디지털증거 압수수색에 관한 개선방안(성균관대 2012)
*Source : 국회전자도서관 바로가기
강철하 /Chul Ha, Kang 1
1962년 경제학자 프리츠 마흘루프(Fritz Machlup)가 미국 사회를 가리켜 정보화 사회라고 지칭하면서 전통적인 사회와 다른 변화된 사회로의 이행은 이미 오래 전부터 감지되고 있었다. 특히 1960-1970년대 미국 국방부 산하의 고등 연구국(Advanced Research Projects Agency, ARPA)의 연구용 네트워크로 시작된 인터넷은 1990년 후반부터 정치․경제․사회․문화 전 영역으로 급속히 확산되었고 우리나라의 경우에도 대다수 가구에 초고속인터넷이 보급되는 등 디지털 정보의 활용과 유통이 일상화되고 있는 상황이다.
그러나 이처럼 정보사회(information society)로의 진입은 그 역기능으로 해킹․컴퓨터 바이러스 유포와 같은 전자적 침해행위나 국가전산망에 대한 사이버테러, 사기․개인정보 도용 등 익명성을 이용한 다양한 범죄를 야기 시키기도 하였다. 특히 이러한 범죄는 전통적인 물리적 공간이 아닌 컴퓨터나 인터넷 등으로 만들어진 가상공간(cyber space)을 활용하기 때문에 범죄자 특정이 어렵고 또한 디지털증거(digital evidence)의 속성상 증거인멸이 용이하여 전통적인 수사방식으로 대처하는데 일정한 한계가 있게 되었다. 따라서 범죄혐의를 밝히기 위해 증거를 수집함에 있어서도 전통적인 증거방법인 물적 증거, 증거서류, 사람의 증언만으로는 이러한 첨단범죄사실을 입증하는데 한계가 있다는 점에서 최근 미국, 유럽, 일본 등 각국에서는 디지털증거 수집에 관한 새로운 입법을 시도하기도 하였다.
그런데 우리의 경우 수사기관이 범죄혐의 입증에 필요한 디지털증거를 수집하기 위해서는 대부분 대물적 강제처분인 압수수색절차에 의할 수밖에 없기 때문에 이 경우 「헌법」 또는 「형사소송법」 등의 규정에 따라 ‘강제처분 법정주의’나 ‘적법절차의 원칙’을 준수하여야 한다. 만일 수사기관이 이러한 법원칙을 무시하
고 오로지 범죄혐의 입증을 위해 필요하다는 이유만으로 증거를 수집할 경우 수집한 증거는 위법하게 수집한 증거로 평가되어 증거로 사용할 수 없게 될 것이다(위법수집증거배제의 법칙).
따라서 정보기술을 이용하여 발생하고 있는 다양한 범죄에 대처하기 위해서는 디지털증거의 수집이 필요할 뿐만 아니라 이를 위해서는 디지털증거 수집에 관한 명확한 법적 근거가 존재해야 한다. 나아가 디지털증거는 전통적인 물리적 증거와 다른 독특한 특성이 존재하기 때문에 압수수색방법에 있어서도 전통적인 증거수집 방법과 다른 취급이 요청되며 이에 따라 디지털증거 수집에 대한 새로운 입법의 필요성도 제기되고 있다.
그런데 이와 관련하여 현행 「형사소송법」은 압수의 대상을 ‘증거물’ 또는 ‘몰수할 것으로 사료하는 물건(제106조 제1항)’으로 규정하고 있을 뿐만 아니라 ‘압수의 목적물이 정보저장매체인 경우(제106조 제3항)’라고 규정하여 압수대상을 ‘정보저장매체로서 유체물’에 무게중심을 두고 있다는 점에서 무체정보인 ‘디지털증거’를 압수할 수 있는 것인지 여전히 문제된다.
