제이제이 IT 스토리

제4장 디지털 증거의 수집․분석 지원요청

제16조 (지원요청)

① 특정사건의 주임검사 또는 수사관(이하 ‘주임검사 등’이라 한다)은 수사 또는 공소유지 등을 위하여 필요한 경우 디지털수사담당관 등에게 다음 각 호의 지원을 요청할 수 있다.

1. 디지털기기의 압수․수색․검증 또는 디지털 자료의 수집

2. 디지털 기기 또는 디지털 자료의 분석

3. 디지털 기기의 수리

4. 제1호 내지 제3호와 관련된 법정 증언

② 제1항의 지원을 요청할 경우에는 별지 제8호, 제8호의2, 제8호의3, 제8호의4, 제8호의5 서식에 해당하는 ‘지원 요청서’(이하 ‘요청서’라한다.)를 작성하여 송부하여야 한다. 다만, 긴급을 요하는 경우와 보안을 요하는 경우에는 구두 또는 전화로 요청할 수 있으며, 이 경우에는 사후에 요청서를 송부할 수 있다.

③ 제1항 제2호 또는 제3호의 지원을 요청할 경우에는 디지털 자료가 저장된 디지털기기를 우송 기타 적절한 방법으로 디지털수사담당관 등에게 송부하여야 한다.

제17조 (지원요청의 접수와 관리)

① 디지털수사담당관은 별지 제9호의 서식에 따라 수사지원요청 및 처리현황을 데이터베이스 형태로 관리한다.

② 디지털수사담당관 등은 제16조 제1항의 지원을 요청받은 경우에는 즉시 지원의 타당성과 필요성을 검토하여 지원여부를 결정하여야 한다.

제18조 (지원방법)

① 디지털수사담당관 등은 제16조 제1항의 지원을 할 경우에는 디지털기기 등의 유형과 규모에 따라 적합하고 충분한 인원의 디지털포렌식수사관을 지정하여 지원하여야 한다. 다만, 주임검사 등과 지원의 시기와 규모를 협의할 수 있다.

② 제1항에 의하여 디지털포렌식수사관이 요청 받은 검찰청에 직접 출장하여 지원하는 경우에는 지원 종료 시 디지털수사담당관 등에게 보고한 후 지체 없이 복귀하여야 한다.

제19조 (분석결과 통보)

① 디지털수사담당관 등은 수집된 디지털 자료의 분석을 종료한 때에는 분석결과를 주임검사 등에게 통보하여야 한다. 다만, 디지털포렌식수사관이 지원을 요청한 검찰청에서 분석을 종료하고 분석보고서를 주임검사 등에게 직접 제출한 경우에는 이를 생략할 수 있다.

② 디지털수사담당관 등은 분석 대상물을 수령 한 때로부터 10일 이내에 분석 결과를 해당 주임검사 등에게 통보해야 한다. 다만 부득이한경우 그 주임검사 등에게 중간 통지를 하고 분석통보기간을 10일 연장할 수 있다.

제20조 (디지털기기 등의 반환)

디지털수사담당관 등은 수집된 디지털 자료의 분석을 종료한 때에는 주임검사 등에게 분석대상이 된 디지털기기를 수령해 가도록 통지하여야 한다.

제21조 (정보보고)

주임검사 등이 제16조제1항의 지원을 받은 사건에 관하여 정보보고를 할 때에는 수신처에 대검찰청 디지털수사담당관을 기재하여야 한다.

제3장 디지털 증거의 분석

제12조 (디지털포렌식수사관에 의한 분석)

수집된 디지털 자료의 분석은 디지털포렌식수사관이 하여야 한다. 다만, 부득이한 경우에는 디지털포렌식수사관의 도움을 받아 대검찰청에서 실시한 디지털 증거 압수․수색 실무교육을 받은 직원이 이를 대신할 수 있다.

제13조 (분석방법)

① 수집된 디지털 자료의 분석은 분석에 적합한 장비와 소프트웨어를 갖추고 신뢰할 수 있는 방법으로 하여야 한다.

