연구/논문 실적
논문 등록초록
다중 저장 환경에서 IP 카메라의 데이터 획득 방안 최근 IP 카메라는 기능이 다양해지고, 모바일 애플리케이션 연동을 통해 설치 및 사용이 간편해지면서 저비용, 고효율의 영상 기기로 대중화되고 있다. 이에 따라 IP 카메라는 일상생활에서도 쉽게 찾아볼 수 있으며, 기존 CCTV를 넘어 범죄 수사 및 사고 분석에서 중요한 디지털 증거로 활용되고 있다. 특히, 국내외에서 발생한 IP 카메라 해킹 사례로 인해 보안 및 개인정보 침해 문제가 지속적으로 제기되고 있으며, 디지털 포렌식 관점에서의 체계적인 대응 방안 마련이 요구되고 있다. 그러 나, 기존 IP 카메라 관련 연구는 주로 취약점 분석이나 보안 문제에 집중되어 있어, 디지털 포렌식 관점에서의 데이터 획득 및 분석에 대한 연구는 상대적으로 부족한 실정이다. IP 카메라는 SD 카드, 웹, 모바일 애플리케이션, 클라우드 등 다양한 환 경에 데이터가 분산 저장되므로, 이를 통합적으로 고려한 포렌식 연구가 필요하다. 본 논문에서는 국내에서 사용되는 IP 카메라 4종을 대상으로, SD 카드, 웹, 모바 일 애플리케이션, 클라우드 환경에서의 데이터 획득 및 분석 방안을 제안한다. IP 카메라는 모바일 애플리케이션을 통해 설치 및 제어되며, 영상 데이터는 SD 카드와 클라우드에 동시 저장될 수 있고, 일부 서비스는 웹 기반 접근 환경을 제공한다. 이 러한 특성을 고려하여 각 접근 환경별로 디지털 포렌식에서 활용 가능한 계정 정 보, 기기 정보, 사용자 활동 로그, 미디어 데이터를 중심으로 획득 기법을 도출하였 다. 또한 사용자 행위에 따른 아티팩트 분석과 네트워크 트래픽 분석을 수행하였으 며, 클라우드 서비스 환경을 중점적으로 분석하여, 영상 데이터의 전송 및 저장 구 조를 API 기반으로 확인하였다.
초록
최근 기업에서 업무 자동화를 하기 위해 RPA(Robotic Process Automation) 솔루션 도입이 이루어지면서 기업의 생산성이 크게 개선되었다. 하지만 내부자에 의한 보안 위협과 정보 유출 사고 위험도 함께 증가하고 있다. 디지털 포렌식은 현재까지 파일 시스템, 네트워크 패킷, 메모리 덤프 분석 등에 중점을 두고 있었고, RPA 도구를 활용한 자동화 행위를 추적·분석하는 방법론은 거의 연구되지 않았다. 본 연구는 RPA 도구를 실행 한 후 생성되는 워크플로우 정의 파일 및 실행 로그를 주요 증거물로 보고 이를 분석하여 RPA 자동화 행위의 의도와 실행 흔적을 해석할 수 있는 포렌식 접근법을 제안하였다. RPA 자동화 행위 분석 과정을 자동화하는 전용 도구를 구현하였다. 분석 대상으로는 상용 솔루션인 UiPath Community Edition과 오픈소스 기반의 Robot Framework, taskt를 선택하였으며, 각 도구의 파일 저장 구조, 로그 생성 방식, 보안상 취약 요소를 상호 비교하였다. UiPath는 .xaml 형식의 프로세스 정의 파일과 텍스트 파일의 실행 로그를 생성하였고, Robot Framework는 .robot 형식의 스크립트 파일과 output.xml 프로세스 정의 파일을 생성했다. taskt는 .xml 형식의 프로세스 정의 파일과 텍스트 파일의 실행 로그를 생성 했다. 각 RPA 도구에서 생성된 파일의 구조와 로그 기록 체계에서 각기 고유한 분석적 특성을 확인하였다. 실험 단계에서는 실무 환경에서 발생할 수 있는 다양한 시나리오를 설계하였다. 시나리오로는 민감정보 노출, 이메일 자동 발송, FTP 파일 업로드 및 다운로드, 타임스탬프 위변조 등이 포함된다. 각 시나리오에서 생성된 프로세스 정의 파일과 실행 로그를 분석하여 발신인 및 수신인 정보, 첨부 파일 경로, FTP 서버 주소, 인증 자격증명 등 핵심 디지털 증거를 확인할 수 있었다. RPA 자동화 설계자의 의도와 데이터 복원 등 자동화 행위를 추적을 하는데 프로세스 정의 파일이 유용한 증거임이 입증되었다. 