| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- 802.3
- 802.3 이더넷
- Address Resolution Protocol
- adodb 설치
- AES 암호
- Alternatively build in profile or release modes to enable launching from the home screen
- Android Studio 몰입모드
- Android Studio 몰입모드 설정
- Android Studio 상태바 없애기
- Android Studio 자동 정렬
- android studio 자동정렬
- Android Studio 자동정렬 단축키
- Android Studio 코드 자동정렬
- Android Studio 타이틀바 없애기
- Android Studio 하단 바 없애기
- Android Studio 홈버튼 없애기
- Angler EK
- Angler EK 악성코드
- Angler EK이란
- apache2 tomcat9
- apache2 tomcat9 설치
- apache2 tomcat9 연동
- API
- apk 에러
- apk 오류
- ARP
- arp cache poisoning
- ARP Poisoning
- ARP Request
- ARP 구조
- Today
- Total
지나가는 이야기
포렌식 디지털 증거 수집 및 분석 규정 | [Forensics : 포렌식] 본문
제 1장 총칙
제 1조 (목적)
이 규정은 컴퓨터 등 디지털기기로부터 디지털 증거를 수집하거나 분석하는 과정에서 준수하여야 할 기본적 사항을 정함으로써 실체적 진실 발견에 기여하고 국민의 인권을 보호하는 것을 그 목적으로 한다.
제 2조 (디지털 증거의 무결설 유지)
디지털기기를 압수, 수색, 검증하거나 디지털 자료를 수집, 분석할 때에는 디지털기기 또는 디지털 자료를 수집한 때로부터 법정에 증거로 제출할 때까지 변경 또는 훼손되지 않도록 절차의 연속성을 유지하여야 하며 그 과정을 기록하여야 한다.
제 3조 (디지털기기의 운반 및 보관)
디지털 자료가 저장된 디지털기기를 운반 또는 보관할 경우에는 정전기차단, 충격방지 등의 조치를 취하여 그 기기 등이 파손되거나 저장된 디지털 자료가 손상되지 않도록 하여야 한다.
제 4조 (디지털포렌식수사관)
1. 디지털포렌식수사관은 다음 1호 또는 2호에 해당하고 3호의 자격을 갖춘 자 중에서 디지털포렌식수사관 인증심의위원회의 심의를 거쳐 과학수사기획관의 제청으로 검찰총장이 지명한다.
| 1. 대검찰청 디지털수사담당관실에서 실시하는 [디지털포렌식전문가 양성과정]의 교육을 이수한 자 2. 국내외 컴퓨터 관련 교육과정을 4개월 이상 이수한 자로서 디지털 포렌식 관련지식이 충분하다고 인정되는 자 3. 6개월 이상 디지털 포렌식 수사실무를 수행한 경력이 있는자 |
2. 제 2항의 디지털포렌식수사관 인증심의위원회의 위원장은 대검찰청 과학수사기획관으로 하고, 위원은 운영지원과장, 디지털수사담당관, 첨단범죄수사과장과 7인 이내의 디지털수사자문위원회 위원으로 구성하며, 디지털수사담당관이 간사역할을 담당한다.
3. 디지털포렌식수사관으로 지명된 자는 매년 20시간 이상 다음 각 호에서 정하는 전문 교육을 이수하여야 한다.
| 1. 대검찰청 디지털수사담당관실에서 실시하는 컴퓨터 수사 또는 디지털 포렌식 관련 교육 2. 다른 국내외 국가기관, 전문교육기관 또는 학회에서 실시하는 컴퓨터 수사 또는 디지털 포렌식 관련 교육 |
4. 검찰총장은 디지털포렌식수사관에 대하여 별지 제 1호 서식의 지명서를 부여하고, 디지털수사담당관은 별지 제 2호의 서식에 따라 디지털포렌식수사관의 인적사항, 전문 교육 이수사항 등을 관리한다.
제 4조의 2 (디지털포렌식팀의 설치)
1. 각 고등검찰청 또는 지방검찰청에 디지털포렌식팀을 설치할 수 있다.
2. 각 디지털포렌식팀은 각 고등검찰청 또는 지방검찰청 관할구역내의 디지털증거 수집 및 분석 업무를 전담한다.
제 5조 (디지털포렌식수사관의 배치)
1. 디지털포렌식수사관은 대검찰청 디지털수사담당관실, 고등검찰청, 지방검찰청의 디지털포렌식팀, 지방검찰청, 차치지청의 수사과 또는 컴퓨터수사전담반에 배치하며, 전문성 유지를 위하여 순환보직 등 일반적인 인사원칙에서 예외를 인정할 수 있다.
