EnCase 전문가에 대한 인증 자격증이 존재함

Download Report

Transcript EnCase 전문가에 대한 인증 자격증이 존재함

디지털 포렌식 수사관
인증제 도입방안 연구
고려대학교
정보경영공학전문대학원
임종인
디지털 증거가 법적 효력을 갖기 위한 조건
절
차
적법 절차와 수단
디지털 포렌식 표준
가이드라인
도
구
신뢰성 있는
디지털 포렌식 도구
디지털 포렌식 도구 검증
인
력
전문기술과 자격을 갖춘
디지털수사관
시
설
신뢰성 있는
디지털 증거 분석실
디지털 수사관 인증
디지털 증거 분석실 검증
2
디지털 증거의 법적 조건 준비도 비교
미
국
한
국
절
차
Forensic Examination of
Digital Evidence: A Guide for
law Enforcement 등 다수
디지털 포렌식 표준 가이드라인
도
구
컴퓨터포렌식도구평가프로젝트
(CFTT)
X
인
력
디지털포렌식자격위원회 (DFCB)
각종 국가기관,민간자격증제도
숙련도시험기관 지정, 100개 이상
대학의 디지털포렌식 학과
X
시
설
법과학시험기관장협회
시험기관인증위원회 프로그램
(ASCLD/LAB)
KOLAS 시험기관/교정기관 인증
(KS A ISO/IEC 17025)
3
디지털 포렌식 품질 보장을 위한 Triangle
디지털 포렌식 절차/툴 표준
디지털 포렌식 랩 인정
디지털 포렌식 수사관 인증
Standards, Accreditation, Certification을 통해
디지털 포렌식 서비스 품질과 디지털 증거의 신뢰성을 높일 수 있음
4
본 과제의 연구 배경, 영역 및 목표
재판에서 포렌식 수사관의 능력 및 자격 검증 문제가 제기 되어
디지털 증거가 법적 증거로 받아들여지지 못할 위험성 증가
연구
배경
디지털 증거의 수집·분석을 수행한 수사관이 관련 지식과
기술을 포함한 공인된 전문성을 갖춘 자일 것을 요구하고 있음
디지털 증거 수집·분석을 수행하는 수사관의 지식 및 기술의
전문성을 인증하는 디지털 포렌식 수사관 인증제가 요청됨
해외 디지털 포렌식 전문가 증인제도 연구 (판례,법제분석)
연구
영역
해외 디지털 포렌식 전문가 교육제도 연구 (사례분석)
해외 디지털 포렌식 전문가 인증제도 연구 (사례분석)
연구
목표
국내 대검찰청 디지털 포렌식 수사관 인증제 정당성 제공
국내 대검찰청 디지털 포렌식 수사관 인증제 발전 방향 제안
5
전문가 증인제도와
디지털 포렌식 전문가 자격요건
6
전문가 증인 (Expert Witness) 개요
• 전문가 증언(Expert Testimony)
특정 분야(과학, 기술)에 식견이 공식적으로 전문가라고 인정될 수 있는 자
가 증인으로서 그 전문분야에 관련된 범위에서의 증거나 사실에 관한 의견
을 진술하거나 상황에 대한 결론을 제시하는 행위
• 전문가 증인의 자격 판단
-특정 증인이 소송당사자로부터 전문가 증인으로 지명되면, 법원은 전문가
증인이 법정에서 증언하기 전에 해당 증인이 전문가 증인으로 증언할 자격
이 있는지 여부를 판단하고 전문가 증인으로 승인 혹은 거부해야 함
-법관은 해당 증인이 전문가인지, 해당 증인의 진술이 신뢰할 만한 것인지,
해당 증인의 진술이 배심원 및 해당 사건의 판결에 도움이 될 것인지 여부를
판단해야 함
-증인의 전문가 자격 인증은 증인이 증언할 능력을 부여받는다는 것일 뿐,
증언의 정확성이나 무결성을 인정하는 것은 아님
7
전문가 증인의 전문가 자격에 대한 질문들
• 전문가 자격에 대한 주요 질문들
 당신이 갖고 있는 학위는?
 해당 분야에서 당신의 지위는?
 해당 분야에 대해 당신이 교육받은 내용은?
 해당 분야와 관련한 저술 목록은?
 해당 분야에서 이전에 전문가 증인으로 법정에 선 경험은?
• 전문가 증인 제출 의무 정보 (FRE)
 해당 증인이 전문가 증인으로 수행한 이전 4년간의 증언
 이전 10년간의 관련 저술 목록
 이전 전문가 증언을 통해 받았던 보상
전문가 증인의 자격 정보 제출을 의무화함으로써 배심원들이 전문가의
신용도를 평가하기 위해 전문가들의 경력을 알 권리를 충족시켜줌
8
소송에서 전문가 증인 자격 증명 방법
• 이력서(Curriculum Vitae)
- 학위 및 관련 교육 수료 내역, 컨퍼런스 및 워크샵 참석 내역, 교육 훈련 시간
- 관련 업종 경력
- 교육 및 연구 경력
- 연구 보조금 및 장학금 내역
- 전문가 단체 회원 유무
- 저서 목록
- 수상 내역
- 이전 전문가 증인 활동 내역
• 자격증명서(Qualifications)
- 증언내용과 관련된 교육 수료증
- 증언내용과 관련된 각종 자격증
9
전문가 이력서 위조 행위
• 전문가 이력서 위조 행위에 대한 책임 및 처벌
- 법정에 제출할 이력서(CV)에는 사실만을 적어야 하며, 사실을 적시하지 않고 허위사실을 기재
했을 경우 미국의 경우 법정에서 전문가 증인으로서의 증언의 신뢰성에 심각한 타격을 입게 됨은
물론 본인 스스로가 에 책임을 지게 될 수 있음
• 관련 사례
1) 미국 사례
- James Earl Edmiston은 2006년 4월과 6월 두 개의 사건에 전문가 증인으로 참석해서 본인의
학력을 캘리포니아공대에서 박사학위를 받았다고 속였을 뿐만 아니라, 수형기간을 포함한 자신의
범죄력을 감추었음
- 본 사례에서 Edmiston은 10년 징역형과 5십만달러의 벌금형에 처해졌음
2) 영국 사례
- 2008년 저명한 디지털 포렌식 전문가 증인인 Jim Bates의 위증 및 학력위조 사건에서 영국 법
조계는 해당 전문성이 학위와 관계없이 인정되며 전문가로서의 의견 또한 법적 증거로 인정되는데
문제가 없다는 의견을 보인바 있다.
10
전문가 증언제도 비교 : 대륙법계/영미법계
영미법계
전문가의
지위
쌍방 중의 일방의 증인
대륙법계
법관의 과학 보조인 혹은 사실발견에서의
보조자
전문가의 중립지위를 강조하고 쌍방 당사
자와 직접적인 관련이 없음 (“전문가는 법
중립성
보장 안 됨
관의 조언자로 이해하므로 반드시 쌍방 당
사자에게 중립태도를 취해야 함”-독일 소
송제도)
전문가 증언 및 보고서에 대한 당사자의 제어 법관이 감정의 최종결정권과 감정의뢰권을
권, 당사자에 귀속된 전문가 증언의 시동권이 가지고 있으며, 쌍방의 신청이나 본인의 직
시동 유형
쌍방 당사자에게 존재함. 감정 여부 결정 및 권에 근거하여 감정절차 착수를 결정하고
누가 어떤 사항에 대해 전문가 증언을 진행할 적합한 감정인을 선택할 수 있음. 쌍방은
것인가는 양측 당사자의 권한임
쌍방
당사자의
권리
전문가 증인 결정권
전문가 증인 결정권이 없음
전문가 증인 신청권
11
미국의 전문가 증인제도
• 형사소송규칙 (FRCrP)
-감정인 혹은 분석관을 전문가로서 출석시켜 증언을 할 수 있도록 함
• 연방증거규칙 (FRE)
-과학적, 기술적 혹은 특수한 지식이 필요한 사항에 있어서는 전문지식, 기술, 경험을
소유하고 교육받은 자질 있는 전문가가 증언해야 함(제702조)
-증인의 전문가 자격은 관련 주제에 대한 지식, 기술, 경험, 훈련, 교육 등을 갖추고 있
으면 된다고 규정함
• 미국의 전문가의 전문성 판별 기준
- 자신이 수행한 분석 업무 및 그 결과에 대해 합리적으로 설명할 수 있을 정도의 지
식과 경험을 갖추면 충분한 것으로 인정됨
- 미국의 경우 일정한 학위, 전공, 교육 이수 여부 등 획일적인 기준에 따라 전문가 자
격을 판단하는 것이 아님
- 지식, 기술, 경험, 훈련, 교육 등 다양한 요건들을 종합적으로 판단하여 전문가 자격
을 인정하고 있음
12
미국의 전문가 증인과 과학적 증거 허용성
기준
기준 항목
FRE 702조
전문가는 단순히 해당 주제와 관련된 지식/기술/경험/훈련 혹은 교육
을 가지고 있거나 받았음을 보여주기만 하면 됨 (여기서의 지식은 과
학적 지식, 기술적 지식 뿐만 아니라 모든 전문화된 지식을 포함)
Frye Test
증인이 지니고 있는 과학기술이 해당 과학공동체 안에서 일반적으로
수용(General Acceptance)되고 있음을 입증해야 함. 이를 위해서 증
인이 근거하는 이론이 일반적으로 수용되어야 하며, 이론을 적용하는
절차 또한 일반적으로 수용되어야 함
(Frye v. U.S, 1923)
Frye Plus
(People v. Castro, 1989)
Frye Test에 검사를 행하는 실험실이 일반적으로 수용되는 이론 적
용절차를 준수함을 입증할 것을 추가적으로 요구함으로써 Frye 요건
을 강화함
Frye Test의 General Acceptance 기준을 일부 배척하고, 다음 4가
지 요소를 종합적으로 고려하여 판단하는 Factor Test를 제시함
Daubert Test
(Daubert v. Merrell Dow, 1993)
Kumho Case
(Kumho Tire v.