분석 결과를 바탕으로 Python을 활용하여 “RPA WorkFlow Analyzer”를 개발하였다. RPA WorkFlow Analyzer는 입력 파일의 내부 구조를 파악하여 사용된 RPA 도구를 자동으로 식별한다. 각 도구별 맞춤형 파싱 로직을 적용해 액티비티와 키워드 목록, 명령어 구조, 속성값 등을 추출한다. 수집·분석한 프로세스 정의 파일과 실행 로그를 기반으로 구성과 특징을 검토하여 자동화 행위를 역추적할 수 있었다. RPA 환경에서 디지털 증거의 추출과 분석이 가능함을 실증적으로 검증 하였다. 본 연구는 RPA 포렌식이라는 새로운 연구 영역을 개척하고, 프로세스 정의 파일과 실행 로그의 포렌식 가치를 체계적으로 입증하였다. 개발된 분석 도구와 프레임워크는 RPA 기반 시스템에서 발생할 수 있는 비정상적 또는 부적절한 자동화 행위의 디지털 증거 확보와 분석에 실질적으로 기여할 수 있었다. 3종의 RPA 도구를 대상으로 통제된 환경에서 수행되어 모든 환경에 일반화하기에는 한계가 있으나, RPA 포렌식의 기초 방법론을 제시하였다는 점에 의의가 있다. 제안된 정적 분석 도구의 난독화 및 암호화 대응 한계를 극복하기 위해 향후 메모리 포렌식과 동적 분석 기술을 도입할 필요가 있다. 클라우드 기반 플랫폼으로 연구 범위를 확장하고, 암호화된 자격증명 복호화 등 안티포렌식 대응 기법에 대한 심층적인 후속 연구가 요구된다.
초록
스마트폰은 현대인의 일상과 범죄 환경 모두에서 핵심적인 디지털 매개체로 자리 잡고 모바일 기기에 대한 디지털포렌식 분석의 중요성 또한 증가하고 있다. 모바일 운영체제는 앱 실행 및 전환(App Switching) 과정에서 포그라운드·백그라운드 상태 변화와 UI 전환을 관리하기 위해 다양한 시스템 아티팩트를 자동으로 생성한다. 아티팩트는 사용자의 실제 행위를 추적할 수 있는 중요한 단서를 제공하지만 기존 모바일 포렌식 분석은 개별 로그나 단일 데이터베이스 중심의 접근에 머무르며 사용자 행위의 연속성과 맥락을 충분히 설명하지 못한다. 본 연구는 Android와 iOS 환경에서 발생하는 앱 전환(App Switching) 과정에 주목한다. 앱 전환은 단순한 앱 실행 여부를 넘어 다중 앱 간 이동, 앱 종료, 기기 재부팅 이후의 상태 복원 등 실제 사용자 행위와 직접적으로 연관된 핵심 상호작용을 포함한다. 앱 전환 과정에서 운영체제가 생성·변경하는 아티팩트를 중심으로 사용자 행위를 행위 단위로 재구성할 수 있는 가능성을 검증하고자 한다. 연구 범위는 Android 환경에서는 UsageStats, Recent Tasks, Snapshots를, iOS 환경에서는 KnowledgeC.db, applicationState.db, Snapshot(KTX) 파일을 핵심 아티팩트로 선정하였다. 해당 아티팩트는 각각 시간 기반 행위 기록, 상태 관리 정보, 시각적 화면 증거라는 서로 다른 관점을 제공하며 앱 전환 시점에서 상호 보완적인 정보를 생성한다. 본 연구는 단일 아티팩트 분석의 한계를 극복하기 위해 이들 아티팩트 간 시간 정보와 상태 정보를 연계·비교하는 분석 전략을 채택하였다. 실험은 다중 앱 전환, 앱 종료, 기기 재부팅 등 실제 수사 환경에서 빈번히 발생하는 상황을 재현하였다. 분석 결과, 각 아티팩트는 앱 전환 과정에서 서로 다른 시점과 방식으로 기록을 남기며 운영체제별 설계 구조 차이로 인해 기록 지연이나 누락이 발생할 수 있음이 확인되었다. 이러한 결과는 단일 아티팩트에 의존한 사용자 행위 해석이 오류를 유발할 가능성이 있음을 시사한다. 그러나 복수 아티팩트를 교차 분석할 경우, 개별 아티팩트의 불완전성을 상호 보완하여 사용자 행위의 시간적 흐름과 화면 상태를 보다 일관되게 재구성할 수 있음을 실험적으로 확인하였다. 특히 시간 기반 로그, 상태 관리 데이터베이스, 시각적 스냅샷을 함께 분석함으로써 앱 전환 순서와 실제 사용자 화면 흐름 간의 정합성을 검증할 수 있었다. Pattern-of-Life 포렌식 분석에서 문제로 지적되어 온 분석관 주관성 및 과잉 해석 위험을 완화하는 실증적 근거를 제시한다. 