② 수집된 디지털 자료를 분석할 경우에는 사본을 작성하여 그 사본으로 분석하여야 한다. 다만, 사본을 만들기가 현저히 곤란한 경우에는 원본으로 분석할 수 있으며, 이 경우에는 원본이 변경, 훼손되지 않도록 기술적 조치를 취하고 기술적 조치에 관한 사항 및 원본의 변경여부 등을 분석보고서에 기재하여야 한다.

③ 제2항의 사본을 작성할 때에는 보존용 사본(이하 ‘보존사본’이라 한다.)과 분석용 사본(이하 ‘분석사본’이라 한다.)을 작성하여야 하며, 해시 값과 그 생성시간을 분석보고서에 기재하여야 한다.

④ 데이터베이스(DB) 형태의 디지털 자료를 분석할 경우에는 ‘데이터베이스 분석 내역서’를 작성하여 분석에 이용된 데이터베이스, 테이블, 칼럼이름 및 용도 등 소정의 사항을 기재하여야 하며, 분석과정에서 작성된 질의어(SQL), 프로시저(PLSQL Procedure, Stored Procedure 등)에 대한 상세설명을 소스 코드(Source Code)와 함께 첨부하여야 한다.

⑤ 수집된 디지털 자료를 분석할 경우에는 분석과정을 사진으로 촬영하는 등 객관성 유지에 필요한 조치를 취하여야 한다.

제14조 (분석보고서 작성)

① 수집된 디지털 자료에 대한 분석을 종료한 때에는 별지 제7호 서식에 따라 분석보고서를 작성한다.

② 디지털 자료를 분석하는 과정에서 새롭게 획득하거나 생성된 자료

가 있는 경우에는 그 자료의 사본을 CD, DVD, 하드디스크 등 디지털 저장매체에 저장하여 분석보고서에 첨부할 수 있다.

제15조 (디지털 자료의 보존)

① 디지털수사담당관 또는 각 지방 디지털포렌식팀 지휘 검사(이하 ‘디지털수사담당관 등’이라고 한다.)는 제13조 제3항의 보존사본과 제14조 제2항의 분석과정에서 획득하거나 생성된 자료를 항온항습 및 무정전시스템이 설치된 장소에 보존하여야 한다.

② 제1항의 보존사본과 분석과정에서 획득하거나 생성된 자료는 기록 폐기 시까지 보존하는 것을 원칙으로 한다. 다만, 디지털수사담당관 등이 보존할 가치가 없다고 판단한 자료는 기록폐기전이라도 이를 폐기할 수 있다.

제2장 디지털 증거의 압수․수색

제6조 (과잉 압수․수색․검증 금지)

디지털기기를 압수․수색․검증하거나 디지털 자료를 수집․분석할 때에는 수사에 필요한 최소한의 범위에서 실시하고 전 과정에서 적법절차를 엄격히 준수하여야 한다.

제7조 (디지털포렌식수사관 등에 의한 압수․수색)

디지털기기의 압수․수색․검증과 디지털 자료의 수집은 디지털 포렌식 수사관 또는 대검찰청에서 실시한 디지털 증거 압수․수색 실무교육을 받은 직원이 하여야 한다. 다만, 긴급을 요하는 등 부득이한 사유가 있

는 경우에는 일반 직원이 이를 대신할 수 있으며 사후에 디지털수사담당관에게 그 사실을 통보하여야 한다.

제8조 (사전준비)

디지털기기를 압수․수색․검증하거나 디지털 자료를 수집하고자 할 경우에는 사전에 다음 각 호의 사항을 확인하고 계획을 수립하여야 한다.

1. 사건의 개요, 압수․수색 장소 및 대상

2. 압수․수색대상자가 운영하고 있는 정보처리시스템의 유형과 규모

3. 압수․수색대상자가 운영하고 있는 네트워크의 구성 형태

4. 기타 디지털기기의 보유현황 등

제9조 (컴퓨터 등 정보처리시스템의 압수․수색)

① 컴퓨터 등 정보처리시스템을 압수할 경우에는 가능하면 정보처리시스템으로부터 저장매체만을 분리하여 압수하는 것을 원칙으로 한다.

