대검찰청 과학수사부는 범죄수사 증거물의신속·정확한감정(분석), 사이버범죄에 체계적인 대응으로 일선 검찰청 수사를 지원하여, 국민 안전과 인권 보장에 앞장서고 있습니다. 과학수사장비의 첨단화, 감정 기법 연구, 전문수사관 양성을 통해 과학수사 역량을 강화함으로써 과학수사 메카로서의 위상을 정립해 나가고 있다.
검찰의 과학화는 1968년 대검찰청 중앙수사국 산하 '과학수사 연구단'을 시작으로 1978년 3월 대검찰청 특별수사부에 거짓말탐지기 2대를 도입, 1984년 7월 중앙수사부에 과학수사운영과 설치, 2005년 과학수사기획관실 산하에 과학수사담당관실과 디지털수사담당관실로 확대하면서 마약 및 유전자감정 분야 KOLAS 인정을 획득하는 등 초석을 다졌다.
아울러, 2008년 10월 검찰 60주년을 기념하며, 지상 6층, 지하 1층 규모의 디지털포렌식센터(Digital Forensic Center)가 완공되었습니다. 대검찰청 내 모든 과학수사부서의 입주를 시작으로, 디지털수사 네트워크 구축, 화재수사팀·DNA수사담당관실·사이버범죄수사단이 신설되면서 다양한 분야의 수사지원뿐만 아니라 끊임없는 연구·개발을 통해 과학수사시스템의 기틀을 마련하였다.
2015년 2월 11일 새로운 수사 환경에 선제적으로 대응하고, 보다 신속하고 체계적인 과학수사 지원 토대를 마련하기 위해 과학수사부가 신설되고 사이버범죄수사단을 사이버수사과로 정식직제화하여 국가 사이버안보 위협 범죄 등 사이버 범죄에 대한 검찰의 대응력을 제고하였다.
이 규정은 컴퓨터용 디스크, 그 밖에 이와 비슷한 정보저장매체(이하 “정보저장매체 등”이라 한다)로부터 디지털 증거를 수집․분석․현출 및 관리하는 과정에서 준수하여야 할 기본적 사항을 정함으로써 실체적 진실 발견에 기여하고 국민의 인권을 보호하는 것을 그 목적으로 한다. <개정 2016. 12. 26.>
제2조 (적용범위)
디지털 증거의 수집․분석․현출 및 관리와 관련된 사항에 관하여 따로 정하는 경우를 제외하고는 이 지침에 의한다. <개정 2016. 12. 26.>
제3조 (정의)
이 규정에서 사용하는 용어의 뜻은 다음과 같다.
1. “디지털 증거”란 범죄와 관련하여 디지털 형태로 저장되거나 전송되는 증거로서의 가치가 있는 정보를 말한다.
2. “디지털포렌식”이란 디지털 증거를 수집·분석 또는 보관하거나 현출하는데 필요한 기술 또는 절차를 말한다.
3. “디지털수사통합업무관리시스템”이란 디지털 증거의 수집 및 분석에 관한 사항과 디지털 증거의 보관․폐기에 관한 이력 등을 관리하는 전산시스템을 말한다. <개정 2016. 12. 26.>
4. “정보저장매체 등의 복제”란 법률적으로 유효한 증거로 사용될 수 있도록 수집 대상 정보저장매체 등에 저장된 전자정보를 동일하게 파일로 생성하거나, 다른 정보저장매체에 저장하는 것을 말한다. <개정 2016. 12. 26.>
5. “디지털포렌식 수사관”이란 디지털 증거의 수집․분석․보관 및 현출 업무나 디지털포렌식 관련 연구를 전문적으로 수행할 수 있는 수사관 중에 과학수사부장의 제청으로 검찰총장이 임명한 자를 말한다. <개정 2016. 12. 26.>
6. “이미지 파일”이란 법률적으로 유효한 증거로 사용될 수 있도록 정보저장매체 등에 저장된 전자정보를 동일하게 비트열 방식으로 복제하여 생성한 파일을 말한다. <신설 2016. 12. 26.>
7. “증거파일”이란 법률적으로 유효한 증거로 사용될 수 있도록 정보저장매체 등에 저장된 전자정보 중 파일 또는 디렉터리 단위로 복사한 파일을 말한다. <신설 2016. 12. 26.>
제4조 (디지털 증거의 무결성 유지)
디지털 증거는 압수·수색·검증한 때로부터 법정에 제출하는 때까지 훼손 또는 변경되지 아니하여야 한다.