2. 각급청 인사담당직원은 정기, 비정기 인사 시 디지털포렌식수사관의 배치현황을 디지털수사담당관실로 통보하여야 한다.
제 2장 디지털 증거의 압수, 수색
제 6조 (과잉 압수, 수색, 검증 금지)
디지털기기를 압수, 수색, 검증하거나 디지털 자료를 수집, 분석할 때에는 수사에 필요한 최소한의 범위에서 실시하고 전 과정에서 적법절차를 엄격히 준수하여야 한다.
제 7조 (디지털 포렌식 수사관 등에 의한 압수, 수색)
디지털 기기의 압수, 수색, 검증과 디지털 자료의 수집은 디지털 포렌식 수사관 또는 대검찰청에서 실시한 디지털 증거 압수, 수색 실무교육을 받은 직원이 하여야 한다. 다만, 긴급을 요하는 등 부득이한 사유가 있는 경우에는 일반 직원이 이를 대신할 수 있으며 사후에 디지털수사담당관에게 그 사실을 통보하여야 한다.
제 8조 (사전 준비)
디지털 기기를 압수, 수색, 검증하거나 디지털 자료를 수집하고자 할 경우에는 사전에 다음 각 호의 사항을 확인하고 계획을 수립하여야 한다.
| 1. 사진의 개요, 압수, 수색 장소 및 대상 2. 압수, 수색 대상자가 운영하고 있는 정보처리시스템의 유형과 규모 3. 압수, 수색 대상자가 운영하고있는 네트워크의 구성 형태 4. 기타 디지털 기기의 보유 현황 등 |
제 9조 (컴퓨터 등 정보 처리 시스템의 압수, 수색)
1. 컴퓨터 등 정보처리시스템을 압수할 경우에는 가능하면 정보처리시스템으로부터 저장매체만을 분리하여 압수하는 것을 원칙으로 한다. 다만, 저장매체를 분리 할 경우 수사목적을 달성 수 없거나 기기 또는 디지털 자료가 손상, 훼손될 우려가 있을 때에는 정보처리시스템 전부를 압수할 수 있다.
2. 제 1항과 같이 정보처리시스템을 압수할 경우에는 별지 제 3호 서식의 압수물 확인 부전지를 작성하여 압수대상 정보처리시스템 또는 저장매체에 부착하여 압수수색대상자의 확인서명을 받고, 별지 제 3호의 2 서식의 압수물 봉인 부전지를 이용하여 봉인한 후 위 대상자로부터 확인서명을 받아야 한다.
3. 압수, 수색, 검증의 현장에서는 전산관리자 또는 책임자를 통하여 대상 정보처리시스템의 구성 및 주변장치의 연결 상태 등을 파악하고 특별한 사정이 없는 한 이를 촬영한 후 특이사항을 기록하여야 한다.
4. 정보처리시스템을 압수, 수색, 검증한 경우에는 대상 정보처리시스템의 설정시간을 한국 표준 시간과 비교하여 기록하여야 한다.
5. 제 1항의 방법으로 정보처리시스템을 압수하기 곤란한 사정이 있거나 또는 수사목적상 필요한 경우에는 대상 정보처리시스템에서 디지털 자료를 검색하여 이를 저장매체에 기록하여 그 저장매체를 압수하거나, 압수해야 할 디지털 자료를 다른 저장매체에 이전 또는 사본 하여 그 다른 저장매체를 입수하거나 그 내용을 출력 인쇄하여 출력물을 압수할 수있다. 이때에는 압수수색대상자 또는 진산관리자를 입회시키고 수색한 결과물이 대상 정보처리시스템 내의 자료로부터 검색, 이전, 사본 또는 출력된 것임을 확인시킨 후 별지 4호 서식 또는 별지 제 4호의 2 서식의 자료 확인서를 작성하여 입회인의 확인서명을 받아야 한다. 다만 확인서는 사용된 디지털 포렌식 도구에 의해 자동 생성된 자료로 갈음할 수 있다.
6. 데이터베이스(DB)가 구축된 정보처리시스템에 대하여 네트워크를 통해 다른 데이터베이스 시스템에 이식 가능한 형태의 파일로 변환(Export, Dump)하여 압수할 경우에는 압수수색 대상자 또는 전산관리자를 입회시키고 압수된 데이터베이스 자료의 해시 값(Hash Value)을 포함하는 프로파일을 생성하여 입회인의 확인서명을 받아야 한다.
7. 정보처리시스템을 압수 할 경우에는 해당 정보처리시스템의 사용자 또는 관리자의 인적사항을 파악하여 기록하고, 기타 정보처리시스템을 운영하는데 필요한 프로그램 매뉴얼, 설계도, 조직도, 개체 관계도 (ERD) 등을 함께 압수하여야 한다.
