CONTENTS
- 1. 포렌식수사 기본 원칙과 대표적으로 활용되는 상황
- - 대표적으로 활용되는 상황
- - 적법한 절차로 진행해야하는 이유
- 2. 포렌식수사 4단계 절차
- - 1단계. 디지털 증거 확보(압수·수집)
- - 2단계. 디지털 증거 보존 및 분석 의뢰
- - 3단계. 디지털 증거 분석
- - 4단계. 분석 결과 활용 및 증거 관리
- 3. 포렌식수사 피의자 주의사항
- - 포렌식수사 참여권
- - 임의제출 요청을 받았을 때 주의할 점
- 4. 포렌식수사 전 형사변호사 상담이 필요한 이유
- - 포렌식수사에서 디지털포렌식센터의 협력 사항
- - 포렌식수사 Q&A
1. 포렌식수사 기본 원칙과 대표적으로 활용되는 상황
포렌식수사(디지털포렌식)의 기본원칙은 경찰청 「디지털 증거의 처리 등에 관한 규칙」 제5조에서 다음과 같이 규정하고 있습니다.
| 기본원칙 | 내용 |
|---|---|
| 무결성(Integrity) | 디지털 증거는 수집 시부터 수사 종결 시까지 변경·훼손되지 않도록 관리해야 합니다. |
| 동일성(Identity) | 분석 대상 디지털 증거는 원본 전자정보와 동일성이 유지되어야 합니다. |
| 연속성(Chain of Custody) | 증거를 누가, 언제, 어떻게 보관·이전했는지 업무처리자 변동 등 이력을 지속적으로 관리해야 합니다. |
| 신뢰성(Reliability) | 사용한 장비의 정확성, 프로그램의 신뢰성, 처리자의 전문성과 정확성이 담보되어야 합니다. |
추가로, 제4조에서는 디지털 증거 처리 전 과정에서 준수해야 할 인권보호 원칙도 함께 규정하고 있습니다.
- 적법절차 준수 및 인권 존중
- 객관성·공정성·중립성 유지
- 사생활과 개인정보 보호
대표적으로 활용되는 상황
포렌식수사는 디지털 증거를 통해 범죄사실을 규명할 필요가 있는 사건에서 주로 활용됩니다.
휴대전화나 컴퓨터에 저장된 전자정보가 핵심 증거가 되는 사이버범죄를 비롯해 성범죄, 사기·횡령 등 경제범죄, 살인·강도 등 강력범죄, 마약범죄, 영업비밀 유출 사건 등에 폭넓게 활용됩니다.
| 대표적인 경우 | 포렌식수사 내용 |
|---|---|
| 사이버범죄 | 해킹, 랜섬웨어, 피싱, 악성코드, 계정 침해 등 디지털 흔적 분석 |
| 성범죄 | 휴대전화·PC의 사진, 영상, 메신저 대화, 삭제 파일 복구 |
| 사기·경제범죄 | 계좌내역, 거래기록, 이메일, 메신저, 문서 작성 이력 분석 |
| 살인·강도·실종 등 강력범죄 | 위치정보(GPS), 통화기록, CCTV, 블랙박스, 검색기록 분석 |
| 마약범죄 | 텔레그램·SNS 대화, 가상자산 거래내역, 배송기록 등 확인 |
| 기업·산업기술범죄 | 영업비밀 유출, USB 사용기록, 파일 반출 및 삭제 흔적 분석 |
| 증거인멸·문서위조 사건 | 삭제 데이터 복구, 문서 위·변조 여부, 접속기록 확인 |
또한 포렌식은 삭제된 파일이나 메신저 대화 복구, 위치정보와 접속기록 분석, CCTV·블랙박스 영상 분석 등을 통해 사건의 경위를 객관적으로 확인하고 범죄 입증에 필요한 증거를 확보하는 중요한 수사기법이라고 할 수 있습니다.
적법한 절차로 진행해야하는 이유
경찰은 디지털포렌식을 통해 전자정보를 수집할 때 「형사소송법」 등 관계 법령에 따른 적법절차를 준수해야 합니다.
전자정보는 압수·수색영장 또는 임의제출 등 법적 근거에 따라 수집해야 하며, 수집부터 보관·운반·분석까지 증거가 변경되거나 훼손되지 않도록 무결성과 동일성을 유지해야 합니다.
