포렌식, forensics, 포럼(Forum) 공공(public) 라틴어 어원, 디지털 포렌식, 컴퓨터 법의학, 디지털 증거 사건
포렌식(Forensic)이라는 단어는 고대 로마 시대의 포럼(Forum)과 공공(public)이라는 라틴어에서 유래했으며 '법의학적인, 범죄 과학 수사의, 법정의, 재판에 관한'이라는 의미를 가지고 있는 형용사이다. 즉, 단순히 말해 포렌식이라는 단어는 범죄 수사와 관련한 모든 기술을 의미한다.
이러한 포렌식 분야 중 하나인 디지털 포렌식은 범죄 수사를 위해 디지털 장비의 분석 등을 하여 증거를 수집하는 행위 등을 통칭하는 용어이다.
컴퓨터 포렌식(영어: computer forensics, computer forensic science) 또는 컴퓨터 법의학( - 法醫學)은 전자적 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업을 말한다. 과거에 얻을 수 없었던 증거나 단서들을 제공해 준다는 점에서 획기적인 방법이다. 컴퓨터 포렌식은 사이버 해킹 공격, 사이버 범죄 시 범죄자들이 컴퓨터, 이메일, IT 기기, 휴대전화 등의 운영체제, 애플리케이션, 메모리 등에 다양한 전자적 증거를 남기게 되면서, 사이버 범죄자 추적 및 조사에 핵심적인 요소가 되고 있다.
디지털 증거 사건
1996년 영남위원회 사건: 법원은 디지털 증거를 전문 증거로 취급해야 하므로 원 진술자가 진술에 의해 인정해야 한다고 판시하여 디지털 증거의 증거 능력을 부정하였다.
2006년 일심회 사건: 수사기관은 USB, PC, 플로피 등의 저장매체 12종을 압수하여 조사하였다. 법원은 디지털 증거에 대해 작성자 또는 진술자의 진술에 의해 진정성이 증명될 때에 한해 증거로 인정한다고 판시하였다.
외무부 전문 변조사건: 외무부의 공문이 변조여부를 판단하기 위해 외국 공관에 있는 동일한 컴퓨터들의 하드디스크를 모두 수거하여 분석한 사건
창원지법 진주지원 재심사건: 하드디스크 분석 과정에서 전문가가 아닌 비전문가가 분석을 수행하여 분석 도중 파일 접근 시간이 변경되어 확정 판결이 번복된 사건
삼성 비자금 의혹 관련 특별검사: 특검팀이 삼성에서 압수한 하드디스크로부터 삭제된 파일을 복구하여 수사를 진행
신정아 스캔들: 주고 받은 이메일 내용을 복구하여 수사 진행
통합진보당 비례대표 부정선거: 서버 압수 및 서버 이미징, 분석
황우석 논문 조작 사건: 황 교수의 연구팀에 있는 노트북을 포맷된 후 새로운 파일로 하드디스크의 영역을 덮어씌운 노트북을 복원하여 400여쪽에 달하는 실험 노트를 확보하였다.
카지노 횡령사건: 계좌추적과 전화통화 내역 조사
국정원 여직원의 대선 관련 덧글 사건: 국정원 여직원의 노트북 등의 디지털 기기를 습득해 분석하였다.
나라별 관련 법률
현재 이 문단은 주로 대한민국에 한정된 내용만을 다루고 있습니다.
다른 국가·지역에 대한 내용을 보충하여 문서의 균형을 맞추어 주세요. 내용에 대한 의견이 있으시면 토론 문서에서 나누어 주세요. (2014년 2월)
대한민국
형사소송법/형사소송법규칙(제106조(압수) 제215조(압수/수색/검증), 제218조의2조(압수물의 환부, 가환부), 자유심증주의, 위법수집증거배제원칙, 전문증거배제법칙)
디지털증거수집 및 분석규정 (대검찰청 예규)
정보통신망 이용 촉진 및 정보보호 등에 관한 법률
통신비밀보호법 (제9조의 3(압수. 수색. 검증의 집행에 관한 통지), 제13조(범죄수사를 위한 통신사실 확인자료제공의 절차 〈개정 2005.5.26〉), 제13조의3(범죄수사를 위한 통신사실 확인자료제공의 통지)
부정경쟁방지 및 영업비밀보호에 관한 법률
산업기술의 유출방지 및 보호에 관한 법률
신용정보법 등 개인정보관련 규정 등
디지털 증거처리 표준 가이드라인
현재 이 문단은 주로 대한민국에 한정된 내용만을 다루고 있습니다.
다른 국가·지역에 대한 내용을 보충하여 문서의 균형을 맞추어 주세요. 내용에 대한 의견이 있으시면 토론 문서에서 나누어 주세요. (2014년 2월)
디지털 증거를 처리하는 과정은 식별(identification), 수집(collection), 획득(acquisition), 보존(preservation), 분석(analysis) 등의 과정을 통해 증거가 가지는 잠재적인 가치를 최대화하고 발생할 수 있는 위험을 최소화 하기 위해 수행된다. 디지털 증거는 현실적으로 손상되기 쉽다. 부적절한 취급이나 분석 중에 훼손되거나 변경, 조작될 수 있다. 따라서 디지털 증거를 취급하는 사람은 어떤 행위를 할 때 발생할 수 있는 결과와 위험성을 관리하고 식별할 수 있는 능력을 가져야 한다. 적절한 수단으로 디지털 증거 처리에 실패할 경우 디지털 증거는 사용하지 못할 수도 있기 때문에 모든 행위와 그 근거는 문서화될 필요가 있다.