CONTENTS
- 1. 디지털포렌식이란?
- 2. 디지털포렌식 수사 절차
- - ① 증거수집
- - ② 데이터 분석
- - ③ 보고서 작성
- 3. 디지털포렌식 증거 능력
- - 디지털포렌식 복구 범위
- 4. 디지털포렌식 실무 활용 포인트
- - 증거 보존 시 유의사항
- - 디지털포렌식 실제 활용 사례
- - 디지털포렌식 복구의 한계
- 5. 디지털포렌식 전문가 조력이 필요한 이유
- - 디지털포렌식 Q&A
1. 디지털포렌식이란?
디지털포렌식(Digital Forensics)은 전자적 데이터나 디지털 기기에서 증거를 수집하고 분석하는 과정입니다.
디지털포렌식은 범죄 사건에서 중요한 역할을 하며, 사이버 범죄, 해킹, 데이터 유출 등 다양한 상황에서 활용됩니다.
디지털포렌식을 단순히 데이터복구로 생각하실 수 있지만, 데이터 복구만이 포렌식은 아니고 법정 증거 자료로 사용하기 위한 데이터 복구를 디지털포렌식이라고 합니다.
2. 디지털포렌식 수사 절차
디지털포렌식 수사 절차는 크게 세 단계로 나눌 수 있습니다.
증거 수집 > 데이터 분석 > 보고서 작성 |
① 증거수집
증거수집에서는 모바일기기 등 분석할 전자기기를 전달받아 전체 데이터를 하나의 큰 형태의 이미지 파일로 만듭니다.
예를 들어, 128GB 용량의 모바일 기기를 수집하는 데는 보통 2-3시간이 소요됩니다.
하지만 모바일의 종류(ex. 갤럭시, 아이폰), 설치된 앱의 종류, 저장된 데이터의 양에 따라 수집 시간이 달라질 수 있습니다.
② 데이터 분석
수집 단계에서 생성된 데이터(이미지 파일)를 디지털포렌식 프로그램을 통해 사람이 볼 수 있도록 정제하는 과정입니다.
이 과정에서는 삭제된 데이터 등을 복구를 시도하거나 각종 앱을 분석하고 압축을 풀고 데이터를 가공합니다.
마찬가지로 분석의 소요시간도 데이터의 양과 종류에 따라 달라집니다.
③ 보고서 작성
분석된 데이터를 바탕으로 사건에 필요한 정보를 찾는 과정은 사건과 관련 없는 수많은 데이터 속에서 필요한 정보를 선별하는 작업입니다.
예를 들어, 50만 장의 사진이나 대화 내용 중에서 증거로 사용할 수 있는 중요한 부분만을 찾아내야 하므로 검토 과정에 몇 주가 소요될 수 있습니다.
이러한 선별 작업을 통해 사건 진행에 필수적인 데이터를 증거로 활용할 수 있습니다.
3. 디지털포렌식 증거 능력
디지털포렌식 결과가 증거 능력을 갖추기 위해서는 반드시 세 가지 조건을 갖춰야 합니다.
바로 진정성, 무결성, 그리고 신뢰성입니다.
대법원도 ‘일심회 사건’에서 위 세 가지 요건이 충족했을 때 증거 능력을 인정할 수 있다고 판시한 바 있습니다.
하지만 실제 수사 과정에서 디지털포렌식 전문가가 아닌 일반 수사관이 증거를 수집하거나 분석하는 경우가 종종 있습니다.
이럴 경우, 과정 상 실수가 발생해 증거의 무결성이 훼손될 위험이 있습니다.
무결성이 깨진 증거는 실제 내용이 진실과 부합하더라도 법정에서 증거로 인정되지 않을 수 있습니다.
따라서 디지털포렌식이 필요한 상황이라면 반드시 전문가의 도움을 받아 정확하고 신뢰할 수 있는 방식으로 진행하는 것이 중요합니다.
디지털포렌식 복구 범위
디지털포렌식을 시도한다고 무조건 삭제된 데이터가 복구되는 것은 아닙니다.
삭제처리된 데이터중 복구가 가능한 데이터에 한하여 복구가 진행되며 대륜 디지털포렌식센터는 이러한 데이터들을 정밀하게 분석하여 최대한 많은 데이터가 복구될 수 있도록 디지털포렌식을 수행합니다.