또한 압수방법에 있어서도 원칙적으로 ‘출력․복제’의 압수방법을, 예외적으로 ‘정보저장매체 자체’의 압수방법을 규정함으로써 수사비례의 원칙을 구체화하였다는 점은 긍정적으로 평가할 수 있겠지만 애초에 권리제한적인 강제처분으로서 압수수색제도를 둔 취지를 고려할 때 이러한 압수방법이 오히려 압수수색 목적달성을 곤란하게 하는 것은 아닌지 문제될 수 있다. 나아가 디지털증거는 변조가 용이하고 외부의 환경변화에 취약하기 때문에 증거인멸에 대비한 신속한 증거보전절차가 요구되고, 기업이 운영하는 대형 시스템을 압수수색하는 경우와 같이 대량의 정보 중에서 필요한 정보만을 압수하기 위해서는 시스템관리자의 협력이 요청되거나 네트워크를 통한 원격 수색이 요구되는 일도 발생할 수 있다. 그러나 우리의 경우 디지털증거 수집을 둘러싼 이러한 압수수색에 대한 입법적 대비가 여전히 미비한 실정이다.
그런데 현행 「형사소송법」과 같이 실제로는 ‘증거가치 있는 정보’의 압수를 의도하고 있으면서도 ‘정보가 저장된 매체’를 중심으로 압수대상을 인정하게 될 경우 「수사관 소유의 저장매체에 피처분자의 정보를 복제하여 압수한 사례」에서 수사관이 무엇을 압수한 것인지 혼란스러운 상황이 발생할 수 있고, 이미 「형법」
도 무체정보인 전자기록을 몰수의 대상으로 삼고 있으며(제48조 제3항) 「통신비밀보호법」도 ‘송․수신이 완료된 전기통신’에 대한 압수수색 가능성을 인정(제9조의3)하고 있기 때문에 법의 통일성의 관점에서 정보의 압수대상성을 인정하는 새로운 입법이 필요하다. 압수수색방법에 있어서도 ‘원칙적 출력․복제’와 ‘예외적 정보 저장매체 자체’라는 압수방법만을 강요하게 될 때에는 수사현실에 대한 고려 없이 이상론에 치우쳐 압수목적 달성이 곤란하게 될 수 있고, 디지털증거의 증거능력 인정을 위해 일반적으로 거론되는 ‘동일성’ 요건의 충족도 곤란하게 될 수 있다는 점에서 입법적 개선이 요청된다. 나아가 디지털증거의 독특한 특성을 감안할 때 신속한 증거보전제도나 네트워크 환경을 고려한 원격 압수수색제도의 도입도 필요하며 특히 우리 형사소송법에서는 ‘인신구속에 전제하여’ 무영장 압수수색을 허용하고 있지만 적법한 압수수색을 집행하는 중에 다른 사건에 관한 명백한 유죄의 증거를 우연히 발견한 때에는 일정한 법적 통제 하에 미국의 플레인뷰 원칙(the plain view doctrine)과 유사한 압수수색을 허용할 필요도 있다.
따라서 본 연구에서는 디지털증거의 법적․기술적 특성을 비교․분석하여 디지털증거 압수수색에 있어 발생할 수 있는 법적 쟁점을 도출해 보고, 이에 대한 국내․외 입법의 비교연구를 통해 우리나라 압수수색제도에 대한 개선방안을 제시하였다. 다만 디지털증거의 특성에 적합한 압수수색체계로의 전환 필요성만으로 관련법을 무리하게 개정할 경우 피처분자의 프라이버시에 대한 부당한 침해를 야기할 가능성도 존재하기 때문에 본 연구에서는 각 개선사항에 대한 법적 통제방안을 검토하여 현실적인 입법안을 제시하는데 까지 연구결과를 도출하였다.
그런데, 설사 수사기관이 법적인 근거를 토대로 디지털증거를 수집했다고 하더라도 만일 증거수집 과정에서 잘못된 수집방법을 사용했다거나 증거분석 또는 이송 과정에서 부적절한 취급을 하게 된다면 디지털증거가 변경․손상되어 증거로 사용할 수 없게 될 수 있다. 따라서 디지털증거를 ‘사실인정의 자료’로 활용하기 위해서는 디지털증거의 진정성․무결성을 담보할 수 있는 제도적인 통제환경이 마련될 필요가 있다.