Carmichael,1999)
-Testing : 신뢰성과 진실성을 검증할 수 있는가?
-Error Rate : 오류발생률과 같은 타당성 검증기준이 있는가?
-Publication : 공식적 출판이나 상호검증과정을 거쳤는가?
-Acceptance : 관련학계로부터 일반적으로 받아들여지는가?
과학적 지식 뿐만 아니라, 기술적이고 다른 특별한 지식에 기반한 모
든 전문가 증언에는 신뢰성과 연관성을 증명할 책임을 가지며, 판사
는 Daubert Test를 적용하여 Gate Keeping 기능을 수행해야 함
13
전문가 증인 관련 해외 판례 : 미국
State(Ohio) v. Cook
(2002)
- 포렌식 도구를 이용해 수집된 증거가 연방증거법의 901(A)과 901(B)(9)을 만족시
켜 법적유효성이 인정된 판례로, 디지털 수사관의 증거 수집 자격 문제가 이슈화되
었음
- 법원은 해당 사건의 수사관인 Driscoll이 포렌식툴 사용법을 명확하게 숙지하였고,
그에 대한 교육을 철저히 받았다는 것을 확인하였으므로 증거로 제출된 Cook의 하
드디스크 미러 이미지가 법적 증거로 유효하다는 판결을 내렸음
- 기록으로서의 디지털 증거는 연방증거법 제901조(B)(9)에 의해 그 기록을 작성한
프로세스나 시스템에 관한 증거에 의해 진정성이 성립되는데, 기록 내용의 정확성
등의 문제에 있어 전문증인에 의한 증언이 필요할 경우 진정성을 증명하는 정도에
서는 증명해야 할 관련 사실에 관해 일차적인 정보로 충분하지 자신이 프로그래머
가 되거나 심지어 내부의 기술적인 작업을 이해할 필요도 없다는 판결이 일반적임
14
전문가 증인 관련 해외 판례 : 미국
United States v. Moore (1991)
- 컴퓨터 증거의 진정성(authenticity)에 대해 증언하기 위한 전문가 증인은
특별한 자격요건이 필요없다는 판결이 내려짐
- 증인은 스스로 프로그래밍한 경험이 있거나 컴퓨터의 기술적 운용과 유지에
대해 이해하고 있을 필요가 없으며, 증인은 그가 진술하고자 하는 직접적인
사실들에 대한 직접적인 지식을 소유하고 있으면 된다고 판시함
- 본 판례에서는 은행의 고객대출부서장이 전산화된 대출기록을 감정할 수 있
다는 판결을 내림
유사 판례
-United States v. Whitaker (1997) : 피고 컴퓨터 압수에 참여했던 FBI
수사관이 압수된 파일의 진정성에 대해 증언할 수 있다고 판결함
-United States v. Miller : 전화회사과금관리자가 전화회사기록을 감정할
수 있다고 판결함
15
전문가 증인 관련 해외 판례
Bone v. State(Indiana) (2002)
- 피고 측은 프로그램을 직접 만들지 않은 수사관은 프로그램을 조사할 자격이 없다
고 주장하였으나, 법원은 수사관이 비록 초기 구성, 프로그램과 출력까지 모든 작업
을 수행할 능력은 없더라도 일반적인 시스템 운영과 사용법에 대한 정확하고 충분
한 지식을 갖추고 출력된 결과를 설명할 수 있을 정도면 디지털 증거의 신뢰성을 담
보할 수 있는 전문가 증인으로 인정된다고 판결함
United States v. Scott-Emuakpor (2000)
- 포렌식 수사에 참여했던 수사관들의 지식은 정교한 프로그램을 개발할 수 있는 전
문적 지식이 아니라 하드디스크에 무엇이 들어있는지 알아낼 수 있는 정도라면 충
분하며, 증인이 컴퓨터 포렌식 전문가가 아님을 인정했다는 사실은 법원에 대해 법
적 구속력이 없다고 판시함으로써 "증인들이 컴퓨터 장비 조사 시 자신들이 수행한
작업들과 조사 결과에 대해 증언하지 못할 이유가 없다."며 전문가 증언을 인정함
16
전문가 증인 관련 해외 판례
State of Washington v. Leavell (2000)
- 피고측은 수사관의 교육수준에 대한 의문을 제기하며 해당 수사관의 전문가 증언을
못하게 하려 했으나, 법원은 컴퓨터 포렌식 전문가의 평가 기준은 증거 수집 및 분석
에서 소프트웨어를 다루는 능력만으로 판단되어야 할 뿐 컴퓨터 과학의 전문가일
필요는 없으므로, 국가기관에서 충분히 훈련 받은 해당 수사관은 전문가로서 법정에
서 EnCase를 이용한 수집 프로세스에 대해 증언할 수 있다는 판결을 내렸음
United States v. Madoch (1996)
- 본 판례에서는 동일한 주제에 대해 진술하는 양측의 전문가들 간에 비슷한 수준의
자격요건이 필요한 것은 아니라는 판결이 내려졌음. 즉, 다른 전문가 증인의 증언에
대항하기 위해 정확히 동일한 자격요건들을 갖추고 있을 필요는 없음
17
전문가 증인 관련 해외 판례 : 미국
Williford v. Texas (2004)
- 포렌식 도구를 이용해 수집된 증거가 법적 증거로서 유효하다는 것을 인정한
판결로서 그 의미가 있으며, 디지털 포렌식 도구의 신뢰성의 기본 조건으로 해
당 포렌식 도구에 대한 전문가의 존재와 전문자격증의 존재를 제시하고 있음.
