[대검 예규 제438호]디지털 증거 수집 및 분석 규정(제2장 압수·수색)

제2장 디지털 증거의 압수․수색

제6조 (과잉 압수․수색․검증 금지)

디지털기기를 압수․수색․검증하거나 디지털 자료를 수집․분석할 때에는 수사에 필요한 최소한의 범위에서 실시하고 전 과정에서 적법절차를 엄격히 준수하여야 한다.

제7조 (디지털포렌식수사관 등에 의한 압수․수색)

디지털기기의 압수․수색․검증과 디지털 자료의 수집은 디지털 포렌식 수사관 또는 대검찰청에서 실시한 디지털 증거 압수․수색 실무교육을 받은 직원이 하여야 한다. 다만, 긴급을 요하는 등 부득이한 사유가 있

는 경우에는 일반 직원이 이를 대신할 수 있으며 사후에 디지털수사담당관에게 그 사실을 통보하여야 한다.

제8조 (사전준비)

디지털기기를 압수․수색․검증하거나 디지털 자료를 수집하고자 할 경우에는 사전에 다음 각 호의 사항을 확인하고 계획을 수립하여야 한다.

1. 사건의 개요, 압수․수색 장소 및 대상

2. 압수․수색대상자가 운영하고 있는 정보처리시스템의 유형과 규모

3. 압수․수색대상자가 운영하고 있는 네트워크의 구성 형태

4. 기타 디지털기기의 보유현황 등

제9조 (컴퓨터 등 정보처리시스템의 압수․수색)

① 컴퓨터 등 정보처리시스템을 압수할 경우에는 가능하면 정보처리시스템으로부터 저장매체만을 분리하여 압수하는 것을 원칙으로 한다.

다만, 저장매체를 분리할 경우 수사목적을 달성할 수 없거나 기기 또는 디지털 자료가 손상, 훼손될 우려가 있을 때에는 정보처리시스템 전부를 압수할 수 있다.

② 제1항과 같이 정보처리시스템을 압수할 경우에는 별지 제3호 서식의 압수물 확인 부전지를 작성하여 압수대상 정보처리시스템 또는 저장매체에 부착하여 압수․수색대상자의 확인서명을 받고, 별지 제3호의 2 서식의 압수물 봉인 부전지를 이용하여 봉인한 후 위 대상자로부터 확인서명을 받아야 한다.

③ 압수․수색․검증의 현장에서는 전산관리자 또는 책임자를 통하여 대상 정보처리시스템의 구성 및 주변장치의 연결 상태 등을 파악하고 특별한 사정이 없는 한 이를 촬영한 후 특이사항을 기록하여야한다.

④ 정보처리시스템을 압수․수색․검증할 경우에는 대상 정보처리시스템의 설정시간을 한국 표준시간과 비교하여 기록하여야 한다.

⑤ 제1항의 방법으로 정보처리시스템을 압수하기 곤란한 사정이 있거나 또는 수사목적상 필요한 경우에는 대상 정보처리시스템에서 디지털 자료를 검색하여 이를 저장매체에 기록하여 그 저장매체를 압수하거나, 압수해야 할 디지털 자료를 다른 저장매체에 이전 또는 사본하여 그 다른 저장매체를 압수하거나 그 내용을 출력 인쇄하여 출력물을 압수할 수 있다. 이때에는 압수․수색대상자 또는 전산관리자를 입회시키고 수색한 결과물이 대상 정보처리시스템내의 자료로부터 검색·이전·사본 또는 출력된 것임을 확인시킨 후 별지 4호서식 또는 별지 제4호의 2 서식의 자료 확인서를 작성하여 입회인의 확인서명을 받아야 한다. 다만 확인서는 사용된 디지털 포렌식 도구에 의해 자동 생성된 자료로 갈음할 수 있다.

⑥ 데이터베이스(DB)가 구축된 정보처리시스템에 대하여 네트워크를 통해 다른 데이터베이스 시스템에 이식 가능한 형태의 파일로 변환 (Export, Dump)하여 압수할 경우에는 압수․수색대상자 또는 전산관리자를 입회시키고 압수된 데이터베이스 자료의 해시 값(Hash Value)을 포함하는 프로파일을 생성하여 입회인의 확인서명을 받아야 한다.

⑦ 정보처리시스템을 압수할 경우에는 해당 정보처리시스템의 사용자 또는 관리자의 인적사항을 파악하여 기록하고, 기타 정보처리시스템을 운영하는데 필요한 프로그램 매뉴얼, 설계도, 조직도, 개체관계도(ERD) 등을 함께 압수하여야 한다.

제10조 (압수․수색 시 유의사항)

① 디지털기기를 압수․수색․검증하거나 디지털 자료를 수집할 경우에는 대상 정보처리시스템으로부터 사용자를 격리하여 시스템 강제종료 등 임의적인 조작행위를 방지하여야 한다.

② 압수․수색․검증 대상 정보처리시스템이 네트워크에 연결되어 있고 압수․수색대상자가 네트워크로 접속하여 저장된 자료를 임의로 삭제할 우려가 있을 경우에는 네트워크 연결 케이블을 차단하여야 한다.

③ 디지털기기를 압수․수색․검증하거나 디지털 자료를 수집할 경우에는 대상 정보처리시스템내의 링크파일의 등록정보를 확인하는 등으로 휴대용 디지털 저장매체의 사용여부를 확인하고 그 사용 흔적이 발견된 경우에는 해당기기의 식별 값(Volume serial Number)을 특정하고 이를 압수할 수 있도록 현장에서 적절한 조치를 취하여야 한다.

④ 디지털기기를 압수․수색․검증하거나 디지털 자료를 수집하는 현장에서 분석을 실시하는 경우에는 쓰기방지장치를 사용하는 등으로 그 자료가 변경 또는 훼손되지 않도록 하여야 한다.

⑤ 디지털기기를 압수․수색․검증하거나 디지털 자료를 수집하는 현장에서는 정보처리시스템이나 프린터기 등의 임시 메모리(RAM, Cache Memory)에 기록된 디지털 자료에 대하여도 확인하고 필요한 경우에는 메모리 덤프(dump) 등의 적절한 방법을 사용하여 이를 수집하여야 한다.

⑥ 수사목적상 정보처리시스템의 사용자를 특정 하는 것이 필요한 경우에는 해당 정보처리시스템의 마우스, 키보드 등에서 지문을 채취하는 등 다른 수사방법으로 조치를 취한 후 정보처리시스템을 압수․ 수색․검증 하여야 한다.

제11조 (압수물의 관리 및 인수인계)

압수한 디지털기기 등은 각 품목별로 별지 제5호 서식에 따라 관리하고, 이를 인수인계할 경우에는 별지 제6호의 서식에 따라 인수인계표를 작성하여야 한다.