다만, 저장매체를 분리할 경우 수사목적을 달성할 수 없거나 기기 또는 디지털 자료가 손상, 훼손될 우려가 있을 때에는 정보처리시스템 전부를 압수할 수 있다.

② 제1항과 같이 정보처리시스템을 압수할 경우에는 별지 제3호 서식의 압수물 확인 부전지를 작성하여 압수대상 정보처리시스템 또는 저장매체에 부착하여 압수․수색대상자의 확인서명을 받고, 별지 제3호의 2 서식의 압수물 봉인 부전지를 이용하여 봉인한 후 위 대상자로부터 확인서명을 받아야 한다.

③ 압수․수색․검증의 현장에서는 전산관리자 또는 책임자를 통하여 대상 정보처리시스템의 구성 및 주변장치의 연결 상태 등을 파악하고 특별한 사정이 없는 한 이를 촬영한 후 특이사항을 기록하여야한다.

④ 정보처리시스템을 압수․수색․검증할 경우에는 대상 정보처리시스템의 설정시간을 한국 표준시간과 비교하여 기록하여야 한다.

⑤ 제1항의 방법으로 정보처리시스템을 압수하기 곤란한 사정이 있거나 또는 수사목적상 필요한 경우에는 대상 정보처리시스템에서 디지털 자료를 검색하여 이를 저장매체에 기록하여 그 저장매체를 압수하거나, 압수해야 할 디지털 자료를 다른 저장매체에 이전 또는 사본하여 그 다른 저장매체를 압수하거나 그 내용을 출력 인쇄하여 출력물을 압수할 수 있다. 이때에는 압수․수색대상자 또는 전산관리자를 입회시키고 수색한 결과물이 대상 정보처리시스템내의 자료로부터 검색·이전·사본 또는 출력된 것임을 확인시킨 후 별지 4호서식 또는 별지 제4호의 2 서식의 자료 확인서를 작성하여 입회인의 확인서명을 받아야 한다. 다만 확인서는 사용된 디지털 포렌식 도구에 의해 자동 생성된 자료로 갈음할 수 있다.

⑥ 데이터베이스(DB)가 구축된 정보처리시스템에 대하여 네트워크를 통해 다른 데이터베이스 시스템에 이식 가능한 형태의 파일로 변환 (Export, Dump)하여 압수할 경우에는 압수․수색대상자 또는 전산관리자를 입회시키고 압수된 데이터베이스 자료의 해시 값(Hash Value)을 포함하는 프로파일을 생성하여 입회인의 확인서명을 받아야 한다.

⑦ 정보처리시스템을 압수할 경우에는 해당 정보처리시스템의 사용자 또는 관리자의 인적사항을 파악하여 기록하고, 기타 정보처리시스템을 운영하는데 필요한 프로그램 매뉴얼, 설계도, 조직도, 개체관계도(ERD) 등을 함께 압수하여야 한다.

제10조 (압수․수색 시 유의사항)

① 디지털기기를 압수․수색․검증하거나 디지털 자료를 수집할 경우에는 대상 정보처리시스템으로부터 사용자를 격리하여 시스템 강제종료 등 임의적인 조작행위를 방지하여야 한다.

② 압수․수색․검증 대상 정보처리시스템이 네트워크에 연결되어 있고 압수․수색대상자가 네트워크로 접속하여 저장된 자료를 임의로 삭제할 우려가 있을 경우에는 네트워크 연결 케이블을 차단하여야 한다.

③ 디지털기기를 압수․수색․검증하거나 디지털 자료를 수집할 경우에는 대상 정보처리시스템내의 링크파일의 등록정보를 확인하는 등으로 휴대용 디지털 저장매체의 사용여부를 확인하고 그 사용 흔적이 발견된 경우에는 해당기기의 식별 값(Volume serial Number)을 특정하고 이를 압수할 수 있도록 현장에서 적절한 조치를 취하여야 한다.

④ 디지털기기를 압수․수색․검증하거나 디지털 자료를 수집하는 현장에서 분석을 실시하는 경우에는 쓰기방지장치를 사용하는 등으로 그 자료가 변경 또는 훼손되지 않도록 하여야 한다.