▶모바일 기기에 시도할 수 있는 디지털포렌식
-문자메시지(SMS), 카카오톡·텔레그램 등 메신저 대화 내역
-통화 기록, 주소록, 일정
-사진·영상 파일(삭제된 데이터 포함)
-GPS 위치 정보, 앱 사용 로그
-비밀 대화방·삭제된 대화 복원(단, 기종·OS 버전에 따라 한계 존재)
▶컴퓨터 및 저장매체에 시도할 수 있는 디지털포렌식
-삭제된 문서, 사진, 영상 복구
-USB, SD카드, 외장하드 등 저장장치 분석
-인터넷 사용 기록, 이메일 송수신 내역
-파일 생성·수정·삭제 시점(Time Stamp) 추적
▶네트워크 및 온라인 기록에 시도할 수 있는 디지털포렌식
-서버 접속 로그, IP 추적
-토렌트 최초 유포자 특정, 불법 다운로드 내역 확인
-사설 게임 서버 운영 기록, 변조·개조 내역
▶영상·음성 장치에 시도할 수 있는 디지털포렌식
-블랙박스·CCTV 영상 복구 및 삭제 영상 복원
-녹취 파일, 음성 파일 분석(위·변조 여부 확인 포함)
4. 디지털포렌식 실무 활용 포인트
디지털포렌식 실무 활용 포인트에 대해 살펴보겠습니다.
디지털포렌식은 형사사건과 민사사건 모두에서 활용될 수 있습니다.
형사사건에서는 압수수색 영장에 따라 수사기관이 기기와 데이터를 확보한 후 포렌식을 진행합니다.
증거를 통해 방어가 필요한 경우라면 개인 또한 변호사를 통해서 포렌식을 진행할 수 있습니다.
민사사건에서는 증거보전신청을 통해 법원 결정으로 포렌식을 진행하거나, 개인이 변호사를 통해 사전에 증거를 보존·분석할 수도 있습니다.
즉, 기본적인 ‘데이터 복구’가 아니라 법적으로 인정받을 수 있는 방식으로 수집·분석해야 의미가 있습니다.
증거 보존 시 유의사항
포렌식을 의뢰하기 전에는 다음과 같은 점에 주의해야 합니다.
기기 전원을 켜두면 새로운 데이터가 덮어쓰기 되어 기존 증거가 훼손될 수 있습니다.
가능하면 전원을 끄고 보관하는 것이 좋습니다.
파일을 임의로 열어보거나 복구 시도하다가 무결성이 깨지면 법정에서 증거능력이 부정될 수 있습니다.
초기 대응이 늦어지면 로그 기록이나 통신내역이 자동 삭제될 수 있으므로 신속한 포렌식 의뢰가 필요합니다.
디지털포렌식 실제 활용 사례
CASE 1. 디지털포렌식으로 의사 면허 취소 위기 구제한 사례
자격정지 기간 중 병원 전산에서 의사 명의의 처방전이 자동 발행되자 보건복지부는 이를 근거로 면허 취소를 통보했습니다.
그러나 의사는 실제 진료에 전혀 관여하지 않았습니다.
법무법인 대륜은 휴대전화 위치 기록, SNS 게시물, 통화 로그 등 디지털포렌식 분석을 통해 해당 시점 의사가 병원에 없었음을 입증했고, 결국 면허 취소 처분은 철회되었습니다.
전산 기록만으로 의료행위가 인정될 수 있는 상황에서 포렌식 분석이 핵심 방어 수단이 될 수 있음을 보여준 사례입니다.
CASE 2. 디지털포렌식으로 영업비밀 유출 소송 대응
경쟁사로 이직한 엔지니어가 전 회사로부터 영업비밀 유출 혐의로 소송을 제기당한 사건이었습니다.
법무법인 대륜은 디지털포렌식을 통해 아래와 같은 점을 입증했습니다.
-USB 복구: 저장 내역에 핵심 기술 문서는 없고, 공지사항·회의록 등만 존재
-PC 분석: 이직한 회사 PC에 USB 연결 흔적 없음
-이메일·클라우드 조사: 기술 자료 외부 전송 기록 전혀 없음
-로그 확인: 중요 서버·보안 폴더 접근 및 원격 접속 흔적 없음
이를 근거로 의뢰인이 기술을 유출하지 않았음을 효과적으로 반박할 수 있었던 사례입니다.
CASE 3. 디지털포렌식으로 스토킹 증거 확보한 사례
온라인 게임에서 알게 된 남성이 혼인 사실을 알게 된 후 집요하게 스토킹 행위를 이어가자 의뢰인은 고소를 결심했습니다.
문제는 의뢰인이 두려움에 메신저 내역을 모두 삭제했다는 점입니다.
법무법인 대륜은 디지털포렌식을 통해 약 2만 건의 메신저 및 방문 기록을 복구했고 이를 토대로 피의자의 지속적 스토킹을 입증했습니다.
