인크루트

  • 기획기사 무엇이 다른가? 디지털포렌식과 e디스커버리
    등록일: 2020.11.03 10:19 조회수: 686

  • [월간노동법률] 남기영 알바레즈&마살 코리아 상무/미국 뉴욕주 변호사

    전자 정보 속에서 공신력 있는 데이터를 찾기는 어려운 일이지만 현재 대부분의 기업에서 약 90% 이상의 문서가 전자적으로 생성돼 사용 및 저장되고 있다. 이러한 전자정보(Electronically Stored Information, ESI)는 데이터 양의 증가와 저장 장치 기술의 발전으로 인해 계속 증가하고 있다는 것에 이견이 있는 분들은 많지 않을 것이다. 대부분의 정보들이 ESI형태로 존재하다 보니 더 이상 ESI와 ESI를 생성하고 저장하는 장치들을 다루는 디지털포렌식과 이디스커버리(Electronic Discovery 또는 eDiscovery, 전자증거개시)는 생소한 용어가 아니다. 하지만 현업에서 일하던 지난 10년간 수많은 국내외 기업 및 법무법인들과 같이 일을 하며 한가지 짚고 넘어가고 싶은 점을 발견했다. 바로, 디지털포렌식과 이디스커버리가 동의이음(同意異音)어처럼 사용되고 있다는 점이다. 이 같은 인식이 과하지 않은 것이 이디스커버리와 디지털포렌식은 서로 다른 두 개의 영역이지만 둘 다 ESI나 ESI를 생성하고 저장하는 장비들을 분석?조사하는 등 기술적으로 많은 부분을 공유하며 실무에서 매우 높은 연계성을 보여주기 때문이다. 하지만 이 두 분야는 활용되는 목적과 요구되는 전문성에서 차이가 있다.

    과거 수사기관의 전유물이었던 디지털포렌식은 현재 국내외 소송, 기업의 내부조사 및 감사, 공정거래위원회 및 환경부 등 규제기관과 국제중재 등 사건에서 광범위하게 사용되며 그 활용영역이 나날이 확대되고 있다. 디지털포렌식을 수행하는 주 목적은 컴퓨터 하드디스크등과 같이 획득한 전자정보가 포함된 장치를 분석해 정보가 변조 또는 삭제됐는지 등 사용자가 남긴 행위 흔적을 파악하는 것이다. 디지털포렌식을 통해 이러한 사용자의 행위들이 의미하는 바가 무엇인지 해석하거나 의견 형성을 하게 된다.

    디지털포렌식 업무 목적을 달성하기 위해 디지털포렌식 업무에서 요구되는 전문지식 및 기술은 다양하다. 그 중 빈번하게 사용되는 전문지식과 기술은 사용자가 의도적으로 삭제 또는 은닉한 데이터 복구?복원, USB와 같은 외부저장장치가 컴퓨터에 접속한 흔적 분석이 대표적이다. 좀 더 복잡한 분야로는 많은 실무 경험을 요구하는 데이터 카빙(Carving) 등이 있다. 디지털포렌식 조사를 간략하게 예를들어 설명해 보자. 기업내부조사의 경우 기업에서 지급한 컴퓨터에 저장된 기밀문서를 직원이 USB와 같은 외부저장장치를 통해 외부로 유출한 후 해당 저장장치에서 삭제했을 경우, 디지털포렌식을 통해 해당 USB와 이에 연결됐던 컴퓨터를 분석함으로써 삭제된 유출정보 복원, 복제(이동) 및 삭제 행위 흔적을 확인할 수 있을 것이고, 확인된 행위가 무엇을 의미하는지를 해석해 조사자의 의견 형성에 도움을 줄 수 있다. 경우에 따라서는 추후 분쟁에서 증거로 사용될 수 있다.

    대표적으로 미국 민사소송에서 사용되는 증거개시방법 중 하나인 문서제출요청에 대응하기위해 진행되는 이디스커버리는 이 외에도 국제중재, 미국 국제무역위원회(United States International Trade Commission, ITC), 미국 법무부(U.S. Department of Justice, DOJ), 미국 증권거래위원회(U.S. Securities Exchange Commission, SEC), 유럽연합위원회(European Commission, EC)의 문서제출 명령이나 내부조사에서의 문서 검토 등 전자정보의 수집 및 검토를 통한 문서제출이 필요한 많은 영역에서 널리 사용되고있다. 이디스커버리의 주 목적은 제출요청에 해당하거나 또는 조사에 관련된 문서들을 찾고 검토해 해당 문서들을 요청한 주체에게 제출하거나 조사에서 증빙자료로 사용하는데 있다. 성공적으로 이디스커버리 업무를 수행하는데 요구되는 전문지식과 기술 역시 여러가지가 있겠으나 대표적으로 다양한 종류의 데이터 프로세싱을 통한 문자와 메타데이터 추출 및 데이터 또는 파일을 문서제출을 요청한 당사자가 검토할 수 있는 형태로 가공하는 업무 등이 있다. 이디스커버리의 핵심은 많은 양의 데이터를 수집 및 프로세싱 한 후 한곳에 모아 키워드 검색 등을 통해 문서 제출 요청 및 조사업무와 관련 있는 데이터 또는 파일만을 제한된 기간 안에 찾아내는 일종의 데이터 관리라고 할 수 있다.