더 나아가 앱 전환 아티팩트를 자동으로 파싱·정렬·시각화하는 분석 도구를 구현하였다. 해당 도구는 Android와 iOS 환경에서 추출된 아티팩트를 통합적으로 처리하여 앱 전환 흐름을 시간순으로 재구성하고 아티팩트 간 불일치 지점을 직관적으로 식별할 수 있도록 설계되었다. 분석관은 개별 로그를 수작업으로 대조하는 부담을 줄이고 사용자 행위 재구성 과정의 효율성과 재현성을 향상시킬 수 있음을 실제 적용 사례를 통해 확인하였다. 결론적으로 본 연구는 Android·iOS 환경에서 앱 전환에 생성·변경되는 다종 아티팩트를 종합적으로 분석함으로써 기존의 단편적 모바일 포렌식 접근을 넘어선 앱 전환 중심 사용자 행위 추적 분석 프레임워크를 제시한다. 모바일 기기 기반 범죄 수사에서 사용자 행위 입증의 신뢰성을 강화하고 향후 Pattern-of-Life 기반 모바일 포렌식 분석 및 자동화 도구 개발 연구에 기초 자료로 활용될 수 있을 것으로 기대된다.
초록
디지털증거의 특성으로 인해, 전통적 의미의 ‘참여’만으로는 압수·수색의 범위 통제와 사후 검증이 실질적으로 작동하기 어렵다. 수사기관은 신속성과 효율을 우선하여 원본 또는 대용량 복제본 반출을 빈번히 활용하고, 예외로 설계된 방식이 사실상 일반화되면서 선별압수 원칙은 선언적 규범으로 남게 되었다. 무관정보의 수집 및 별건 수사의 개시 위험은 커지고, 복제·분석 단계에서 피압수·수색 당사자(이하 ‘피압수자’)측의 실질적 개입은 제한적이다. 디지털포렌식 산출물은 피압수자에게 별도로 제공되지 않아 방어의 전제가 되는 원자료와 포렌식 과정 및 결과에 접근하기 어렵고, 설령 압수물이 반환된 이후 자체적으로 탐색을 시도하더라도 시간 경과로 동일성과 무결성 입증이 곤란해질 수 있다. 형사소송법상 전자증거개시 제도가 도입되어 전자적 증거 열람에 관한 형식적 체계는 마련되었으나, 세부 지침이 미흡하고 문서 중심 운영이 지속되는 등 한계가 나타난다. 결국 피압수자는 메타데이터나 위·변조 흔적 등 핵심 단서에 접근하지 못해 진정성·증명력 판단이 구조적으로 제약된다. 이러한 구조적 불균형은 수사기관과 피압수자 측 사이의 기술자원 격차에 의해 더욱 강화된다. 수사기관은 고성능 포렌식 장비 등으로 방대한 전자정보를 수집·분석할 수 있는 반면, 피압수자나 변호인 측은 비용·보안·비공개 알고리즘 등의 제약으로 동등한 조건에서 독자적 검증을 수행하기 어렵다. 결국 디지털증거가 중심이 되는 형사절차에서 무기대등과 공정한 재판의 원칙을 실질화하기 위해서는, 기존의 참여권 보장만으로는 한계가 있는 ‘기술적 방어’의 통로를 절차적으로 보강할 필요가 있다. 본 논문은 디지털증거 획득 및 처리 전 과정에서 피의자의 방어권을 실질적으로 보장하기 위한 새로운 법적 장치로서 ‘기술조력권’의 도입을 제안한다. 정보기술 사회에서 공정한 재판의 실현을 위해서는 디지털 환경에 적합한 기본권적 개념과 절차적 보호수단을 마련할 필요가 있다는 문제의식에서 기초한다. 먼저 디지털증거 방어권 보장의 실태와 한계점을 진단하여 현행 형사절차에서 방어권 보장의 현주소를 정리한다. 이어 국내에서 운영되고 있는 방어권 관련 제도와 전문조력 제도의 현황을 검토하고, 해외에서 방어 측의 기술조력 또는 전문가 검증을 가능하게 하는 제도들을 참조하여 시사점을 도출함으로써 디지털 기술 영역에 특화된 조력 제도 신설의 필요성을 구체적으로 논증한다. 이러한 분석을 바탕으로 기술조력권의 도입 필요성을 체계적으로 설명하고, 개념 정의와 법적 근거, 적용 범위를 설정한다. 제도 도입 과정에서 예상되는 주요 쟁점을 정리하고 개괄적인 입법방안을 제시하여 제도의 구체적인 기틀을 마련한다. 기술조력권의 입법과 구체적 절차 설계는 디지털 기술 발전에 따라 변화하는 형사사법환경에서 피의자의 권리 보호를 강화하고, 디지털증거 압수·수색의 적정성과 투명성을 높여 형사절차의 정당성과 신뢰성을 제고하는 데 기여할 것으로 기대된다.