삭제된 기록이라도 포렌식 기술을 통해 복구하면 형사 고소에서 결정적 증거로 활용될 수 있음을 보여준 사례입니다.
디지털포렌식 복구의 한계
디지털포렌식은 삭제되거나 손상된 데이터를 복원해 증거로 활용할 수 있게 해주지만 기술적으로는 분명한 한계가 존재합니다.
첫째, 덮어쓰기 문제입니다.
파일이 삭제된 후 동일한 저장 위치에 새로운 데이터가 기록되면 기존 데이터는 사실상 사라집니다.
일부 흔적만 복원되더라도 원본과 동일하지 않아 증거 능력이 떨어질 수 있습니다.
둘째, 암호화의 장벽입니다.
암호화된 데이터는 암호키나 해독 방식 없이는 접근이 불가능합니다.
따라서 키가 확보되지 않는 한 복구 자체가 어려운 경우가 많습니다.
셋째, 저장 매체의 물리적 손상입니다.
하드디스크 플래터가 긁히거나 반도체 칩에 불량이 발생한 경우 데이터 접근 자체가 제한됩니다.
이때는 전문 장비로 칩을 분리하거나 복제해야 하는데 성공률이 낮고 비용이 많이 듭니다.
넷째, 파일 시스템 손상 문제입니다.
파일 시스템은 데이터의 위치와 구조를 관리하는데 이 정보가 망가지면 복구 소프트웨어가 정확한 위치를 찾지 못해 복구율이 떨어집니다.
마지막으로 시간과 기술적 제약도 한계 요인입니다.
데이터 복구는 매우 오랜 시간이 걸리거나 고도의 장비와 전문 지식이 필요할 수 있으며 현실적으로 비용 대비 효과가 떨어져 불가능하다고 판단되는 경우도 있습니다.
결국 디지털포렌식 복구는 강력한 도구이지만 덮어쓰기·암호화·물리적 손상·파일 시스템 파괴·시간과 기술적 제약이라는 한계로 인해 모든 데이터를 완벽하게 복구하는 것은 불가능할 수 있습니다.
따라서 사건 대응에서는 복구 가능성을 정확히 판단하고 가능한 범위 내에서 신속히 증거를 확보하는 것이 무엇보다 중요합니다.
5. 디지털포렌식 전문가 조력이 필요한 이유
디지털포렌식은 데이터 복구를 넘어 법정에서 증거로 활용될 수 있는 데이터를 확보하고 분석하는 고도의 전문 영역입니다.
따라서 일반 복구업체의 기술만으로는 부족하며 법률적 효력까지 담보할 수 있는 전문가의 조력이 반드시 필요합니다.
법무법인 대륜 디지털포렌식센터는 최첨단 장비를 통해 수준 높은 분석 결과를 확보할 수 있으며, 필요할 경우 협력기관과의 MOU를 통해 추가 장비 지원까지 받을 수 있습니다.
무엇보다 중요한 점은 포렌식 결과가 곧바로 재판 전략으로 연결될 수 있다는 점입니다.
법무법인 대륜은 디지털포렌식센터와 형사·민사 전문 변호사들이 긴밀하게 협업하는 체계를 갖추고 있어 증거 수집 과정에서 발생할 수 있는 무결성 훼손 문제를 예방하고, 분석된 데이터를 사건 성격에 맞게 법적 증거 능력 요건에 맞춰 정리해 법원이나 수사기관에 제출할 수 있는 적법하고 신뢰성 있는 보고서를 완성합니다.
대륜의 협업 시스템은 ‘포렌식 → 법률 분석 → 재판 대응’까지 이어지는 원스톱 솔루션을 제공합니다.
디지털포렌식 Q&A
Q. 디지털포렌식 휴대폰의 경우 얼마나 오랜기간 동안 맡겨야 되나요?
A. 이미지 파일을 만들어 분석과 검토를 진행하기 때문에 수집 시간만 고려하였을 때 128GB 용량의 모바일 기준 2~3시간 정도 소요됩니다.
Q. 디지털포렌식 의뢰하고 싶은데 비밀번호가 몰라도 가능한가요?
A. 모바일의 경우 기기마다 상황이 다릅니다.
예를 들어, 삼성이나 LG의 2018년 이전 폰의 경우 비밀번호 없이 우회해서 접근할 수 있는 경우가 있습니다.
그러나 이후 출시된 모바일은 대부분 비행기 모드나 디버깅 모드를 설정해야 하므로 비밀번호가 필요합니다.
해당 업무사례와 관련된
영상 콘텐츠도 함께 확인하세요.
파일, 기록 지워도 소용❌ 디지털 포렌식으로 전부 찾아낸다
관련 업무분야
더보기
관련 구성원
더보기