    간략하게 설명하면 문서 제출 요청에 포함되는 모든 문서들이 존재하는 곳을 찾아 문서의 삭제 또는 변형이 없도록 현상태를 보존하고 대상 문서들이 포함돼 있는 데이터를 수집하는 것으로부터 이디스커버리업무의 기술적인 실무가 시작된다고 볼 수 있다. 이에 앞서, 법률대리인, 사내변호사와 기업 IT 담당자와의 충분한 논의를 통해 문서 제출 요청에 해당하는 대상자와 대상 컴퓨터 및 서버등 해당 문서들이 존재하는 장소를 정확히 파악하는 것이 매우 중요하다. 수집된 데이터는 프로세싱 소프트웨어를 사용해 파일들로부터 문자(text)와 메타데이터를 추출해 문자를 이용한 키워드 검색 및 파일의 다양한 시간값이나 파일 종류와 같은 메타데이터를 이용한 필터링을 가능하게 하는 데이터 처리 과정을 거친다. 이러한 과정을 마친 파일들을 대상으로 키워드 검색 등을 통해 문서 제출 요청에 해당하는 문서들을 찾기 위한 검토 작업을 하게된다. 사건과 관련 있는 문서와 관련 없는 문서, 제출하지 않아도 되는 문서를 제외하고 관련 있는 문서들은 문서 제출을 요청한 당사자에게 제출하거나 증빙자료로 사용된다.

    앞의 설명처럼 디지털포렌식과 이디스커버리의 차이점이 존재하는 반면, 두 분야 모두 ESI 및 ESI의 생성 및 저장 장치를 다룬다는 공통점 외에도 결과물이 법률분쟁 또는 조사에서 증거로서 사용되는 경우가 대부분이기 때문에 증거능력을 확보하기 위해서는 두 작업의 결과물의 진정성(Authenticity) 역시 확보돼야 한다는 매우 중요한 공통점이 있다. 증거의 무결성 또는 진정성이 확보돼야 하는 이디스커버리는 업무수행 과정 자체가 디지털포렌식 기법을 사용한 데이터 수집 등과 같이 내재적으로 디지털포렌식의 성격을 포함하고 있으며, 또한 이디스커버리 과정을 통해 제출된 문서의 무결성 또는 진성성이 의심스럽거나 증거 삭제, 훼손, 조작 등 인멸의 흔적이 발견되면 디지털포렌식 조사를 통해 그 진위를 파악하게 된다.

    두 분야는 사용되는 목적과 요구되는 전문기술과 지식에서는 분명히 다른 점이 존재하나, 결과물의 무결성 또는 진정성이 확보돼야 한다는 점과 ESI와 ESI 생성 및 저장 장치를 다룬다는 점, 상호가 실무에서 높은 연계성을 보여준다는 점에서 일반인들이 디지털포렌식과 이디스커버리를 동일하게 생각할 수 있을 것이다. 소송, 중재, 내부조사 및 규제기관 대응과 같이 디지털포렌식이나 이디스커버리 업무가 요구되는 경우는 대부분 상황이 급박하게 돌아가며 신속한 업무처리와 의사결정이 매우 중요하다. 이러한 상황에서 이디스커버리와 디지털포렌식의 다른점과 유사점을 이해하고 있으면 신속히 적합한 분야의 전문가를 통해 적절히 당면한 상황에 대응해 나가는데 큰 도움이 될 것으로 생각한다. 이러한 전문가를 선택할 때 두 분야의 경험을 모두 보유하고 있는 전문가를 선택하는 것이 두 분야의 상호 연계성을 생각할 때 매우 중요하다. 마지막으로 앞서 밝힌바와 같이 두 분야의 유사점과 차이점을 한 번 짚고 넘어감으로서 이 글을 읽는 독자들이 두 분야를 이해하는 데 조금이나마 도움이 되기를 바란다.

#사회/노동
#월간노동법률

댓글

작성자명 변경

댓글 등록 시 노출되는 작성자명을 아래 세 가지 중 선택할 수 있습니다. 별명을 선택한 경우, 사진 노출 및 개인홈으로 연결되지 않습니다.