초록
Windows Preinstallation Environment (Windows PE)와 같은 우회 부팅을 통한 파일 유출 행위는 로컬 시스템에 설치된 운영체제에 아티팩트를 남기지 않는 대표적인 안티포렌식 기법으로 알려져 있다. Windows PE는 기존 호스트 운영체제와 독립적으로 동작하는 최소 구성 운영체제로, 실행 전반에 걸쳐 엔드포인트 보안 에이전트와 로깅 메커니즘이 적용되지 않는 구조적 특성을 가진다. 본 연구는 NTFS의 $STANDARD_INFORMATION Accessed Time ($SI Atime)에 주목하여 Windows PE 환경에서 발생한 파일 유출 정황을 사후적으로 식별할 수 있는지 검토하였다. 검증을 위해 Windows PE 부팅 환경에서 실험용 파일을 외부 저장 매체로 복사하는 다양한 실험 조건을 구성하고, 파일 유출 과정에서 관측되는 $SI Atime의 변화 양상과 그 강건성을 분석하였다. 실험 결과, Windows PE를 통해 복사된 파일의 90%에서 $SI Atime 변화가 유출 시점을 반영하는 단서로 관측되었다. 반면, 사용자 활동이 누적될수록 개별 $SI Atime의 신뢰성이 점진적으로 저하되는 경향 또한 확인되었다. $SI Atime 단독 분석의 한계를 보완하기 위해, 부팅 순서 변경 내역과 외부 저장 매체 연결 정보를 저장하는 UEFI NVAR 변수를 포함한 타 아티팩트와의 연계 분석 방안을 제시하였다. 이를 통해 로그 및 텔레메트리가 부재한 환경에서도 계층화된 포렌식 타임라인을 구축할 수 있으며, 이를 기반으로 파일 유출 행위에 대한 통합적인 탐지 절차를 제안하였다. 기존 연구가 정상 운영체제 환경에서 생성되는 로그나 아티팩트 분석에 주로 초점을 두어 온 것과 달리, 본 연구는 Windows PE 우회 부팅 환경을 전제로 파일 유출 탐지의 가능성과 한계를 실험적으로 규명했다는 점에서 학술적·실무적 의의를 지닌다. 요약하면, 본 연구는 우회 부팅 환경에서 발생한 파일 유출을 탐지하기 위한 잔존 포렌식 아티팩트로서 $SI Atime의 활용 가능성을 조명하고, 통상적인 로그 및 아티팩트 확보가 어려운 조건에서도 적용 가능한 탐지 프레임워크를 제안하였다. 이를 통해 향후 유사한 환경에서의 디지털 포렌식 분석을 수행하기 위한 방법론적 근거를 제공한다.
