때로부터 법정에 증거로 제출할 때까지 변경 또는 훼손되지 않도록 절차의 연속성을 유지하여야 하며 그 과정을 기록하여야 한다.

제3조 (디지털기기의 운반 및 보관)

디지털 자료가 저장된 디지털기기를 운반 또는 보관할 경우에는 정전기차단, 충격방지 등의 조치를 취하여 그 기기 등이 파손되거나 저장된 디지털 자료가 손상되지 않도록 하여야 한다.

제4조 (디지털포렌식수사관)

① 디지털포렌식수사관은 다음 1호 또는 2호에 해당하고 3호의 자격을 갖춘 자 중에서 디지털포렌식수사관 인증심의위원회의 심의를 거쳐 과학수사기획관의 제청으로 검찰총장이 지명한다.

1. 대검찰청 디지털수사담당관실에서 실시하는『디지털포렌식전문가양성과정』의 교육을 이수한 자

2. 국내·외 컴퓨터 관련 교육과정을 4개월 이상 이수한 자로서 디지털포렌식 관련지식이 충분하다고 인정되는 자

3. 6개월 이상 디지털 포렌식 수사실무를 수행한 경력이 있는 자

② 제1항의 디지털포렌식수사관 인증심의위원회의 위원장은 대검찰청 과학수사기획관으로 하고, 위원은 운영지원과장, 디지털수사담당관, 첨단범죄수사과장과 7인 이내의 디지털수사자문위원회 위원으로 구성하며, 디지털수사담당관이 간사역할을 담당한다.

③ 디지털포렌식수사관으로 지명된 자는 매년 20시간 이상 다음 각 호에서 정하는 전문 교육을 이수하여야 한다.

1. 대검찰청 디지털수사담당관실에서 실시하는 컴퓨터 수사 또는 디지털 포렌식 관련 교육

2. 다른 국·내외 국가기관, 전문교육기관 또는 학회에서 실시하는 컴퓨터 수사 또는 디지털 포렌식 관련 교육

④ 검찰총장은 디지털포렌식수사관에 대하여 별지 제1호 서식의 지명서를 부여하고, 디지털수사담당관은 별지 제2호의 서식에 따라 디지털포렌식수사관의 인적사항, 전문 교육 이수사항 등을 관리한다.

제4조의 2 (디지털포렌식팀의 설치)

① 각 고등검찰청 또는 지방검찰청에 디지털포렌식팀을 설치할 수 있다

② 각 디지털포렌식팀은 각 고등검찰청 또는 지방검찰청 관할구역내의 디지털증거 수집 및 분석 업무를 전담한다.

제5조 (디지털포렌식수사관의 배치)

① 디지털포렌식수사관은 대검찰청 디지털수사담당관실, 고등검찰청, 지방검찰청의 디지털포렌식팀, 지방검찰청, 차치지청의 수사과 또는 컴퓨터수사전담반에 배치하며, 전문성 유지를 위하여 순환보직 등 일반적인 인사원칙에서 예외를 인정할 수 있다.

② 각급청 인사담당직원은 정기 비정기 인사 시 디지털포렌식수사관의 배치현황을 디지털수사담당관실로 통보하여야 한다.

2차 사이트 종류별 특징

1. 미러 사이트(Mirror Site)

1. 주 센터와 동일한 수준의 정보 기술 자원을 원격지에 구축하고, 메인센터 재해복구센터 모두 액티브 상태로 실시간 동시 서비스를 하는 방식이다.

2. 재해 발생시  복구까지의 소요시간(RTO)는 이론적으로 ‘0’ 이다.

3. 초기 투자 및 유지 보수에 높은 비용이 소요되며, 웹 애플리케이션 서비스 등 데이터의 업데이트의 빈도가 높지 않은 시스템에 적용 가능하다.

[미러 사이트 그림]

2. 핫 사이트(Hot Site)

1. 주 센터와 동일한 수준의 정보 기술 자원을 대기 상태(Standard)로 사이트에 보유하면서, 동기적 또는 비동기적 방식으로 실시간 미러링(Mirroring)을 통하여 데이터를 최신으로 유지한다.

2. 주 센터 재해 시 재해 복구 센터의 정보 시스템을 액티브로 전환하여 서비스하는 방식으로 재해 발생 시 복구까지의 RTO은 약 4시간 이내이다.

3. 초기 투자 및 유지 보수에 높은 비용이 소요되며, 데이터베이스 애플리케이션 등 데이터의 업데이트 빈도가 높은 시스템의 경우 사용한다.

[핫 사이트 그림]

3. 웜 사이트(Warm Site)

1. 핫 사이트와 유사하나 재해복구 센터에 주 센터와 동일한 수준의 정보기술자원을 보유하는 대신 중요성이 높은 정보기술자원만 부분적으로 재해복구 센터에 보유하는 방식이다.

2. 고가의 장비와 응용프로그램, Real Data를 제외한 시설과 장비 준비, 가장 널리 사용하는 모델이다.