또한 증거의 처리 이력을 체계적으로 관리하고, 신뢰할 수 있는 장비와 전문적인 기술을 활용하여 객관적으로 분석해야 합니다.
이러한 절차를 준수해야 디지털 증거의 신뢰성과 증거능력을 확보할 수 있습니다.
2. 포렌식수사 4단계 절차
포렌식수사는 증거의 수집부터 보존, 분석, 결과 활용까지 모든 절차를 적법하게 수행하는 과학적 수사기법입니다.
경찰은 「디지털 증거의 처리 등에 관한 규칙」에 따라 전자정보의 무결성과 동일성을 유지하며 증거를 관리하고, 객관적인 분석을 통해 범죄사실을 규명합니다.
즉 각 단계마다 적법성과 증거능력을 확보하는 것이 중요하므로 모든 과정은 정해진 기준과 절차에 따라 체계적으로 진행됩니다.
1단계. 디지털 증거 확보(압수·수집)
경찰은 압수·수색영장 집행 또는 임의제출 등 적법한 절차에 따라 사건과 관련된 전자정보를 확보합니다.
현장에서는 필요한 전자정보만 선별하여 압수하는 것을 원칙으로 하며, 필요한 경우 저장매체를 이미징하거나 원본 또는 복제본을 반출합니다.
또한 해시값 확인, 봉인, 참여권 보장 등을 통해 증거의 동일성과 무결성을 유지합니다.
2단계. 디지털 증거 보존 및 분석 의뢰
확보한 디지털 증거는 훼손이나 변조가 발생하지 않도록 안전하게 운반·보관한 뒤 디지털 증거분석관에게 분석을 의뢰합니다.
분석 의뢰 시에는 사건 개요와 분석 목적, 검색 대상, 범위 등을 함께 전달하여 효율적인 분석이 이루어질 수 있도록 하며, 증거의 보관·이관 과정도 체계적으로 기록하여 증거관리의 연속성을 확보합니다.
3단계. 디지털 증거 분석
디지털 증거분석관은 원칙적으로 원본이 아닌 복제본을 이용해 분석을 진행하며, 분석 전후 해시값을 비교하여 원본과 동일성을 확인합니다.
삭제된 파일 복구, 로그 및 메타데이터 분석, 파일 검색, 시간대별 행위 분석 등 다양한 포렌식 기법을 활용해 범죄와 관련된 전자정보를 추출하고 객관적인 사실관계를 규명합니다.
4단계. 분석 결과 활용 및 증거 관리
분석이 완료되면 분석 결과보고서를 작성해 수사부서에 회신하고, 확보된 전자정보를 수사와 재판의 증거로 활용합니다.
이후 분석 과정에서 생성된 불필요한 전자정보는 복구가 불가능한 방식으로 삭제·폐기하며, 필요한 디지털 증거는 보안시설에서 안전하게 보관하여 증거의 무결성과 증거능력을 지속적으로 유지합니다.
3. 포렌식수사 피의자 주의사항
포렌식수사가 예정되어 있다면 휴대전화나 컴퓨터를 임의로 초기화하거나 파일을 삭제·변경하지 않는 것이 중요합니다.
또한 영장의 범위와 압수 절차를 확인하고, 전자정보 압수 과정에서 보장되는 참여권을 적절히 행사해야 합니다.
비밀번호 제공이나 임의제출 요청은 법적 의미를 충분히 검토한 뒤 결정하는 것이 바람직하며, 포렌식 결과를 확인하기 전 성급한 진술이나 자료 수정은 불리하게 작용할 수 있어 신중한 대응이 필요합니다.
포렌식수사 참여권
포렌식수사 과정에서 휴대전화나 컴퓨터 등 전자정보를 압수·수색하는 경우 피압수자나 변호인은 해당 절차에 참여할 권리를 가집니다.
경찰은 원칙적으로 피압수자 측에 압수·수색의 일시와 장소를 미리 통지하고, 전자정보를 복제하거나 선별하는 과정에도 참여할 수 있도록 보장해야 합니다.
이를 통해 영장에 기재된 범위를 벗어난 자료가 수집되는 것을 방지하고, 증거가 변경되거나 훼손되지 않았는지 확인할 수 있기 때문입니다.
다만 참여가 불가능하거나 급속을 요하는 등 예외적인 경우에는 피압수자 측의 참여 없이 절차가 진행될 수 있습니다.