제5조 (디지털 증거의 신뢰성 유지)
디지털 증거는 그 수집 및 분석 과정에서 이용된 도구와 방법의 신뢰성이 유지되어야 한다.
제6조 (디지털포렌식 수사관의 임명)
① 디지털포렌식 수사관은 다음 각 제1호 또는 제2호에 해당하고 제3호의 자격을 갖춘 수사관 중에 대검찰청 과학수사부장의 제청으로 검찰총장이 임명한다.
1. 대검찰청 디지털수사과에서 실시하는 ‘디지털포렌식 전문가 양성과정’의 교육을 이수한 자
2. 국내·외 컴퓨터 관련 교육과정을 이수한 자로서 디지털포렌식 관련지식이 충분하다고 인정되는 자
3. 3개월 이상 디지털포렌식 수사실무를 수행한 경력이 있는 자
② 디지털포렌식 수사관으로 임명된 자는 전문성 향상을 위하여 대검찰청 디지털수사과나 국내외 국가기관, 전문교육기관 또는 학회에서 실시하는 디지털포렌식 관련 교육을 이수하여야 한다. <개정 2016. 12. 26.>
③ 대검찰청 디지털수사과장은 전 항의 디지털포렌식 수사관의 인적사항, 전문 교육 이수사항 등을 관리한다.
제7조 (거점청 디지털포렌식팀 설치 및 운영)
① 각 고등검찰청 또는 지방검찰청에 별도의 기구로 디지털포렌식팀을 설치할 수 있다.
② 거점청 디지털포렌식팀은 디지털포렌식 수사관으로 구성한다.
③ 각 거점청 디지털포렌식팀은 해당 고등검찰청 또는 지방검찰청 관할구역내의 디지털 증거 수집․분석 및 관리 업무를 담당한다. 다만, 대검찰청 디지털수사과장이 각 거점청 디지털포렌식팀의 업무를 조정할 수 있다. <개정 2016. 12. 26.>
제8조 (디지털포렌식 수사관의 배치)
① 디지털포렌식 수사관은 대검찰청 디지털수사과, 각 거점청 디지털포렌식팀, 지방검찰청, 차치지청의 수사과 또는 사이버 범죄 수사 전담반에 배치하며, 전문성 유지를 위하여 순환보직 등 일반적인 인사원칙에서 예외를 인정할 수 있다.
② 각 청 인사담당직원은 디지털포렌식 수사관의 인사 변동이 있는 경우에는 디지털포렌식 수사관의 배치현황을 디지털수사과로 통보하여야 한다.
제2장 디지털 증거의 수집․분석 지원요청
제9조 (지원요청)
① 일선 검찰청의 부장검사(부가 없는 지청의 경우 지청장) 및 주임검사는 디지털 증거의 압수․수색․검증이 필요한 경우에는 디지털수사과장 또는 그의 위임을 받은 검찰공무원(이하 ‘디지털수사과장 등’이라고 한다)에게 메신저, 전화, 검찰메일 등의 방법으로 지원을 요청한다. <개정 2016. 12. 26.>
② 일선 검찰청 검사, 검찰수사관 등은 수사 또는 공소유지 등을 위하여 필요한 경우 디지털수사과장 등 또는 거점청 디지털포렌식팀 담당 검사에게 다음 각 호의 지원을 요청할 수 있다.