구체적으로 법원이 해당 증거를 법적 증거로 인정한 이유 중에는 다음과 같은
디지털 포렌식 전문가 관련 내용이 포함되어 있음
• EnCase도구의 과학적 이론과 해당 기술은 검증된 관련 학계에서 널리 인정됨
• EnCase 전문가에 대한 인증 자격증이 존재함
• EnCase와 관련된 학술지 및 문서들이 많이 존재함
• EnCase의 오류 발생가능성에 대한 연구가 이루어졌음
• 법정에서 EnCase의 과학적 근거를 설명할 수 있음
• EnCase를 테스트 및 평가할 수 있는 검증된 전문가들이 존재함
• EnCase기술을 습득하고 사용경험이 있는 사람은 누구나 그 상황에 사용할 수 있음
18
전문가 증인 관련 해외 판례 : 미국
United States v. Ganier (2006)
- 피고는 정부가 FRCrP 16(a)(1)(G)에서 요구하고 있는 전문가 증언에 대한 요약 문서를
제출하지 않았다며 정부 측 포렌식 컴퓨터 전문가에 대한 증인배제신청을 함
- 정부는 본인이 작성한 보고서에 기반한 연방사법수사관의 증언이 "과학적, 기술적 혹은
특수지식"에 해당되지 않으며 오히려 일반인들도 쉽게 관찰할 수 있는 사실에 대한 진
술에 불과하므로 전문가 증인의 요약문서 제공이 불필요하다고 주장함
- 수사관들이 작성한 보고서들은 각각 다른 시간에 다른 검색어를 통해 수행된 세 가지
다른 유형의 수사들이 수행되었음을 보여주고 있다고 주장하나, 그러한 해석은 수사관
들이 FRE 제702조에 '과학적, 기술적 혹은 기타 특수지식'이라고 명시된 것처럼 평균
적인 비전문가를 뛰어넘는 컴퓨터 및 개별 포렌식 소프트웨어에 대한 지식과 친밀도를
갖출 것을 요구하고 있다"고 판시하면서 정부 측이 신청한 증인이 전문가 증인에 해당
하며, 따라서 정부 측이 FRCrP 16(a)(1)(G)에서 요구하고 있는 요약문서 제출의무를
위반하였으므로 해당 증인을 배제하도록 결정하였음
19
전문가 증인 관련 해외 판례 : 미국
Furmanite America, Inc. v. T.D. Williamson, Inc. (2007)
- 기본적인 복제, 이미지 생성, 검색, 수집 그리고 데이터 제출을 수행한 컴퓨터
포렌식 전문가들은 반드시 전문가 증인의 역할만 수행하지 않고 특정 사안에
대해서는 사실증인으로서 자신들의 결과물들을 보여줄 수 있다는 것을 보여
준 판례임
- 하지만, 만약 전문가들이 자신들이 복구한 데이터에 대한 상세 분석 및 보고
서 및 다른 분석들에 대한 해석을 제공하기 위해서는 반드시 전문가 증인으로
인정되고 나서 증언을 해야 한다는 것을 보여주고 있음
20
전문가 증인 관련 해외 판례 : 미국
State v. Mack (1995)
- 전문가의 학력요건에 대한 결정이 내려진 판례로, 미국 증거법 702조를 만족시키기
위해서 학력은 필요는 없으며, 누군가를 전문가로 판단하는데 전문적인 경험과 훈련
만으로 충분하다고 판시하였음
United States v. Baker (1993)
- 법원은 전문가가 자신이 증언해야 할 전문영역에서 "뛰어난 능력"을 소유할 필요는
없다고 판시함. 또한 전문가는 교육인증서를 가지거나, 특정 전문가 조직의 회원일
필요가 없음.
Jenkins v. United States (1962)
- 법원은 전문가의 자격요건은 증인의 지식의 성격과 내용에 의해 결정되는 것이지,
``정신분석의라는 전문가의 직위에 의해 결정되는 것이 아니라는 취지의 판결을 내
림
21
전문가 증인 자격 요소와 자격 요건 : 미국
미국 전문가 증인제도에서 학위·직위·자격증 유무·전문가 단체 회원 유무는
전문가 필수 자격요건에 해당되지 않음
요소
자격 요건
관련 판례
학위
필수가 아님
State v. Mack
직위
필수가 아님
Jenkins v. United States
자격증 유무
필수가 아님
United States v. Baker
전문가 단체 회원 유무
필수가 아님
United States v. Baker
지식의 양과 질
배심원들이 판단할 문제임
United States v. Baker
지식의 비교
배심원들이 판단할 문제임 United States v. Madoch
대학 학위, 높은 직위, 자격증 유무 등은 전문가 증인
자격을 판단하는데 필수적으로 요구되지는 않음
22
전문가 요건으로서의 학위
• 원칙
- 대부분의 국가에서 지식, 기술, 경험, 수련, 교육에 의해 전문 자격을 얻은
자는 누구든지 전문가 증언을 할 수 있다고 인정되고 있음
- 전문성은 교육, 경험, 기술, 혹은 훈련에 의해서 습득될 수 있는 것으로, 정
식 교육을 필수적으로 요구하는 것은 아님
- 정식 교육이나 학위보다 전문가 자격에 있어 좀 더 근본적이고 필수적인 요
소는 해당 분야에서의 경험임
• 사례 : Kumho Tire v. Carmichael
- Kumho Case에서 법원은 정식교육을 마치지 못한 기술자였던 Carmichael
측 타이어 전문가를 학력과는 상관없이 전문가로서 인정하고 있음
일반적으로 학위는 전문가 자격에 있어 필수 요소는 아니지만, 판사나
배심원들에게 좀 더 높은 신뢰성이나 긍정적인 이미지를 주는 요소가 됨
23
영국의 전문가 증인제도
• 전문가 증인 개념
- 영국 재판제도에서 '전문가 증인'은 재판이나 법원 심리와 청문회에서 자
신의 경험과 전문성에 입각한 견해를 통해 증거 제공 및 보완을 해주는 사람
을 말함
- 영국에서 전문가 증인은 단지 법원 측에 대한 의무를 지고 있을 뿐으로, 법
원, 판사, 배심원에게 자신의 경험, 역량, 자격증 등에 입각한 증언을 하면 됨
• 판사의 역할
- 전문가 증인의 증언을 받아들일 것인가 말 것인가를 판단하는 것은 전적
으로 판사에게 달려있으며, 판사는 증인이 충분한 연구과정을 거쳤는가, 전
문가라고 볼 수 있는 충분한 경험과 전문성을 갖추었는가 여부에 대한 판단
을 내리게 되어있음
24
영국의 전문가 증인제도
• 전문가 증인 자격 평가
- 미국의 경우 전문가 증거의 신뢰성과 관련한 공식적인 원리를 채
택하고 있는데 반해, 영국과 홍콩의 경우는 전문가 증언의 법적 허용
성을 평가할 때 공식적인 평가방법의 도입을 거부함
- 영국 법정의 경우 해당 전문 영역이 충분이 잘 정립되어 있다면,
일반적인 연관성 및 신뢰성 테스트만을 통과한 것으로 충분하며
더 이상의 추가적인 허용성 테스트가 불가능하다는 의견을 견지함
- 일반적으로 전문가 단체의 일원인 사람들은 전문가로서 인정됨
(예: Council for the Registration of Forensic Practitioners)
25
전문가 증인 관련 해외 판례 : 영국
Galaxy Computer Services, Inc. v. Baker (2005)
- 피고측은 포렌식 수사관이 ① 컴퓨터 전공 학위를 가지고 있지 않고, ② 다른 컴
퓨터 언어를 유창하게 사용하지 못하며, ③ 컴퓨터 프로그래머가 아니고, ④ 컴퓨
터 전공 학위를 가지고 있지 않고, ⑤ Microsoft 증명서를 받기 위한 특별한 교육
이나 훈련을 받지 못했다고 주장하며 전문가로서 증언할 자격이 없다고 주장했음
- 법원은 컴퓨터 포렌식 분야는 컴퓨터 프로그래밍이나 코드를 읽고 쓸 줄 아는 능
력이 요구되지 않으며, 해당 수사관이 대학에서 개설한 4주짜리 세미나에 참석했
고, 대학부설 집중 학습과정에 3회 참석했으며, 5년 동안 컴퓨터 포렌식 실무에
종사했고, High-tech Crime Investigation Association의 회원으로
1,600~1,700건의 포렌식 보고서를 작성했고, 그 중 몇 개의 리포트는 이미 여러
법원에서 증거로 받아들여졌으므로 그의 지식, 기술, 경험, 훈련 및 교육에 비추어
볼 때 전문가로 인정되기에 충분하다고 판결했음
26
영국의 전문가 증인제도
• 전문가 증인 자격 평가
- 전문가 보고서에 상세한 자격증명을 명시해야 함 (영국 민사소송규칙 35)
- “If the expert is not able to give his opinion without qualification,
state the qualification”(영국 민사소송규칙 35, Ikarian Reefer Case)
- 전문가를 요청하는 측의 변호사들은 해당 증인이 전문가로서의 자격이 있
음을 증명할 수 있는 자격증명서를 만들어서 제출해야 하며, 이러한 자격 증
명은 다음과 같은 요소들을 포함해야 함
• 업무분야 (Area of Practice)
