국문요약 13
제1장 서 론 27
제1절 문제제기 27
제2절 연구목적 및 방법 29
제2장 디지털 증거와 컴퓨터 포렌식에 관한 일반적 고찰 31
제1절 디지털 증거의 개념 및 유형 31
1. 디지털 증거의 개념정의 31
2. 디지털 증거의 특성 34
3. 디지털 증거의 유형 39
제2절 컴퓨터 포렌식의 개념 및 필요성 44
제3절 컴퓨터 포렌식에서 디지털 포렌식으로의 전환 46
제4절 디지털 포렌식의 유형과 기본원칙 48
1. 디지털 포렌식의 유형 48
2. 디지털 포렌식의 기본원칙과 일반적 절차 50
3. 일반적인 디지털 포렌식 적용상의 한계 52
4. 국내 디지털 포렌식 기술의 현황 54
제3장 디지털증거 수집 및 분석 기술과 절차 57
제1절 디지털 증거 수집 및 분석 기술 57
1. 활성 데이터 수집 및 분석 기술 57
2. 비활성 데이터의 수집 및 분석 기술 - 디스크의 물리적 복제 62
제2절 디지털 증거 수집 도구 65
1. 소프트웨어 기반 도구 65
2. 하드웨어 기반 도구 69
제3절 디지털 증거 분석 및 조사 기법 71
1. 분석환경의 조성 71
2. 일반 정보 검색 및 은닉 정보 탐색 76
3. 데이터 분석 82
제4장 디지털 증거수집 및 분석절차에 관한 비교 고찰 87
제1절 미국의 NIJ 모델과 RFC3227 87
1. NIJ 모델 87
2. RFC 3227 101
제2절 영국의 ACPO 디지털 증거수집 가이드라인 103
1. 디지털 증거에 대한 기본 원칙 104
2. 데스크 탑과 노트북 컴퓨터 압수․수색 요령 105
3. 압수․수색 물품 108
제3절 한국의 디지털 포렌식 절차 111
1. 경찰의 디지털 증거분석지침 111
2. 검찰의 디지털 증거수집․분석지침 118
제4절 디지털 포렌식 절차에 대한 비교 검토 126
제5장 디지털 증거의 증거능력 확보를 위한 기술적 선결과제 129
제1절 디지털 증거수집 및 분석도구의 검증 129
1. 디지털 포렌식 도구의 유형 129
2. 디지털 포렌식 도구 검증의 필요성 130
3. 미국 NIST(National Institute of Standards and Technology)
컴퓨터 포렌식 도구 검증 프로젝트 130
4. CFTT와 NIJ의 컴퓨터 포렌식 도구 평가 보고서 132
제2절 디지털 증거의 무결성 보증 매카니즘 139
1. 무결성 보증을 지원하는 보안모델 140
2. 무결성 확보를 위한 디지털 증거 관리 매카니즘 143
제3절 디지털 증거의 무결성 보증을 위한 제안 149
1. 디지털 인증 프로토콜 149
2. 무결성 보장이 강화된 디지털 증거 수집절차의 제안 161
제6장 디지털 증거의 증거능력을 위한 검증기준 173
제1절 디지털 증거의 허용성에 관한 법적 판단기준 173
1. Frye Test 175
2. Frye-Plus Test 182
3. Relevancy Test(McCormick Test) 184
4. Daubert Test 189
5. 소결 193
제2절 디지털 증거의 신뢰성 판단을 위한 기준 194
1. 디지털 증거의 신뢰성 194
2. 디지털 증거의 신뢰성 판단 기준 195
제7장 디지털 증거의 증거능력에 관한 비교법적 고찰 201
제1절 디지털증거의증거능력에관한 외국의 입법경향 201
제2절 디지털 증거의 증거능력에 관한 외국의 입법례와 관련
판례 202
1. 캐나다의 Uniform Electronic Evidence Act와
e-Evidence Standards 202
2. 영국의 PACE S.69와 전자증거모델법초안 212
3. 비교법적 검토 221
제8장 현행 증거법상 디지털 증거의 증거능력에 관한 논의의
한계와 입법론적 제언 225
제1절 디지털 증거에 대한 전문법칙의 예외가능성 225
1. 디지털 증거에 대한 전문법칙적용의 한계 225
2. 전문증거로서 디지털 증거의 예외적 허용가능성 228
제2절 디지털 증거의 증거능력요건으로서 진정성 230
1. 비전문증거로서 디지털 증거의 증거능력 230
2. 진정성요건의 도입검토 231
제3절 디지털 증거의 증거능력에 관한 입법론적 제언 233
참고문헌 237
영문요약 243
1. 정보화사회가 고도화되면서 디지털 정보는 정보보존 보조수단이 아니라 정보의 생산․ 전달․열람․공유․저장 등의 작업에서 핵심위치를 차지하고 있다. 미국 버클리대학의 한 연구에 의하면 세계에서 생성되는 정보의 약 90% 이상이 디지털 형태로 만들어지고 있다고 한다. 이와 같이 과학기술에 있어서의 급격한 변화는 법에 있어서의 변화의 필요성을 강력하게 제기하고 있다. 즉 물리적인 증거의 수집과 증인의 증언이 디지털 증거의 수집으로 대체됨으로써 컴퓨터와 관련한 수사는 압수와 수색의 전통적인 매커니즘을 상당히 상이한 형태의 실시간 감시와 새로운 형태의 포렌식 분석으로 대체해가고 있다. 또한 디지털 증거의 특성상 쉽게 변조․삭제될 수 있으며, 작은 데이터의 변화만으로도 결과적으로 상이한 결론에 이를 가능성이 있는 변동이 발생할 수 있기 때문에, 디지털 증거의 무결성을 확보하여 증명력을 갖출 수 있는 특별한 절차와 기술을 필요로 하는 것이다. 이와 같이 디지털 증거의 압수․수색을 용이하게 하고, 압수한 디지털 데이터를 효율적으로 검색하고 분석하여 법원에 적법한 증거로 제출하기 위해 필요한 것이 디지털 증거분석도구이며, 이를 연구하는 분야를 디지털 포렌식이라 한다.
