지지 포 식포 식 활용사활용사 망망

고 학교 보보 학원 원장

임 종 인

다양한 산업에 의 지 포 식 활용

의료산업

회계법인

법 법인

ISP업체

의료사고 분쟁 해결

포 식 어카운

E-Discovery 등 민사소송 응

보 조치로 의 지 포 식

보험회사 보험사고 생 시 증거 집

화 컨텐 산업

소 트웨어 산업

자동차 산업

산업

티미 어포 식, 포 식워 마킹, IPTV 포 식

소 트웨어 포 식

랙 스 포 식

사고 분쟁 해결

다양한 산업 역에 지 포 식 을실 활용하고 있거나 새롭게 요청 하고 있음

2

지 포 식 활용사

1) 산업 출 탐지

2) 조 탐지

3) 상 분

4) e-Discovery ( 자증거개시 도)

5) 지 재산권 분쟁

6) 자동차 랙 스 조작 탐지

• 데이 출 법의 변화– 데이 태의 변화

– 데이 크 증가

– 보통신 의

• 지 데이 출의 분류

활용사 1) - 산업 출 탐지

장 장치를 이용한 복사 트워크 송

HDD, USB 래시 드라이 , SSD, CD/DVD, 래시 카드

일 공 (랜 이 , Wi-Fi, Bluetooth),웹 메일 비스,

클라우드 비스, 메신

4

활용사 1) – 산업 출 탐지

• 데이 출 흔 분– 데이 출의 별로 다양한 흔 확인 가능

• 리 메모리, 일 시스템, 지스트리, 타 로그 일들에 한포 식 분 을 통해 데이 출의 흔 악 가능

장 장치 사용 흔 (연결 장치 보, 연결 시간 등)

트워크 일 공 록 (공 상, 사용 인 페이스 등)

인 속 록 (사이트 속 시간, 로그인 보, 검색어 등)

메신 사용 록 (로그인 시간, 화 내역, 일 송 등)

CD/DVD 작 록 (작 일 목록, 작 시간 등)

Windows 탐색 를 이용해 열람한 폴더 일 목록 (열람 시간 등)

웹 메일, 클라우드 스토리지 사용 흔 ( 속 시간, 첨부/ 송 일 목록 등 )

5

• 존의 조 별 법– 의 씨, 도장의 진 별에 을 맞춤

– 최근 다양한 식의 지 일이 생 고 있음è 새로운 조 별 법 필요

• 지 조 별 법– 일 내부의 시간 보

• 일 내부의 장 식을 확히 알지 못하면, 조작하 어 움

– 이 작업 내역

• 이 에 는 삭 데이 확인 가능 (Office, PDF 등)

• 작 악 (PowerPoint 슬라이드 생 등)

• 해당 응용 로그램 로 확인할 없 며, 내부 장 식에 한 이해 필요

활용사 2) – 조 별

내용 상의 시간 : 2006년 10월 27일

일 내부 시간 보 : 2007년 4월 2일

≠

6

• 용– 양복 치에 의 “ 상 조”를 변화 시킴

– 곽 이 뚜 이 나타나도록 상 처리

활용사 3) – 상 분

7

활용사 4) – e-Discovery

• 자증거 개시가 요구 는 경우, 소송에 자 자료(ESI, Electronically Stored

Information)가 손실 지 않고 히 증거 출 의 를 이행할 있도록 지 포 식

이용

→ 지 포 식의 데이 집 법 등을 이용하여 잠재 인 연 이 있는 ESI가 특 간 동안 안 하게 보존 며 고의

인 증거 폐 가 일어나지 않도록 보장할 있음

• 업간 소송 외에도 공 거래 원회에 의한 담합행 조사에 의한 사 한 증가 추

→ 미국에 진출한 국내 업 가 늘어남에 라 자증거 개시를 비해야 할 필요 이 차 커지고 있음

Stage 1 Stage 1 Stage 2Stage 2 Stage 3Stage 3 Stage 4Stage 4 Stage 5Stage 5

Legal and Technical Consulting

DataCollection

Preservation

DataFiltering

DataProcessing

Review & Production

Options

LitigationSupport

Database

8

활용사 4) – e-Discovery

Zubulake v. UBSWarburg LLC

(2005)

• 차별 소송에 원고 Zubulake는 고 USB Warburg사가 증거를출하지 못했다며 소송

• 고 변 사는 구두로 직원들에게 소송 자료들에 한 Litigation Hold를 명 했지만, 직원들에 의해 업테이 상의 자메일들이 삭

• 법원 로 변 사의 책임 아니지만, 고 변 사가 직원들에게 어떻게 증거를 보 할지에 해 히 명하지 못해 삭 자메일들이 포함었던 업테이 를 보 하지 못하 므로 결과 로 Litigation Hold 명 에실 했다고 결