• 전문분야 (Area of Expertise)
• 자격증 (Qualification)
• 최근 경험 (Recent Experience)
• 최근 교육훈련 내역 (Recent Training)
27
영국의 CRFP
• Council for the Registration of Forensic Practitioners
- 영국내의 포렌식의 과학적 기반 부재 및 신뢰도 높은 전문가 집단
의 부재로 인해 법정에서 전문가 증인으로 인정받지 못하거나 증언의
신뢰성이 떨어지게 되는 위험에 대처하기 위해 1997년 영국 Home
Office 지원 하에 설립된 독립 규제기관임
- CRFP는 자격을 갖춘 포렌식 전문가들을 등록하는 등기부를 유지
하고, 등록된 전문가의 자격 수준을 최신의 상태로 유지할 수 있게 해
주는 역할을 수행하는데, 현재 1250여명의 전문가들이 등록되어있음
- 영국에서는 CRFP에 등록되어있는지 여부가 법정에서 전문가로서
인증받을 수 있는지 여부에 결정적인 역할을 수행하게 됨
- 최근 들어 디지털 포렌식을 포함한 다양한 분야로 확장되었음
28
영국의 CRFP
CRFP 운영 프로세스
- CRFP 상호검증(Accreditation) : 가입을 원하는 전문가들은 자신이 활동하고자 하
는 영역의 CRFP 소속 포렌식 전문가들의 엄격한 상호 검토를 통한 개별적인 검증과정
을 거쳐 포렌식 전문가로 등록됨
- 재검증 과정 : 4년마다 재검증을 받아야 하며, 재검증에 실패하면 CRFP로부터 퇴출
CRFP 디지털 포렌식 영역
- 디지털 포렌식 영역은 데이터 수집, 데이터 조사, 데이터 평가 등 세가지 영역으로
전문성을 평가함
- 디지털 포렌식 수사관은 전문가 증인으로 활용되기 위해서는 CRFP에 등록신청해야
하며, 이 때 위의 세가지 영역 중의 하나를 선택해야 함
Role
Data Capture
Data Examination
Data Evaluation
Application Pack
Level
Computer Examination
Lower level
Computers
Higher level
29
영국의 CRFP 지원/평가 절차
등록 지원자의 지원서 제출
평가팀장의 관련 영역 전문성 평가자 지명
평가자의 평가
평가자의 등록 추천
평가자의 등록 비추천
평가팀장의 2번째 평가자 지명
2차 평가자의 등록 추천
2차 평가자의 등록 추천
평가팀장의 1,2차 결과 검토
평가팀장의 CRFP에 등록 추천 보고
평가팀장의 CRFP에 등록 비추천 보고
영국의 CRFP는 2차례에 걸친 전문가 등록 지원자들의
지원서와 자격요건들에 대한 상호검토 절차를 제공함
30
영국의 CRFP의 전문가 자격평가 요소
영국의 CRFP는 다양한 자격요소들을 기반으로
등록지원자들의 자격에 대한 평가를 수행함
31
캐나다의 전문가 증인 제도
• 캐나다 전문가 증인 인정 기준
- R. v. Mohan 판례를 통해 캐나다 전문가 증언이 갖추어야 할 원칙
들이 확정되었음
- 본 판례에서 Sopinka 판사는 피고의 증언을 증거로서 배제하면서
전문가 증언은 다음과 같은 4가지 원칙에 기반하여 받아들여져야 한
다고 판시함
① 전문가 증언은 사안과 연관성이 있어야 함
② 전문가 증언은 사실심사를 담당하는 배심원을 지원하는데 필수적이어야 함
③ 어떠한 배제 규칙(exclusionary rules)에도 적용되어서는 안 됨
④ 전문가 증언은 정식으로 인증 받은 전문가에 의해 이루어져야 함
32
유럽의 전문가증인제도
• 유럽 전문가 증인제도의 특징
- 유럽은 전문가 자격 인정에 있어 판사가 중요한 역할을 담당하고 있으며,
전문가 자격 판단 시 과학적 지식 없이 판사 스스로의 인상 판단에 의해 결
정하는 경우가 많음
- 판사의 눈과 귀로서의 <Court Expert>
- 전문가가 선택되고 조사과정을 거쳐 보고서가 작성되면, 판사는 증인과
증인보고서를 받아들일지 여부를 결정하게 됨
• 유럽 전문가 증인제도와 전문가 인증제도
- 공인된 자격증 취득 여부와 증인의 조사 수단의 공표는 전문가 자격을 인
증하는데 있어서 판사의 판단을 도와줄 효과적인 수단이 될 수 있을 것임
33
유럽의 전문가증인제도
• 유럽의 국가감정인제도와 전문가등록제도
- 유럽은 전통적으로 국가가 인증하는 전문가에 대한 신뢰도가 높으며, 대부분의 국
가들은 일반적으로 국가의 포렌식 센터 전문가 증언에 대해 높은 신뢰도를 두고 있음
- 유럽은 국가감정인제도 차원에서 자격을 갖춘 전문가들의 리스트를 공표하고 검증
된 신뢰성 있는 포렌식 수사 방법들을 공표함으로써 포렌식 수사 및 전문가 증인의 신
뢰성과 품질을 높임
- 오스트리아, 프랑스, 이탈리아, 폴란드, 포르투갈 등 유럽 국가들은 전문가 등록제
도를 두고 있음
• 독일의 Publicly Certified Experts 제도
- 특정 시험절차를 통과하면 Crafts Regulation Ordinance 91조나 Chambers of
Industry and Commerce에 의해 공인된 전문가가 됨
- 독일 법정은 공인되지 않은 전문가보다 공인된 전문가가 법정에서 증언하는 것을
선호함 (민사소송법 404조)
34
유럽의 전문가증인 제도
국가
오스트리아
전문가 자격 기준
특정분야와 관련된 특별한 지식이나 기술을 가진 자는 자격시험을 통해 전문
가가 될 수 있음 (Austrian Private Law)
법에 전문가 자격을 명시하고 있지는 않으나 해당 분야에서 적절한 자격증 및
영국
경험을 가지고 있을 것을 요구하고 있음. 추가적으로 전문가가 되기 위해서는
엄격한 염결성(integrity) 요건과 독립성, 객관성, 공정성과 같은 성격을 가지
고 있을 것을 요구하고 있음
민사소송법에는 전문가 자격과 관련된 어떠한 규정도 두고 있지 않지만, 일반
독일
적으로 특정분야에 특별히 높은 전문성을 가지고 있고 독립성과 중립성을 갖
춘 자는 전문가로서 법정에서 증언할 수 있음
포르투갈
스페인
판사에 준하는 독립성이나 공정성 요건을 만족시킬 것이 요구됨
전문가 협회 및 단체들은 매년 1월 전문가로 등록되기를 원하는 회원들의 리
스트를 제출해야 함
35
유럽의 전문가증인 제도
국가
질문
프랑스
오스트리아
독일
잉글랜드
헝가리
전문가
지명권자
법원이 지명
법원이
공인전문가
(Publicly Certifi
ed Experts)
중에서 지명
법원이
공인 전문가
(Publicly Certifi
ed Experts) 중
에서 지명
양측
(법원의 허가)
법원이 지명
공식
전문가
리스트
법원 공식
리스트
공식 리스트
없음
없음
공식
리스트
전문가
인증기간
최초 2년 + 5년
마다 연장
최초 5년 + 10년
마다 연장
최초 3년 + 5년
마다 연장
경우에 따라
다름
5년
자격요건
염결성/공정성/
독립성 +
법원 재량 +
높은 수준의
전문성
염결성/공정성/
독립성 +
공인자격 +
높은 수준의
전문성
염결성/공정성/
독립성 +
공인자격 +
높은 수준의
전문성
염결성/공정성/
독립성 +
법원 재량 +
높은 수준의
전문성
염결성/공정성
/독립성 +
전문가협회
회원 +
높은 수준의
전문성
36
유럽의 전문가증인 - EuroExpert
• 배경
- 유럽회원국간에 발생한 민사사건에서 증거를 획득하기 위한 유럽연합 회원국 법원간
협력을 강조(EC Regulation 1206/2001)
- 현재 오스트리아, 프랑스, 독일, 포르투갈, 스페인, 영국 참여
• 목표
① 유럽 단일의 표준 전문가 증인 제도 연구 및 개발
- Code of Conduct/Code of Ethics 개발, 표준 Expert Report 양식 개발
- 유럽 단일의 전문가 증인리스트 개발 및 유지
② 유럽 단일의 전문가 증인리스트 개발 및 유지
- Euro Expert Finder를 통해 50,000명 이상의 전문가 네트워크 유지
• 신청절차
- EuroExpertFinder 홈페이지를 통해 온라인으로 전문가 등록 신청 (자격요건, 전문분야, 전문가유
형[소송/중재/상담] 등 제출)
- 제출된 서류는 해당 전문분야의 지원 위원회에 보내짐
- 해당 지원 위원회에서 상호검토를 통해 전문가 등록 여부가 결정됨
- EuroExpertFinder DB에 전문가로 등록됨
37
EuroExpert 전문가 자격 인증 유형
• 전문가 등록 유형
① 개별 전문가들이 EuroExpert의 지원 절차를 통해 자신의 능력을 보여줌으로써 회원
으로 받아들여지는 경우