따라서 본 연구는 급속히 확대되고 있는 정보통신망관련 범죄에 대한 증거자료를 확보하고, 이를 체계적으로 분석하는 기술인 디지털 증거분석도구 기술에 대한 필요성과 이해를 넓힘과 아울러 우리 현실에 적합한 디지털 증거분석도구가 무엇인가를 살펴봄으로써, 정보화의 역기능을 방지함과 아울러 디지털 증거를 형사절차상 유효한 증거자료로 활용할 수 있는 방안을 마련하고자 하는데 목적을 두고 있다.
2. 초기 컴퓨터 포렌식은 법집행기관에서 컴퓨터기기를 중심으로 압수․수색하는 문제와 압수된 기기로부터 잠재적 증거를 발견하는 것에 중점을 두고 연구되기 시작했다. 이러한 연구경향은 1998년도에 들어오면서 디지털 증거 자체에 주목하기 시작했고, 연구중점도 매체나 출력물에서 본래 소스인 디지털 증거에 주목하게 되었다. 따라서 명칭도 전자증거에서 디지털 증거로 변화되었으며, 이를 연구하는 학문분야도 컴퓨터 포렌식 대신에 디지털 포렌식으로 변화되었다. 이후 2001년 8월 컴퓨터 포렌식 전문가들이 뉴욕주 유티카에서 ‘디지털 포렌식 연구 워크샾’을 개최하면서 정식으로 디지털 포렌식이란 용어가 사용되기 시작했다. 즉 디지털 포렌식이란 ‘디지털 소스로부터 디지털 증거를 보존․수집․증명․식별․분석․해석․기록․제출하기 위하여 과학적으로 이끌어내고 증명하는 방법’으로 정의된다.
디지털 포렌식에 있어서는 준수되어야 할 세 가지 기본원칙이 있다. 첫째는 디지털 증거의 원본을 절대적으로 보존하기 위해 수집 및 분석 등 증거분석절차에서 발생 가능한 변경을 방지하고 원본 사용을 통제하는 한편, 무결성을 증명하는 조치가 병행되어야 한다는 것이다. 둘째는 디지털 증거분석도구의 신뢰성 확보를 위해서 신뢰성이 검증된 분석 장비와 소프트웨어를 사용하고 공개된 알고리즘을 사용하여 증거가치를 확보해야 한다는 것이다. 마지막으로 셋째는 반드시 디지털 증거 원본을 확보하되 증거분석의 모든 과정을 상세히 기록해야 하며, 증거수집시에도 가급적 입회자를 확보하여 신뢰성을 확보해야 한다는 것이다. 이를 일반적으로 보관의 연속성(Chain of Custoy)이라 한다.
디지털 포렌식 관련 기술은 크게 데이터 복제기술․복구기술․분석기술로 구분할 수 있는데, 이러한 기술들은 합법적이고 투명한 방법으로 구현되어야 하고, 분석된 범죄의 증거가 원본과 동일함을 증명할 수 있는 기술이 필수적으로 뒷받침되어야 한다. 최근의 디지털 포렌식 도구들은 이러한 기술들을 통합적으로 제공하고 있는데, 국내에서 가장 많이 사용되는 도구로는 EnCase, Final Data, Safeback, FTK 등이 있다. 그러나 국내에서는 아직까지 일관성 있는 포렌식 모델이나 표준절차가 마련되지 못하고 있을 뿐만 아니라 포렌식 기술이나 도구에 대한 신뢰성 있는 검증도 이루어지지 않고 있다.