⑤ 디지털기기를 압수․수색․검증하거나 디지털 자료를 수집하는 현장에서는 정보처리시스템이나 프린터기 등의 임시 메모리(RAM, Cache Memory)에 기록된 디지털 자료에 대하여도 확인하고 필요한 경우에는 메모리 덤프(dump) 등의 적절한 방법을 사용하여 이를 수집하여야 한다.

⑥ 수사목적상 정보처리시스템의 사용자를 특정 하는 것이 필요한 경우에는 해당 정보처리시스템의 마우스, 키보드 등에서 지문을 채취하는 등 다른 수사방법으로 조치를 취한 후 정보처리시스템을 압수․ 수색․검증 하여야 한다.

제11조 (압수물의 관리 및 인수인계)

압수한 디지털기기 등은 각 품목별로 별지 제5호 서식에 따라 관리하고, 이를 인수인계할 경우에는 별지 제6호의 서식에 따라 인수인계표를 작성하여야 한다.

제1장 총 칙

제1조 (목적)

이 규정은 컴퓨터 등 디지털기기로부터 디지털 증거를 수집하거나 분석하는 과정에서 준수하여야 할 기본적 사항을 정함으로써 실체적 진실 발견에 기여하고 국민의 인권을 보호하는 것을 그 목적으로 한다.

제2조 (디지털 증거의 무결성 유지)

디지털기기를 압수․수색․검증하거나 디지털 자료를 수집․분석할 때에는 디지털기기 또는 디지털 자료를 수집한 때로부터 법정에 증거로 제출할 때까지 변경 또는 훼손되지 않도록 절차의 연속성을 유지하여야 하며 그 과정을 기록하여야 한다.

제3조 (디지털기기의 운반 및 보관)

디지털 자료가 저장된 디지털기기를 운반 또는 보관할 경우에는 정전기차단, 충격방지 등의 조치를 취하여 그 기기 등이 파손되거나 저장된 디지털 자료가 손상되지 않도록 하여야 한다.

제4조 (디지털포렌식수사관)

① 디지털포렌식수사관은 다음 1호 또는 2호에 해당하고 3호의 자격을 갖춘 자 중에서 디지털포렌식수사관 인증심의위원회의 심의를 거쳐 과학수사기획관의 제청으로 검찰총장이 지명한다.

1. 대검찰청 디지털수사담당관실에서 실시하는『디지털포렌식전문가양성과정』의 교육을 이수한 자

2. 국내·외 컴퓨터 관련 교육과정을 4개월 이상 이수한 자로서 디지털포렌식 관련지식이 충분하다고 인정되는 자

3. 6개월 이상 디지털 포렌식 수사실무를 수행한 경력이 있는 자

② 제1항의 디지털포렌식수사관 인증심의위원회의 위원장은 대검찰청 과학수사기획관으로 하고, 위원은 운영지원과장, 디지털수사담당관, 첨단범죄수사과장과 7인 이내의 디지털수사자문위원회 위원으로 구성하며, 디지털수사담당관이 간사역할을 담당한다.

③ 디지털포렌식수사관으로 지명된 자는 매년 20시간 이상 다음 각 호에서 정하는 전문 교육을 이수하여야 한다.

1. 대검찰청 디지털수사담당관실에서 실시하는 컴퓨터 수사 또는 디지털 포렌식 관련 교육

2. 다른 국·내외 국가기관, 전문교육기관 또는 학회에서 실시하는 컴퓨터 수사 또는 디지털 포렌식 관련 교육

④ 검찰총장은 디지털포렌식수사관에 대하여 별지 제1호 서식의 지명서를 부여하고, 디지털수사담당관은 별지 제2호의 서식에 따라 디지털포렌식수사관의 인적사항, 전문 교육 이수사항 등을 관리한다.

제4조의 2 (디지털포렌식팀의 설치)

① 각 고등검찰청 또는 지방검찰청에 디지털포렌식팀을 설치할 수 있다

② 각 디지털포렌식팀은 각 고등검찰청 또는 지방검찰청 관할구역내의 디지털증거 수집 및 분석 업무를 전담한다.