3. 실시간 미러링을 수행하지 않으며 데이터의 백업 주기가 수 시간 ~ 1일  정도로 핫사이트에 비해 다소 길다.

[웜 사이트 그림]

4. 콜드 사이트(Cold Site)

1. 데이터만 원격지에 보관하고 서비스를 위한 정보 자원은 확보하지 않거나 장소등 최소한으로만 확보하고 있다가 재해 시에 데이터를 근간으로 필요한 정보자원을 조달하여 복구하는 방식이다.

2. 주 센터의 데이터는 주기적(수 일 ~ 수 주)으로 원격지에 백업한다.

3. 구축 및 유지보수 비용이 가장 저렴하나 복구 소요시간이 매우 길고 복구의 신뢰성이 낮다.

[콜드 사이트 그림]

ISMS(Information Security Management System)

1. 개요

1) ISMS 인증제도란 정보통신서비스제공자, 정보통신서비스를 위해 물리적인 시설을 제공하는 자, 민간사업자 등 인증대상기관이 수립 · 운영하고 있는 ISMS 기술, 물리, 관리적 정보보호대책이 인증심사기준에 적합한지를 한국인터넷진흥원(KISA)이 객관적으로 평가하여 인증하는 제도를 말한다.

2) ISMS(정보보호관리체계) 인증제도는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조에 근거를 두고 2002년 부터 시행해오고 있다.

3) ISMS는 정보보호정책 수립, ISMS 범위설정, 위험관리, 구현, 사후관리의 5단계 과정을 거쳐 수립 · 운영된다.

4) 인증심사기준으로 15개 통제분야에 대하여 120개 통제사항을 제시하고 있다.

5) KISA-ISMS 인증제도는 BS7799의 인증체계의 많은 부분을 수용하였으나, 관리체계의 분류와 통제사항을 BS7799보다 명확하게 구분하고 국내 사정을 반영하였다는 특징을 가지고 있다.

2. 인증 취득 효과

① 각종 피해사고로부터 예상되는 피해액을 방지하거나 감소

② 조직의 정보자산 보호기술 및 정보보호를 위한 관리기술의 향상

③ 인증 취득기업의 대한 이용자 신뢰성 및 기업 이미지와 경쟁력 강화

④ 조직의 경영자 및 시스템 관리자, 이용자에 대한 정보보호 인식 제고

공통 평가기준(CC, Common Criteria)

1. 개요

1) 국가마다 서로 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호인증하기 위해 제정된 국제표준 평가기준이다. 국제표준(ISO/IEC 15408)으로 1999년 9월 승인되었다.

2) 현존하는 평가기준과 조화를 통해 평가결과를 상호인정(CCRA)하는 구조로 정보보호시스템의 수출입에 소요되는 인증비용 절감으로 국제유통 촉진, 정보보호시스템 보안등급 평가에 신뢰성을 부여한다.

3) 평가수행지침으로 CEM(Common Evaluation Methodology) 문서가 있으며, 인증서는 CCRA(CC Recognition Arrangement)에 가입되어야 효력을 발휘한다.

2. CC의 등급별 보안수준

CC의 등급별 보안수준은 EAL1 ~ 7 까지 7단계로 구성되어 있다.

3. CC의 구성요소

ITSEC(Information Technology Security Evaluation)

1. 개요

1) 독일, 프랑스, 네덜란드, 영국 등 유럽 4개국이 평가제품의 상호인정 및 평가기준이 상이함에 따른 불합리함을 보완하기 위하여 작성한 유럽형 보안기준이다.

2) 기밀성, 무결성, 가용성을 다루고 있으며, 기능성과 보증을 분리하여 평가한다.

3) TCSEC와 비교하면, TCSEC은 제한성이 너무 많은 방면 ITSEC은 지나치게 많은 융통성을 부여한다.

2. ITSEC의 보안등급

TCSEC(Trusted Computer System Evaluation)

1. 개요

1) 오렌지북(Orange Book)이라 불리며 미국 NCSC(National Computer Security Center) 에서 시스템 내의 보안관련 하드웨어 및 소프트웨어의 신뢰수준을 평가하는 방법.

2) 보안정책, 책임추적성, 보장성, 문서화 등을 사용.

2. TCSEC의 단계별 보안표준

※ C1, C2 : 임의적 정책

※ B1, B2, B3, A1 : 임의적 및 강제적 정책

※ C2 ~ B3 : 감사추적 요구사항의 강화

※ B2 ~ A1 : 정형화된 검증, 침투시험 강화, 형상관리 강화, 비밀채널 강화

3. TCSEC의 문제점

1) 오렌지북(Orange Book)은 운영체제와 기밀성에만 중점을 두어 평가하는 데에 있어 많은 비판을 받고있다.

2) 가장 많은 문제가 발생하는 부분은 인가받지 않은 부분에 의한 정보의 훼손이 아니라 인가받은 내부자의 의한 발생이 더 많기 때문이다.

