디지털수사지원 장비 2009. 3. 11. 대검 디지털수사담당관 최성진
주요 보급장비 목록 노트북 2대 쓰기방지장비 2대 데이터 수집용 외장하드 10개 분석자료 보관용 외장하드 2개 금속탐지기 2대 공CD/DVD, 압수스티커, CD라벨, 봉인라벨, 정전기방지봉투, 충격방지봉투, 하드케이스 등 압수수색용 소모품
1.수사지원용 노트북 모델명 사양 용도 압수수색 출장시 휴대해야 하므로 가볍고 성능이 뛰어난 12인치 제품으로 선정 삼성 NT Q210-AS240 사양 Core2Duo 펜린 CPU RAM 3기가 DVD멀티 장착 12인치 Windows xp professional 용도 압수수색 현장에서 수집한 데이터를 CD나 DVD에 기록 쓰기방지장비인 FastBloc를 연결하여 압수한 하드디스크에 들어 있는 파일을 직접 열람하거나 분석하는 용도로 사용 압수수색 출장시 휴대해야 하므로 가볍고 성능이 뛰어난 12인치 제품으로 선정
2.쓰기방지장비 모델명: Fastbloc3 Fe 용도 연결 젠더 관련규정 원본 하드디스크를 읽기 전용 상태로 만들어 원본이 변경, 훼손되지 않도록 하는 장비 압수한 하드디스크를 직접 열람하거나 분석하는 경우 압수물 원본의 무결성을 보호하기 위해 사용 연결 젠더 1.8인치, 2.5인 등의 노트북하드디스크나, SATA, IDE, PCMCA 방식 등의 하드디스크를 연결할 때 필요한 하드디스크 종류별 연결 젠더를 제공 관련규정 디지털증거수집 및 분석규정 제13조 (분석방법) 제2항에서 원본을 직접 분석할 경우 원본이 변경, 훼손되지 않도록 기술적 조치를 취하도록 규정
3.데이터 수집용 외장하드 모델명 : LG XD1-Combo 사양 용도 USB2.0보다 약 6배 빠른 eSATA 전송 포트 탑재 2.5인치 소형 저장용량 250GB 용도 압수수색 현장에서 데이터를 압수할 때 사용하기 위한 외장하드
4.분석자료 보관용 외장하드 모델명 : i-Thank 302 사양 용도 eSATA 포트 탑재 3.5인치 저장용량 1TB 압수한 하드디스크를 열람 또는 분석하는 과정에서 수사에 필요한 자료를 별도로 저장할 때 사용
5.금속탐지기 모델명 : SCANNER 용도 관련규정 압수수색 현장에서 은닉된 USB 등의 소형 디지털기기를 압수수색 할 때 사용 주머니, 지갑 등을 수색하기 위해 필요 관련규정 디지털증거수집 및 분석규정 제10조 (압수수색시 유의사항) 제3항에서 휴대용 디지털저장매체 사용여부 확인 및 수색
6. 압수물확인 부전지 품명 : 압수물확인 부전지 용도 관련규정 압수한 디지털저장매체를 특정하는 용도로 사용 제조사, 모델명, 고유번호, 압수장소 등을 기재하고 사용자 또는 입회인의 확인서명을 받음 관련규정 디지털증거수집 및 분석규정 제9조 (컴퓨터 등 정보처리시스템의 압수수색) 제2항 별지 제3호 서식
7.CD/DVD 라벨 품명 : CD/DVD 라벨 용도 관련규정 데이터를 압수할 경우 압수한 데이터의 진정성과 무결성을 보장하기 위한 수단 관련규정 디지털증거수집 및 분석규정 제9조 (컴퓨터 등 정보처리시스템의 압수수색) 제5항 별지 제4호의2 서식
8.정전기방지봉투 품명 : 정전기방지봉투 용도 관련규정 디지털저장매체는 정전기에 의해 쉽게 자료가 손상 또는 훼손될 우려가 있어 디지털저장매체를 정전기로부터 안전하게 보호하는 용도로 사용 압수수색 현장에서 하드디스크, USB 등의 디지털저장매체를 압수하는 경우, 또는 분석을 의뢰하기 위해 압수물을 대검에 송부할 경우 등과 같이 디지털기기를 운반하거나 보관할 때 사용 관련규정 디지털증거수집 및 분석규정 제3조 (디지털기기의 운반 및 보관)
9.압수물봉인 부전지 품명 : 압수물봉인 부전지 용도 관련규정 압수한 디지털저장매체에 대한 보관의 연속성(Chain of custody)을 유지하기 위해 필요 정당한 권한이 없는 자에 의해 운반도중에 봉인이 해제된 경우 디지털증거의 무결성을 의심받을 수 있음 봉인라벨은 각각 고유번호가 있고, 한번 봉인이 해제되면 원상회복이 불가하도록 특수하게 인쇄 관련규정 디지털증거수집 및 분석규정 제9조 (컴퓨터 등 정보처리시스템의 압수수색) 제2항 별지 제3호의2 서식