② 자신의 자격 증명 인정을 통해 회원으로 받아들여진 각국의 법원에 등록된 전문가들
의 경우
③ 민간 및 공공 영역의 자격제도를 통해 회원으로 받아들여지는 경우
• 전문성 증명 방법 유형
① 전문가로서 역할을 수행할 수 있는 충분한 자격증명, 훈련, 경험 그리고 지식을 가지
고 있음을 증명해야 함
② CV, 자격증서, 학위증명서, 전문가보고서 등과 같은 적절한 문서를 제출함으로써 능
력을 증명해야 함
③ 구두 혹은 문서화된 혹은 결합된 방식으로 해당 전문 영역에서 적절한 지식과 경험을
갖춘 전문가들과 협회에 자신의 전문가로서의 능력을 증명해야 함
38
오스트리아의 국가감정인제도
• 감정인법 (Special Law for Experts)
- 1975년 법정에서의 감정인의 역할과 자격요건, 직무규칙 등을 규정하는 감정인법을
제정하고 국가전문가리스트를 운영함으로써 가장 엄격하게 포렌식 전문가들을 관리
해오고 있으며, 현재 전국적으로 약 5,000명의 전문가가 법원에 등록되어 있음
- 대부분의 국가들이 형사사건에서 피고 측 전문가 임명을 피고 측에서 직접 할 수 있
는데 반해, 오스트리아는 판사만이 지정할 수 있음
- 감정인 지원자는 자격인증위원회로부터 전문영역과 관련된 내용 및 소송절차법, 전
문가 증언 방법론과 관련된 심도 깊은 자격시험을 치러야 하며, 시험에서 통과되면 법
정 전문가(Court Expert)로 등록됨
- 전문가가 국가가 운영하는 전문가 리스트에 등록될 수 있는 인증기간을 둠으로써
기간이 지나기 전에 재평가를 받도록 의무화하고 있으며, 이러한 재평가에서 떨어졌
을 경우 재교육이나 보수훈련을 받도록 함
- 포렌식 전문가 관련 내용은 감정인 법 Chapter2에 포함되어 있음
39
디지털 포렌식 전문가
교육·인증제도
40
미국의 교육 훈련제도
미국 국가 디지털 포렌식 기관 교육 프로그램
교육제공기관
RCFL(Regional
Computer Forensics
Laboratory)
NCFS(National
Center for Forensic
Science)
주관
기관
주요 교육 내용
FBI
16개 州 4,000여 개 사법기관을
대상으로 연간 4,500회 (2007년)
교육
CART Forensics Examiner
NIJ
연방/지방 경찰 및 판검사 등 정
부수사기관의 보안담당자 대상
체계적 교육 수행
Graduate Certificate in Computer
Forensics (GCCF)
연계 인증제도
-Certified Basic Digital Media Collec
Defense Cyber
Crime Center(DC3)
FLETC(Federal Law
Enforcement
Training Centre)
DoD
미 국무성 소속 수사관 교육 담당
DHS
80개 이상의 연방정부 기관들 및
주, 지방, 혹은 해외파견 사법, 수
사기관들에 대한 교육을 수행
tor (CBDMC)
-Certified Basic Digital Forensic Ex
aminer (CBDFE)
-Certified Basic Computer Crime Inv
estigator (CBCCI)
Seized Computer Evidence Recovery
Specialist(SCERS)
41
미국의 NCFS 교육의 특징 : 정부/대학 연계
• 장점 1 : 우수한 인적 자원을 바탕으로 연구 활동이 진행됨
• 정부에서 파견된 연구원뿐만 아니라 Philips Craiger 교수를 비롯한 UCF의 저
명한 6명의 교수가 디지털 포렌식 연구에 함께 참여하고 있어 공학, 컴퓨터 공학,
범죄학 등 다양한 전공 출신의 교수진과 뛰어난 학생들이 공급되고 함께 참여함
으로써 양질의 디지털 포렌식 연구 활동이 가능함
• 장점 2 : 연구 활동의 결과물이 정부를 통해 용이하게 보급되어 활용
되므로, 보다 실질적인 연구 결과물 생산이 가능함
• FBI 등의 정부 기관과 긴밀한 협조 체제를 유지하고 있기 때문에, FBI나 각 지
방 경찰청, 법원 등에서 디지털 포렌식과 관련된 활동을 수행해나가는 데 필요
한 기술과 표준을 적기에 제공하고 있으며, 연구 결과에 대한 활발한 활용을 통
해 수요자들에게 맞는 양질의 연구 결과를 생산 가능함
과정
정규
과정
단기
교육
과정
과정명
Graduate Certificate in Computer
Forensics (GCCF)
Professional Track Master of Science in
Digital Forensics (MSDF)
• AccessData Bootcamp
• AccessData Advanced Internet Forensics
• EnCase v6 Computer Forensics
특징
• Required Course와 Elective Course로 구성
• 이 과정들을 체계적으로 이수해야 Certificate
을 부여받음
• 특정 주제에 대해 4~5일간 수시 집중교육 수행
42
영국의 교육훈련제도
• National High-Tech Crime Training Center (NHTCTC)
- National Policing Improvement Agency 소속인 NHCTC는 수사관들이 첨
단 기술을 이용한 범죄자들에 맞설 수 있는 지식과 기술을 가지고 있음을 보
장하기 위한 목적으로 교육훈련제도를 개발하여 운영하고 있음
- 유럽 공통의 첨단 수사 훈련모델과 인증된 최첨단 기술 수사관들의 전문가
등록부를 개발하고 운영하기 위한 목적으로 초급, 중급, 고급의 세 단계로 이
루어진 포렌식 데이터 조사 및 인터넷 조사 관련 훈련 코스를 개발했음
- Masters in Cybercrime Forensics라는 석사과정 프로그램을 개발하여
Canterbury Christchurch University와 공동으로 운영하고 있음
43
홍콩의 교육훈련제도
홍콩 경찰청 디지털 포렌식 교육과정
Online Intelligence Gathering Course
응시자격
요건
Application Forensics Course
법집행 종사자
법집행 종사자 중 컴퓨터 포렌식 분
야 최소 1년 이상 경험자
인원
최대 24명
최대 24명
기간
2주 80시간
2주 80시간
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
교과목
인증평가
방식
기술개념
정보수집과정
Proxy와 Anonymizer
데이터 암호/스테가노그라피
온라인 정보출처
통신감청과 감시 법률 요건
인터넷로그 분석기술
온라인 증거물 저장
온라인 정보수집․첩보활동 준비
필기시험 및 실기시험
이메일 포렌식
웹 브라우저 포렌식
메신져 S/W 포렌식
그래픽 복구 소프트웨어
이벤트 복구
메모리 포렌식
윈도우 레지스트리 분석
소프트웨어 포렌식
VMware 포렌식
필기시험 및 실기시험
44
지속적인 전문성 개발 훈련
보수교육 - Continuing Professional Development
- 현재 상태를 유지하거나 더 높은 전문성, 특기, 혹은 책임의 진보를 가져올 수 있는
체제를 말함
- 디지털 포렌식에 대해 도전하는 새로운 S/W와 H/W의 발전 속도가 빠르므로 디지털
포렌식 영역에서는 지속적 훈련과 보수교육이 매우 중요함
- 조직은 지속적으로 전문성 개발에 대한 지원과 기회를 제공할 책임이 있고, 이러한
훈련과 전문성 개발과 관련된 사항은 문서화되고 보존되어야 함
- 현재 지속적인 전문성 개발 훈련은 많은 기관에서 의무사항이 되고 있음
- TWGED는 법과학 연구실 전체예산의 1~3%를 훈련과 지속적인 전문성 개발에 할당
할 것을 권고하였음
기관
FBI CART
ASCLD/LAB
IACIS
보수교육시간
연간 64시간
연간 40시간
연간 60시간
45
Professional Investigator Licensure Act (Michigan)
• 특징
- 미국 미시건 주에서 2008년 5월 통과
- 라이선스 없이 컴퓨터 포렌식을 수행할 수 없도록 함
- 라이선스 없이 수행된 컴퓨터 포렌식을 통해 얻어진 증거는 법적 증거
에서 배제될 수 있으며, 벌금 등 형벌에 처해질 수 있음
• 컴퓨터 포렌식 범죄에 대한 형벌
- 4년 이하의 구금형 혹은,
- 5,000 달러 이하의 벌금 혹은,
- 위 두 형벌의 병과
미시건주는 주가 부여하는 라이선스 없이는 누구든 임의대로
컴퓨터 포렌식 서비스를 수행할 수 없도록 한 법률을 통과시켰음
46
미국 NAS/ NRC Report (2009)
• 보고서 개요