• UBS사에게 소송비용을 포함하여 상 편 변 사 비용 Deposition 비용을 부담할 것을 결

• 변 사들에게 합리 의 조치를 할 것을 요구하는 e-Discovery 책임에한 가이드라인을 시

Coleman Holdings, Inc. v. Morgan Stanley

(2005)

• 원고 Coleman Holdings는 Morgan Stanley가 자사 SunBeam사의 합병과이메일을 출하지 못했다며 소송

• 원고 해당 이메일이 Morgan Stanley사가 Sunbeam사의 회계부 사실을알고 있음을 증명하고 있는 증거라고 주장

• 고 비록 보존명 을 내리 했지만, SEC 규 의 2년간 보존 의 를거 고 12개월 만에 이메일 삭

• 법원 고가 증거를 고의로 훼손했다고 단하여 Morgan Stanley사에 15억달러 상 결

9

활용사 4) – e-Discovery

Samsung Electronics Co., Ltd. v. Rambus

(2006)

• 2006년 2월 샌 란시스코 연 법원 Rambus가 한 삼 자의 가격 담합의 을 인 , 삼 자에게 류들을 모두 만들어 출하라는 명 을 내림

• Rambus는 재 과 에 삼 자가 일부 요한 건에 한 고의 불실한 행 가 있었다며, 이는 FRCP(Federal Rules of Civil Procedure)를

한 것이라고 주장• 법원 삼 이 직원들에게 보존할 것들과 들을 시키지 말 것에

한 조치를 충분히 행하지 않았다고 단하여 삼 소• 삼 자는 Rambus 의 소송 끝에 5년간 7억 달러의 액 의 로열티를 지 하

는 것 로 결

Qualcomm, Inc. v. Broadcom, Inc.

(2008)

• 2005년 시작 Broadcom사 의 특허소송의 e-Discovery 과 에 200,000페이지에 달하는 자메일과 자 출에 실

• Qualcomm사 변 사들이 소송 증거 보존 실 의 책임 소송증거 닉 행 에참여했다는 명확한 증거가 짐

• Qualcomm사 소송 소 상 편 변 사 비용 850만불 지불 결• Qualcomm사 변 사들 한 변 사 리규 로 징계

Phillip M. Adams & Assoc. LLC v. Dell, Inc. (2009)

• Adams는 자사가 보 한 로 스크 결함 견 을 Asus가 도용했 며,Asus가 핵심 보를 훼손했다고 주장

• Asus는 해당 이메일 자료 실 에 해 당시 이메일 시스템 아카이빙능이 없었 며, 장 보존이 요구 는 가치는 개인 임직원들이 단, 개인 PC에 장했다고 론

• 법 Asus가 증거 보존 의 를 다하지 못한 것에 해 이메일 증거 훼손 의인

10

활용사 5) – 지 재산권 ( 작권) 분쟁

11

• 작권 의를 증명할 있는 지 증거에 해 지 포 식의 증거 집 분

법을 이용하여 증거 분 결과 에 한 신뢰 확보

• 라인상 작권 침해 사범 강 단속 해 2010년 지 작권 포 식 시스템 구축

• 포 식 시스템 트워크 등의 지 소스로부 보를 집·분 ·보존하여

법 증거 로 활용

• 2010년 7월부 12월까지 작권특별사법경찰이 획 사를 개, 작권 보 상인

화 일 등 지 콘텐 를 불법 로 복 하여 량 로 웹하드 사이트에 통시킨 헤

비업로더 48명과 이들의 불법복 리 를 조장한 웹하드업체 표 4명을 작권법

의로 검찰에 송치

• 이 사건 로 39억 7천만 원의 범죄 익 산출

활용사 5) – 지 재산권 ( 작권) 분쟁

12

• 소 트웨어 지 재산권의 침해여부 도를 단하 해 사용

• 소 트웨어 증거자료의 분 을 통해 로 소스코드 실행코드의 복 여부 복 산

• 로그램 원시코드의 작 자 확인

• 소 트웨어 소스코드 복 코드의 확인

• 소 트웨어 작자 작 의 식별

• 코드 럭의 치변경, 변 함 이름의 변경과 같 소스코드의 조작 등에 원본과 동일

는 사한 소스코드를 탐지

동 상 학습로그램 작권침해 사건

(2008)

• 고소인이 고소인의 회사를 퇴사한 이후, 동종의 사업체를 립하고 사업을• 고소인 고소인이 등록, 사용하고 있는 동 상 교 로그램이 자신의 회사에