3. 시스템 및 각종 전자기기의 상태는 작동 여부를 기준으로 운영을 중단하고 전원을 차단한 종료 상태와 운영 중인 활성 상태 두 가지로 구분할 수 있다. 디지털 증거 수집 관점에서 시스템이 작동 중에 있는 경우를 활성 상태라 하며, 활성 상태에서만 획득할 수 있는 휘발성 정보를 활성 데이터(Live Data)라 한다. 이러한 활성 데이터 수집용 명령어 및 도구는 현재 동작하고 있는 활성 시스템의 실시간 운영 상태에 대한 기록을 수집하므로, 주로 해킹과 같은 정보보호 침해사고 사건 특히 피해 시스템에서 주로 사용된다. 활성 데이터 수집은 현장에서 즉시 수집됨과 동시에 분석이 실시되어야 하는 필요성이 있다. 따라서 수집 증거의 무결성을 확보하는 완벽한 증거 확보 보다 빠른 대응을 통해 가능한 한 많은 단서를 포착하는 것이 중요하다. 일선 수사기관에서 정보보호 침해사고를 수사할 때 사고현장에서 수집된 각종 활성 데이터는 법정에서 쓰이는 결정적인 증거로 활용되기 보다는 정황 증거로 사용되며, 대부분은 용의자의 신병을 확보하거나 범죄 시나리오를 유추하기 위한 단서로 활용되는 것이 일반적이다.
한편 정보화기기에 저장된 비활성데이터를 수집 및 분석을 위해서는 수집된 하드 디스크를 분석 컴퓨터에 직접 연결 후 조사/분석 과정을 실시하면 증거물이 물리적․논리적으로 손상되거나 변조될 우려가 있기 때문에, 하드 디스크와 완벽히 같은 사본 파일을 작성하고 그 파일을 사용해 조사 분석을 실시하게 되는데, 이런 사본 파일을 만드는 과정을 이미징(Imaging)이라고 한다. 디스크 이미지는 숨김/임시파일/손상/삭제 파일의 잔여 정보가 그대로 존재하므로, 원본 디스크를 직접 연결하지 않고도 포렌식 분석을 실시할 수 있으므로 원본 증거를 보호할 수 있는 장점을 제공한다. 또한 디스크 이미징 작업 후에 원본 디스크와 획득된 디스크 이미지를 해쉬 및 오류 검증 코드 값을 확인하여 1bit도 틀리지 않게 수집 하였는지 확인을 하게 되는데, 이 과정은 정확한 증거 수집을 확인하는 기능 외에도 디지털 증거의 무결성을 제공하는 기능을 가지고 있다. 앞에서 설명한 활성 데이터 수집으로 획득된 디지털 증거는 사건 수사의 단서로 사용되는 반면, 디스크의 물리적 복제로 수집된 디지털 증거는 법정에서 증거로 사용되는 예가 많다.
디지털 증거를 분석하는 단계에서 가장 먼저 실시해야 할 작업은 수집된 디지털 증거를 분석 가능한 상태로 만드는 것이다. 이를 위해 수집된 디지털 증거의 상태․사건의 성격에 맞추어, 저장매체 및 파일 시스템 복구․브라우징․파일복구를 실시하고 최종적으로 데이터를 열람할 수 있는 상태로 만들어야 한다. 입수된 증거를 디렉터리 또는 파일 단위로 분석할 수 있게 준비가 되었다면, 범죄 관련 증거나 단서를 검색 및 탐색하는 과정을 거치게 된다.
대용량의 하드디스크 내에는 많은 수의 파일들이 존재하기 때문에 모든 파일들을 대상으로 검색을 실시한다면 많은 시간이 소요된다. 조사/분석에 소요되는 시간을 단축시키기 위해서는 잘 알려진 파일은 검색 대상에서 제외하고, 주목해서 검색할 대상을 선정하여 검색 범위를 축소하고, 조사의 우선순위를 부여하는 것이 중요하다. 이러한 기능을 제공하는 검색 기술 중 하나가 Hashed Search로서, 준비된 참조 데이터 셋을 사용하여 조사 분석 대상을 식별하는 기술이다. 은닉 정보 검색을 위해서는 용의자가 의도적으로 숨긴 정보를 식별하고 가독성 있는 형태로 변환하는 기술이 필요하다. 따라서 NTFS Stream․파일 포맷의 미사용 부분 활용․암호화 등을 통하여 일반적인 방법으로 열람할 수 없도록 은닉된 범죄 정보를 찾아내어 원래의 정보로 변환할 수 있어야 한다.