3) 레드북(Red book)은 오렌지의 문제점 때문에 나온 대안으로 네트워크의 구성 요소와 관련된 보안이슈를 다루고 있지만, 기밀성과 무결성만 다루고 가용성은 취급하지 않고 있다.

제3장 디지털 증거분석 의뢰 및 수행

제14조(증거분석 의뢰) 

① 수사관은 디지털 증거분석을 의뢰하는 경우 분석의뢰물을 봉인하여야 한다. 이 경우 충격, 자기장, 습기 및 먼지 등에 의해 손상되지 않도록 안전하게 보관할 수 있는 용기에 담아 직접 운반하거나 등기우편 등 신뢰할 수 있는 방법으로 송부하여야 한다.

② 제1항의 경우 수사관은 제12조에 따라 작성한 서류 사본 등 분석의뢰물과 관련된 서류 및 정보를 증거분석관에게 제공하여야 한다.

제15조(증거분석 의뢰접수) 

경찰청 디지털포렌식센터장 및 지방경찰청 사이버안전과장(사이버안전과가 설치되지않은 지방청은 수사과장)은 의뢰사항, 분석의뢰물, 관련 서류 등을 확인한 후 증거분석 의뢰를 접수하여야 한다.

제16조(신뢰성 확보 조치)

① 의뢰 받은 분석의뢰물의 증거분석은 제5조에 의해 선발된 증거분석관이 하여야 한다.

② 디지털 증거의 수집 및 분석 시에는 정확성과 신뢰성이 있는 과학적 기법, 장비 및 프로그램을 사용하여야 한다.

제17조(분석의뢰물의 분석) 

① 증거분석관은 분석의뢰물이 변경되지 않도록 쓰기방지 장치 등을 사용하여 분석의뢰물과 동일한 복제본을 획득한 후 분석의뢰물과 복제본의 해시값을 기록하여야 한다.

② 증거분석관은 제1항의 방법으로 획득한 복제본을 이용하여 증거분석을 수행하여야 한다. 다만, 수사상 긴박한 사정이 있거나 복제본을 획득할 수 없는 불가피한 사정이 있는 경우에는 의뢰받은 분석의뢰물을 직접 분석할 수 있다.

제18조(증거분석실 등의 출입제한) 

디지털 증거분석실 또는 증거물 보관실은 증거분석관 등 관계자 외 출입을 제한 한다.

제19조(결과보고서 작성) 

증거분석관은 분석을 종료한 때에는 지체없이 디지털 증거분석 결과보고서를 작성하여야 한다.

제20조(필요적 기재사항) 

증거분석관은 다음 각 호의 사항을 결과보고서에 기재하여야 한다.

1. 사건번호 등 분석의뢰정보 및 분석의뢰자정보

2. 증거분석관의 소속 부서 및 성명

3. 분석의뢰물의 정보 및 의뢰 요청사항

4. 분석의뢰물의 접수일시 및 접수자 등 이력정보

5. 분석에 사용된 장비􀂷도구 및 준비과정

6. 증거분석으로 획득한 자료 등 분석과정 및 결과

제21조(임의적 기재사항)

증거분석관은 필요한 경우 다음 각 호의 사항을 결과보고서에 기재할 수 있다.

1. 상세분석 결과

2. 분석과정을 기록한 사진 및 영상자료의 첨부

3. 그 밖에 분석과정에서 행한 조치 등 특이사항

제22조(분석결과 통보) 

증거분석관은 분석결과를 분석의뢰자에게 신속하게 통보하고, 증거분석이 완료된 분석의뢰물 등을 제14조제1항 후단에 따라 반환하여야 한다.

제22조의2(추가분석의뢰) 

수사관은 제22조의 분석결과와 관련하여 필요한 때에는 추가분석을 요청할 수 있다. 이 경우 추가분석의 의뢰 및 수행에 관하여는 제14조부터 제22조까지의 규정을 준용한다.

제23조(보관 및 삭제 · 폐기) 

① 분석의뢰물, 제17조제1항의 복제본, 증거분석을 통해 획득한 디지털 데이터(디지털 증거를 포함한다)는 항온 · 항습 · 무정전 · 정전기차단시스템이 설치된 장소에 보관함을 원칙으로 한다. 이 경우 열람제한을 설정하는 등 보안유지에 필요한 조치를 병행하여야 한다.

② 증거분석관과 수사관은 디지털 증거에 대한 압수절차를 완료한 경우 지체 없이 보관하고 있는 디지털 데이터 중 제12조제1항 또는 제13조제2항의 전자정보 확인서에서 제외된 디지털 데이터를 삭제 · 폐기하여야 한다.

제24조(재검토기한) 

「훈령 · 예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제334호)에 따라 이 규칙 발령 후의 법령이나 현실여건의 변화 등을 검토하여 이 규칙의 폐지, 개정 등의 조치를 해야 하는 기한은 2020년 8월 31일까지로 한다.