1. 디지털 증거의 분석․현출
2. 제1호 내지 디지의 압수․수색․검증과 관련된 기술적 자문
3. 제1호 내지 디지털 증거의 압수․수색․검증과 관련된 법정 증언
③ 제1항, 제2항의 지원요청시 디지털수사통합업무관리시스템에서 형사사법정보시스템(KICS)의 사건정보조회 연동기능을 통하여 사건번호 입력 후 지원요청을 등록한다. 다만, 제1항의 경우에는 디지털수사과장 등과 협의하여 결정된 지원요청 내용 등을 디지털수사통합업무관리시스템에 등록하며, 시스템 오류 등으로 인하여 디지털수사통합업무관리시스템과 형사사법정보시스템(KICS)의 사건정보조회 연동 기능을 사용할 수 없는 경우 그 사유 및 지원내용 등을 첨부한 공문을 대검 디지털수사과에 송부하고 지원요청 등록을 의뢰할 수 있다. <개정 2016. 12. 26.>
④ 제2항 제1호의 지원을 요청할 경우에는 다음 각 호의 절차에 따라 정보저장매체 등을 송부하여야 한다. 다만, 긴급을 요하는 등 부득이한 경우에는 다른 형식으로 봉인한 후 확인․서명을 받을 수 있다. <개정 2016. 12. 26.>
1. 정보저장매체 등을 훼손 또는 변경의 우려가 없는 봉투에 넣는다.
2. 별지 제1호 서식의 압수물 확인(봉인)지를 작성하여 피압수자, 형사소송법 제123조에 정한 참여인(이하 ‘피압수자 등’이라고 한다) 또는 임의제출자의 확인․서명을 받은 다음 위 봉투에 부착한다.
3. 별지 제4호 서식의 정보저장매체 제출 및 이미징 참관여부 확인서 사본과 함께 직접 또는 우송 기타 적절한 방법으로 대검찰청 디지털수사과 또는 각 거점청 디지털포렌식팀에 송부한다.
제10조 (협조의무)
제9조 제1항, 제2항의 지원요청자는 디지털 증거의 수집․분석․현출 및 관리가 원활하게 이루어질 수 있도록 디지털포렌식 수사관에게 수집 대상 및 범위와 관련된 정보를 제공하는 등 디지털포렌식 수사관에게 협조하여야 한다. <개정 2016. 12. 26.>
제11조 (정보보고)
① 지원요청자가 제9조 제1항, 제2항의 지원을 받은 사건에 관하여 대검찰청에 정보보고를 할 경우에는 대검찰청 디지털수사과장을 수신처에 기재하고, 본문에는 디지털포렌식 수사관으로부터 지원 받은 내용의 개요를 기재하여야 한다.
② 지원요청자는 압수․수색․검증 등 수사 과정이나 공판 과정 및 판결에서 디지털 증거와 관련된 특이사항이 있는 경우에는 그 내용을 대검찰청 디지털수사과장에게 정보보고를 하여야 한다. <개정 2016. 12. 26.>
제3장 디지털 증거의 압수․수색․검증
제12조 (과잉금지원칙 준수)
디지털 증거를 압수․수색․검증할 때에는 수사에 필요한 범위에서 실시하여야 하고, 모든 과정에서 적법절차를 엄격히 준수하여야 한다. <개정 2016. 12. 26.>
제13조 (압수․수색․검증의 실시자)
디지털 증거의 압수․수색․검증은 디지털포렌식 수사관 또는 대검찰청에서 실시한 디지털 증거 압수․수색 실무교육을 받은 수사관이 하여야 한다. 다만, 대검찰청 디지털수사과에서 개발하여 일선 청에 보급된 포렌식 도구를 사용한 경우, 긴급을 요하는 등 부득이한 사유가 있어 디지털수사과장 등에게 그 사실을 통보하고 협조를 구한 경우에는 예외로 한다. <개정 2016. 12. 26.>
제14조 (사전준비)
① 디지털수사과장 등은 제9조 제1항, 제2항의 지원을 할 경우에는 정보저장매체 등의 유형과 규모 등을 고려하여 적정한 인원의 디지털포렌식 수사관을 지정하여 지원한다.
② 제1항의 지정을 받은 디지털포렌식 수사관은 정보저장매체 등을 압수․수색․검증할 경우 사전에 사건의 개요, 압수․수색 장소 및 대상, 정보저장매체 등의 유형과 규모 등 필요한 사항을 고려하여 준비하여야 한다.