따라서 본 연구에서는 디지털증거의 과학적인 처리절차인 ‘디지털포렌식(digital forensics)’에 관한 국내․외 절차모델을 검토하여 국내 절차모델의 개선방안을 도출하였으며, 동시에 국가 차원의 표준적인 디지털포렌식 절차모델의 정립과 디지털포렌식 도구에 대한 신뢰성 인증제도를 제안하는 등 디지털증거의 활용성을 제고할 수 있는 제도개선방안도 마련하여 디지털증거 압수수색에 관한 법체계 및 제도환경을 아우르는 개선방안을 제시하였다.
주지하다시피 이미 우리의 생활관계 전 영역에서 디지털 정보의 생산․이용․유통이 빈번히 일어나고 있다. 마찬가지로 범죄수사 영역에서 범죄혐의 입증을 위해 디지털증거를 압수수색할 필요가 있다는 점도 새로운 사실은 아니다. 그러나 여전히 우리의 압수수색 법체계가 이러한 현실을 충분히 반영하지 못하고 있을 뿐만 아니라 만일 종래의 물리적 증거를 중심으로 한 법적 시각에서 벗어나지 못하는 한 어렵게 수집한 디지털증거를 사용할 수 없게 되어 효과적인 범죄대응이 어려울 수 있다. 따라서 이제부터라도 디지털증거의 압수수색 현실과 실정법 사이의 간극을 좁히기 위한 노력을 통해 체계정당성과 현실성을 갖춘 압수수색 법체계를 마련해야 할 것이다.
A Study on the Improvement of Search and Seizure of Digital Evidence
As the economist Fritz Machlup called U.S. information society in 1962, the transfer from the traditional society to a changed society has been noticed for long. In particular, the Internet starting from the research-purpose network of Advanced Research Projects Agency (ARPA), one of the affiliated organizations of the US Department of Defense in the 1960s to 1970s has been rapidly dispersed to various fields of politics, economy, society and culture from the late 1990s. In case of South Korea, high-speed Internet has been available for the most part of the household, thus creating an atmosphere that the use and circulation of digital information has been one of the daily activities. However, entry into information society has also caused some adverse effects, such as electronic infringement behavior like hacking and distribution of computer viruses, cyber terror against national computer networks, various crimes using anonymity like fraud and theft of personal information. Especially, it has been difficult to identify the criminals in such crimes since they used cyber space wrought by the computer or the Internet, not by the conventional physically tangible spaces. Further, it has been easy for them to destruct evidence due to the nature of digital evidence, thus leading to some limitations on dealing with such crimes using traditional methods of criminal investigations. Therefore, making new legislation has been recently attempted concerning the collection of digital evidence in the U.S., European countries and Japan, in terms that there have been some limitations on proving such high-tech crimes simply by using the traditional evidence methods, such as physical evidence, documents for evidence and testimony of persons.
Meanwhile, in case of South Korea, law enforcement agencies should abide by the principles of ‘legality (nulla poena) without legal disposition’ or ‘due process of law,’ according to the rules and regulations of the Constitution or Criminal Procedure Act, since they have no choice but to rely mostly on the procedures of search and seizure and the legal disposition of the object, in order to collect digital evidence necessary to prove the allegations of the crimes. In case that the law enforcement agencies collect evidence to only prove the allegations of crimes while disregarding such legal principles, the evidence obtained will be regarded illegal and may not be used as evidence in a court of law (the Exclusionary Rule of Illegally Obtained Evidence). Therefore, in order to cope with various crimes by information technology, it is absolutely necessary to obtain digital evidence and establish clear legal grounds on its collection. Further, since digital evidence has the characteristics distinct from traditional physical evidence, different methods are required also in the procedures of search and seizure, thus suggesting the necessity of making new legislation on its collection.