4. 디지털 증거 수집 및 분석절차와 관련하여 비교법적으로 검토해 볼 수 있는 것으로는 미국의 NIJ 모델과 RFC 3227, 영국의 ACPO 디지털증거수집 가이드라인, 우리나라 검찰과 경찰의 디지털 증거분석지침 등이 있다. 먼저 미국의 NIJ 모델은 NIJ가 정부 법집행기관 포렌식 전문가․변호사․학자 등이 참석하여 ‘디지털증거분석 기술실무팀(Technical Working Group for the Examination of Digital Evidence :TWGEDE)’을 만들고, 이들이 만들어낸 보고서를 바탕으로 최종적으로 2004년 4월 ‘디지털증거분석 지침(Forensic Examination of Digital Evidence : A Guide for Law Enforcement)’을 통해 포렌식 절차의 모델을 제시하고 있다. 2002년 2월 제안된 RFC 3227은 디지털 증거 수집에 대한 기준을 제시하였다는데 의미가 있다. 그러나 각 단계별 세부절차가 없기 때문에 디지털 증거수집현장에 바로 적용할 수 없는 한계가 있다. 한편 영국은 ACPO(Association of Chief Police Officers) Computer Crime Working Group에서 선출된 대표들이 디지털 증거의 압수․수색 그리고 조사를 위한 Good Practice Guide for Computer based Electronic Evidence라는 이름의 디지털 증거 수집 가이드를 최초로 입안하고 이후 지속적으로 발전시켜 왔으며, 이를 디지털 증거 수집에 대한 모범 지침으로 삼고 있다. 특히 이 문서는 피해 시스템 최초 대응자․수사관․증거 복구 인원․외부 증거 자문 등을 위해 작성되었다. 이 지침서는 영국내의 모든 경찰청에 의해 사실상 채택되어질 것이라는 보장되었기 때문에 매우 성공적인 것으로 입증되었다. 이는 디지털 증거의 무결성 확보를 위한 기술적이고 구체적인 내용을 포함하고 있지 않음에도 불구하고 디지털 증거에 대한 기본 원칙 제시․다양한 환경에서의 증거 수집․분석․복구 등의 직책별 임무 등을 명시하고 있고, 그 내용이 최신 경향에 맞추어 꾸준히 갱신되고 있기 때문에 디지털 포렌식 이론․실제를 막론하고 널리 참조되고 있다. 한편 우리나라 검찰과 경찰이 수사실무에서 활용하고 있는 디지털 증거 분석지침은 양자간에 약간의 차이가 있다. 먼저 경찰의 디지털 포렌식 지침은 수사실무를 담당하고 있는 입장에서 마련한 것이어서 실제 수사상황에서 맞닥뜨릴 수 있는 구체적인 상황을 토대로 한 압수․수색 지침에 중점을 두고 있는 반면에, 검찰의 디지털 포렌식 지침은 현장조사 보다는 압수․수색 이후의 조사 분석 절차와 법적 절차에 보다 중점을 두고 있다.
5. 전 세계에 약 150여개 정도의 포렌식 도구가 존재하데, 이 수많은 포렌식 도구 중에서 수사관은 디지털 증거의 법적 효력을 확보하기 위해 정확성․신뢰성․무결성․재현가능성을 보장하는 포렌식 도구를 골라 낼 수 있어야 한다. 이를 위해서는 포렌식 도구에 대한 검증이 필요하다. 즉 포렌식 도구에 대한 검증은 디지털 증거 수집 단계에서는 각종 저장매체․시스템에서 원본 증거를 훼손하지 않고 모든 정보를 수집하는지, 조사․분석 과정에서 정확한 결과를 만들어내는지, 다양한 우발 또는 예외 상황에서도 대처하는 절차가 확립되었는지 등을 확인하여 디지털 증거가 법정에서 증거로 활용할 수 있게 하는데 전제가 되는 요건이다. 포렌식 도구에 대한 검증은 여러 기관들과 의견 조율이 가능하고, 중립성․신뢰성 있는 국가 기관에서 실시해야 하는데, 이에 대한 좋은 예가 미국 NIST의 컴퓨터 포렌식 도구 평가(Computer Forensics Tool Test - CFTT) 프로젝트이다. CFTT 프로젝트에서는 디지털 포렌식 도구가 정확한 결과를 도출하는지 여부를 확인하는 기술적 평가 방법을 개발하고 있다. 개발된 평가 방법들은 주요 포렌식 도구들에게 적용되어, 그 평가 결과를 문서화하여 공개하여 제작사와 각 사법기관에 배포하고 있다. 이 문서는 디지털 증거관련 재판시 배심원들에게 배포되어 검사․변호사들은 공신력 있는 기관인 NIST가 인정한 디지털 포렌식 도구로 획득된 디지털 증거임을 강조하여 법적 효력을 가질 수 있음을 주장하는데 사용된다.
