E-Discovery - Forensic Cheatsheet

## 개요 디지털 포렌식을 공부하다가 진로 고민을 해보았을 것이다. 디지털 포렌식에 대해서 이해가 높아진다면, 디스커버리 업무 역시 접하게 될 수 있다. 그중 디지털 포렌식에서 하는 디스커버리 업무를 e-Discovery 라고 한다. 일단 디스커버리가 뭔지 정확히 알아볼 필요가 있다. 디스커버리란 영미법 소송법상의 제도로 *재판이 개시되기 전에 당사자 서로가 가진 증거와 서류를 상호 공개를 통해 쟁점을 정리 명확히 하는 제도이다*. 재판 개시 전에 이루어지는 과정으로, 국내법과는 상이한 것이 특징이다. 즉 미국법에 대한 소송이 있을 때 활용하게 된다는 것이다. 그 중 디지털 포렌식 영역이 차지하는 분야는 전자증거(Electronic Evidences)에 대한 것이다. ## 목적 왜 법정 재판이 이루어지기 전에 증거와 서류를 공개하는 것일까? 첫번째 이유는 빠른 분쟁 해소이다. 증거가 재판 중에 공개되게 된다면 변론하는데 있어 그 비용과 시간이 증가하게 될 것이고 이는 재판에 지연을 야기하게 될 것이다. 따라서 사전 개시를 통해 효율적인 변론과 빠른 재판 절차를 가능하게 한다. 개인적으로 생각해 보았을 때는 각자 가지고 있는 패를 모두 공개함으로써 재판 이전에 화해/조정을 조기에 가능하게 하여 분쟁의 종식을 재판 없이 가능하게 하는 것이라고 생각이 든다. 이 이유가 바로 가장중요한 이유가 되겠다. ## Spoil of Evidence 사전에 정보 공개를 하면 뭔가 재판에 불리한 점이 있을 것만 같은 생각이 든다. 나에게 불리한 정보 역시 정보청구를 통해 공개가 된다는 것을 의미하기에, 이를 은닉하거나 정보를 찾기위해 노력하지 않는 모습을 보일 수 있을 것이다. 이런 경우 법정에서는 합리적인 사유 없이 정보 공개 요청을 거부하는 경우, 별도로 법원의 처벌을 받게 된다. 해당 소송에 결과로 불이익이 있을 수도 있다. 심각해지는 경우 패소로 직접적으로 이어지기도 하며, 엄청난 금전적인 부담을 안아야 하는 경우가 발생할 수도 있다. 악의적인 의도가 있는 경우에만 이런 제재가 성립하는 것은 아니라는게 중요한 점이다. 관리가 미흡해서 증거를 정상적으로 제출할 수 없는 경우, 합당한 이유를 제기할 수 없는 실수를 통해서도 이루어질 수 있는 제재이기 때문에 증거공개제도가 시작되는 순간부터 혹은 그 이전부터, 증거를 보존해야 할 의무가 주어지는 것이다. ## EDRM 의무적으로 증거를 보존해야한다면, 보관하고 처리하는 표준이 존재하기 마련이다. 관련해서는 [EDRM.net](https://EDRM.net) 에서 여러 모델을 제시해주고 있다. 그중 대표적인 모델의 구성을 소개해 보도록 하겠다. ### 정보관리 정보관리는 정보공개 이전 평시에 발생할 수 있는 법률적인 리스크를 감안하여 발생할 e-Discovery를 준비하는 단계이다. 이 단계에서는 어떤 정보를 저장하고 처리할지 체계를 확립항 대략적인 e-Discovery의 진행 방향을 결정하는 단계이다. ### 식별 식별 단계에서부터는 e-Dicovery 제도가 시작된 단계이다. 어떤 데이터가 어떤 형태로 필요한지 식별하는 단계로, 수많은 정보의 홍수 속 필요한 자료들을 골라내는 단계가 되겠다. 주로 필요 없는 데이터를 분류하여 정리하는 방식이 주 업무다. ### 보존 디지털 포렌식에서 가장 중요하다고 알려진 무결성! 바로 보존의 영역이다. 식별된 데이터의 무결성을 보장하며 이 과정에서 필요한 모든 행위들을 한다. ### 수집 이제 보관된 데이터들을 가공이 가능한 형태 혹은 증거 능력을 가진 형태로 수집하는 것이다. 포렌식 업계에서는 이미징을 한다고들 많이 한다. 다만 제한적인 경우에는 협의를 통해 수집 방법을 따로 지정할 수 있게 된다. ### 처리 수집된 데이터를 전처리 과정을 거치는 것이다. 암호화된 데이터가 있거나 압축이 필요한 경우 작업을 하고 검색이 용이하도록 인덱싱을 하는 작업 역시 여기 과정에 포함된다. ### 검토 및 분석 앞서 설명한 과정들은 대부분은 디지털 포렌식 도구를 통해서 많이 해결할 수 있다. 하지만 데이터를 검토하고 필요한 형태로 분석하는 것은 온전히 분석 전문가의 역량에 달려 있다. 가장 소요 시간이 크기도 하며, 의뢰 요청에 맞는 자료를 분석하는 것이 주 업무이다. ### 생산 이전단계에서 산출된 데이터를 정리하여 법무팀에 제출하는 과정이다. ### 개시 생산된 데이터를 법정에서 사용하는 과정이다. ## 결론 오늘은 전반적으로 e-Discovery가 뭔지, 왜 있는지 그리고 어떤 구조로 이루어져 있는지 알아보았다. 어떻게 보면 디지털 포렌식의 연장 선상에 있다고도 생각할 수 있을 것 같다.