제15조 (디지털 증거의 압수․수색․검증) <개정 2016. 12. 26.>
① 압수의 목적물이 정보저장매체 등인 경우에는 기억된 정보의 범위를 정하여 출력하거나 복제하여 압수하여야 한다. 다만, 범위를 정하여 출력 또는 복제하는 방법이 불가능하거나 압수의 목적을 달성하기에 현저히 곤란하다고 인정되는 경우, 또는 피압수자 등의 동의가 있는 경우에는 정보저장매체 등을 직접 압수하거나 정보저장매체 등에 기억된 전자정보 전부를 복제할 수 있다. <개정 2016. 12. 26.>
② 압수․수색의 대상인 정보저장매체와 정보통신망으로 연결되어 있고 압수․수색의 대상이 되는 디지털 증거를 저장하고 있다고 인정되는 다른 정보저장매체에 대하여 압수․수색 대상인 정보저장매체를 통하여 접속한 후 수색을 할 수 있다. 이 경우 압수․수색․검증 대상 정보저장매체가 정보통신망에 연결되어 있고, 압수․수색대상자가 정보통신망으로 접속하여 기억된 정보를 임의로 삭제할 우려가 있을 경우에는 정보통신망 연결 케이블을 차단할 수 있다.
③ 제1항 본문의 압수․수색을 행하는 경우에는 해당 사건 주임검사 주도하에 피압수자 등을 참여시킨 상태에서 사건과 관련성이 있는 정보를 선별하고 압수․수색한 디지털 증거에 대하여 해시값(Hash Value)을 생성한 후, 다음 각 호의 내용이 포함된 확인서를 작성하여 피압수자 등의 확인․서명을 받아야 한다. 다만, 확인서는 사용된 디지털포렌식 도구에 의해 자동 생성된 자료로 갈음할 수 있다. <개정 2016. 12. 26.>
1. 확인서 작성일시 및 장소
2. 정보저장매체 등의 종류 및 사용자
3. 해시값, 해시함수
4. 확인자의 인적사항 및 연락처, 확인자와 피압수자와의 관계
5. 기타 진정성․무결성․신뢰성을 확인하는데 필요한 사항
④ 제1항 단서의 경우에는 제9조 제4항을 준용하여 별지 제1호 서식의 압수물 확인(봉인)지 및 별지 제4호 서식의 정보저장매체 제출 및 이미징 참관여부 확인서를 작성하여야 한다. <개정 2016. 12. 26.>
⑤ 정보저장매체의 피압수자 등에게 디지털 증거의 출력, 복제, 정보저장매체의 작동, 정보통신망으로 연결되어 있는 다른 정보저장매체의 접속, 기타 필요한 협력을 요구할 수 있다. <개정 2016. 12. 26.>
제16조 (정보저장매체 등의 운반)
정보저장매체 등을 운반할 경우에는 정전기 차단, 충격방지 등의 조치를 취하여 그 매체가 파손되거나 기억된 정보가 손상되지 않도록 주의하여야 한다.
제17조 (복귀 및 보고)
제14조 제1항의 지정을 받은 디지털포렌식 수사관이 출장하여 지원하는 경우에는 지원이 종료되면 디지털수사과장 등에게 보고하고, 지체 없이 복귀하여야 한다.