개 한 로그램을 단 로 취하여 사용한 것이라고 주장하여 원회에 감 을의뢰

• 고소인 로그램 고인 등록 로그램과 복 는 부분의 도를 소스코드사용자 인 페이스의 사도로 확인

• 소스코드 사도는 원본 96.9%, 인 페이스 사도는 원본 79.5% 로 법원 고소인의 승낙 없이 로그램의 상당부분을 복 하거나 개작한 것 로 보고

작권 침해에 있어 고의를 인 하여 죄로 단

활용사 5) – 지 재산권 ( 작권) 분쟁

콘텐보안 로그램

(2006)

• 고소인 고소인 회사의 이사 겸 로그램 개 자로 근 회사 내부의 경권 분쟁 로 인하여 퇴사한 후 고소인 회사를 립

• 고소인 콘텐 보안 로그램 M1과 사한 로그램인 M2를 고소인 회사가 개 · 매함에 라, 고소인 회사는 업 이익 침해를 이 로 고소인을 컴퓨 로그램보 법 주장

• 감 결과, 체 인 로그램 구 식에 있어 원고의 M1 로그램 일응용 로그램 식을 사용하고 있는 면, 고의 M2 로그램 컴포 트

식을 사용하며 각 구 부분별 본 능 사하나 이는 지 콘텐 보안로그램의 특 이며 능별 구 식이 다르므로 체 사도는 11.5%로 결

• 원· 고의 각 로그램 사이에 실질 사 없음 로 결

웹 어 리 이션개 솔루션

(2007)

• 고회사의 K는 원고회사의 개 자로 근 하던 원고회사를 퇴사하여 고회사로 이직 후, 고회사가 원고의 로그램인 A 동종의 로그램인 B 등을 개

하여 업. 이에 원고는 고를 상 로 법원에 컴퓨 로그램 작권침해 지의 소를

• 감 결과 A B 그리고 B’의 체소스 사도는 각각 5.65% 0.38%로 나타났 며, 6개 컴포 트간의 사도는 B B’에 각각 1.37% 0.25%인 것 로나타남

• 법원 원· 고 각 로그램 사이의 실질 사 이 있다고 볼 없 때에 원고의 청구 각

13

활용 사 6) – 자동차 랙 스

자동차자동차 랙 스랙 스 포 식포 식 (Event Data (Event Data Recorder Recorder ))

• 미국 내에 는 도요타 리콜 사태로 인해 EDR 는 랙 스 탑재를 의 화할 움직임을 보이고 있음

• 국내에는 2~3년 부 일부 고 차량 내에 탑재 어 출시 다고 알 짐

• ( 자동차의 경우 국내차량에도 “ 루링크” 탑재 )

à EDR 집 분 을 확보하여 법 효 이 있는 지 증거를 확보할 있음

• 미국 내에 는 도요타 리콜 사태로 인해 EDR 는 랙 스 탑재를 의 화할 움직임을 보이고 있음

• 국내에는 2~3년 부 일부 고 차량 내에 탑재 어 출시 다고 알 짐

• ( 자동차의 경우 국내차량에도 “ 루링크” 탑재 )

à EDR 집 분 을 확보하여 법 효 이 있는 지 증거를 확보할 있음

•자동차 주행 데이 , 시스템 상태 보

•속도, 엔진회 , 이크상태, 안 벨트여부

사고 생 (Pre-Crash)

•속도, 탑승자 안 장치(SRS) 데이

•운 자 어입 값

사고 간 (During a Crash)

•자동 충돌 경보 (Automatic Crash Notification)

사고 생 후 (Post-Crash)

교통교통 사고사고

재구재구

ㅁEvent Data Recorder

14

실시간실시간 랙 스랙 스 결결 (Integrity) (Integrity) 보장보장

• 랙 스에 장 는 데이 는 악의 인 목 에 의해 데이 가 /변조 있음

→ 사고의 가해자 해자가 뒤 뀔 있음

• 랙 스에 장 데이 가 원본인지 아닌지 구분하 한 법 결 보장 개 필요

• 고속 로 생 는 데이 의 결 을 실시간 로 보장하는 개 필요

활용 사 6) – 자동차 랙 스

15

향후 지 포 식 과 망

지 포 식 활용에 한 법 / 도

17

치 인 사 나 불법 인 목 로 자국 내버에 의 자 로운 인 이용에 한을는 사용자가 이메일, 로그 등 인 비

스의 주 사용 를 국내법의 효 이 미치지못하는 해외 버로 는 행

키리크스(Wikileaks)가 속차단을 해 스스로 버를 이 한 것처럼 특 국가에지 데이 공 비스를 지속하 해

법 규 를 해 데이 버를 해당 규 로부 안 한 곳 로 이 하는 행

Strauss v. Credit Lyonnais (2007)