디지털 증거는 변경․삭제․손상이 아주 용이하기 때문에 최초에 수집된 증거가 저장된 매체에서 법정에 제출되기까지 변경이나 훼손이 없었다는 입증 즉 무결성의 입증이 요구된다. 즉 디지털 증거에 대한 조사분석 과정에서 야기될 수 있는 변경 내지 훼손 가능성을 배제하기 위해서는 이에 대한 특별한 주의와 그 처리과정에 대한 절차적 입증이 반드시 필요하다. 이와 같은 무결성 확보를 위한 디지털 증거관리 매카니즘으로 활용될 수 있는 것으로는 해쉬 알고리즘과 오류검증 알고리즘이 있다. 해쉬(Hash) 알고리즘은 데이터 무결성 및 메시지 인증 등에서 사용할 수 있는 함수로써 임의의 길이 bit열을 고정된 길이의 출력값인 해쉬 코드로 압축시키는 함수이며, 암호학적 응용에 사용되는 대부분의 해쉬 함수는 강한 충돌 저항성을 지닐 것이 요구된다. 현재 사용되고 있는 대표적인 해쉬 함수는, 1992년에 Ron Rivest에 의해 개발된 MD5, 1993년에 미국NIST에 의해 개발되었고 가장 많이 사용되고 있는 SHA(Secure Hash Algorithm) 등이 있다. 오류검증 알고리즘은 정보통신에서 주로 사용되는데, 전송 데이터 내에 에러가 있는지 확인하기 위한 방법 중의 하나로, 만약 검증 값이 전송자가 보낸 검증 값과 일치하지 않는다면 오류 및 변조가 존재함을 뜻한다. 가장 쉽게 사용할 수 있는 오류검증 알고리즘은 패리티 비트 검사(Parity bit Check)이며, 가장 많이 사용되는 알고리즘은 순환 잉여 검사(Cyclic Redundancy Check) 또는 체크섬 검사라고도 한다.
대부분의 컴퓨터 포렌식 관련 서적과 문헌들은 이러한 해쉬 값과 CRC 검사체계가 디지털 증거의 무결성을 제공한다고 인정하고 있다. 그러나 이 체계는 디지털 증거를 위조하고자 하는 악의적인 사용자가 원본 저장매체와 디스크 이미지에 접근할 수 있는 경우, MDC 방식을 사용한 디지털 증거를 위조할 수 있는 보안상의 문제점이 존재한다. 이러한 단점을 보완하기 위해 본 연구에서는 디지털 증거인증에 의한 무결성 확보방안을 제안하고자 한다. 즉 디지털 증거의 무결성 확보를 위한 디지털 인증 프로토콜로서 제안할 수 있는 방식으로는 공개키 암호 알고리즘, 전자서명, 공개키 기반구조 등이 있다. 먼저 공개키 암호 알고리즘은 암호화키가 공개되어도 복호화 키가 공개되지 않는다는 점에 특징이 있으며, 이런 성질을 얻기 위해 공개키 암호 알고리즘은 수학적으로 풀기 어려운 문제들에 기반을 두고 설계되었다. 이는 비밀키 암호 알고리즘에 비해 장점이 더 많은데, 자신의 비밀 정보를 상대에게 전할 필요가 없고, 정보의 암호화뿐만 아니라 여러 가지 응용을 쉽게 할 수 있기 때문이다. 다음으로 전자서명은 그 특성상 서명이 개인의 고유한 것이므로 다른 사람에 의해 같은 서명이 생성될 수 없고, 서명의 확인은 원하는 사람이면 누구나 쉽게 공개키를 획득하여 그 사람이 전자서명한 문서임을 확인해 볼 수 있게 된다. 또한 전자서명은 디지털 정보에 대한 부인봉쇄(否認封鎖)에도 사용될 수 있다. 마지막으로 위의 공개키암호 알고리즘과 전자서명에 활용되는 공개키 이론을 현실에서 활용하기 위해서는 개인키, 공개키 쌍을 만들어 각 개인에게 전달하고, 개인키를 파기한 후 공개키만을 보유하다가 공개키를 요청하는 사용자에게 언제든지 배포하고, 공개키의 소유자의 신분을 확인할 수 있는 믿을 수 있는 제 3의 신뢰 기관이 필요하게 된다. 공개키 기반 구조(Public Key Infrastructure - 이하 PKI)란 이러한 요구사항을 수행하는 공인 인증기관(Certificate Authority - 이하 CA)을 설립하고, CA에서는 인증서를 발급하여 공개키 암호 시스템을 운영하는 구조를 말한다.
이와 아울러 본 연구에서는 디지털 증거수집 무결성 확보절차를 위한 단계별 디지털 증거인증제도 확립을 제안하고자 한다. 즉 디지털증거 인증제도 도입단계에서는 MDC 공개방식의 디지털 무결성 확보방안을 사용하고, 디지털 증거 인증제도 성숙단계에서는 MAC 사용방식의 디지털 무결성 확보방안을 사용하며, 디지털 증거 인증제도 확립 및 고도화 단계에서는 PKI를 이용한 공증방식의 디지털 무결성 확보방안을 사용하는 방식을 제안한다.