제5조 (디지털포렌식수사관의 배치)

① 디지털포렌식수사관은 대검찰청 디지털수사담당관실, 고등검찰청, 지방검찰청의 디지털포렌식팀, 지방검찰청, 차치지청의 수사과 또는 컴퓨터수사전담반에 배치하며, 전문성 유지를 위하여 순환보직 등 일반적인 인사원칙에서 예외를 인정할 수 있다.

② 각급청 인사담당직원은 정기 비정기 인사 시 디지털포렌식수사관의 배치현황을 디지털수사담당관실로 통보하여야 한다.

제3장 디지털 증거분석 의뢰 및 수행

제14조(증거분석 의뢰) 

① 수사관은 디지털 증거분석을 의뢰하는 경우 분석의뢰물을 봉인하여야 한다. 이 경우 충격, 자기장, 습기 및 먼지 등에 의해 손상되지 않도록 안전하게 보관할 수 있는 용기에 담아 직접 운반하거나 등기우편 등 신뢰할 수 있는 방법으로 송부하여야 한다.

② 제1항의 경우 수사관은 제12조에 따라 작성한 서류 사본 등 분석의뢰물과 관련된 서류 및 정보를 증거분석관에게 제공하여야 한다.

제15조(증거분석 의뢰접수) 

경찰청 디지털포렌식센터장 및 지방경찰청 사이버안전과장(사이버안전과가 설치되지않은 지방청은 수사과장)은 의뢰사항, 분석의뢰물, 관련 서류 등을 확인한 후 증거분석 의뢰를 접수하여야 한다.

제16조(신뢰성 확보 조치)

① 의뢰 받은 분석의뢰물의 증거분석은 제5조에 의해 선발된 증거분석관이 하여야 한다.

② 디지털 증거의 수집 및 분석 시에는 정확성과 신뢰성이 있는 과학적 기법, 장비 및 프로그램을 사용하여야 한다.

제17조(분석의뢰물의 분석) 

① 증거분석관은 분석의뢰물이 변경되지 않도록 쓰기방지 장치 등을 사용하여 분석의뢰물과 동일한 복제본을 획득한 후 분석의뢰물과 복제본의 해시값을 기록하여야 한다.

② 증거분석관은 제1항의 방법으로 획득한 복제본을 이용하여 증거분석을 수행하여야 한다. 다만, 수사상 긴박한 사정이 있거나 복제본을 획득할 수 없는 불가피한 사정이 있는 경우에는 의뢰받은 분석의뢰물을 직접 분석할 수 있다.

제18조(증거분석실 등의 출입제한) 

디지털 증거분석실 또는 증거물 보관실은 증거분석관 등 관계자 외 출입을 제한 한다.

제19조(결과보고서 작성) 

증거분석관은 분석을 종료한 때에는 지체없이 디지털 증거분석 결과보고서를 작성하여야 한다.

제20조(필요적 기재사항) 

증거분석관은 다음 각 호의 사항을 결과보고서에 기재하여야 한다.

1. 사건번호 등 분석의뢰정보 및 분석의뢰자정보

2. 증거분석관의 소속 부서 및 성명

3. 분석의뢰물의 정보 및 의뢰 요청사항

4. 분석의뢰물의 접수일시 및 접수자 등 이력정보

5. 분석에 사용된 장비􀂷도구 및 준비과정

6. 증거분석으로 획득한 자료 등 분석과정 및 결과

제21조(임의적 기재사항)

증거분석관은 필요한 경우 다음 각 호의 사항을 결과보고서에 기재할 수 있다.

1. 상세분석 결과

2. 분석과정을 기록한 사진 및 영상자료의 첨부

3. 그 밖에 분석과정에서 행한 조치 등 특이사항

제22조(분석결과 통보) 

증거분석관은 분석결과를 분석의뢰자에게 신속하게 통보하고, 증거분석이 완료된 분석의뢰물 등을 제14조제1항 후단에 따라 반환하여야 한다.

제22조의2(추가분석의뢰) 

수사관은 제22조의 분석결과와 관련하여 필요한 때에는 추가분석을 요청할 수 있다. 이 경우 추가분석의 의뢰 및 수행에 관하여는 제14조부터 제22조까지의 규정을 준용한다.