- National Academy of Science / National Research Council이 2009
년 2월 발표한 의회 제출 보고서
- 포렌식 교육 및 인증시스템에 대한 비판을 담고 있음
• 주요 내요
- 미국의 포렌식 시스템에 심각한 결함이 존재하며, 개혁 및 새로운 연구
가 필요함
- 현재 증거 분석과 보고서 작성과 관련된 강력한 표준 및 프로토콜과 마
찬가지로, 포렌식 전문가들을 위한 강력하고 의무적인 인증 프로그램들이
부족한 상황임
높은 수준의 의무적인 디지털 포렌식 인증제도를
요구하는 목소리들이 높아지고 있음
47
인증/자격제도 개요
• Certification (인증)
- 개인의 KSAs(지식, 기술, 능력)이 특정 영역에서 원하는 기준 이상임을 인증
• Accreditation (인정)
- 공인기관이 공식적으로 특정 기준을 만족함을 인정하는 것으로, 포렌식 랩이
일정한 시험을 수행할 역량이 있음을 인정하는 것임
- 인증은 제품, 공정 또는 서비스가 규정된 요건을 충족시키는 정도에 대한 체
계적인 심사를 뜻하는 적합성 평가의 방법임
- ISO/IEC guide 2에 따르면 특정한 작업의 절차를 수행할 능력을 가진 피인증
기관에 대한 상위 기관의 승인을 뜻함
국제
ISO/IEC 17025:2005
미국
ASCLD/LAB
유럽
ISO/IEC 17025
한국
KS A ISO/IEC 17025 (KOLAS)
포렌식 서비스 품질 보증을 위한 도구로서의 Certification과 Accreditation
48
디지털 포렌식 인증제도
벤더 운영 국제 민간 자격증
인증제명
ACE
(AccessData
Certified
Examiner)
EnCE
(Encase
Certified
Examiner)
운영주체
자격제
교육
구분 프로그램
응시요건
AccessData
AccessData Bootcamp
과정이수,
AccessData
Windows Forensics-XP
과정이수
Guidance
Software
공인된 64시간
컴퓨터 포렌식
교육 이수
혹은
컴퓨터 포렌식
실무경력
12개월 이상
응시요건
(학위)
심사방법
자격
기한
보수
교육
없음
90분 안에 60문제를
풀어야 하는
1년마다 40시간의
KBA(Knowledge base
교육이수 필수
d Assessment)와
1년간
즉, 1년에
5시간 정도 소요되는 유효 AccessData 과목
PBA(Practical based
중 한 과목을 이수
Assessment)의 두가지
해야 함
테스트를 통과해야 함
없음
컴퓨터 포렌식 및
사고대응 관련
2년간 64시간 교육 이수
유효 혹은 128시간 이상
강의 수행여부
증명
1차 필기,
2차 실기
49
디지털 포렌식 인증제도
디지털포렌식전문가협회 운영 국제 민간 자격증
인증제명
운영주체
CFCE
IACIS
(Certified Forensic
Computer Examiner) (The Internationa
l Association of
Computer
Investigative
Specialists)
CEECS
ISFCE
(Certified Computer
Examiner)
교육
프로그램
(The Internationa
l Society of
Forensic
Computer
Examiner)
응시요건
2주간의 IACIS회원 및 국가기
CFCE 교육
관 수사관
2주간의
CFCE 교육
(Certified Electronic
Evidence Collection
Specialist)
CCE
자격제
구분
국가기관 수사관
범죄기록이 없는 사람
으로 관련 교육 수료
자이거나 18개월
이상 컴퓨터 포렌식
수사 경력자 혹은
컴퓨터 포렌식 수사에
대한 Self Study 문
서화 및 승인이 필요
응시요건
(학위)
심사방법
자격기한
없음
1차 실기
(3가지 유형의 디스크 분석 3년마다
및 보고서 작성),
갱신
2차 필기(100문항)
없음
1차 실기
(3가지 유형의 디스크 분석 3년마다
및 보고서 작성),
갱신
2차 필기(100문항)
없음
1차 단답형 온라인시험과
2차 실기시험(테스트미디
어에 대한 포렌식 조사)으
로 구성됨
2년마다
갱신
50
디지털 포렌식 인증제도
미국 정부 기관 운영 공공 자격증 ①
인증제명
운영주체
FBI CART
Forensic
Examiner
Federal
Bureau of
Investigation
Electronic
Crime
Special
Agent
Program
United States
Secret
Service
Computer
Investigative
Specialist
Internal
Revenue
Service
자격제
구분
교육
프로그램
응시요건
A+ Certification,
Net+ Certification,
Basic Data
FBI 요원, 지원
Recovery,
인력, RCFL
CART Basic Exam,
파견자
OJT, 모의법정 및
구술 시험,
숙련도 시험 교육
USSS 요원/
2페이지
질문지
답변 작성
기초자격과
고급자격으로
분류
3단계 훈련: P-Cert,
A-Cert (Encase,
I-Look), B-Cert
(Networks)
국세청 선임
특수요원
(범죄수사:
13등급 이상)
응시요건
(학위)
심사방법
자격기한
학사 학위
필수
8일간 5개의
시험
(Wintel 과정) +
숙련도 시험
(시뮬레이션) +
모의법정심사
(1.5~2시간의 구
두 증언)
매년
재심사
학사 학위
필수
(B.A, B.S)
기초자격/고급
자격 모두 최소
연간 30여 차례
시험
매년 갱신
학사 학위
필수
(B.A, B.S)
훈련
각 단계마다
숙련도
실기 테스트
매년
재심사
51
디지털 포렌식 인증제도
미국 정부 기관 운영 공공 자격증 ②
인증제명
운영주체
자격제 구분
교육
프로그램
응시요건
응시요건
(학위)
심사방법
Basic
40시간 훈련
2년 이상 수사경력 or
대학학위와 1년간의
수사경력
필수 아님
최소한 10개 이상의
사건 경험을 통해
보고서 작성
Certified
Computer
Forensic
Technician
Advanced
80시간 훈련
3년 이상 수사경력 or
대학학위와 2년간의
수사경력
필수 아님
수사팀장으로
수사를 이끈
최소한 20개 이상의
사건 경험을 통해
보고서 작성
Basic
40시간 훈련
2년 이상 수사경력 or
대학학위와 1년간의
수사경력
필수 아님
최소한 10개 이상의
사건 경험을 통해
보고서 작성
필수 아님
수사팀장으로
수사를 이끈
최소한 20개 이상의
사건 경험을 통해
보고서 작성
High Tech
Crime Network
Certified
Computer
Crime Investigator
Advanced
3년 이상 수사경력 or
80시간 훈련 대학학위와 2년간의
수사경력
52
미국의 디지털 포렌식 인증제도
• FSAB (Forensic Specialties Accreditation Board)
- 포렌식 분야의 인증자격제도에 대한 품질과 일관성을 유지하기 위해
인증자격제도 자체에 대한 인증 필요성에 따라 설립
- 기존 인증기구인 연방인증위원회(NCCA)가 존재하지만, 수요가 많지
않은 포렌식 분야는 별도의 전담인증위원회 설립의 필요성이 대두됨
- FSAB는 인증프로그램들을 평가, 공인, 감시하기 위한 표준과 프로그
램을 ISO 국제표준에 기반하여 개발함
- FSAB는 디지털포렌식에 관한 인증으로 DFCB의 디지털 포렌식 인
증제도에 대해 승인함
53
미국 DFCB의 국가공인자격
• DFCB(Digital Forensic Certification Board)
-미국 국립법과학센터(NCFS) 산하 위원회로 인증평가기관에 대한 평가조직인
포렌식전문성검증위원회(FSAB: Forensic Specialties Accreditation Board)에
의해 승인되었음
• DFCB의 디지털포렌식자격제도
-디지털 포렌식 분야의 단일한 국가 공인자격체제에 대한 연구를 진행하여 2008
년부터 자격 인증서비스를 시작함
-현재 미국 내 국가자격제도이지만 국제자격으로의 발전가능성을 검토중임
• 특징
- 공공영역과 민간영역에 모두에게 개방되어 있음
- 엄격한 Background Check
- 엄격한 경험 및 교육 요구조건
- 지속적인 교육훈련 요구
54
미국 DFCB의 국가공인자격
• DFCB의 디지털포렌식자격제도의 구분 (2008)
자격명
Digital Forensics Certified Practitioner