6. 앞에서 살펴본 바와 같이 엄격한 적법절차와 기술적인 표준절차에 따라 무결성과 동일성을 유지한 디지털 증거를 확보하였다고 할지라도 그 증거를 법정에서 사용할 수 있는가의 문제는 법적인 판단의 문제이다. 그러나 현재 우리 법제에 있어서는 명시적으로 디지털 데이터 그 자체를 증거로 허용할 수 있는 근거규정이 없으며, 법원도 아직 그에 대한 명확한 판결논거를 제시한 바가 없다. 이와 같이 사법적 승인이나 입법적 승인이 이루어지기 전에 통상 새로운 과학이론이나 응용기술의 타당성 및 신뢰성에 대하여 법정에서 충분한 논의과정을 거치게 되는데, 이때 주로 전문가의 의견이 중요한 역할을 하게 된다. 이러한 전문가의 의견을 토대로 새로운 과학적 증거의 허용성(admissibility)을 판단하는 기준으로서 주로 다음 두 가지 가운데 하나가 주로 제시되어 오고 있다. 하나의 접근방법은 새로운 과학기술과 그 기술적용의 결과물을 증거로서 채택해 줄 것을 주장하는 측에게 그 과학기술이 ‘과학공동체안에서 일반적으로 수용되었음’을 입증하도록 하고, 그것이 입증되지 못하면 증거로 허용하지 않는 방식으로서 이러한 기준을 Frye Test라 한다(general acceptance: Frye Test). 또 하나의 접근방법은 ‘기초가 되는 원리’와 ‘원리를 적용하는 기술의 유효성’을 ‘사실에 대한 관련성의 측면에서 검토’하는 방식으로서, Daubert 판결 및 연방증거규칙에 근거한 관련성기준(relevancy standard: Daubert Test)이 그것이다. 이 가운데 해당분야 과학자들에 의한 일반적 승인을 요구하는 Frye test는 급속도로 진보하고 있는 디지털 분야에 적용하기에는 한계가 있다. 즉 하루가 다르게 새로운 디지털 기술이 보급되는 상황에서는 해당 분야의 전문가들도 미처 파악하지 못한 새로운 기술들이 제시되기 때문에 특정한 디지털 정보나 기기에 대한 일반적 승인을 얻기까지 기다려야 한다면 사실상 법정증거로서 디지털 증거를 사용할 수 없다고 하는 것과 같다. 그에 비하여 Daubert test는 과학공동체의 일반적 승인 대신에 법관으로 하여금 과학적 증거의 관련성과 신뢰성을 판단하도록 하면서 그와 함께 구체적인 판단기준을 제시하도록 하고 있다. 이와 같이 하는 경우 새로운 과학적 증거를 신속하게 법정에서 활용할 수 있는 장점이 있다. 물론 과학에 문외한인 법관에게 과학적 증거에 대한 신뢰성판단을 하도록 한다는 것이 그 유효성을 의심케 하는 바가 없는 것은 아니지만, 법관에게 과학적 증거의 신뢰성을 판단할 수 있는 구체적인 기준을 제시하여 주기 때문에 과학에 대한 맹목적 신뢰나 불신의 우려에 빠져 판단을 그르칠 오류 위험은 없다.
이와 같은 증거능력 부여를 위한 검증기준을 거쳐 일단 디지털 증거가 법정에서 증거로 제출할 수 있는 자격을 부여받게 되면, 그 다음은 해당 증거가 갖는 입증가치를 판단하기 위해서 신뢰성을 평가받게 된다. 디지털 증거의 신뢰성은 디지털 증거가 법정에서 충분한 입증가치를 지니고 실체적 진실을 판단하는 척도로서 기능하기 위한 전제조건인 것이다. 다만 아직까지는 디지털 증거의 신뢰성 판단을 위한 합의된 기준이 존재하지 않기 때문에, 가장 일반적으로 사용되는 기준으로서 보관의 연속성(Chain of Custody)과 컴퓨터 범죄와 디지털 증거에 관하여 가장 활발한 연구활동을 하고 있는 Eoghan Casey가 제시하고 있는 확실성의 척도(Certainty Scale)를 살펴보고자 한다. 먼저 기본적으로 준수되어야 할 디지털 데이터에 대한 보관의 연속성의 절차는 다음 세단계로 분류되어질 수 있다. 첫째, 원본의 손상을 가하지 않은 상태에서의 데이터 획득이다. 이 단계에서는 디지털 증거의 유형에 따라 매뉴얼화된 절차가 필요하며, 현장에서 기록된 데이터와 분석을 위해 해당 데이터가 이동․저장되어 있는 컴퓨터설비내의 데이터를 비교하는 것이 데이터의 무결성 보장을 위해 중요하다. 다음은 획득한 데이터가 원본의 데이터와 같다는 것을 확인하는 인증단계이다. 즉 데이터를 측정한 변수가 무엇이고, 장소는 어디이며, 그 날짜와 시간은 언제이며, 어떠한 방법론을 사용했으며, 누가 해당 데이터에 대한 서명을 하였는가에 등에 관한 정보를 영구적이고 삭제할 수 없는 표지의 형태로 기록하여 데이터 기록의 동일성을 확인해야 한다. 마지막으로 그것을 변형하지 않고 분석하는 데이터 처리과정과 기록유지단계이다. 철저한 증거보존을 위해서는 정확한 분석에 적합한 전용 분석시스템을 사용해야 하고, 침해․변조․손상의 흔적을 그대로 보존해야 한다. 또한 통상 보관의 연속성을 논할 때 가장 많이 언급되는 부분은 데이터 처리 전과정에 걸쳐서 행해져야 하고, 권한이 있는 자만이 데이터가 처리되고 있는 장소에 접근할 수 있도록 해야 한다는 것이다. 데이터 처리가 완료된 후 모든 보고서와 보관의 연속성에 관한 문서양식은 일괄 수집되어 접근이 제한된 저장 장치내에 보관되어야 하며, 더 이상 유효하지 않을 때까지 혹은 규정에 의해 요구될 때까지 그 저장장치 내에 있어야 한다.
