공정거래위원회는 ‘공정거래위원회 조사 절차에 관한 규칙(고시 제2016-1호, 2016년 2월 4일 제정)’에 규정된 포렌식 관련 조항을 전면 개편한 ‘디지털 증거의 수집·분석 및 관리 등에 관한 규칙(이하 포렌식 고시)’과 이를 구체화하는 3가지 예규를 각각 제정해 동시 시행한다.
검·경찰, 국세청, 공정위 등 공공기관에서만 주로 활용되던 디지털포렌식 분야가 기업의 기술 유출과 해킹 사고 조사를 위한 기법으로 주목받고 있다. 기업들의 기술 유출 피해가 눈덩이처럼 불어나면서 유출 피해를 입증하기 위한 증거를 수집할 수 있는 디지털포렌식의 활용도가 높아졌기 때문이다.
지금 횡령이나 업무상 배임, 비자금 조성, 위탁업체 부정선정, 카드깡 등 기업의 부정행위 일체를 조사하는 데도 유용하다.
그런데 디지털 발자국 즉 디지털 증거는 다음과 같은 특성들을 갖고 있기 때문에 대단히 신중하게 다뤄져야 한다.
첫째, 무체정보성.
디지털 정보는 0과 1로 조합된 데이터로서 형체를 가지고 있지 않다.
둘째, 비가시성 또는 비가독성.
디지털 데이터 자체는 우리가 육안으로 인식하는 것이 불가능하다. 하드디스크를 꺼내 들여다본다고 그 안에 담긴 정보를 읽을 수 있겠는가. 우리가 모니터에 나타난 문장을 읽거나 그림을 볼 수 있는 이유는 장치관리자나 입출력 관리자, 그리고 입출력 기기의 도움이 있기 때문이다.
셋째, 대량성.
저장매체 용량의 증가로 대량의 정보가 저장, 유통되어 '빅데이터'라는 용어가 만들어질 정도다.
넷째, 변조용이성.
디지털 정보는 지극히 간단한 조작만으로 위, 변조 및 삭제, 변경이 가능하다.
다섯째, 초국경성.
오늘날 인터넷의 발달로 인해 데이터의 영향 범위가 국경을 초월하는 일이 비일비재하다.
위와 같은 여러 특성들은 디지털 정보가 근본적으로 '불연속적'인 정보(clock 단위로 잘라 0과 1의 신호로 계수화)로서 자연상태의 정보를 규격화된 '수치'(0과 1)로 매긴 것이기 때문에 나타나는 현상이다. 연속적인 정보이자 자연상태의 정보인 아날로그(Analog) 정보와 달리, 디지털 정보는 단절적이고 불연속적이기 때문에 위와 같은 특성들이 나타난다.
역할 : 디지털 증거('Digital evidence')의 특성들을 감안해 범죄나 부정행위의 흔적을 찾아, 원본의 '동일성'을 유지한 채 법정까지 가지고 가(무결성, 연계보관성) 궁극적으로 법정에서 '증거능력' 있는 증거로 인정받도록 하는 게 사이버 포렌식의 역할
현장보존 : 사이버 포렌식에서도 로카르드의 법칙(Locard's Principle : '접촉하는 두 개체는 서로의 흔적을 주고받는다.'는 법칙)은 유효하다. 살인사건의 현장이 혈흔, 흉기, 지문, 족적, 루미놀 반응, 미세증거 등 '증거의 보고(寶庫)'이듯, 사이버 세계에서도 현장보존이 생명이다.
예방/위기관리: 법률위험 역시 예방이 최고다. 가능하면 피어슨과 미트로프가 제시한 단계 위기 감지, 2단계 대비 및 예방 단계에서 법률위험을 예방하는 게 최선일 것이다.