이러한 참여권은 디지털 증거의 신뢰성과 적법절차를 확보하고, 피의자의 방어권을 실질적으로 보장하기 위한 중요한 권리이므로 반드시 기억해야 합니다.
임의제출 요청을 받았을 때 주의할 점
임의제출 요청을 받았다면, 먼저 제출 대상과 범위를 정확히 확인하는 것이 중요합니다.
휴대전화나 저장매체를 임의로 제출하면 그 범위 내 전자정보가 증거로 사용될 수 있습니다.
따라서 어떤 자료를 제출하는지 충분히 이해한 뒤 결정해야 합니다.
경찰은 원칙적으로 임의제출의 취지와 범위를 확인하고, 제출된 전자정보가 증거로 활용될 수 있다는 점을 설명해야 합니다.
따라서 피의자는 제출 범위를 불필요하게 확대하지 않도록 신중하게 검토하고, 사건의 성격에 따라 형사변호사와 상담한 후 대응하는 것이 바람직합니다.
특히 제출 의사와 범위는 이후 수사와 재판에 영향을 줄 수 있으므로 충분한 법률 검토를 거쳐 결정하는 것이 좋습니다.
4. 포렌식수사 전 형사변호사 상담이 필요한 이유
포렌식수사는 확보된 디지털 증거가 수사의 핵심 자료로 활용되는 사안인 만큼, 초기 대응이 매우 중요합니다.
수사기관의 압수·수색 절차가 적법하게 진행되는지 확인하고 영장 범위와 임의제출 여부, 참여 절차 등을 사전에 검토해야 불필요한 권리 침해를 방어할 수 있습니다.
또한 포렌식 결과가 실제 사실관계와 어떻게 연결되는지 법률적으로 분석하고, 일관된 진술과 방어 전략을 마련하는 과정도 중요합니다.
즉, 포렌식수사 전에 미리 🔗형사전문변호사와 상담하면 디지털 증거를 객관적으로 검토하고 상황에 맞는 대응 방안을 수립할 수 있습니다.
대한민국 9위 로펌 대륜(25년 국세청 부가가치세 신고 기준)은 형사변호사를 중심으로 🔗디지털포렌식센터와 협력하여 보다 꼼꼼하게 대응하고 있습니다.
포렌식수사에서 디지털포렌식센터의 협력 사항
포렌식수사에서 디지털포렌식센터의 협력은 그저 삭제된 데이터를 복구하는 역할에 그치지 않습니다.
디지털포렌식센터는 수사기관이 확보한 디지털 증거가 적법한 절차에 따라 수집·분석됐는지 검토하고, 피의자 방어권 행사에 필요한 근거를 마련할 수 있습니다.
예를 들어 메신저 대화의 전체 맥락, 위치기록, 접속기록, 삭제파일 복구 결과 등을 분석해 혐의를 반박하거나 사실관계를 바로잡을 수 있으며, 압수수색 과정에서 영장 범위를 벗어난 수집이나 절차상 위법이 있었는지도 함께 검토합니다.
이를 통해 피의자는 포렌식수사 단계부터 재판까지 객관적인 디지털 증거를 바탕으로 보다 더 꼼꼼한 대응 전략을 수립할 수 있습니다.
포렌식수사 Q&A
Q. 포렌식수사를 위해 휴대전화를 압수하면 모든 데이터를 다 확인하나요?
A. 아니요. 경찰은 원칙적으로 영장에 기재된 범위와 사건과 관련된 전자정보만 선별하여 압수·수색해야 합니다. 현장에서 필요한 자료만 선별하는 것이 원칙이며, 선별이 어려운 경우에만 복제본이나 원본을 반출해 이후 관련 자료만 다시 선별합니다. 따라서 사건과 무관한 자료까지 무제한으로 확인할 수 있는 것은 아닙니다.
Q. 포렌식수사 후 사건과 관련 없는 개인정보도 계속 보관되나요?
A. 아니요. 경찰은 분석이 끝난 뒤 압수 대상이 아닌 전자정보를 지체 없이 복구가 불가능한 방식으로 삭제·폐기해야 하며, 그 사실을 피압수자에게 통지하거나 전자정보 확인서를 교부할 수 있습니다. 이는 사건과 무관한 개인정보를 보호하기 위한 절차입니다.