한편 컴퓨터 네트워크는 복합적인 다수의 시스템과 매카니즘이 연관되어 있기 때문에, 디지털 증거의 신뢰성에 대한 고려사항들을 더욱 복잡하게 만든다. 즉 시스템의 복잡성과 다양성으로 인하여 디지털 증거의 신뢰성을 평가하는 방식에 있어서 일관성을 유지하기가 힘든 것이다. 따라서 디지털 증거의 신뢰성을 평가하기 위해서는 상이한 유형의 디지털 증거에 대한 상대적인 확실성을 부여할 수 있는 일관된 방식이 필요하다. 이와 관련하여 Eoghan Casey는 디지털 증거의 증거가치를 평가하고, 확실성의 수준을 범주화하기 위하여 확실성의 척도를 제시하였다. Casey의 확실성의 척도는 디지털 증거조사자로 하여금 주어진 상황내에서 디지털 증거가 가지는 확실성의 수준을 표시할 수 있는 방법을 제공한다. 이 척도의 주된 목적은 조사자가 디지털 증거에 기초하여 결론을 제시할 때 해당 디지털 증거에 대하여 어느 정도 비중을 둘 것인가를 판단하는데 도움을 주고자 하는데 있다.
7. 디지털 증거의 증거능력에 관한 외국의 입법경향은 크게 두 가지로 나누어진다. 즉 디지털 증거 특유의 접근방법과 기존의 업무기록에 관한 접근방법이 그것이다. 전자는 디지털 증거의 허용가능성을 특별히 목표로 하고 있는 법률규정을 별도로 제정하여 그것을 이용하는 입법방식을 취하는 반면에, 후자는 컴퓨터에 의해 생성된 증거를 단지 업무기록의 허용가능성에 대한 일반적인 증거법상의 원칙에 관한 문제의 일부분으로서 논의하는 방식이다.
디지털 증거에 고유한 입법방식을 택하고 있는 나라들은 별도의 전자증거법을 제정하거나 기존의 증거법안에 전자증거 내지 전자문서 혹은 디지털 증거에 관한 규정을 신설하여 디지털 증거의 증거능력에 관한 법률적인 문제를 해결하고 있다. 한편 기존의 업무기록에 관한 증거법상의 원칙에 의존하는 방식을 택하고 있는 나라들은 디지털 증거 그 자체의 증거능력을 인정하기 보다는 출력서면이 전문법칙의 예외로서 업무기록에 해당하는가의 여부를 판단하는 방식으로 디지털 증거의 허용성 문제를 해결하고 있다. 즉 구두변론주의나 대심구조가 지배하는 형사절차를 가지고 있는 보통법계 국가들에서는, 디지털 정보나 기록과 같은 2차적 자료에 의해 획득한 지식은 원칙적으로 전문증거로 간주되어 증거능력이 인정되지 않기 때문에, 별도의 법률이나 기존 법안에 일정한 예외를 마련하는 방식으로 그 증거능력을 인정할 수밖에 없기 때문이다. 보통법상 증거법칙의 핵심이라 할 수 있는 전문법칙과 최량증거법칙은 디지털 데이터를 증거로 허용하는데 있어서 결코 우호적이지 않은 증거법칙이지만, 법원의 법적판단에 있어서 핵심적 존재로 부각되고 있는 디지털 증거를 판결의 근거로 삼기위해서는 기존의 증거법칙의 예외로서 허용될 수 있는 실정법적 근거 또는 법이론적 근거를 마련하는 문제가 광범위하게 논의될 수밖에 없다.
