KCI등재 학술저널

클라우드 스토리지 내 디지털 증거 획득의 적법성 검토

Review on the Legality of Acquiring Digital Evidence in Cloud Storage

클라우드 스토리지(Cloud Storage) 서비스는 클라우드 컴퓨팅(Cloud Computing) 기술을 이용하여 원격지의 서버에 파일을 저장할 수 있는 서비스이다. 저자는 클라우드 스토리지 서비스 자체에서 생성・수정・관리되는 데이터의 유형을 조사하고, 이를 수사절차에서 적법하게 획득하기 위해 방법을 제안하였다. 그러나 이 방법은 해외에 본사를 둔 다국적 기업의 클라우드 스토리지를 대상으로 하는 역외 압수·수색 방법에서 활용될 수 있으며, 이때 여러 제약사항과 법적 쟁점이 초래될 수 있다. 이에 연구는 클라우드 스토리지 내에 생성되는 다양한 데이터를 대상으로 하는 역외 압수・수색 과정 중 계정 정보를 획득하여 클라우드 스토리지에 접속하고, 저장 및 관리되는 사건 관련 데이터를 수색하며 이를 획득하는 과정에서 발생할 수 있는 문제점들에 대해 증거사용의 허용 여하에 따른 법적인 문제를 검토하였다. 다국적 기업의 클라우드 스토리지는 사전에 적법하게 확보된 피압수자의 계정 정보를 이용하여 국내 사법관할권 내의 별도 장소에서 해당 서버에 접속하고, 당해 사건과 관련된 파일을 압수・수색하는 원격지 압수・수색 방법을 고려할 수 있다. 이는 서비스제공자가 제공하는 서비스를 정당하게 이용한 것이고, 나아가 인터넷을 통해 국내에서 사건 관련 파일을 확보하여 정보주체인 피의자가 소유 또는 소지한 파일을 대상으로 한 압수・수색의 집행방법이기 때문에 클라우드 스토리지 서버 존재 국가의 관할권을 침해한 것으로도 볼 수 없다. 계정 정보를 획득하고 클라우드 서버에 접근하기 위하여 피압수자 또는 서비스 제공자의 협조를 받거나, 또는 이것이 불가능한 경우 서비스 이용자가 접속하는 통상적인 방법을 사용하였다면, 이는 적법한 접속으로 보아야 한다. 원본 파일이 존재하지 않고 비교적 저화질로 변경된 사진 및 동영상 파일이 클라우드 스토리지 상에 존재하는 경우 ‘최량증거의 법칙’ 관점에 따라 원본의 제출이 불가능하거나 곤란하며, 그것이 원본을 정확히 전사한 것으로 인정된다면 이는 증거능력이 있는 것으로 판단되어야 한다. 사건 관련 파일을 대상으로 한 행위 기록은 비록 해당 파일이 존재하지 않더라도 압수·수색영장의 집행단계에서 추후 해당 범죄사실에 대한 증거물이 될 ‘가능성’이 있어 사건과의 관련성 요건을 충족시키고, 클라우드 스토리지에 업로드・수정・삭제 등의 행위 기록과 파일 이름이 관련성을 지닌다면 그와 같은 행위 기록은 증거로 사용될 수 있다. 클라우드 스토리지에 저장된 파일을 수색 장소의 PC로 다운로드한 후 이를 선별하는 행위는 비가시성・비가독성과 같은 디지털 증거의 특성으로 인해 그 파일의 내용을 확인하기 위한 필요행위이므로 이는 압수가 아닌 수색행위로 이해한다. 나아가 그 후 선별된 파일을 수사기관이 가져온 저장매체로 최종 복제되거나 문서로 출력되었을 때 이를 압수행위로 본다. 클라우드 컴퓨팅 기반의 서버를 대상으로 하는 압수・수색은 서로 공통적으로 고려되는 부분도 존재하는 반면 각 서비스에 저장된 데이터의 유형에 따라 달리 고려되어야 하는 부분 또한 존재하는 것이 현실이다. 정보통신기술 및 컴퓨터 기술의 발달로 점점 다양한 유형의 데이터가 기존의 저장매체에서 클라우드 스토리지로 옮겨 보관되고 있는 만큼, 클라우드 유관 연구들이 활발하게 이루어져 클라우드 포렌식 수사 시 적법절차 여부에 관한 혼란을 감소시키고 적법성을 제고시킬 수 있는 관련 법률의 제・개정을 기대한다.

Cloud storage services can store files on remote servers using cloud computing technology. The author investigated types of data created, modified, and managed in cloud storage services, and suggested a method to acquire it. However, this method can be utilized for extra-territorial search and seizure of cloud storage by multinational companies headquartered abroad, which can lead to a number of constraints and legal issues. Thus, this study reviewed legal issues with acceptance of evidence on issues that may arise during extra-territorial search and seizure of various data generated within cloud storage, accessing, storing, and managing case-related data. For cloud storage of multinational companies, it can consider searching and seizing files after accessing the server using account information of the persons subject to search and seizure secured in advance through a method cannot be regarded as infringing on the jurisdiction of the country where the cloud storage server is located. because it justly uses the service provided by the service provider, and because it is the execution of files owned or possessed by the suspect who is the information subject by securing files in Korea through the Internet. The legitimate way to obtain account information and access the server is to obtain the cooperation of the persons subject to search and seizure or service provider, or if this is not possible, it is considered a legitimate connection if service users use the normal method of accessing it. According to ‘the Best Evidence Rule’, Photo and video files that do not exist the original file and are relatively low quality stored in cloud storage may be considered evidence ‘if the original used to exist’, ‘if it is impossible or difficult to submit the original’, and ‘if the original is recognized to have been accurately transcribed’. Although the file does not exist, to use the history as evidence, ① the requirements of relevance must be met as possibility to be evidence of a crime during search and seizure, and ② the file name and file operation history(such as upload, modification, and deletion) must be related to each other. Downloading files from cloud storage to a PC in the place to be searched and selecting files stored is a necessary act to verify the content of digital evidence, such as non-visibility and non-readability, and should be viewed as a search rather than seizure. Furthermore, the selected file should then be viewed as a seizure when it is finally duplicated as the investigator s storage media or printed as documents. While search and seizure targeting servers based on cloud computing have common considerations, but there are also other considerations due to the different types and conditions of data present in each service. With the development of information and communication technology and computer technology, various types of data are being transferred from existing storage media to cloud storage. Therefore, it is hoped that cloud-related studies will be actively carried out and those relevant laws will be enacted and revised to reduce confusion and enhance legality in the case of cloud forensics investigations.

Ⅰ. 들어가는 말

Ⅱ. 클라우드 스토리지에의 접속 관련 쟁점

1. 형사사법관할권 침해 여하

2. 계정 정보 획득과 클라우드 서버 접속의

적법성 여하

Ⅲ. 저장/관리되는 데이터 관련 쟁점

1. 원본이 존재하지 않거나 원본과 동일하지

않은 사본 파일의 증거능력

2. 클라우드 스토리지 내 메타데이터의 증거능력

Ⅳ. 원격지 서버상의 파일 다운로드 관련 쟁점

1. 다운로드 행위의 압수 해당 여하

2. 다운로드 이후 선별행위의 적법성 검토

Ⅴ. 나가는 말