제23조(보관 및 삭제 · 폐기) 

① 분석의뢰물, 제17조제1항의 복제본, 증거분석을 통해 획득한 디지털 데이터(디지털 증거를 포함한다)는 항온 · 항습 · 무정전 · 정전기차단시스템이 설치된 장소에 보관함을 원칙으로 한다. 이 경우 열람제한을 설정하는 등 보안유지에 필요한 조치를 병행하여야 한다.

② 증거분석관과 수사관은 디지털 증거에 대한 압수절차를 완료한 경우 지체 없이 보관하고 있는 디지털 데이터 중 제12조제1항 또는 제13조제2항의 전자정보 확인서에서 제외된 디지털 데이터를 삭제 · 폐기하여야 한다.

제24조(재검토기한) 

「훈령 · 예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제334호)에 따라 이 규칙 발령 후의 법령이나 현실여건의 변화 등을 검토하여 이 규칙의 폐지, 개정 등의 조치를 해야 하는 기한은 2020년 8월 31일까지로 한다.

제2장 디지털 증거의 수집

제8조(과잉금지의 원칙) 

디지털 데이터의 수집은 수사목적을 달성하는데 필요한 최소한의 범위에서 이루어져야 한다.

제9조(지원요청 및 처리)

① 수사과정에서 디지털 데이터의 압수 · 수색 · 검증이 필요한 경우 경찰청 각 부서는 경찰청 디지털포렌식센터장에게, 지방경찰청 각 부서 및 경찰서의 수사부서는 지방경찰청 사이버안전과장(사이버안전과가 설치되지 않은 지방경찰청은 수사과장)에게 압수 · 수색 · 검증에 관한 지원을 요청할 수 있다.

② 경찰청 디지털포렌식선터장 또는 지방경찰청 사이버안전과장(사이버안전과가 설치되지 않은 지방경찰청은 수사과장)은 압수 · 수색 · 검증에 관한 지원을 요청받은 경우에는 지원의 타당성과 필요성을 검토한 후, 지원여부를 결정하여 통보하여야 한다.

③ 압수 · 수색 · 검증과정을 지원하는 증거분석관은 성실한 자세로 기술적 지원을 하고, 수사관은 압수 · 수색 · 검증영장 및 제10조 각 호의 내용을 증거분석관에게 사전에 충실히 제공하는 등 수사의 목적이 달성될 수 있도록 상호 협력하여야 한다.

제10조(영장 집행의 준비)

디지털 데이터를 압수 · 수색 · 검증하고자 할 때에는 사전에 다음 각 호의 사항을 고려하여야 한다.

1. 사건의 개요,압수 · 수색 · 검증 장소 및 대상
2. 압수 · 수색 · 검증할 컴퓨터 시스템의 네트워크 구성 형태, 시스템 운영체제, 서버 및 대용량 저장장치, 전용 소프트웨어
3. 압수대상자가 사용 중인 디지털 저장매체
4. 압수 · 수색 · 검증에 소요되는 인원 및 시간
5. 디지털 증거분석 전용 노트북, 쓰기방지 장치 및 하드디스크 복제장치, 복제용 하드디스크, 하드디스크 운반용 박스, 정전기 방지장치 등 압수 · 수색 · 검증에 필요한 장비

② 수사관은 압수 · 수색 · 검증현장에서 제1항의 방법이 불가능하거나 현저히 곤란한 경우에는 복제본을 획득하여 외부로 반출한 후, 제1항의 방법으로 디지털 데이터를 압수할 수 있다.

③ 수사관은 압수 · 수색 · 검증현장에서 제1항 및 제2항의 방법이 불가능하거나 현저히 곤란한 경우에는 디지털저장매체 원본을 외부로 반출한 후, 제1항 또는 제2항의 방법으로 디지털 데이터를 압수할 수 있다.

④ 수사관은 제1항부터 제3항까지의 규정에 따라 디지털 데이터를 압수하는 경우에는 피의자나 변호인, 소유자, 소지자 또는 「형사소송법」 제123조에 정한 참여인(이하 "피압수자등"이라고 한다)의 참여권을 보장하여야 한다.