However, with regard to this issue, the existing Criminal Procedure Act specifies the targets of seizure as ‘any articles which, it believes, may be used as evidence, or liable to confiscation’ [Article 106 (1)] and “the target objects of seizure as information storage media [Article 106 (3)].” This still remains problematic in that the targets of seizure are mainly centering on ‘articles as information storage media’ and in whether ‘digital evidence’ as intangible information can be seizured. Meanwhile, it may be positive in terms of the
methods of seizure in that there is full-scale effort for the protection of privacy for those who are seizured, by modifying the original seizure methods of ‘printing and duplication’ into the exceptional seizure methods of ‘information storage media themselves,’ but given the purposes of the search and seizure system that may be invasive in the first place, it can be problematic in that such seizure methods
may make the achievement of original purposes of search and seizure ever more difficult. Furthermore, digital evidence is easy to be falsified due to its nature and vulnerability to external environmental changes; thus, it is required to have prompt procedures of perpetuation of evidence in preparation for its destruction. It may happen that it is required to have cooperation of system managers or remotely conduct search and seizure through the network in order to confiscate only the needed information among a large amount of information as in the case of searching and seizing a large-scale system operated by an enterprise. However, it is still inadequate to have legislative preparation for such search and seizure surrounding the gathering of digital evidence in Korea.
By the way, just as the current criminal procedure law, when the targets of seizure are acknowledged centered on ‘medium containing information’ even though it actually intends seizure of ‘information worthy of evidence,’ the confusing situation where a investigator is not sure of what he or she seizes in「case of seizure by duplicating information of the target of seizure into storage medium owned by an investigator」, and because criminal law already designates electronic records, intangible information, as the subject of confiscation [Article 48(3)] as well as Protection of Communications Secrets Act recognizes the possibility of search and seizure of ‘telecommunications of which transmission and reception have been completed’[Article 9-3], new legislation which admits possibility of being targets of seizure of information in the perspective of legal unity is needed.
In the methods of search and seizure, when forcing only ‘output and duplication in principle’ and ‘exceptional information storage medium,’ it may be carried away by idealism and difficult to achieve the purpose of seizure; it will be also difficult to meet the requirement of ‘identity,’ generally raised for acknowledging admissibility of evidence of digital evidence, so legislative improvement is required. Furthermore, when considering unique feature of digital evidence, the introduction of prompt preservation of evidence or remote search and seizure system based on network environment is required, and especially, our criminal procedure law allows search and seizure without warrant, but when apparent evidence of guilt about other cases is accidentally found during carrying out legitimate search and seizure, it’s also needed to allow search and seizure similar to plain view doctrine from US under certain legal control.
Therefore, this study compared and analyzed legal and technical characteristics of digital evidence to draw legal issues which could be occur in search and seizure of digital evidence, suggesting improvement plans for search and seizure system in Korea through conducting comparative study of domestic and foreign legislations. When, however, revising related law with only necessity of change to search and seizure system appropriate for characteristics of digital evidence, there will be possibility to cause unfair infringement on privacy of informants. This study thus reviewed legal control measures for each improvement to derive the research findings to the extent of realistic legislations.
Besides, even though investigative agency collected digital evidence based on legal grounds, if it used incorrect information gathering in collecting evidence or treated it inappropriately in the process of evidence analysis or transferring, the digital evidence might be modified and damaged, and could not be used as evidence. In order to use digital evidence as ‘material for fact‐finding’, therefore, institutional controlling circumstance which can guarantee authenticity and integrity of digital evidence is needed to be created.
Accordingly, this study reviewed domestic and foreign procedure models on digital forensics, a scientific process for digital evidence, and drew improvements for domestic procedure models. At the same time, the study provided institutional improvements in which the utility of digital evidence can be enhanced, including establishing standard digital forensics procedure models and certificate program for reliability of digital forensic instrument, so that it can suggest improvement plans encompassing legal system and institutional environment on search and seizure of digital evidence.
Already in all domains of our living relationship, production, use and distribution of digital information are generating frequently. Likewise, it’s not a new fact that we need to conduct search and seizure on digital evidence in order to prove criminal charges in criminal investigation. However, our legal system of search and seizure does not reflect such reality still, and unless it escapes from legal view focused on traditional physical evidence, digital evidence which is collected with difficulty cannot be used, thereby having trouble in effectively taking action against crimes. Therefore, it’s now necessary to provide legal system for search and seizure equipped with constitutional value order and reality through efforts to bridge a gap between the reality of search and seizure of digital evidence and the positive law.