2013년 5월 27일 월요일
서울청 A경감이 사용한 안티포렌식은...
서울청 A경감이 사용한 안티포렌식은...
손경호 기자 sontech@zdnet.co.kr 2013.05.27 / PM 05:40 국가정보원 , 서울경찰청 , 안티포렌식
ㅣ 소셜댓글 : 0
검찰이 국가정보원 선거개입 의혹에 대한 서울경찰청의 수사 축소, 은폐의혹을 조사하고 있는 가운데 A경감이 사용했던 안티포렌식 기법에 관심이 쏠리고 있다.
27일 국내 디지털포렌식 전문가들에게 확인한 결과 A경감이 사용했던 방법은 별도의 장비를 동원해 하드디스크(HDD)에 저장된 데이터를 모두 삭제하는 기법이 아니라 인터넷 검색을 통해서도 쉽게 구할 수 있는 안티포렌식용 툴을 사용한 것으로 나타났다.
안티포렌식은 디지털 증거물이 법적 효력이 중요해지면서 디지털포렌식을 통한 증거수집을 방해하거나 조사관의 분석시간을 증가시키고, 증거로서 가치가 없도록 하는 작업을 말한다. 이는 범죄자 입장에서는 증거인멸이지만 사용자 입장에서는 민감한 정보에 대한 기록을 완전삭제하는 방법으로 활용되기도 한다.
서울경찰청측은 A경감이 안티포렌식을 통해 증거를 인멸하려했다는 주장에 대해 "당시 국정원과 관련한 의혹에 대한 노트북 분석자료와 분석결과 등은 모두 수서경찰서에 넘겼으며 의도적으로 증거를 은폐하려는 시도를 한 적은 없다"고 해명했다.
A경감이 사용한 방법은 기존에 디가우저라는 장비를 사용하는 방법이 아니라 '무오(Moo0)'라고 하는 프로그램을 사용한 것으로 나타났다. 검찰 수사관들이 압수수색을 위해 서울청 회의실에서 대기하던 시점에 A경감이 이 프로그램을 실행시키면서 증거 인멸, 은폐 의혹이 불거진 것이다. 아직 A경감이 실제로 국정원 수사 지시 관련 증거를 은폐하려고 했는지 등에 대해서는 확인되지 않았다.
그가 사용한 무오는 포털사이트에 검색어만 쳐도 쉽게 구할 수 있는 툴로 크게 네가지 모드로 이뤄졌다.
디지털포렌식 전문가 김진국 연구원에 따르면 이 툴은 영구삭제를 위해 1회, 3회, 7회, 35회 덮어쓰는 기능을 가졌다. 미국 국방부는 기밀자료를 완전 삭제하기 위해서 최소한 7번 이상 임의의 데이터를 덮어쓰는 작업을 반복하도록 권고하고 있다.
김 연구원은 실제 무오를 테스트해 본 결과 "저장된 파일은 물론 파일의 시간, 크기, 이름 등이 기록된 메타 정보가지도 덮어쓰는 기능을 가진 것으로 나타났다"고 밝혔다. 일반적인 안티포렌식용 툴은 절반 이상이 파일 삭제기능만 가졌는데 이 툴은 완전삭제에 가깝도록 기능을 구현할 수 있다는 설명이다.
2013년 5월 26일 일요일
4회 e-Discovery 절차
e-Discovery가 시작부터 종료까지 세부 절차 살펴보기
절차진행, ESI 디지털 증거 활용 위한 조건 충족·검증 협의 이뤄져야
본지에서는 현재 우리나라에서 이슈가 되고 있는 e-Discovery에 대한 개념적인 이해를 돕고, 나아갈 방향을 제시하기 위해 현재 기업보안담당자로 근무하고 있는 유정호 씨의 기고를 6회에 걸쳐 연재합니다. 독자 여러분들의 많은 관심 부탁드립니다. [편집자주]
연재목차-----------------------------
1회 e-Discovery의 필요성과 수행환경
2회 e-Discovery의 정의와 목적
3회 e-Discovery와 Digital Forensics
4회 e-Discovery 절차
5회 우리나라에서의 e-Discovery
6회 e-Discovery를 위한 준비
------------------------------------
[보안뉴스=유정호] 지금까지 e-Discovery와 관련된 환경, 법적근거, 디지털 포렌식과의 차이점 등에 대해서 언급을 했다. 4회에서는 e-Discovery가 시작부터 종료까지 어떠한 절차에 의해서 이루어지는지에 대해서 알아보고자 한다.
연방민사소송규칙에는 e-Discovery에서 반드시 준수해야 할 절차가 명시되어 있다. 이 절차에는 당사자들에 의한 초기 증거공개(Initial disclosures by parties)와 당사자 간의 만남과 협의(Meet and confer), 증거개시 계획의 발전(developing a discovery plan), 환수 조항(The clawback provision), 과도한 비용으로 인한 불합리한 접근(Not reasonably accessible because of undue burden or cost), 질문에 대답하기 위한 사업기록으로서의 ESI 생산(Producing ESI as ‘business record’ in response to interrogatories), ESI 생산의 요청(Request for production of ESI), 일상적인 활동에 의하여 훼손된 ESI에 대한 면책(‘Safe harbor’ on sanctions for lost ESI) 등의 내용 등이다.
