삭제 후 복구된 디지털 파일의 증거능력 인정을 위한 복구 절차 개선방안 연구
A Study on the Improvement of Recovery Procedures for Recognizing Evidence of Digital Files Recovered after Deletion
- 주제어 (키워드) 디지털포렌식 , 증거능력 , 삭제 , 복구 , 절차 , 개선방안
- 발행기관 서강대학교 정보통신대학원
- 지도교수 최재승
- 발행년도 2023
- 학위수여년월 2023. 8
- 학위명 석사
- 학과 및 전공 정보통신대학원 정보보호
- 실제 URI http://www.dcollection.net/handler/sogang/000000076482
- UCI I804:11029-000000076482
- 본문언어 한국어
- 저작권 서강대학교 논문은 저작권 보호를 받습니다.
초록 (요약문)
현재 수사 또는 조사를 위해 디지털 증거를 수집하는 다양한 기관이 있다. 이 기관들은 모두 디지털포렌식 방법 및 절차와 관련된 규정 등을 상세하게 제정하여 적용하고 있는데, 이러한 디지털 증거 수집은 대부분 실제로 파일시스템에 존재하는 파일을 수집하는 것에만 초점이 맞춰져 있고, 삭제된 파일을 복구하여 이를 수집하는 것에 대해서는 명확하게 규정되어 있지 않은 것이 대부분이기 때문에 절차적인 문제가 발생할 수 있다. 다만, 발생할 수 있는 문제점들이 현재는 크게 문제가 되지 않고 있지만, 최근 법원의 증거능력 판단의 변화 추이는 기존에 문제없이 진행하던 절차에 대해 증거의 수집과 관련한 문제가 있는지를 더욱 엄격하게 판단하는 방향으로 변화하고 있다. 따라서, 본 논문에서는 삭제 후 복구된 디지털 파일의 증거능력 인정을 위해 디지털 증거의 진정성(원본성, 동일성, 신뢰성)을 담보하기 위한 연구를 수행한다. 먼저 복구 도구의 신뢰성을 위해 디지털 파일 복구 테스트를 수행하고, 복구된 디지털 파일의 동일성을 위해 디지털 자료 수집부터 복구 완료까지 지켜야 하는 절차에 대한 개선방안을 연구하도록 한다. 위와 같은 연구 결과, 디지털 자료 수집 시 반출 확인서를 작성하고, 복구 시에는 복구 통보 및 참여권 고지 절차를 마련하고, 디지털 파일 복구 도구는 일부 발생할 수 있는 오류를 분류하기 위해 적어도 2개 이상의 도구로 중복 검사를 진행하는 절차를 마련하고, 복구 완료 시 복구 보고서를 작성하는 절차를 마련하도록 전체적인 절차를 개선하였다. 복구된 디지털 파일의 증거능력 인정에 대해서는 앞으로도 문제가 발생할 여지가 있다. 따라서, 증거능력 인정 요건과 관련된 더 많은 연구가 필요하다.
more초록 (요약문)
Currently, there are various organizations that collect digital evidence for investigations or investigations. All of these organizations have detailed regulations related to digital forensic methods and procedures, which can cause procedural problems because most of them focus only on collecting files that actually exist in the filesystem, and there are no clear regulations for recovering and collecting deleted files. Therefore, this paper conducts a study to ensure the authenticity of digital evidence in order to recognize the evidentiary capacity of digital files recovered after deletion. First, a digital file recovery test is conducted for the reliability of the recovery tool, and for the identity of the recovered digital file, an improvement plan for the procedure that should be followed from the collection of digital data to the completion of recovery is studied. As a result of the above study, the overall procedure was improved to include the creation of a release form when collecting digital materials, a procedure for notification of recovery and notification of the right to participate when recovering, a procedure for digital file recovery tools to perform redundant checks with at least two tools to categorize some possible errors, and a procedure for creating a recovery report upon completion of recovery. The admissibility of recovered digital files may continue to be an issue. Therefore, more research is needed on the requirements for admissibility.
more