제4장 디지털 증거의 등록
제18조 (선별 이미지 파일 등의 등록)
제15조 제1항 본문에 따라 정보저장매체 등에 기억된 정보의 범위를 정하여 선별 압수된 증거파일 또는 선별 이미지 파일을 디지털수사통합업무관리시스템에 등록한다. 다만, 제15조 제1항 단서의 경우에는 예외로 한다. <개정 2016. 12. 26.>
제19조 (정보저장매체 등의 이미지 등록 및 피압수자 등의 참여)
① 제15조 제1항 단서 중 정보저장매체 등을 직접 압수한 경우 또는 제9조 제2항의 분석 의뢰를 받은 경우에는 대상 정보저장매체 등의 봉인을 해제한 후 해당 사건 주임검사 주도하에 사건과 관련성이 있는 전자정보를 선별하여 증거파일 또는 선별 이미지 파일을 만든 다음 디지털수사통합업무관리시스템에 등록하고, 대상 정보저장매체 등은 재봉인하여 지원요청자에게 인계한다. <개정 2016. 12. 26.>
② 제15조 제1항 단서 중 정보저장매체 등에 기억된 전자정보 전부를 이미지 파일로 압수한 경우에는 해당 사건 주임검사 주도하에 사건과 관련성이 인정되는 전자정보를 선별하여 증거파일 또는 선별 이미지 파일로 만든 다음 디지털수사통합업무관리시스템에 등록한다. <개정 2016. 12. 26.>
③ 제1항 내지 제2항의 선별 과정에서 피압수자 등의 참여를 보장하여야 한다. 피압수자 등이 참여한 경우에는 별지 제5호의 서식에 따라 확인서를 작성토록 한다. <개정 2016. 12. 26.>
④ 피압수자 등이 참여를 하지 않겠다는 의사표시를 한 경우에는 신뢰성과 전문성을 담보할 수 있는 상당한 방법으로 사건과 관련성이 있는 정보를 선별하여 압수한다. <신설 2016. 12. 26.>
제20조 (디지털 증거의 무결성 유지 등을 위한 조치)
정보저장매체 등의 봉인 해제․복제, 디지털수사통합업무관리시스템에 등록하는 과정에서 디지털 증거의 진정성, 무결성, 신뢰성 유지를 위하여 필요한 조치를 취하여야 한다. <개정 2016. 12. 26.>
제5장 디지털 증거의 분석
제21조 (분석원칙)
디지털 증거의 분석은 신뢰성을 유지할 수 있도록 디지털포렌식 수사관이 분석에 적합한 장비와 프로그램을 사용하여 행하여야 한다.
제22조 (이미지 파일 등에 의한 분석)
① 디지털 증거의 분석은 디지털수사통합업무관리시스템에 등록한 이미지 파일과 해시값이 동일한 이미지 파일로 한다. 다만, 이미지 파일로 복제하는 것이 곤란한 경우에는 압수 또는 복제한 정보저장매체 등을 직접 분석할 수 있으며, 이 경우에는 정보저장매체 등의 형상이나 내용이 훼손·변경되지 않도록 적절한 조치를 취하여야 한다. <개정 2016. 12. 26.>
② 전항 단서의 경우 분석 과정에서 생성된 전자정보의 등록은 제4장의 절차를 준용한다.
제23조 (분석보고서 작성)
① 디지털포렌식 수사관은 디지털 증거에 대한 분석을 종료한 때에는 별지 제3호 서식에 따라 분석보고서를 작성한다. 다만, 필요한 경우 약식보고서를 활용할 수 있다. <개정 2016. 12. 26.>
② 디지털포렌식 수사관은 디지털 증거를 분석하는 과정에서 생성된 자료가 있는 경우에는 이를 디지털수사통합업무시스템에 등록하거나, CD, DVD, 하드디스크 등 별도의 정보저장매체에 저장하여 지원요청자에게 인계할 수 있고, 인계사실을 분석보고서에 기재한다.
제24조 (분석결과 통보)
① 디지털포렌식 수사관은 디지털 증거의 분석을 종료한 때에는 분석보고서를 디지털수사통합업무관리시스템에 등록하고, 지원요청자에게 통보하여야 한다. 다만, 긴급을 요하는 경우에는 구두 또는 전화 등 기타 방법으로 분석결과를 통보할 수 있으며, 긴급성이 소멸된 경우 즉시 분석보고서를 디지털수사통합업무관리시스템에 등록하여야 한다.
② 디지털포렌식 수사관은 정보저장매체 등 분석 대상물을 압수 또는 수령한 때로부터 10일 이내에 분석결과를 지원요청자에게 통보해야 한다. 다만 부득이한 경우 그 지원요청자에게 중간 분석결과를 통지하고 상당한 기간을 연장할 수 있다.