하지만 위의 내용들은 법령에 의해서 지시된 최소한의 절차로 전체적인 e-Discovery의 과정을 명시한 것이라고 보기 어렵고, 전체 절차 중에서 반드시 지켜야 할 내용과 이유, 타당한 상황에서의 예외 조항 등을 규정한 것이라고 볼 수 있다.
연방민사소송규칙에 명시된 절차와 목적을 정확하고, 효율적으로 수행하기 위해서는 세부적인 방법과 기술이 필요하다. 이러한 방법과 기술은 소송을 하는 당사자의 금전적 비용을 최소화 시키고, 원하는 정보를 가장 효율적인 방법으로 수집 및 분석하기 위해 다양한 판례와 시행착오를 통해서 발전되고 있다.
e-Discovery의 세부 절차들은 관련 판례의 연구와 학계, 법조계, 컨설팅업체들의 Know-How 등에 대한 분석과 문제점 보완을 통해 발전하고 있다. 그 중에서 가장 활발한 활동을 하고, 많은 영향을 주는 단체는 세도나 회의(The Sedona Conference Institute)라고 볼 수 있다.
세도나 회의는 독점방지법과 복잡한 소송, 지식재산권, e-Discovery와 관련된 분야에 대한 법령, 정책의 발전을 목표로 하는 비영리 목적의 연구 및 교육 단체로서 e-Discovery와 관련된 최신 사례에 대한 분석과 방향을 제시하고, 매년 개정되는 법령에 그 내용을 반영하고 있다.
특히 Zubulake 재판과 연방민사소송규칙의 개정을 담당했던 Shira A. Scheindling 판사와 같은 e-Discovery 전문가들의 활동과 의견제시는 e-Discovery에 대한 정책 수립의 중요한 고려 요소가 되고 있다.
세도나 회의에서 제시되고, 언급되는 내용들과 각종 판례 분석, 기술 및 법령 전문가들의 의견들이 반영되어 e-Discovery의 절차는 개발되었고, 이러한 정보들을 종합하여 e-Discovery 벤더나 컨설팅 업체들은 그들만의 특징을 부각시켜 다양한 모델을 제시하게 되었다.
많은 e-Discovery모델 중에서 일반적으로 제시되는 모델은 EDRM(Electronic Discovery Reference Model)인데, 그 세부적인 내용은 아래와 같다.
첫 번째 단계는 정보관리(information management)로서, 평소부터 기업에서 이루어지는 정보에 대한 관리를 말한다. 정보관리 시스템이 체계적으로 구성되고, 관리되는 경우 e-Discovery 실행에 있어 더 효율적인 계획을 수립할 수 있고, 비용과 시간을 감소시킬 수 있다.
세부적인 구분에 의한 정보의 저장과 관리, 기술적인 효율성, 사업에서의 활용성, 법률 준수, 강력한 보안기능 등이 적절하게 조화된 정보관리 시스템을 구비하고 있다면 e-Discovery가 시작될 때부터 다른 기업에 비해 훨씬 더 많은 시간과 비용을 절감할 수 있으며, 효과적인 계획을 수립할 수 있다.
두 번째 단계는 소송당사자가 보유하고 있는 정보에서 필요한 정보를 확인하여, 불필요한 정보를 제외하고, 사건과 관련된 정보를 선별하는 정보의 식별(indentification)이다. 이 단계는 정보관리와 달리 소송이 시작되거나 예상되어 e-Discovery준비를 하는 단계에서의 시작되는 조치라고 볼 수 있다.
ESI는 하드디스크나 백업테이프, CD 등에 저장될 수 있고, 정보의 복사와 공유가 활발하게 이루어 진다. 개인의 경우에도 컴퓨터와 스마트폰, 스마트패드, 웹하드디스크 등 다양한 장비와 네트워크에 개인적인 정보와 업무와 관련된 정보를 저장한다. 기업은 개인이 저장하는 정보 외에도 적게는 수십 테라바이트부터 많게는 페타바이트 이상의 정보들을 저장하게 되는데 이 정보들은 개인용 컴퓨터부터 워크스테이션, 서버, 백업 장치 등 여러 종류의 장비에 다양한 형태로 저장 및 관리되고 있다.
이렇게 여러 종류의 저장장치에 다양한 형태로 저장된 정보들 중에서 사건과 관련된 의미있는 정보를 식별하기 위해서 우선 정보들의 종류와 저장장치에 대한 식별 할 필요가 있다.
이 때 자료 도표화(data mapping)가 어떤 종류의 정보들이 어떤 저장장치에 저장이 되어 있는지 식별하는데에 많이 사용된다. 자료도표화는 해당 기업의 부서별 조직도와 시설물의 구조, 각 사무실과 부서 간의 정보망 구조, 인터넷 및 네트워크 관리 정책, 위기 관리 정책, 보안 정책 등을 분석하면 수월하게 작성할 수 있다.