초록
최근 디지털포렌식 수사에서 메신저 관련 사건이 증가하고 있으며, 이 중 PC 환경에서 생성되는 메신저 데이터의 분석 비중 또한 지속적으로 확대되고 있다. 그러나 수사 현장에서는 피의자가 증거 인멸을 목적으로 메신저 애플리케이션을 의도적으로 삭제하거나 재설치하여 사용자 데이터베이스를 초기화하는 사례가 빈번하게 발생하며 사회문제가 되고 있다. 이러한 환경에서는 기존의 저장매체 기반 분석만으로는 삭제된 메시지를 확보하는 데 한계가 있으며, 특히 SQLite 데이터베이스의 WAL 병합 및 SSD의 TRIM 명령 실행은 법적 증거 확보 과정에서 기술적 한계로 작용하고 있다. Windows 운영체제는 메모리 및 전원 관리 과정에서 pagefile.sys 및 hiberfil.sys와 같은 시스템 파일을 자동으로 생성한다. 해당 파일에는 실행 시점에 메모리에 적재되었던 사용자 데이터가 비휘발성 형태로 잔존하게 된다. 이는 저장매체 분석이 제한되는 극한의 상황에서도 유의미한 메신저 데이터를 확보할 수 있는 핵심 아티팩트가 되지만, 가상메모리 영역을 활용한 체계적인 분석 기법이나 표준화된 수사 절차에 관한 연구는 현재 미비한 실정이다. 나아가 상용 포렌식 도구에서도 관련 분석 기능을 충분히 지원하지 않아 수사관들이 증거 확보에 어려움을 겪고 있다. 따라서 본 논문에서는 Windows 가상메모리 아티팩트를 활용하여 PC 메신저 데이터를 분석하고 증거를 확보하는 기법을 실험하였다. 국내외 주요 PC 메신저를 대상으로 메시지 전송 및 삭제 과정에서 발생하는 메모리 전이 데이터를 분석 범위로 설정하였다. 각 메신저의 메모리 저장 구조를 파악하여 데이터 식별 기준을 도출하였고, 가상메모리 파일 내에서 메시지 본문, 사용자 식별 정보, 타임스탬프 등 핵심 아티팩트의 잔존 여부를 정밀 검증하였다. 분석 결과, Windows 가상메모리 영역에서 논리적으로 삭제된 PC 메신저 메시지 본문과 관련 식별 정보가 확인되었다. 제2장에서는 저장매체 기반 복구 방식의 기술적 한계와 시스템 파일의 생성 원리를 정리하였다. 제3장과 제4장에서는 메신저 메모리 구조 분석을 통해 도출된 데이터 식별 기준을 바탕으로 가상메모리 아티팩트 분석 절차를 제시하였다. 다만 모바일 운영체제 환경에서의 메신저 데이터는 분석 범위에 포함되지 않았고 분석 대상 메신저는 KakaoTalk과 WhatsApp으로 한정되어 있어, 모든 PC 메신저 환경에 동일하게 적용되는 결과로 일반화하기에는 제한이 있다. 아울러 가상메모리 기능이 비활성화되었거나 절전 모드가 사용되지 않는 환경, 저장매체가 초기화된 경우에는 pagefile.sys와 hiberfil.sys파일에 대한 분석이 불가능하다는 기술적 한계가 존재한다. 따라서 향후에는 다양한 운영체제 환경과 메신저 애플리케이션을 대상으로 가상메모리 아티팩트의 잔존 특성을 비교·분석하는 추가 연구가 필요하다. 본 연구가 저장매체 기반 분석으로 복구가 제한되는 상황에서 PC 메신저 삭제 메시지 분석 시 참고 자료로 활용되어 수사 현장에서의 증거 확보에 기여하기를 기대한다.
초록
디지털 환경에서 프라이버시와 익명성에 대한 요구가 높아지면서, 종단 간 암호화 기술을 기반으로 하는 보안 메신저의 사용이 증가하고 있다. 보안 메신저는 합법적 목적 외에 마약 밀매, 불법 촬영물 유통 등 다양한 범죄 행위에 악용되고 있다. 종단 간 암호화 기술과 제조사의 비협조 정책은 범죄 수사 시 대화 내용 확보를 어렵게 만드는 요인이다. 본 연구는 보안 메신저의 대화 내용을 복호화하지 않고, 자동 로그인된 세션을 마이그레이션하여 보안 메신저의 데이터를 획득하는 방안을 제안하였다. Windows 데스크톱용 공식 클라이언트를 제공하는 Telegram Desktop, Session, Jami, Signal, Element, WhatsApp, Wire, Zalo, Viber, AWS Wickr 총 10종의 보안 메신저를 대상으로 실험 환경을 구축하였다. 정적 분석을 통해서 각 보안 메신저의 AppData 디렉터리, 설정 파일, 데이터베이스 등을 분석하여 자동 로그인 세션의 존재 여부를 확인하였다. 자동 로그인이 설정된 환경에서 AppData 기반 마이그레이션, Windows 자격 증명 기반 접근, NTLM 해시 복원을 통한 접근, HIVE 파일 수정 기반 접근 등 네 가지 방식으로 세션 복원 가능성을 검증하였다. 실험 결과 AppData 디렉터리만으로 세션 복원이 가능한 메신저는 3종(Telegram Desktop, Session, Jami)에 한정되었고, 대부분의 보안 메신저는 운영체제의 DPAPI 기반 암호화 구조를 사용하여 AppData 마이그레이션만으로는 세션 복원이 불가능하였다. 