디지털 포렌식에서 '증거 보존(Chain of Custody)'이 중요한 이유

❓ 왜 '증거'를 수집만 하면 안 될까?

디지털 포렌식은 컴퓨터, 스마트폰, 네트워크 등 디지털 기기에서 범죄나 침해의 흔적을 찾아내는 과정입니다.
그런데, 단서가 아무리 명확하더라도 법적 증거로 인정받으려면 한 가지 조건이 꼭 필요합니다.
그게 바로 "증거 보존(Chain of Custody)"입니다.

🔍 Chain of Custody란?

Chain of Custody(증거 인수인계 기록)는 디지털 증거가 수집부터 법정 제출까지 누구 손을 거쳤고, 어떻게 보관되었는지를 명확하게 기록하는 절차입니다.

📦 쉽게 말해…

"이 증거는 처음부터 지금까지 조작되지 않았고, 신뢰할 수 있는 방식으로 관리되었어요."라는 것을 증명하는 일종의 '이력서'입니다.

🧭 Chain of Custody의 4단계

단계	설명
1. 증거 식별	하드디스크, USB, 이메일 로그 등 어떤 디지털 증거를 확보할지 결정
2. 수집 (Acquisition)	증거를 복제(FOR IMAGE COPY)하고, 해시값(MD5, SHA256 등) 생성으로 무결성 확보
3. 보관 (Preservation)	잠금 보관함, 별도 저장소 등에서 안전하게 보관하며, 접근 권한 제한
4. 문서화 (Documentation)	언제, 누가, 왜, 어떻게 증거를 인계·인수했는지를 상세하게 문서로 기록

⚠️ Chain of Custody가 무너지면 생기는 문제

문제	결과
📉 누군가 중간에 증거를 바꿨다고 의심	증거 무효 처리
⛔ 인수인계 문서 누락	법정에서 인정되지 않음
🕳 저장장치가 손상된 채 발견	핵심 정보 손실

📌 실제로 법원에서는 Chain of Custody가 완벽하지 않으면 범죄 증거로 채택하지 않거나, 재판에서 패소할 수도 있습니다.

🎓 초보자를 위한 비유: 택배 추적 시스템

증거 보존은 마치 소중한 택배의 실시간 위치 추적과 비슷해요.
어디서 출발해서 누가 배송했고, 지금 어디에 있는지 기록을 남기지 않으면 물건이 바뀌었을 때 아무도 책임질 수 없겠죠?
디지털 증거도 마찬가지입니다.

✅ 증거 보존을 위한 필수 수칙

1. 디지털 증거는 복사본만 분석 (원본은 손대지 않음)
2. 해시값으로 무결성 유지 (변조 방지)
3. 증거 인계 시마다 서명 및 기록 작성
4. 보안이 적용된 저장 장치 사용

📚 참고 자료

• Casey, E. (2011). Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet (3rd ed.). Academic Press.
• National Institute of Standards and Technology. (2006). Guide to Integrating Forensic Techniques into Incident Response (SP 800-86). NIST. https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-86.pdf
• US Department of Justice. (2008). Forensic Examination of Digital Evidence: A Guide for Law Enforcement. https://www.ncjrs.gov/pdffiles1/nij/199408.pdf

🔐 마무리: '증거의 생명은 신뢰성입니다'

디지털 포렌식에서 가장 중요한 건 기술보다 절차의 정확성입니다. 아무리 유력한 증거라도 증거가 조작되지 않았다는 신뢰가 없다면 법정에선 무의미합니다.