③ 디지털 증거의 분석을 담당한 디지털포렌식 수사관은 지원요청자에게 분석 결과 통보 후 디지털수사통합업무관리시스템 이외의 저장매체에 보관된 디지털 증거 및 분석과정에서 생성된 자료를 지체 없이 폐기하여야 한다. <개정 2016. 12. 26.>
제6장 디지털 증거의 관리<신설 2016. 12. 26.>
제25조 (디지털 증거의 보관)
① 디지털수사과장은 디지털수사통합업무관리시스템에 등록된 디지털 증거의 진정성․무결성이 훼손되지 않도록 체계적으로 보존, 관리하기 위해 필요한 조치를 취하여야 한다.
② 디지털수사과장은 디지털 증거의 보존․관리 및 폐기와 관련된 업무를 전담할 디지털증거관리책임자를 지정할 수 있다.
③ 디지털수사과장 또는 디지털증거관리책임자(이하 '디지털증거관리책임자 등'이라 한다)는 디지털수사통합업무관리시스템에 디지털 증거가 보관된 사실을 확인하기 위해 해당 사건 주임검사에게 별지 제6호의 서식에 따라 「디지털증거보관확인서」를 교부할 수 있다.
제26조 (디지털 증거의 압수물 관리)
① 디지털증거관리책임자 등은 해당 사건 주임검사가 디지털수사통합업무관리시스템에 등록된 디지털 증거의 압수조서 등 서류의 작성 및 입증서류의 구비가 용이하도록 필요한 조치를 취하여야 한다.
② 디지털증거관리책임자는 압수물로 수리된 디지털 증거에 대해 「검찰압수물사무규칙」제72조 제1항에 준하여 매 반기 1회 이상 그 보관상황을 확인하여 디지털수사과장에게 보고하여야 한다.
제27조 (디지털 증거의 폐기)
① 디지털증거관리책임자 등은 디지털수사통합업무관리시스템에 등록된 디지털 증거에 대해 해당 사건 주임검사의 폐기 요청 또는 압수전담검사의 폐기촉탁이 있으면 해당 디지털 증거를 폐기하여야 한다.
② 제1항과 같이 디지털 증거를 폐기한 다음 해당 사건 주임검사의 폐기 요청에 따른 경우에는 별지 제7호 서식의「디지털증거 폐기확인서」를, 압수전담검사의 폐기촉탁에 따른 경우에는 별지 제8호 서식의「디지털증거 폐기(촉탁) 회보서」를 각각 교부하여야 한다.
③ 제9조 제3항 본문에 따라 형사사법정보시스템(KICS)과 연동하여 사건번호가 입력된 지원요청의 디지털 증거 중 주임검사 처분시까지 압수물로 수리되지 않은 디지털 증거는 지원요청 부서에 통보 후 폐기한다.
④ 제9조 제3항 단서에 따라 형사사법정보시스템(KICS)과 연동하여 사건번호가 입력되지 않고 디지털수사통합업무관리시스템에 등록된 지원요청의 디지털 증거는 6개월 이내에 형사사법정보시스템(KICS)과 연동된 사건번호의 입력이 없고 해당 사건 주임검사의 별도 보관 요청이 없을 경우 지원요청 부서에 통보 후 폐기한다.
부 칙
제1조 (시행일) 이 규정은 2006. 11. 21.부터 시행한다.
제2조 (다른 지침의 폐지)
종전의 컴퓨터 등 압수․수색 기본지침(대검 61100-284호, 2003. 8. 11.)은 이 규정의 시행과 동시에 폐지한다.
부 칙(2008. 12. 17.)
이 규정은 2008. 12. 17. 부터 시행한다.
부 칙(2012. 11. 6.)
이 규정은 2012. 11. 6.부터 시행한다.
부 칙(2015. 7. 16.)
1. (시행일) 이 규정은 2015. 7. 16.부터 시행한다.
2. (예규 명칭 변경) 이 규정 시행일부터 “디지털증거 수집 및 분석 규정”은 “디지털포렌식 수사관의 증거 수집 및 분석 규정”으로 명칭을 변경한다.
(대검예규 제876호)디지털 증거의 수집 분석 및 관리규정.hwp
(대검예규 제876호)디지털 증거의 수집 분석 및 관리규정.PDF
관련 내용