반면 Windows 계정 비밀번호를 제공받아 디스크 복제본을 마이그레이션한 경우 10종 모두에서 세션 복원이 가능하였고, NTLM 해시 복원 방식도 비밀번호 크랙 성공 시 동일한 결과를 보였다. HIVE 파일 수정 기반 접근은 5종(Telegram Desktop, Session, Jami, Viber, AWS Wickr)에서만 세션 복원 가능하였고, 이는 비밀번호 초기화 과정에서 새롭게 생성된 암호화 키가 기존 세션 토큰과 일치하지 않는 구조적 특성으로 확인된다. 실험 결과를 바탕으로 압수ㆍ수색 현장에서 적용할 수 있는 단계적 보안 메신저 데이터 획득 절차를 제안하였다. 절차는 초기 확인 단계, 보안 메신저 식별 및 유형 분류 단계, 자동 로그인 미설정 환경에서의 복호화 시도 단계, 자동 로그인 환경에서의 마이그레이션 단계, 획득 종료 및 문서화 단계로 구성되며, 각 단계는 메신저별 세션 저장 방식과 운영체제 인증 체계의 차이를 반영하여 설계되었다. 또한, 본 연구에서 얻은 실험 결과를 절차 설계에 반영하여 자동 로그인 여부 판단과 세션 복원 방식 선택의 기준을 정립하였다. 본 연구는 데스크톱용 보안 메신저의 디지털 증거를 획득하기 위한 세션 마이그레이션 기법을 검증하고, 압수수색 과정에서 적용할 수 있는 절차를 제시하였다는 점에서 의의를 가진다. 세션 마이그레이션을 통해 보안 메신저의 데이터를 확보할 수 있는 실질적 가능성을 제시했다는 점에서 수사 실무에 기여할 수 있을 것이다. 다만 BitLocker 암호화, 2단계 인증 등으로 인해 세션 마이그레이션이 제한되는 환경이 존재하므로 향후 다양한 관점에서 데스크톱용 보안 메신저 획득 연구가 필요하다. 향후 세션 복원 후 GUI 화면에서의 대화 내용과 미디어 채증을 자동화할 수 있는 기술 개발이 요구된다. 본 연구가 향후 압수수색 현장에서 데스크톱용 보안 메신저에 대한 접근 가능성을 높이고, 범죄 혐의 입증에 필요한 핵심 데이터를 확보하는 데 기여하기를 기대한다.
초록
클라우드 기술의 급속한 발전과 보편화는 디지털증거의 저장구조를 기기 기반에서 클라우드 환경으로 변화시키고 있다. 과거에는 디지털증거가 주로 기기 내 저장장치에 존재하였기 때문에 기기 기반의 디지털포렌식 방식으로 증거의 무결성을 확보할 수 있었다. 그러나 클라우드 환경에서는 데이터가 서버에 저장되고 다수의 기기 간에 데이터가 실시간으로 동기화되며, 사용자 또는 제3자가 원격으로 접근하여 데이터를 수정, 삭제할 수 있어 입증 부담이 커지고 있다. 압수ㆍ수색 시점에서 데이터의 상태를 보존하거나 수집 과정에서의 무결성을 입증하는 데 기존 방식만으로는 분명한 한계가 드러나고 있다. 본 연구는 문제점을 해결하기 위해 클라우드에 저장된 데이터의 메타데이터를 활용하여 압수ㆍ수색 과정에서 발생하는 데이터 생성, 수정, 삭제 등 무결성 훼손 행위를 실시간으로 탐지하고, 동시에 수집 절차의 무결성을 보장할 수 있는 방법을 제시한다. 본 연구에서는 Windows 환경에서 Trello, Google Drive, Notion, Jandi 등 4가지 클라우드를 대상으로 실험 환경을 구축하였다. 서비스에서 자동 로그인으로 생성ㆍ저장되는 크리덴셜을 식별하고, 유형에 따라 복호화 및 클라이언트 요청을 통해 접근 권한을 확보하였다. CSP가 제공하는 OpenAPI와 InternalAPI를 분석하여 요청 URL, 메서드, 헤더, 파라미터, 응답 구조를 정리하고 API 호출을 재구성하였다. 재구성된 API를 일정 주기로 호출하여 반환되는 JSON 메타데이터를 수집하고, SQLite 데이터베이스로 변환하여 저장하였다. 저장 시점의 데이터베이스 파일 해시값을 계산하여 변경 여부를 판단하고, 해시값 변동이 확인된 경우 변동 전후 데이터를 비교하여 생성, 수정, 삭제 행위를 추적하였다. 실험 결과, API 기반 실시간 메타데이터 수집과 전후 비교 방식을 통해 클라우드 환경에서 발생하는 데이터의 생성, 수정, 삭제의 상태 변화를 확인할 수 있었다. 메타데이터는 서비스에 따라 범위와 행위 식별에 차이가 존재하였다. 생성, 수정, 휴지통 이동 행위는 데이터베이스 파일 비교를 통해 식별이 가능하였고, 삭제 행위는 요청 간격 내 발생 사실을 추정 가능하였다. 또한 API 호출 주기는 행위 시점 추정의 정확도에 영향을 미치는 요소임을 확인하였다. 본 연구는 API 기반 실시간 메타데이터 저장과 해시 비교를 결합한 방식으로 수집 과정에서 무결성 훼손 행위를 탐지하는 방안을 실험적으로 제시하였다. 제안된 방법을 통해 압수ㆍ수색이 장시간 소요되거나 수집 및 선별 과정에서 무결성 훼손 행위를 탐지하는 등 수사 실무에 활용될 수 있다. 하지만 클라우드 서비스는 다양하고 API를 재구성하기 위해 사전에 필요 인자를 식별하고, 새로운 클라우드 서비스에 대해 대응하지 못한다. 또한 확보한 크리덴셜이 만료된 경우 다른 클라우드 데이터 확보 방안과 동일하게 ID/PW가 필요하다. 향후 비활성 상태 크리덴셜 확보, 2FA 환경 대응, 서비스 확장, 대량 메타데이터 처리 지연 등에 대한 연구가 요구된다. 본 연구가 압수ㆍ수색 현장에서 클라우드 환경의 안티포렌식을 탐지하고, 클라우드 무결성 확보하는 데 기여할 수 있기를 기대한다.