Digital Forensics Certified Associate
특징
전문가 자격
準전문가 자격
요구조건
최근 3년간 중 2년 이상 실제 디지털
수사 경험이 있음을 증명
경험 증명 요건이 없음
• Founders Assessment Part I
-2008년 11월에서 2009년 3월까지 단 한번만 진행되었음
-경험이 평가에 필수적인 요소로, 경험 성적이 좋으면 Part II 평가 지원 자격 획득
• Founders Assessment Part II
-할당된 도메인에서 15개의 문제들을 만들어서 제출해야 함
-제출된 질문들이 평가되고 수집됨
-선택된 질문들은 파일럿 테스트를 통해 검증됨
-Founder들은 파일럿 테스트를 치루어야 함(점수는 매기지 않음)
미국 DFCB는 본격적인 DFCP/DFCA 자격시험에 앞서
구체적인 시험문제 개발을 위한 Founders 평가를 진행중임
55
유럽의 ENFSI
(European Network Forensic Science Institute)
• European Network Forensic Science Institute
- 유럽 33개국 50개 포렌식 랩 관리자들로 이루어진 협회
• Quality Assurance
- EN ISO/EC 17025을 통해 포렌식 랩에 대한 Accreditation 서비스 제
공
- 유럽 포렌식 랩에 대한 Proficiency Test 서비스 제공
• Competence Assurance
- 유럽 포렌식 랩의 수사관들의 능력 테스트 서비스 제공이 목표
- 주요 추진방향
1) 유럽 포렌식 전문가들의 Code of Practice/Conduct 개발
2) 유럽 포렌식 전문가들을 위한 Competence Standard 개발
3) Competency 평가 프로세스 개발
4) 교육 훈련자료 개발
5) 유럽 포렌식 전문가 자격 인증 프로세스 개발
56
미국 디지털 포렌식 랩 인증 (ASCLD/LAB)
• 디지털 포렌식 랩 인증
- SWGDE 등의 노력에 의해 디지털 포렌식 랩에 대한 인증 또한 ASCLD/LAB
의 인증프로그램에 포함되었음 (카. 디지털과 멀티미디어 증거 항목)
- 오디오 분석, 컴퓨터 포렌식, 디지털 이미징 분석, 비디오 분석 등 4개 하위분
야 중 하나로도 취급하는 포렌식 랩은 디지털 증거를 취급하는 기관으로
ASCLD/LAB 인증을 신청해야 함
- 최근 미국의 경우 민간기업 정보보호부서 소속 포렌식 랩도 랩인증을 추진하
고 있는 상황임
• 디지털 포렌식 랩 인증과 전문가 능력 인증
- 디지털 포렌식 랩의 인증은 디지털 포렌식 랩에서의 실험결과의 신뢰성을 확
보할 수 있는 수단으로, 이러한 신뢰성 확보를 위한 다양한 하위 평가 요소들
이 존재하는데, 그 중의 하나가 디지털 포렌식 전문가들의 능력임
57
능력 및 숙련도 시험
• 능력/숙련도 시험의 의미
- 포렌식 랩 및 포렌식 서비스 품질관리의 핵심적인 사항중의 하나로 포렌식 랩 구
성원의 전문적인 능력 보유여부를 지속적으로 평가하기 위한 것임
숙련도 시험
(Proficiency
Test)
능력 시험
(Competency
Test)
-법 집행기관 혹은 포렌식 랩에 의해 디지털 포렌식 검사관의 현재의
지식(knowledge), 기술(skills), 능력(abilities)를 평가하기 위한 것임
-특정한 작업(task)에서의 검사관의 기술을 측정하고 검사관의 기술을
평가하고 또한 일상적인 관점에서 검사관의 기술 뿐 아니라 랩의 품질
관리시스템 및 절차가 지속적으로 상태를 유지하는 것을 보증함
-ASCLD/LAB의 경우 모든 인증받은 랩은 매년 1차례씩 외부기관이나
공인 테스트 서비스 제공자에 의한 외부숙련도 시험을 받아야 함
-디지털 포렌식 검사관의 요구되는 지식, 기술 및 이의 실제 적용 능력
을 가지고 있는지 자격을 평가하기 위한 것임
-훈련 종료 후 해당 훈련 내용을 마스터하고 배운 것을 실제 증거에 적
용할 수 있는 지를 결정하기 위해 능력 테스트를 부과할 수 있음
-정기적인 외부 검사 의무는 없음
-Competence는 다음과 같은 것들에 의해 증명될 수 있음 : 자격증, 명
성, 경험, 인증된 전문가 단체의 회원자격
• 미국 ASCLD/LAB의 능력/숙련도 시험
- ASCLD/LAB은 2007년 10월 컴퓨터 포렌식 숙련도 시험에 대해 승인함
- ASCLD/LAB은 디지털포렌식에 대한 외부 Competency Test 및 Proficiency Test 상용
서비스에 대한 인증 제공
• Competency Test, Proficiency Test 상용서비스 기관 : Digital Forensic Quality Solutions(DFQS)
58
사
ASCLD/LAB 개인별 자격 요건
• 랩책임자
- 자연과학, 법과학 혹은 연관된 분야에 최소한 학사학위를 지녀야 함
- 최소 법과학 분야에서 5년간의 경험이 있어야 함
- 공식적인 경영 관련 훈련을 받아야 함
- 최소한 2년간의 경영 경험이 있어야 함
• 디지털검사관
- 과학 분야에 대한 학사학위를 가져야 함
- 사용되는 장비, 프로그램, 방법과 절차에 대해 이해해야 함
- 자격 있는 검사관에 의한 지도가 끝나기 전에 독립된 사건검사는 허용되지 않음
- 제공하는 검사, 문서작성 혹은 증언에 상응하는 경험이 존재해야 함
- 사건을 담당하기 전 자격시험을 통과해야 함
- 연례 숙련도 테스트를 성공적으로 통과해야 함
59
디지털포렌식 랩 검사관의 학위요건
• 학위
- 포렌식 랩에 대한 인증에 있어서는 일반적으로 랩 관리자와 연구원들이 관련
학문영역에서 최소한 학사학위 이상의 학력을 가지고 있을 것을 요구하고 있음
- 전문가 증인의 자격요건에는 학위가 필수적으로 요구되지 않지만, 범죄연구
실과 포렌식 랩의 경우에는 학사 학위 이상을 필수적으로 요구하고 있음
- 특정 포렌식 분야에 있어 신뢰성 있는 결과를 만들어내기 위해서는 적절한 개
인의 자격 검정이 필수적이며, 정규화된 훈련이 요구됨
- 학사학위를 요구하는 특정 분야의 법과학에서 학사학위취득 의무는 면제될
수 없음 (학위가 필수적이지 않은 분야에 있는 전문가가 학위가 필수적인 분야
에 대해 교차훈련을 받으려는 시도를 막기 위함)
– 실제 미국의 Crime Laboratories의 경우 연구원들의 1%가 박사학위, 3%가
석사학위, 96%가 학사학위 소유자라고 알려져 있음
60
디지털 포렌식 랩 소속 수사관들의 훈련
Cyber Forensics Field Manual
• 포렌식 소속 수사관들의 훈련 및 교육 원칙
- 포렌식랩에 소속된 디지털 포렌식 수사관은 증거 조사 및
보고서 생산을 위한 교육, 훈련, 실전 경험을 받아야 함
- 훈련은 국가에서 인가하고 있는 훈련기관을 통해서 받아야 함
- 교육기관(Guidance Software, FLETC, FBI, AccessData)으
로부터 인증을 받은 교사로부터 교육을 받아야 함
- 숙련도 테스트는 내부적으로 수행하거나 외부 조직에 의뢰
하여 수행할 수 있음
61
디지털 포렌식 수사관 체크리스트
디지털 포렌식 랩 인증 표준의 Training & Testing Checklist
3.1
해당 랩은 잘 문서화된 수사관 훈련 프로그램을 갖추고 있는가?
Yes
No
3.2
해당 랩은 훈련수료증이나 자격증이 수강했던 개별 과목별로 유지되고 있
는가?
Yes
No
3.3
개별 직원의 직무 마다 적용가능한 다양한 유형의 훈련이 존재하는가?
Yes
No
3.4
모든 훈련 수업은 국가에서 인증한 훈련센터와 교사 자격을 인증받은 사
람에 의해 수행되는가?
Yes
No
3.5
훈련 프로그램은 추가적인 보충학습을 제공하는가?
Yes
No
3.6
해당 랩은 숙련도 테스트 절차를 가지고 있는가?
Yes
No
3.7
랩에 소속된 현존 혹은 과거의 기술자들과 보조원들에 대한 기록을 최소
5년간 보존하고 있는가?
Yes
No
3.8
모든 직원들에게 문서화된 훈련 프로그램의 복사본을 제공하는가?
Yes
No
3.9
모든 수사관들이 국가에서 인증한 훈련센터와 교사 자격을 인증받은 사람
에 의해 매 2년마다 최소한 80시간 이상의 직무와 관련된 디지털 포렌식
훈련을 받고 있는가?
Yes
No
62
디지털 포렌식 수사관 체크리스트
디지털 포렌식 랩 인증 표준의 Digital Forensic Examiner Checklist
3.1
개별 수사관들은 최소한 고등학교 졸업장이나 이에 상응하는 교육 증명서
를 가지고 있는가?