제 10조 (압수, 수색 시 유의 사항)
1. 디지털기기를 압수, 수색. 검증하거나 디지털 자료를 수집할 경우에는 대상 정보처리시스템으로부터 사용자를 격리하여 시스템 강제종료 등 임의적인 조작행위를 방지하여야 한다.
2. 압수, 수색, 검증 대상 정보처리시스템이 네트워크에 연결되어 있고 압수수색대상자가 네트워크로 접속하여 저장된 자료를 임의로 삭제할 우려가 있을 경우에는 네트워크 연결 케이블을 차단하여야 한다.
3. 디지털 기기를 압수, 수색, 검증하거나 디지털 자료를 수집할 경우에는 대상 정보처리시스템 내의 링크파일의 등록정보를 확인하는 등으로 휴대용 디지털 저장매체의 사용여부를 확인하고 그 사용 흔적이 발견된 경우에는 해당기기의 식별 값(Volume sertial Number)을 특정하고 이를 압수할 수 있도록 현장에서 직절한 조치를 취하여야 한다.
4. 디지털기기를 압수, 수색, 검증하거나 디지털 자료를 수집하는 현장에서 분석을 실시하는 경우에는 쓰기방지장치를 사용하는 등으로 그 자료가 변경 또는 훼손되지 않도록 하여야 한다.
5. 디지털기기를 압수, 수색, 검증하거나 디지털 자료를 수집하는 현장에서는 징보처리시스템이나 프린터기 등의 임시 메모리(RAM, Cache Memory)에 기록된 디지털 자료에 대하여도 확인하고 필요한 경우에는 메모리 덤프(dump) 등의 적절한 방법을 사용하여 이를 수집하여야 한다.
6. 수사목적상 정보처리시스템의 사용자를 특징하는 것이 필요한 경우에는 해당 정보처리시스템의 마우스, 키보드 등에서 지문을 채취하는 등 다른 수사방법으로 조치를 취한 후 정보처리시스템을 압수, 수색, 검증하여야 한다.
제 11조 (압수물의 관리 및 인수인계)
압수한 디지털기기 등은 각 품목별로 별지 제 5호 서식에 따라 관리하고, 이를 인수인계할 경우에는 별지 제 6호의 서식에 따라 인수인계표를 작성하여야 한다.
제 3장 디지털 증거의 분석
제 12조 (디지털 포렌식 수사관에 의한 분석)
수집된 디지털 자료의 분석은 디지털포렌식수사관이 하여야 한다. 다만, 부득이한 경우에는 디지털포렌식수사관의 도움을 받아 대검찰청에서 실시한 디지털 증거 압수, 수색 실무교육을 받은 직원이 이를 대신할 수 있다.
제 13조 (분석 방법)
1. 수집된 디지털 자료의 분석은 분석에 적합한 장비와 소프트웨어를 갖추고 신뢰할 수 있는 방법으로 하여야 한다.
2. 수집된 디지털 자료를 분석할 경우에는 사본을 작성하여 그 사본으로 분석하여야 한다. 다만, 사본을 만들기가 현저히 곤란한 경우에는 원본으로 분석할 수 있으며, 이 경우에는 윈본이 변경, 훼손되지 않도록 기술적 조치를 취하고 기술적 조치에 관한 사항 및 원본의 변경여부 등을 분석보고서에 기재하여야 한다.
3. 제 2항의 사본을 작성할 때에는 보존용 사본(이하 '보존사본'이라 한다.)과 분석용 사본(이하 '분석사본'이라 한다.)을 작성하여야 하며, 해시 값과 그 생성시간을 분석보고서에 기재하여야 한다.
4. 데이터베이스(DB) 형태의 디지털 자료를 분석할 경우에는 '데이터베이스 분석 내역서'를 작성하여 분석에 이용된 데이터베이스, 테이블, 칼럼이름 및 용도 등 소정의 사항을 기재하여야 하며, 분석과정에서 작성된 질의어(SQL), 프로시저(PLSQL Procedure, Stored Procedure 등)에 대한 상세설명을 소스 코드(Source Code)와 함께 첨부하여야 한다.
5. 수집된 디지털 자료를 분석할 경우에는 분석과정을 사진으로 촬영하는 등 객관성 유지에 필요한 조치를 취하여야 한다.
제 14조 (분석 보고서 작성)
1. 수집된 디지털 자료에 대한 분석을 종료한 때에는 별지 제 7호 서식에 따라 분석보고서를 작성한다.
2. 디지털 자료를 분석하는 과정에서 새롭게 획득하거나 생성된 자료가 있는 경우에는 그 자료의 사본을 CD, DVD, 하드 디스크 등 디지털 저장매체에 저장하여 분석보고서에 첨부할 수 있다.
