디지털포렌식 2급 실기 (2018 모의 문제 풀이 - 4번 문제) [FTK Imager]

4번 문제는 어느정도 서술형의 문제라고 보면 된다.

1~3번의 과정에서 얻어낸 이메일의 증거를 수집해서 법정에 제출하였다고한다.
그러니까 친구에게 시나리오를 부탁해서 얻어낸 과정의 유출 이메일 파일을 제출한 것이다.

몇가지 짚고 넘어갈 부분은 

1. 해당 문제는 경찰에 고소 하였으므로 형사소송법 상 증거법칙을 따라야한다.
그러므로 엄격한 증명이 이뤄줘야한다. 
2. 그래서 전문증거법칙이 적용되는 상황이다.

일단 이메일 증거는 인적 증거가 아니라 물적 증거이다.
그리고 서류의 내용이 유출의 증명을 하므로,
어떻게보면 서면으로써의 증거능력을 갖게 된다.

해당 증거는 전문증거인지 짚어봐야한다.
1. 사람의 경험적 사실에 관한 대체증거
2. 법정 외 진술에 관한 증거
3. 그 진술내용의 진위 여부를 입증하기 위해 제출하는 증거

이 중에 2,3번은 만족하나, 1번은 만족하지 못한다.
왜냐하면 사람의 경험적 사실에 관한 대체증거가 아닌, 범행의 수단으로서 의사가 드러난 증거이기 때문이다.


그러므로 나는 이러한 이메일의 증거를 전문증거가 아니므로 전문법칙에 해당하지 않은 효력이 있는 증거라고 판단이 된다.

만약에 이메일 정보가 저장되지 않았다.
그래서 메일 서버에 로그인하여 증거를 수집해야한다고 한다.
이는 pop3 형식이 아닌 imap 형식에 대한 경우라고 봐야한다.

문제의 요지를 정확하게 이해하자면,
대법원 판례에 의해서 적법하게 메일 서버에 로그인하여 증거를 수집하는 방법을 기재하라는 것이다.

일단 순서는 이러하다.

조사준비 - 현장대응 - 증거수집 - 운반 및 확인 - 증거분석 - 증거보관 - 보고 및 증언

이 과정에서 메일 서버의 정지, 오류, 변형 등을 최소화해야하므로,
가장 먼저 Encase, FTK Imager 등의 도구들을 통해 데이터베이스를 원격으로 접속하여 원하는 데이터만 수집할 수 있다면 쿼리문을 통해 데이터를 추출해야한다.

물론 이 과정을 이행하기 이전에
조사준비 : 수집 대상, 영장 발부를 진행한다.

현장대응 : 메일 서버에 영장을 고지하여 알리며, 증거수집을 위한 준비를 한다.

증거수집 : 쿼리문을 통해 원하는 데이터를 검색 후 추출하여 수집한다. 이 과정에 전문성에 대한 신빙성이 떨어진다면, 전문가를 고용하여 진행하는 것도 방법이다.

운반 및 확인 : 증거를 저장하며, 복사하고, 해당 해시값을 통해 중간에 변조, 위조가 되지 않았음을 인증한다.
(무결성을 확보한다.)

증거분석 : 해당 데이터의 복사본을 적법한 도구를 이용하여 분석한다. 증거능력이 있고, 사건에 관련된 데이터만을 수집한다.

증거보관 : 사건에 관련된 데이터를 증거로서 사용하기 위해 저장한다.

보고 및 증언 : 연계하는 수사관, 검사등에게 증거에 관한 정보를 보고하며, 연계보관성을 보장하기 위해 과정이 기재된 보고서를 이어 작성하여 제출한다. 그러면 검사와 수사관은 법정에서 해당 증거에 대한 보고와 피의자에 대해서 증언을 통해 재판에서 증거를 사용하게 된다.

---

...꽤 어렵다.
1번~3번 문제는 그래도 시간만 충분하게 효율있게 투자하면 찾아낼 수 있겠지만...
심지어 해당 파일시스템의 복구는 windows 기준이라서 ntfs 혹은 fat32 둘 중 하나여서 어렵지 않으며,
운영체제와 디스크 브라우징을 통해 구조를 확인하게 된다면, 수많은 아티팩트 중 몇가지 증거들은 수집이 가능할 것이다.

하지만 법률 문제는 시나리오가 분기별로 나뉘어져 상황을 파악해야하고, 이에 적법한 증거수집 절차를 적용해야 증거로서 효력이 있으므로 꽤나 어렵게 느껴진다.
조만간 형사소송법상의 증거수집 절차랑 민사소송법상의 증거수집 절차를 다시 봐야겠다.
증거수집 자체는 별반 차이가 없어보이지만, 약간의 다름이 있으니까....