초록
디지털기술의 확산으로 형사절차에서 디지털증거의 활용이 일반화되었다. 정보저장매체에는 개인의 기록과 통신 내용이 대량으로 저장되어 있어, 압수·수색 과정에서 혐의와 무관한 전자정보가 함께 탐색될 위험이 크다. 디지털증거 압수·수색은 복제·탐색·선별·분석의 절차를 거치므로, 수사권 행사를 통제할 절차적 장치가 필요하며 참여권이 통제 기능을 한다. 형사소송법 제121조와 제122조는 압수·수색에서의 참여권을 규정하지만, 현장 집행을 전제로 한 구조로 설계되어 정보저장매체 반출 이후 절차에 대한 기준은 충분하지 않다. 대법원은 판례를 통해 반출 이후 복제·분석·탐색 과정에도 참여권이 미친다고 보았고, 전자정보에 대한 지배·관리 관계를 기준으로 참여 주체를 확장하였다. 그러나 판례는 참여권 인정에 그쳐 구체적인 절차 기준을 제시하지 않았다. 수사 실무에서는 참여권 보장 수준이 사건별로 달라지고 있다. 기술조력인 참여 여부, 사망자와 미성년자의 참여 주체 판단, 원격 참여 허용 문제, 참여 일정 지연에 대한 대응, 손상기기 복구와 암호 해제 과정에서의 참여 여부가 논란이다. 형사소송법 중심으로 관련 판례를 분석하고, 경찰청 훈령과 대검찰청 예규를 실무 규범으로 삼아 참여권 보장 구조를 검토하였다. 해외 입법례에 대한 비교법적 논의는 제외하고, 국내 법제와 판례의 해석 및 개선 가능성에 연구의 초점을 맞추었다. 제2장은 참여권의 개념과 법적 근거를 검토하고, 형사소송법이 디지털증거 압수·수색의 절차 구조를 충분히 반영하지 못함을 판례 분석으로 확인하였다. 종근당 준항고 사건과 동양대 PC 사건은 참여권의 필요성을 인정했으나, 구체적 운영 기준을 제시하지 않았다. 제3장은 규범 공백이 수사 과정에서 초래한 문제를 사례로 분석하였다. 기술조력인 참여, 사망자 사건의 절차 통제, 미성년자의 참여 주체 판단, 원격 참여 허용, 참여 지연, 손상기기 복구 단계의 참여 인정 문제는 모두 기준 부재에서 발생했다. 제4장은 형사소송법과 경찰청 훈령 개정을 중심으로 참여권 보장 기준을 재구성하였다. 기술조력인 참여를 명문화하고, 사망자 사건 고지 절차와 미성년자 참여 의사 확인 절차를 정비하였다. 원격 참여와 영상기록 제공 기준을 제도화하고, 참여 일정 회신과 기한 규율을 도입하였다. 손상기기 복구와 암호 해제 단계에는 기록 중심의 관리 기준을 제시하였다. 본 연구는 반복 쟁점을 유형화하고, 참여 주체·절차·제한·대체 기준을 입법 구조로 제시했다는 점에서 성과가 있다. 제안한 절차 설계는 수사 효율과 절차 안정성을 함께 확보하는 기준으로 활용 가능하다. 국제 기준과 해외 입법례 분석, 실무자 대상 검증은 제한적이었다. 향후 연구는 원격 참여 시스템, 분석 과정 기록 장치 등 기술 기반 절차 보장 수단과의 결합을 검토할 필요가 있다. 본 논문은 참여권의 보장을 강화할 수 있는 입법 대안을 제시하며, 향후 입법과 실무 반영을 기대한다.