제 15조 (디지털 자료의 보존)
1. 디지털수사담당관 또는 각 지방 디지털포렌식팀 지휘 검사 (이하 '디지털수사담당관 등'이라고 한다.)는 제 13조 제 3항의 보존사본과 제 14조 제 2항의 분석과정에서 획득하거나 생성된 자료를 항온항습 및 무정전시스템이 설치된 장소에 보존하여야 한다.
2. 제 1항의 보존사본과 분석과정에서 획득하거나 생성된 자료는 기록폐기 시까지 보존하는 것을 원칙으로 한다. 다만, 디지털수사담당관 등이 보존할 가치가 없다고 판단한 자료는 기록폐기전이라도 이를 폐기할 수 있다.
제 4장 디지털 증거의 수집, 분석 지원 요청
제 16조 (지원 요청)
1. 특징사건의 주임검사 또는 수사관(이하 "주임검사 등"이라 한다)은 수사 또는 공소유지 등을 위하여 필요한 경우 디지털수사담당관 등에게 다음 각 호의 지원을 요청 알 수 있다.
| 1. 디지털 기기의 압수, 수색, 검증 또는 디지털 자료의 수집 2. 디지털기기 또는 디지털 자료의 분석 3. 디지털기기의 수리 4. 제 1호 내지 제 3호와 관련된 법정 증인 |
2. 제 1항의 지원을 요청할 경우에는 별지 제 8호, 제 8호의 2, 제 8호의 3, 제 8호의 4, 제 8호의 5 서식에 해당하는 '지원 요청서'(이하 '요청서'라 한다.)를 작성하여 송부하여야 한다. 다만, 긴급을 요하는 경우와 보안을 요하는 경우에는 구두 또는 전화로 요청할 수 있으며, 이 경우에는 사후에 요청서를 송부할 수 있다.
3. 제 1항 제 2호 또는 제 3호의 지원을 요청할 경우에는 디지털 자료가 저장된 디지털 기를 우송 기타 적절한 방법으로 디지털수사담당관 등에게 송부하여야 한다.
제 17조 (지원 요청의 접수와 관리)
1. 디지털수사담당관은 별지 제 9호의 서식에 따라 수사지원요청 및 처리현황을 데이터베이스 형태로 관리한다.
2. 디지털수사담당관 등은 제 16조 제 1항의 지원을 요청받은 경우에는 즉시 지원의 타당성과 필요성을 검토하여 지원 여부를 결정하여야 한다.
제 18조 (지원 방법)
1. 디지털수사담당관 등은 제 16조 제 1항의 지원을 할 경우에는 디지털기기 등의 유형과 규모에 따라 적합하고 충분한 인원의 디지털포렌식수사관을 지정하여 지원하여야 한다. 다만, 주임검사 등과 지원의 시기와 규모를 협의할 수 있다.
2. 제 1항에 의하여 디지털포렌식수사관이 요청 받은 검찰청에 직접 출장하여 지원하는 경우에는 지원 종료 시 디지털수사담당관 등에게 보고 한 후 지체 없이 복귀하여야 한다.
제 19조 (분석결과 통보)
1. 디지털수사담당관 등은 수집된 디지털 자료의 분석을 종료한 때에는 분석결과를 주임검사 등에게 통보하여야 한다. 다만, 디지털포렌식수사관이 지원을 요청한 검찰청에서 분석을 종료하고 분석보고서를 주임검사 등에게 직접 제출한 경우에는 이를 생략할 수 있다.
2. 디지털수사담당관 등은 분석 대상물을 수령 한 때로부터 10 일 이내에 분석 결과를 해당 주임검사 등에게 통보해야 한다. 다만 부득이한 경우 그 주임검사 등에게 중간 통지를 하고 분석통보기간을 10일 연장할 수 있다.
제 20조 (디지털기기 등의 반환)
디지털수사담당관 등은 수집된 디지털 자료의 분석을 종료한 때에는 주임검사 등에 게 분석대상이 된 디지털기기를 수령해 가도록 통지하여야 한다.
제 21조 (정보보고)
주임검사 등이 제 16조 제 1항의 지원을 받은 사건에 관하여 정보보고를 할 때에는 수신처에 대검찰청 디지털수사담당관을 기재하여야 한다.
부칙
제 1조 (시행일)
이 규정은 2006. 11. 21. 부터 시행한다.
제 2조 (다른 지침의 폐지)
종전의 컴퓨터 등 압수수색 기본지침(대검 61100-284호, 2003. 8. 11.)은 이 규정의 시행과 동시에 폐지한다.
부칙 (2008. 12. 17.)
이 규정은 2008. 12. 17. 부터 시행한다.