본 연구에서는 디지털 증거를 어떠한 방식으로 허용하는 것이 바람직한가를 검토해 보고자 가장 많이 문헌에 소개되고 있고, 그와 관련한 법률제정 및 개정을 준비하는 여러 나라에서 모델로 제시하고 있는 캐나다 Uniform Electronic Evidence Act와 영국의 PACE 제69조와 모델전자증거법안의 내용을 검토하여 보았다. 기본적으로 디지털 증거와 관련된 법안들의 공통되는 점은 디지털 증거에 대해서는 기존의 증거법칙이었던 전문법칙과 최량증거법칙에 대한 예외로서 허용할 수 있는 여지를 마련해 두고 있으며, 기존의 다른 증거의 유형 보다 진정성과 무결성의 입증에 중점을 두고 있다는 점이다. 즉 디지털 증거가 합법적으로 획득한 것이고, 입증가치 충분하며, 전문증거 또는 관련성의 요건에 근거한 어떠한 이의제기도 극복할 수 있을 정도로 피고인과의 충분한 연관성을 입증하고 있다면, 기존의 증거법칙을 수정하거나 별도의 예외규정을 만들어서라도 법정에서 사용할 수 있도록 하는 것이 합리적이기 때문이다. 결국 디지털 증거를 법정에 나올 수 없게 만드는 기존의 증거법칙을 수정하지 않고서는 디지털 증거만을 근거로 한 사건들에 대한 판결이 불가능하기 때문에, 우선적으로 전문법칙과 최량증거법칙에 대한 명시적인 예외규정을 마련함으로서 디지털 증거를 허용하고자 한 것으로 생각된다.
8. 근본적으로 디지털 증거의 허용가능성을 검토할 때 기본적인 사고는 고도의 정확성을 보유하는 컴퓨터에 대한 맹목적인 신뢰의 배제와 아울러 디지털 데이터의 취약성을 이유로 한 불신 내지 부정의 배제에 두어져야 한다. 즉 디지털 증거의 증거가치를 최대한 이용하면서도 그 내재적 특성으로 인한 오류가능성을 배제하기 위해서는 단지 출력이 가능하다는 이유로 무조건 서증으로 보거나 혹은 물리적인 증거물과 동일시하여 무조건 증거능력을 인정해서는 안 된다. 또한 서증에 준하여 증거능력을 인정한다고 하더라도 전문으로서 그에 적합한 추가적인 별도의 예외요건이 주어져야 하며, 비전문으로서 디지털 증거에 대해서는 진정성입증을 전제로 증거능력을 인정하는 제한적 요건이 필요하다. 한편 변경과 삭제 및 전송에 용이한 디지털 데이터의 특성에 비추어 그 증거가치를 엄격히 검증하여 활용할 수 있는 절차적 표준도 마련되어야 할 것이다.
디지털 증거의 허용가능성에 대한 현행법상의 흠결은 법률의 개정을 통해서 해결되어져야 한다. 먼저 전문에 해당하는 디지털 증거는 기존의 전문법칙의 적용을 받도록 함으로써 그 증거능력에 일정한 제한을 두되, 법률상 전문법칙의 예외조항 가운데 디지털 증거에 고유한 예외조항을 두어 피고인과의 연관성이 충분하고 사실입증에 필수적인 증거가치 있는 데이터는 허용하는 것이 타당하다. 그리고 진술을 포함하지 않는 디지털 증거는 해당 데이터의 진실성과 신뢰성을 확립할 수 있는 진정성이 입증되는 경우에 한해서 증거능력을 인정할 수 있도록 해야 할 것이다. 즉 시스템 및 소프트웨어의 오류, 권한 없는 접속에의 위험에 노출되어 있는 디지털 증거의 신뢰성을 확보하기 위한 진정성의 요건은 그러한 오류 내지 위험가능성이 없었다는 것을 입증하는 것이다. 이와 같은 진정성 입증방법으로 주로 제시되고 있는 것이 시스템과 절차의 정확성과 신뢰성이다. 다만 보다 구체적인 디지털 증거의 진정성요건은 전문가에 의해 확립된 기술적 표준에 근거하되 법적 판단에 용이하게 활용될 수 있는 방식으로 마련되어야 할 것이다. 지나치게 구체적이고 기술적인 면에 집착함으로써 오히려 입증에 장애를 초래한다는 이유로 법규정을 폐지하기에 이른 영국의 예를 기억할 필요가 있다.
디지털 증거는 정보화사회가 가져온 새로운 형태의 범죄의 증거로서 증거의 존재양식 자체가 달라짐으로 인해 형사절차상 개념과 인식에 혼란을 초래하고 있는 것이 사실이다. 그러나 존재양식이 달라졌다고 해서 그것이 지니고 있는 증거가치나 사실을 증명하는 내용까지 달라지는 것은 아니다. 앞으로 형사절차에서 다지털 증거는 가장 핵심적이고 주도적인 증거유형이 될 것이라는 것이 명백한 만큼 형사소송법에 그 증거능력을 허용할 수 있는 명시적인 근거규정을 두는 것이 바람직할 것이다.