⑤ 수사관과 증거분석관은 제1항부터 제3항까지의 규정에 따라 디지털 데이터를 압수하는 경우에는 데이터 고유 식별값(이하 "해시값"이라고 한다) 확인 등 디지털 증거의 동일성, 무결성을 담보할 수 있는 적절한 방법과 조치를 취하여야 한다.

제11조의2(디지털 저장매체 자체의 압수 · 수색 · 검증) 

① 수사관은 다음 각 호의 사유가 존재하고 디지털 저장매체 자체를 압수 · 수색 · 검증할 수 있도록 영장에 기재되어 있는 경우에는 디지털 저장매체를 압수할 수 있다.

1. 도박 · 음란 · 기타 불법사이트 운영 사건 등 디지털 저장매체에 저장된 원본 디지털 데이터가 다시 범죄에 이용될 우려가 있는 경우

2. 디지털 저장매체에 음란물 또는 사생활 보호의 대상이 되는 내용 등이 담겨져 있어 유포 시 개인의 인격에 상당한 피해가 우려되는 경우

3. 불법 또는 정당하지 않은 방법으로 취득한 디지털 데이터가 디지털 저장매체에 저장되어 있는 경우

4. 디지털 저장매체 또는 디지털 저장매체가 포함된 존재 자체가 범죄의 증명에 필요한 경우

5. 그 밖에 제11조의 방법에 따른 압수가 불가능하거나 압수의 목적을 달성하기에 현저히 곤란한 경우

② 제1항의 경우 디지털 저장매체의 압수에 관하여는 범죄수사규칙(경찰청 훈령 제774호)을, 디지털 저장매체에 저장된 디지털 데이터에 관하여는 제11조제5항을 각 준용한다.

제12조(확인서 등) 

① 수사관은 제11조제1항에 따라 디지털 데이터를 압수하는 경우에는 해시값을 확인한 후 별지

제1호서식의 전자정보 확인서를 작성하여야 한다.

② 수사관은 제11조제2항에 따라 획득한 복제본을 반출하는 경우에는 해시값 확인 및 참여권 고지 후 별지 제3호서식의 복제본 반출(획득) 확인서를 작성하여야 한다. 이 경우 복제본 반출 이후 디지털 데이터를 압수할 때에는 제1항을 따른다.

③ 수사관은 제11조제3항에 따라 디지털 저장매체 원본을 반출하는 경우에는 원본 봉인 및 참여권 고지 후 원본 반출 확인서 또는 원본 반출 확인서(모바일기기)를 작성하여야 한다. 이 경우 원본 반출 이후 디지털 데이터를 압수하는 때에는 제1항을, 복제본을 획득할 때에는 제2항을 각 따른다.

④ 제3항 후단 중 원본 반출 이후 복제본을 획득하는 경우 피압수자등이 복제본 획득과정에 참여하지 않거나 참여를 철회할 때에는 복제본 반출(획득) 확인서 작성을 생략할 수 있다.

⑤ 수사관 또는 증거분석관은 제11조제2항 또는 제11조제3항에 따른 압수 · 수색 · 검증 과정에서 피압수자등이 참여를 철회하는 경우에는 참여철회 확인서를 작성하도록 하여야 한다.

⑥ 수사관은 제11조제3항에 따라 반출한 디지털 저장매체 원본을 반환하는 경우에는 반출 원본 저장매체 인수증을 작성하도록 하여야 한다.

⑦ 수사관은 제11조에 따라 디지털 데이터를 압수한 경우에 압수증명서 및 상세목록의 교부를 제12조제1항에 따라 작성한 전자정보 확인서 교부로 갈음할 수 있다.

⑧ 그 외 압수 · 수색 · 검증과 관련된 서류의 작성은 범죄수사규칙(경찰청훈령 제774호)의 규정을 준용한다.

제13조(임의제출) 

① 피압수자가 임의로 제출한 디지털 데이터의 압수에 관하여는 제11조를 준용한다. 이 경우 수사관은 제11조제2항 또는 제11조제3항의 사유가 없더라도 피압수자의 동의가 있으면 각 해당 규정에서 정하는 방법으로 압수할 수 있다.