10.충격방지봉투 품명 : 충격방지봉투 용도 관련규정 디지털저장매체를 운반하는 과정에서 발생될 수 있는 충격으로부터 매체를 안전하게 보호하는 용도로 사용 관련규정 디지털증거수집 및 분석규정 제3조 (디지털기기의 운반과 보관)
11.하드케이스 품명 : 하드케이스 용도 하드디스크, USB 등의 디지털저장매체를 대검에 분석의뢰 하거나 대검에서 분석이 완료된 디지털저장매체를 반환할 때 사용
장비 등 활용사례 1 압수수색 현장에서 데이터를 압수할 경우 법원의 압수방법 제한에 의하여 데이터 수집이 불가피한 경우 압수수색 현장에서 사용되는 장비 및 소모품 활용 사례 영장사례 컴퓨터 저장장치에 저장된 정보는 피압수자 또는 형사소송법 제123조에 정한 참여인의 확인을 받아 수사기관이 휴대한 저장장치에 하드카피 · 이미징하거나, 문서로 출력할 수 있는 경우 그 출력물을 수집하는 방법으로 압수함(다만, 하드카피 · 이미징 또는 문서의 출력을 할 수 없는 경우에는 컴퓨터 저장장치 자체를 압수할 수 있음)
1단계: 검색 압수수색 대상 PC를 확인하고 사용자 입회 대상 PC에 자료수집용 외장하드(2.5인치) 연결 후 DEAS2 등의 검색프로그램 실행
2단계 : 파일검색 및 수집 그림은 DEAS2 실행 화면 PC에서 범죄와 관련성이 있는 문서파일, 이메일 등을 검색하여 확인함 필요한 경우 삭제파일복구 수행 압수할 필요가 있는 파일을 데이터 수집용 외장하드에 저장
3단계: 압수데이터 무결성 확보 압수할 파일이 저장된 외장하드를 수사지원용 노트북에 연결하고 공CD/DVD-R에 해당 파일을 기록 CD-R에 기록된 데이터는 더 이상 삭제,변경이 불가능 기록 완료 후 검증
4단계: 압수데이터 확인 압수된 자료가 기록된 CD 표면에 라벨을 부착하고 입회인의 확인서명을 받음 압수목록 작성 후 압수수색 종료
활용사례 2 압수수색 현장에서 하드디스크 등 디지털기기 자체를 압수할 경우 하드디스크의 원본 압수가 가능한 경우 압수수색 현장에서 사용되는 장비 및 소모품 활용 사례
1단계: 저장매체 분리 입회인 참여 압수대상 PC를 해체하여 저장매체인 하드디스크를 분리
2단계: 압수물 특정 압수물확인 부전지를 작성하고 입회인의 서명을 받음 압수물확인 부전지를 하드디스크 등 디지털기기 표면에 부착
3단계: 압수물 봉인 하드디스크를 정전기방지봉투에 담고 압수물 봉인 부전지로 봉인 입회인의 확인서명
4단계 압수물 보호조치 봉인이 완료된 하드디스크를 충격방지봉투로 포장 압수목록 작성 교부 후 압수수색 종료
활용사례 3 압수한 하드디스크를 직접 조사, 분석 일반적으로는 하드디스크 등의 디지털기기 압수가 완료되면 대검에 분석 의뢰를 하게 되나, 예외적으로 긴급을 요하거나 수사 보안상 수사팀에서 직접 압수한 하드디스크를 조사, 분석할 필요가 있는 경우 전국청에 배포한 쓰기방지장비를 활용하는 방법
1단계: 압수물 봉인 해제 봉인해제 전 사진촬영 압수한 HDD의 봉인을 해제하고 해제일시와 사유 기재 일단 봉인이 해제되면 원상회복이 불가능하므로 주의 요망
2단계: 쓰기방지장비 연결 압수한 하드디스크를 쓰기방지장비에 연결 쓰기방지장비와 하드디스크 연결시 컨트롤러 연결방향에 주의 USB포트를 이용하여 쓰기방지장비를 수사지원용 노트북을 연결한 후 전원을 ON시키면 노트북에서 압수 하드디스크를 외장하드처럼 인식
쓰기방지장비 연결 화면
3단계: 하드디스크 조사 수사지원용 노트북으로 압수한 하드디스크에 들어 있는 파일을 조사 하드디스크에 들어 있는 파일을 열어 내용을 확인해도 쓰기방지장비가 연결된 상태에서는 열어본 파일에 어떤 영향도 미치지 않음
4단계: 자료저장 열람한 파일 중 범죄와 관련성 있는 파일은 분석자료 보관용 외장하드에 저장 저장된 자료를 출력하여 사실관계 확인이나 피의자신문 등에 활용