초록
기존 형사사법공조는 복잡한 절차로 인해 적시성 있는 전자증거를 획득하는데 한계가 있으며 인터폴 공조로는 실효성 있는 전자증거를 획득하기 어렵다. 오늘날 사이버범죄가 급증하는 현실에서 CLOUD ACT는 미국 수사기관의 역외 데이터 접근을 명문화하는 한편, 외국 정부와 행정협정을 통해 상호 국가의 서비스 제공자에게 직접 데이터를 요청할 수 있는 새로운 프레임워크를 제시한다. 미국은 2019년 영국, 2021년 호주와 CLOUD ACT 행정협정을 체결하였다. 본 연구는 미국 연방법 및 영국·호주의 CLOUD ACT 행정협정 관련 체결요건,이행 현황 및 주요 내용을 분석하였다. 또한 전자증거 국제협력 방안인 부다페스트협약 제2추가의정서 및 EU전자증거 규정과 비교 분석을 통해, 한‧미 CLOUD ACT 행정협정 필요성 및 입법방향까지 제시하였다. CLOUD ACT는 개인 사생활과 시민적 자유를 실질적으로 보호할 수 있는 절차를 갖춘 국가와 행정협정을 체결한다고 밝히며 세부 요건을 제시한다. 대부분 충족하나 해외에 데이터를 요청할 수 있는 법적권한 마련이 필요하다. 행정협정은 대상 데이터 범위를 보전명령, 가입자 정보, 트래픽 데이터 또는 메타데이터, 컴퓨터 데이터, 콘텐츠 데이터, 감청까지 폭넓게 설정하였다. 대상범죄는 발부당사국의 법률상 최대 3년 이상의 징역에 해당하는 중대한 범죄로 설정하였다. 단, 자국민 프라이버시 보호를 위해 상대국민 또는 상대국에 소재한 사람 등에 대해서는 명령 발부가 금지된다. 명령은 자국 지정기관을 통해 상대국가의 서비스 제공자에게 전달되며 가입자 정보 및 보전명령 요청은 수사기관이 직접 서비스 제공자에게 요청할 수 있다. 서비스 제공자가 명령에 불복할 경우 발부당사국 지정기관에 이의제기하고, 해결되지 않는 경우 수령당사국 지정기관에 이의제기하며 최종적으로는 수령당사국의 지정기관이 최종결정한다. 영국 및 호주의 CLOUD ACT 행정협정은 구조가 전반적으로 비슷하였다. 하지만 호‧미 협정은 대칭적으로 규율된 반면, 영‧미 협정은 가입자정보‧보전 요청, 명령 제한대상이 비대칭적으로 규율되었다. 집행현황을 살펴보면, 영국은 감청을 중심으로 협정을 이용했으며 호주는 저장통신 대응을 중심으로 협정을 이용하였다. CLOUD ACT 행정협정을 부다페스트협약 제2추가의정서 및 EU 전자증거 규정과 비교할 때 공조국가의 수 측면에서는 행정협정이 가장 범위가 좁다. 하지만 CLOUD ACT는 공유 데이터의 범위가 가장 넓으며, 자국민의 데이터를 두텁게 보호하고 있다. 또한 글로벌 서비스 제공자를 다수 보유한 미국과 가장 넓은 범위의 협력을 보장하므로 가장 필요한 전자증거 국제협력 방안이다. 행정협정은 신속하게 글로벌 미국 서비스 제공자의 컨텐츠 데이터 등 넓은 범위의 정보까지 확보할 수 있으며, 보안성 측면에서도 우수하다. 다만 행정협정 체결을 위해서는 우리나라가 해외 정부와 상호간 데이터를 요청하고 제공받을 수 있는 입법이 필요하다. 공조 대상 기업을 가상자산 거래소까지 넓히는 방안에 대해 고려가 필요하며 가입자 정보 및 보전요청에 대해서는 간소화된 절차로 요청할 수 있도록 협정안에 반영해야 한다. 지정기관은 경찰, 공수처, 중수청 등 수사기관이 존재하는 행정안전부에 두는 것이 효율적일 것으로 판단된다. 한국이 향후 미국 CLOUD ACT 행정협정 포함한 다양한 전자증거 국제협력 체계에 참여를 확대함으로써, 초국경적으로 발생하는 범죄에 신속하고 적극적으로 대응할 수 있기를 기대한다.