디포전 2급 실기 정리 쓰흡!!...

하... 내일이 시험이라니 이건 말도 안됩니다. 말이됩니까?...

내가 디지털 포렌식 전문가로써, 압수수색과 분석에 필요한 행동 요령을 단계별로 서술해라.

1. 압수,수색 사전 준비

  - 수사의 목적이 달성될 수 있도록 영장을 작성하고, 디지털 증거의 압수수색 검증이 가능한 분석관을 대동하여 압수수색을 진행한다.

  - 영장 작성 시, 범죄 유형별 압수대상을 특정하고 피압수자의 IT지식이나 규모에 따라 팀을 편성하여야 한다.

  - 팀 편성 후, 회의를 통해 팀 역할을 분배하여야 하며, 집행지 상황에 대한 정보 공유를 충분히 하고 사전 준비를 철저히 해야한다.

  - 현장에서 사용할 하드웨어/소프트웨어 등 장비에 대한 사전 테스트를 진행하고 현장에서 일어날 가능성이 있는 문제에 대해 미리 대처할수 있도록 준비한다.

 

2. 영장 제시 및 피압수자 면담

  - 영장은 처분 받는 자에게 반듯이 제시해야한다.(여러명일 경우 전부 제시)

  - 관리 책임자에게 제시한 경우에도 물건을 소지하고 있는 사람으로 부터 압수하고자 할때에는 영장을 따로 제시해야한다.

  - 압수수색이 시작되면 현장을 통제해야하며 압수대상자와 참고인을 분리시킨다.

  - 현장통제가 끝나면 피압수자 등과의 면담을 통해 원칙적으로 혐의와 관련된 증거만을 수집하고 협조가 불가능 할 경우, 참여권을 충분히 보장한 상태로 수색을 시작한다.

 

3. 수색 및 압수 

  - 압수 수색 절차의 증거 능력담보를 위한 조치로 필요 최소 한도에서 촬영 및 기록을 한다.

  - 디지털 기기 발견 시 동작여부, 로그인 상태, 시간 오차, 설치 및 동작 중인 프로그램 등의 상태를 확인한다.

  - 시간 정보는 윈도우 우측하단의 시간과 스마트폰을 이용하여 오차 확인(꺼져있을 경우 BIOS를 통해 확인)

  - 피압수자가 부인할 경우를 대비하여 기기의 소유 사용자를 특정할 수 있는 정보 확보

  - 선별 압수 원칙을 준수하고 현장에서 불가능하거나 현저히 곤란한 경우 하드카피 이미지등 형태로 반출하거나 원본 자체를 봉인하여 반출한다.

  - 무결성이 훼손되지 않도록 주의 한다.

  - 참여권 고지 및 전자 정보 확인서 등을 작성하고 피압수자에게 교부한다.

  - 선별은 파이르이 속성 정보를 기준으로 하며, 시간 정보와 확장자를 기준으로 정렬한다.

  - 선별 과정이 끝이나면 추출한 선별 파일의 세부 내용을 탐색, 확인하고 피압수자 참여하에 압수물로 결정한다.

  - 혐의와 관련된 정보만을 수집하지 못할 경우 압수물의 상태를 촬영하고, 그 이유를 기재하여 봉인봉투 및 봉인 스티커를 이용하여 무결성을 담보하고 피압수자와 봉인 여부를 확인한다.

  - 피압수자, 수사관의 정보를 기재하고 접합 부분에 피압수자와 수사관이 교차하여 날인한다.

  - 부피가 큰 압수물 일 경우 각 연결부에 봉인스티커를 부착하여 연계보관성을 유지한다(훼손되지 않도록 주의)

 

4. 최종 증거물 식별

  - 피압수자와 최종 압수 할 디지털 증거의 탐색 및 식별 작업이 끝나면 압수한 파일에 대한 해시값을 생성하고 피압수자에게 확인 시켜줘야한다.

  - 최종 증거물이 확정되면 전자 정보 확인서, 전자 정보 상세목록 등을 작성해 피압수자에게 교부하고 사건과 무관한 정보는 삭제한다.

 

5.  디지털 증거 분석 결과 보고서 작성

  - 전문 용어와 기술 용어 사용 자제한다.

  - 논리적이고 정확하며 간결한 문장으로 작성한다.

  - 적법한 절차에 의해 수집되었는지, 압수현장에서 공판에 제출되기까지 저장매체에 있는 전자 정보와 동일함이 증명되어야하며, 객관적 방법으로 과학적 분석결과에 의해 성립의 진정이 증명되어야한다.

  - 사건 명, 사건 개요, 분석요청 사항 등의 정보가 포함되어야하며, 분석 대상 정보인 제조사, 모델명 등 증거물 유형별로 정보를 정확하게 기재해야 한다.

  - 신뢰성이 검증된 도구를 사용해야한다.

  - 저장매체의 사본 이미지, 작성 및 분석과정을 상세하게 작성해야한다.

  - 분석 및 처리 과정에 대한 사진, 화면 캡쳐, 동영상 등으로 기록을 유지하고 분석에 사용된 하드웨어나 소프트웨어의 정보를 표기해야한다.

  - 증거물 처리 과정에서 사본이미지의 작성일지, 파일명, 용량, 해시값등 세부 내용을 정확하게 기록한다.

  - 증거물의 연계보관성 또한 보장되어야한다.