Yes
No
3.2
개별 수사관들은 최소한 80시간 이상의 디지털 포렌식 훈련을 마쳤는가?
Yes
No
3.3
모든 공식적 훈련은 교사 자격을 인증받은 사람에 의해 수행되었는가?
Yes
No
3.4
훈련수료증이나 자격증이 수강했던 개별 과목별로 유지되고 있는가?
Yes
No
Yes
No
Yes
No
Yes
No
3.5
3.6
3.7
개별 수사관들은 디지털 포렌식과 관련된 기업인증자격증을 소지하고 있는
가?
개별 수사관들은 최소 일년 혹은 반년 주기로 적합성 테스트를 받도록 의무
화하고 있는가?
개별 수사관들은 조사장비, 소프트웨어 그리고 조사 절차의 사용에 대한 충
분한 지식을 가지고 있는가?
63
디지털 포렌식 수사관 체크리스트
디지털 포렌식 랩 인증 표준의 Technician & Assistant Checklist
4.1
개별 기술자들이나 보조원들은 표준 운영절차상에 나와있는 자
신의 직무요구사항을 만족시키고 있는가?
Yes
No
4.2
기술자들과 보조원들의 해당 업무에 대한 적합성 테스트가 수행
되는가?
Yes
No
4.3
모든 기술자들과 보조원들은 적합성 테스트를 성공적으로 통과
했는가?
Yes
No
4.4
기술자들과 보조원들은 일년 혹은 반년 주기로 적합성 테스트를
받도록 의무화하고 있는가?
Yes
No
4.5
랩에 소속된 현존 혹은 과거의 기술자들과 보조원들에 대한 기
록을 최소 5년간 보존하고 있는가?
Yes
No
4.6
누가 적합성 테스트를 개시할 수 있는지에 대한 정책이 존재하
는가?
Yes
No
64
결 론
65
디지털 포렌식 전문가 교육/인증제 현황
일반적으로 단일 자격제가 아니라, 다양한 목적, 다양한 방식으로
다단계 자격 인증제를 두고 있음
자격제
구분
• 등급별 자격제
- DFCA(준전문가)/DFCP(전문가)
- CCFT Advanced(팀장급)/CCFT Basic(일반급)
• 직무별 자격제
- CFCE(증거분석)/CEECS(증거획득)
- CBDMC(증거획득)/CBDFE(증거분석)/CBCCI(디지털수사)
많은 자격제도는 필수적인 응시요건으로 경험 연수를 들고 있음
(DCFP : 2년 이상, CCFT/CCCU : 2년 이상 등)
응시
요건
대부분의 전문가 증인제도나 전문가 인증제도는 학위를 필수적으로
요구하지 않지만, FBI CART나 ECSAP, CIS 등 주요 국가수사기관의
자격증의 경우나 포렌식 랩 수사관에 대한 인증의 경우 학사 학위를
필수적으로 하기도 함
유럽의 전문가 제도나 몇몇 전문가 자격증은 전문가의 염결성(integrity)
을 응시요건이나 전문가의 요건으로 삼고 있음 (CCE)
66
디지털 포렌식 전문가 교육/인증제 현황
전문가로서 요구되는 KSA(지식, 기술, 능력)를 모두 검증할 수 있는
방식으로 심사가 진행되어야 함
심사
방법
심사
항목
많은 경우 관련 지식을 검증하기 위한 필기시험과 실제 기술 및 능력을
검증하기 위한 실기시험 등으로 나누어 수행되고 있으며, 실제 실기
시험은 실제 디스크에 대한 포렌식 조사를 수행하고 분석 보고서를
작성하는 것을 포함함 (CFCE, CEECS, CCE, ACE, EnCE, CIS, FBI
CART 등)
인증제도에는 교육, 훈련, 경험의 세가지 측면이 모두 포함되어야 하며,
디지털 포렌식 직무분석을 통한 디지털 포렌식 전문가가 갖추어야 할
KSA 내용을 모두 포괄해야 함
미국 DFCB의 디지털 포렌식 전문지식/KSAs (DFCP/DFCA)
모의법정증언심사가 포함되기도 함 (FBI CART)
인증제도와 결합된 교육훈련 프로그램은 디지털 포렌식 전문가가
갖추어야 할 KSA 내용을 포괄하고 있어야 함
교육
프로그램
일반적으로 자격인증시험에 앞서 교육훈련과정 이수를 요구함
(CFCE : 2주간, CCFT : 40/80시간, EnCE : 64시간)
법정 증언 훈련과 보고서 작성방법 훈련 내용이 포함되기도 함
67
디지털 포렌식 전문가 교육/인증제 현황
보수
교육
전문영역에서 최신의 지식을 지니고 있음을 보장하기 위해 핵심 분야
및 최신분야에 대한 보수교육 수강을 의무화해야 함
많은 인증자격제도들은 1년에 일정시간 훈련을 받도록 의무화 하고
있음 (FBI CART : 64시간, ASCLD/LAB : 40시간, IACIS : 60시간)
특히 빠르게 변화하는 컴퓨터 환경에 직면하는 디지털 포렌식의 경우
보수교육과 재검증은 필수임
재검증
인증
취소
많은 포렌식 전문가 인증제도의 경우 1~3년 안에 재검증을 받을 것을
요구하고 있으며, 유럽의 국가등록 전문가의 경우에도 3~5년안에
재등록할 것을 요구하고 있음 (FBI, CIS : 1년, CFCE : 3년, CCE : 2년)
부정한 방식으로 인증시험을 통과했음이 밝혀지거나 자격에 큰 흠결이
발견된 경우, 자격을 취소해야 함
유럽의 전문가 등록리스트들은 많은 경우 인증 취소 및 등록 취소
프로세스를 두고 있음 (오스트리아 <감정인법> 등)
일반적으로 재검증과 보수교육, 인증취소 제도는 전문성의 최신성을
보장하므로 포렌식 전문성 품질관리의 핵심적인 도구가 되고 있음
68
디지털 포렌식 전문가 인증제 변화 방향
Qualification of Expert
인증제
목표의
진화
재판에서 포렌식 수사관의 능력
및 자격 검증 문제가 제기 되어
디지털 증거가 법적 증거로
받아들여지지 못할 위험성 증가
위험관리
수단으로서의
디지털 포렌식
전문가
인증제도
디지털 포렌식
전문가 증인
자격 획득
High Quality of
Experties
수사과정에서의 포렌식 수사관에
의해 수집된 디지털 증거와
재판과정에서의 포렌식 전문가
증언의 무게와 법적 허용성을
높여야 함
품질관리
수단으로서의
디지털 포렌식
전문가
인증제도
디지털 포렌식
전문가 증언
신뢰도 및
서비스 품질
증가
Junk Science의 퇴출
디지털 증거 허용성 강화
디지털 포렌식 전문가 인증제도의 목표가 전문가 증인 자격인증에서
디지털 포렌식 서비스 품질 보장 및 신뢰도 증가로 변화하고 있음
69
향후 디지털 포렌식 전문가 인증제 발전 방향
미국 미시건주
Professional
Investigator
Licensure Act
(2008)
자율제
자격인증
의무제
자격인증
폐쇄형
자격인증
개방형
자격인증
디지털
수료형
자격인증
평가기반
자격인증
품질
내부 자체
자격 인증
외부 공인
자격 인증
강력한
디지털
포렌식
인증제도
미국
NAS/NRC 보
고서
(2009)
포렌식
보장
요구
투명하고 검증 가능하며 공인된 강력한
디지털 포렌식 전문가 인증제가 요구되고 있음
70
향후 디지털 포렌식 전문가 교육/인증제 발전 방향
디지털 포렌식 국가자격인증제도 개발
(DFCB, ENFSI 등 검토)
인증제도의 효과성 및 신뢰도,
권위 및 지속가능성 증가
디지털 포렌식 인증제도의 검증방안 마련
(FSAB 등 검토)
인증제도의 투명성 및 신뢰도 증가
디지털 포렌식 전문가 등록제도와 결합
(CRFP 등 검토)
인증제도의 효과성 증가,
사회적 비용 축소 및 인력 활용도 증가
디지털 포렌식 랩 인정제도 활용
외부 Proficiency Test/Competency Test
(ASCLD/LAB 등 검토)
인증제도의 투명성 및 신뢰도 증가
및 랩 연구원의 능력/숙련도 보장
디지털 포렌식 교육제도의 다층화
학부/대학원 장기 교육과정 연계와 단기훈련의 병행
고급 디지털 포렌식 인력의 양성
(NHTCTC, NCFS 등 검토)
전문가 증인 자격 요건 충족
디지털 포렌식 품질 보장
71
감사합니다
72