(미국 - 랑스)

Columbia Pictures, Inc. v. Bunnell (2007)

(미국 - 덜란드)

지 포 식 활용에 한 법 / 도

18

• 아이폰 앱스토어 버는 미국에 치하여 본사에 직 리하고 있 며,국내의 경우 앱스토어 부 도 없는 상황임

• 작권 침해나 모 일 악 코드 가 생하더라도 법 응이어 고 신속한 침해 응과 복구가 어 우며, 증거 확보 시에도 어움이 상

사이버 공간의 국 격과 지 신 의 등장에 라재 할권 등 지 증거확보 한 법 가 증가하고 있음

지 포 식 활용에 한 법 / 도

19

장소 독립 인 특 을 갖는 클라우드 비스는 데이 의장 치를 특 하 어 고, 해외에 산재 어 있을 가능 도존재하므로, 지 사나 이 스커버리 업 행 시 법

등 어 움을 겪을 있음

• 스마트폰 랙베리의 End-to-End보안 능 랙베리에송 는 메시지가 이통사 버를 거치지 않고 캐나다

RIM사의 자체 버를 통해 암 화 후 송 므로 지사 감청 행 시 어 움이 상

• 실 아랍에미리트 사우 아라비아 부는 국가 보안상이 로 랙베리 스마트폰을 퇴출시킴

지 포 식 거버 스 (Governance)

“ 지 포 식 행 환경의 을 보증하 한

경 진의 의지 리더쉽, 조직구조, 차, 로 스,

그리고 들의 집합”

단 히 업 내에 자체 포 식 을 치하는 것을 어 업 자체 로

내/외부 보안사고 E-Discovery 요구사항, 회계부 재 험 등에

극 , 능동 로 처하 해 지 포 식 조직과 지 포 식

비도 개념을 포 하는 지 포 식 거버 스 구축 요구가 많아지고 있음

20

업 보보 거버 스 지 포 식

지 포 식 업 거버 스의 주요 구 요소로업 자산 보 신뢰 강화의 핵심 인 능을 행함

21

지 포 식 비도 (Readiness)

“한 조직이 사이버보안 사고 응 등을 해 책, 차,

체크리스트, 로그 리, 시간 동 화 버 각종 장비,

인 라스트럭쳐, 포 식 도구 교 훈 과 자원이

사 에 얼마나 잘 갖추어졌는지 그 도를 가리키는 개념”

경쟁 업, 해커 등 악의 인 외부인들에 의한 사이버공격과 내부자들에 의한

보 출 등 다양한 험들에 일상 로 노출 어 있는 업과 조직들

이 사 험 리 차원에 이러한 들에 비하 해 는 미리

지 포 식 비도(Digital Forensic Readiness)를 갖출 것이 요구

22

개별 업 차원의 응 향

23

국가 차원의 응 향

24

사 : 국 부의 지 포 식 비도 책 사

25

• 2009년 국 부의 자국민 400만 명 개인 보 출사고 이후 사이버범죄에 한 극 응을 한사회 요구를 로 새로운 iT 컴 라이언스로등장

• 국 부는 부 구 보안 강화를 해 표한 2009년 5월 <HMG Security Policy Framework>에 지

증거 확보 보존 능 로 의 지 포 식비도 계획을 의 요건 로 포함시키고 있음

(Mandatory Requirement 37)

• 2009 년 , IAAC(Information Assurance AdvisoryCouncil)가 <Directors’and Corporate AdvisorsGuide to Digital Investigations and Evidence>라는가이던스를 표함 로써 공공 과 업들이 포식 비도 계획 립을 해 구체 로 갖추어야 할요소들에 한 참조 가이던스를 공하고 있음

사 : 국 부의 지 포 식 비도 책 사

26

• 개인 보 등 요 보들을 취 하고 있는 부 과 업들이 조직 내보자산의 보 지 포 식 비도 책을 확립할 것을

권고하고 있음

• 부 의 경우 보보 책 임워크에 의 로 포 식비도 책(Policy)이나 포 식 비도 계획(Plan)을 포함시킬 것이

의 화 었음

• 부 의 경우 의 보보 평가 시에 지 포 식 비도계획의 존재 실 여부를 하고 있음

• 본 책에 라 부분의 부 들과 많 업들이 지 포 식비도 책을 마 하고 그에 른 지 포 식 조치들을 취하고 있음

감사합니다.

jilim@korea.ac.kr