이 지침은 독점규제 및 공정거래에 관한 법률 제50조(위반행위의 조사), 대규모유통업에서의 거래 공정화에 관한 법률 제29조(위반행위의 조사), 방문판매 등에 관한 법률 제43조(위반행위의 조사), 전자상거래 등에서의 소비자보호에 관한 법률 제26조(위반행위의 조사), 및 기타 위원회 소관법령의 규정에 의하여 이루어지는 위반행위의 조사 중 디지털자료를 수집하거나 분석하는 과정에서 준수하여야 사항을 정함으로써 디지털 증거 수집 및 분석의 공정성, 투명성 및 효율성을 높이는 것을 목적으로 한다.
이 규정에서 사용하는 용어의 정의는 다음과 같다.
1. "디지털포렌식"이라 함은 디지털 데이터 원본 저장소로부터 법적 증거력을 갖도록 디지털 증거를 논리적이며 표준화된 절차와 방법을 통해 수집, 보관, 분석 및 보고하는 조사방식을 말한다.
2. "디지털 증거"라 함은 디지털 형태로 저장되거나 전송되는 증거 가치가 있는 정보를 말한다.
3. "디지털 증거물"이라 함은 디지털 증거 또는 확보되어야 할 증거와 관련된 잠재적 증거 등을 포함하고 있다고 판단되는 물리적 장치를 말한다.
4. "디지털 증거의 수집"이라 함은 디지털 증거물로부터 데이터 복사본을 생성하는 과정을 말한다.
5. "이미징"이란 디지털 증거 수집방식의 하나로서 디지털 증거물 저장매체의 모든 물리적인 섹터를 포렌식 이미지 포맷의 파일 형태로 만드는 것을 말한다
6. "디지털 증거 분석"이라 함은 수집된 디지털 증거로부터 데이터를 분석하여 사건과 연관된 데이터를 추출하는 과정을 말한다.
7. "디스크 등 저장매체"란 하드디스크, 외장형하드디스크, USB 메모리, CD/DVD 등 디지털 증거를 저장하는 장치를 말한다.
8. "정보처리시스템"이란 파일서버, 데이터베이스 서버, 메일 서버, 웹 서버 등 업무처리를 위해 운영하고 있는 네트워크를 포함하는 전자처리장치를 말한다.
디지털포렌식을 함에 있어서 다음 각 호의 사항을 준수한다.
1. 적법 절차를 준수한다.
2. 조사 목적상 필요한 최소한의 증거 수집을 원칙으로 한다.
3. 디지털 증거는 기술적, 절차적인 수단을 통해 진정성, 무결성이 보장되어야 한다.
① 안정적이고, 효율적인 디지털포렌식을 위하여 이를 전담하는 팀(이하 "디지털포렌식팀")을 운영한다. 다만, 조직, 인력 등에 비추어 필요한 경우 사건담당부서장은 다음 각호의 1에 해당하는 자격을 갖춘 자를 디지털포렌식팀장과 협의를 거쳐 디지털 증거의 수집을 하게 할 수 있다.
1. 공정거래위원회 지정학습으로 지정된 디지털포렌식 교육을 수료한 자로서 디지털포렌식 관련지식을 갖춘 자
2. 디지털포렌식 관련 민간 전문자격증을 보유하고, 디지털포렌식 실무 경험이 있는 자
② 디지털포렌식팀 소속 조사 전담자는 매년 20시간 이상 다음 각호의 1을 이수하도록 한다.
1. 전문교육기관에서 실시하는 디지털포렌식 관련 교육
2. 국·내외 국가기관 또는 학회에서 실시하는 세미나
① 디지털포렌식은 해당 사건을 담당하는 부서의 권한이 있는 자(이하 "사건부서 관계자")의 지원 요청이 있는 경우 실시한다.
② 사건부서 관계자는 위원회 소관 법령 규정 위반행위 조사를 위하여 필요한 경우 디지털포렌식팀장에게 다음 각 호의 사항에 대한 지원을 요청할 수 있다.
1. 현장 조사에 참석하여 디지털 증거물의 조사 및 디지털 증거의 수집·분석
2. 사건부서 관계자가 수집한 디지털 증거의 분석 또는 영치한 디지털 증거물에 대한 디지털 증거 수집·분석
③ 사건부서 관계자는 제2항제2호의 지원을 요청할 경우 수집된 디지털 증거 및 영치한 디지털 증거물의 원본을 디지털포렌식팀에 인계하여야 하며 별도의 사본을 작성하여서는 아니된다.
① 디지털포렌식 팀장이 제5조제2항의 지원요청을 받은 경우, 디지털증거의 유형과 규모에 적합한 수의 직원을 지정하여 지원한다. 다만, 사건부서 관계자와 지원의 시기 및 규모를 협의할 수 있다.
② 디지털포렌식 요청이 있으면 디지털포렌식팀장은 다음 각 호의 사항을 고려하여 조사 인원, 장비 등 필요한 준비를 하여야 한다.
1. 사건의 개요, 조사 장소 및 대상
2. 피조사인이 운영하고 있는 정보처리시스템의 유형과 규모
3. 피조사인이 운영하고 있는 네트워크의 구성 형태
4. 기타 필요한 사항
① 디스크 등 저장매체로부터의 디지털 증거의 수집은 이미징을 원칙으로 한다.