② 제1항의 경우 해시값 확인, 참여권 고지, 확인서 작성 등에 관하여는 제12조의 규정을 준용한다. 다만, 전자정보 확인서는 전자정보 확인서(간이)로 대체할 수 있다.

③ 피압수자가 임의로 제출한 디지털 저장매체 자체의 압수에 관하여는 제11조의2의 규정을 준용한다.

제1장 총칙

제1조(목적) 

이 규칙은 디지털 증거의 수집, 운반, 분석 및 보관 등 전 과정에서 디지털 증거분석관 및 수사관이 준수하여야 할 기본윈칙 및 업무처리절차를 규정함으로써 인권을 보호하고 실체적 진실의 발견에 기여함을 목적으로 한다.

제2조(정의) 이 규칙에서 사용하는 용어의 뜻은 다음과 같다.

1. "디지털 데이터"란 전자적 방법으로 저장되어 있거나 네트워크 및 유 · 무선 통신 등을 통해 전송 중인 정보를 말한다.
2. "디지털 저장매체"란 컴퓨터용 디스크, 그 밖에 이와 비슷한 정보저장매체를 말한다.
3. "디지털 증거"란 「형사소송법」 제106조 및 제215조부터 제218조까지의 규정에 따라 압수한 디지털 데이터를 말한다.
4. "디지털 증거분석 의뢰물(이하 "분석의뢰물"이라 한다)"이란 범죄사실을 규명하기 위해 디지털 증거분석관에게 분석의뢰된 디지털 데이터, 복제본 또는 디지털 저장매체를 말한다.
5. "복제본"이란 디지털 저장매체 내에 들어 있는 디지털 데이터 전부를 하드카피 또는 이미징 등의 기술적 방법으로 다른 디지털 저장매체에 저장한 것을 말한다.
6. "디지털 증거분석관(이하 "증거분석관"이라 한다)"이란 제5조의 규정에 따라 선발된 자로서 분석의뢰물에 대한 증거분석 업무 및 디지털 데이터 또는 디지털 저장매체 자체에 대한 압수 · 수색 · 검증 지원 업무를 수행하는 자를  말한다.

1. 경찰 교육기관의 디지털 포렌식 관련 전문교육을 수료한 자
2. 국가 또는 공공기관의 디지털 포렌식 관련 분야에서 3년 이상 근무한 자
3. 디지털 포렌식, 컴퓨터공학, 전자공학, 정보보호공학 등 관련 분야 대학원 과정을 이수하여 석사 이상의 학위를 소지한 자
4. 디지털 포렌식, 컴퓨터공학, 전자공학, 정보보호공학 등 관련 분야 학사학위를 소지하고, 해당 분야 전문교육 과정을 수료하거나 자격증을 소지한 자

제6조(디지털 증거분석의 처리체계)

① 경찰청 사이버안전국 디지털포렌식센터는 다음 각 호의 경우 디지털 증거 분석업무를 수행한다.

1. 경찰청 각 부서에서 증거분석을 요청한 경우
2. 고도의 기술이나 특정 분석장비 등이 필요하여 지방경찰청에서 증거분석이 곤란한 경우
3. 법원, 수사기관, 중앙행정기관, 국외 기관 등에서 증거분석을 요청하고 그 정당성과 필요성이 인정되는 경우
4. 그 밖에 상당한 이유로 경찰청에서 증거분석을 하여야 할 필요성이 인정되는 경우

② 지방경찰청 사이버안전과(사이버안전과가 설치되지 않은 지방경찰청은 수사과)는 다음 각 호의 경우 디지털 증거분석업무를 수행한다.

1. 지방경찰청 각 부서 및 경찰서에서 증거분석을 요청한 경우
2. 관할 내 법원, 수사기관, 행정기관 등에서 증거분석을 요청하고 그 정당성과 필요성이 인정되는 경우
3. 그 밖에 상당한 이유로 지방경찰청에서 증거분석을 하여야 할 필요성이 인정되는 경우

제7조(다른 법령과의 관계)

경찰의 디지털 증거의 수집, 운반, 분석 및 보관 등의 업무에 대하여 다른 법령 및 규칙에 특별한 규정이 있는 경우를 제외하고는 이 규칙에 따른다.