② 수집된 디지털 증거의 진정성, 무결성을 보존하기 위하여 디지털 수집도구는 한국정보통신기술협회의 정보통신단체표준 ’컴퓨터 포렌식을 위한 디지털 증거 수집도구 요구사항’을 충족하는 장비 및 소프트웨어이어야 한다.
③ 현장에서 이미징이 어려울 경우 디지털 증거물로부터 저장매체만을 분리하여 영치한다. 다만, 저장매체를 분리할 경우 조사목적을 달성할 수 없거나 디지털 증거가 손상, 훼손될 우려가 있는 등 필요한 경우에는 디지털증거물을 영치할 수 있다.
④ 수집된 디지털 증거가 적법한 절차에 의해서 수집된 것임을 피조사인으로부터 확인받는다. 다만 이는 다만 이는 디지털 수집 도구에 의해 자동 생성되는 복사된 디지털 증거의 동일성을 입증하기 위해 파일 특성을 축약한 암호 수치(이하 "hash 값")가 포함된 로그파일로 갈음할 수 있다.
⑤ 이미징을 통한 디지털 증거를 수집 할 수 없는 사정이 있거나 조사목적상 필요한 경우에는 대상 디지털 증거물에서 디지털 증거를 사본하여 수집할 수 있다. 이때, 수집한 결과물이 대상 디지털 증거물로부터 검색·이전·사본된 것임을 피조사인으로부터 확인 받도록 한다. 다만 이는 사용된 디지털 포렌식 수집 도구에 의해 자동 생성되는 hash 값이 포함된 로그파일로 갈음할 수 있다.
정보처리시스템으로부터 디지털 증거를 수집하고자 할 때는 디지털포렌식팀의 정보처리 환경에 호환 가능한 형태의 파일로 변환하여 수집할 수 있고, 이 경우에는 파일 변환 사실 등을 피조사인으로부터 확인 받도록 한다.
디지털 증거를 수집할 때에는 다음 사항에 대하여 유의한다.
1. 대상 디지털 증거물로부터 사용자를 격리하여 시스템을 강제종료하는 등 임의적인 조작행위의 방지
2. 영치·조사대상 디지털 증거물이 네트워크에 연결되어 있고 조사 대상자가 네트워크로 접속하여 저장된 자료를 임의로 삭제할 우려가 있을 경우 네트워크 연결 케이블 차단 등의 조치
3. 대상 디지털 증거물의 링크파일의 등록정보를 확인하는 등의 방법으로 휴대용 디지털 저장매체의 사용여부를 확인
4. 정보처리시스템이나 프린터기 등의 임시 메모리(RAM, Cache Memory)에 기록된 디지털 자료를 확인하고 필요한 경우에는 출력 또는 사본생성 등의 적절한 방법을 사용하여 수집
5. 디지털 증거를 수집하는 현장에서 분석을 실시하는 경우에는 쓰기 방지장치를 사용하는 등 그 자료의 변경 및 훼손의 방지
6. 디지털 포렌식의 절차의 연속성을 유지하고 조사의 절차적, 기술적 신뢰성을 제고하기 위해 그 과정을 기록
7. 기기 등이 파손되거나 저장된 디지털 자료가 손상되지 않도록 디지털 증거물 이송 시 정전기 차단, 충격방지 등 조치
① 수집된 디지털 증거의 분석은 한국정보통신기술협회의 정보통신단체표준 ’컴퓨터 포렌식을 위한 디지털 증거 분석도구 요구사항’을 갖춘 장비를 갖추고 신뢰 할 수 있는 방법에 의한다.
② 수집된 디지털 증거를 분석할 경우에는 원본이 변경, 훼손되지 않도록 기술적 조치를 취한다.
③ 수집된 디지털 증거를 분석할 경우에는 분석 과정에 대한 기록 등 객관성 유지에 필요한 조치를 취한다.
① 분석 결과물은 보안장치를 갖춘 저장매체에 저장하여 사건부서 관계자에게 인계한다.
② 사건부서 관계자는 분석 결과물을 사건조사 외의 용도로의 활용하거나 외부에 반출하여서는 아니된다.
② 제1항에 따른 피조사인 교부현황은 별지 1호 서식에 관리하여야 한다.
③ 제1항에 의해 증거자료 복사본을 교부받은 피조사인은 개인정보나 영업비밀의 보호를 요청할 수 있다.
① 디지털포렌식팀장은 디지털포렌식을 위해 영치한 디지털 증거물 및 수집된 디지털 증거의 현황을 관리한다.
② 영치된 디지털 증거물로부터 증거수집을 종료한 때에는 즉시 사건부서 관계자에게 인계한다.
③ 디지털포렌식팀장은 디지털포렌식과정에서 획득하거나 생성된 자료(이하 "관리중인 디지털 자료")의 안정적이고 효율적인 관리를 위하여 다음 각 호를 위해 필요한 제도적·기술적 조치를 강구하여야 한다.
1. 관리중인 디지털자료의 조사목적 외 이용의 금지
2. 관리중인 디지털자료 중 피조사인의 개인정보나 영업비밀 등(제12호 제3항에 의해 요청된 개인정보나 영업비밀을 포함한다)의 누설 금지
④ 수집된 디지털 증거는 관련 사건의 확정판결 및 그 후속조치가 종결 될 때 까지 보존한다.
부칙
이 예규는 2014년 8월 1일부터 시행한다.
별표 서식 정보
댓글 없음:
댓글 쓰기