자료 도표화가 완성되면 소송과 관련된 의미있는 정보를 식별하는 절차를 수행하여야 한다. e-Discovery는 다양한 분야에 종사하는 기업과 개인에게 적용될 수 있기 때문에 e-Discovery전문가라고 할 지라도 소송과 관련된 의미있는 정보를 단독으로 식별할 수는 없다.
그래서 소송에 필요한 관련자들을 선정하게 되는데, 이러한 소송 관련자들은 법정에서의 진술까지 고려하여 신중하게 선정을 해야 한다. 관련자가 선정되면 변호사는 관련자와의 질의 및 응답을 통해 소송에 필요한 정보들을 파악하여야 한다.
이렇게 파악된 정보들 중 핵심 용어들을 선정하여, 소송당사자가 보관하고 있는 정보들에서 해당 용어를 검색하는 식별작업을 하게 된다. 이 때 검색 대상이 되는 정보들이 저장된 장치는 아래와 같다.
(1) 소프트웨어 자료 - 개인 소유 정보통신장비
(2) 시스템 관리자 정보 - 메시지 시스템(e-Mail, massanger 등)
(3) 기업용 사용 소프트웨어 - 기업용 임베디드 소프트웨어
(4) 데이터 베이스 - 보안시스템
(5) 온·오프라인 저장장치 - 네트워크 시스템
(6) 관리 소스트웨어(위기관리, 문서관리, 회계관리, 고객관리, 제품관리, 시스템 관리 등)
이들 중에서 민사 소송 간 e-mail 시스템과 backup시스템, 공유자료 저장장치 등과 관련된 e-Discovery 분쟁이 가장 많이 제기되고 있고, 민감한 정보들이 많이 확인되고 있으므로 식별단계부터의 세밀한 접근이 요구된다. 각종 저장장치에서 소송과 연관된 의미있는 정보들이 검색되고 나면 해당 정보와 관련된 인원들과 협의하여 민감한 정보에 대한 식별을 하게 된다. 이렇게 식별된 정보는 수집과 보존을 위한 대상이 됨을 알리고, 훼손을 방지할 필요가 있다. 또한 식별된 정보는 상대방과의 증거개시 협의 간 제공될 정보이므로 체계적인 분석과 정리가 요구된다.
세 번째 단계는 두 번째 단계에서 식별된 정보를 수집(collection)하고, 보존(preservation)하는 단계이다. e-Discovery에서는 소송에서 당사자가 요구하는 정보를 공개할 의무와 보존할 의무가 있다. 보존과 관련된 의무는 상대방이 소송에서 증거공개를 요청한 시점이 아니더라도 ‘소송에 대한 정보가 있거나, 소송이 임박하였음을 고지 받았거나, 소송이 예정되어 있음을 아는 경우’부터 발생한다. 보존에 대한 의무가 발생한 시점은 많은 재판에서 문제가 되고 있으나 소송과 관련된 현실적인 위험을 최소화시켜야 하는 입장이라면 가능한 빠른 시간 내에 소송과 관련된 정보는 보존을 하는 것이 좋다고 본다.
정보를 수집하는 방법은 포렌식 복제와 활성파일 복사의 두가지로 구분할 수 있다. 그 중에서 가장 많이 사용되는 것은 포렌식 복제(forensic duplicate, bit by bit capture)이다. 앞서 언급한 것처럼 포렌식 복제를 통해서 복제본인 이미지 파일을 생성하게 되면 해당 저장장치에서의 삭제된 영역에 대한 복구와 전체 영역에 대한 분석이 가능하다.
하지만 포렌식 복제는 활성파일만 복사하는 방법에 비해 비용과 시간이 많이 소요되고, 24시간 운영 중이거나 저장공간이 과다한 서버의 경우 포렌식 복제가 제한되는 경우도 있다.
이러한 경우에 소송 상대방과의 협의를 통해 자료를 수집 및 보존하는 방식에 대해서 조정을 할 수 있는데, 소송 간 소요되는 비용을 각자가 부담하는 미국 사법체계에서 비용의 차이가 6배 이상 발생할 수 있는 수집 방식에 대한 조정은 합리적인 소송당사자의 경제적 불이익을 감소시킬 수 있는 중요한 요소이다.
또한 협의 과정에서 의견이 일치하지 않거나 상대적으로 경제적 여유가 있는 소송당사자가 상대방의 소송비용 소요를 증가시키기 위해 포렌식 복제를 고집할 경우, 소송당사자가 정보의 수집과 복구를 하는데 불합리하게 많은 비용이 발생하면 법원은 Zubulake 판례와 같이 상대방에게 그 비용을 분담시킬 수도 있기 때문에 수집과 보존 방법에서 합리적인 협의가 이루어져야 한다.
수집과 보존 단계에서의 또 다른 중요한 절차 중 하나는 사본의 제거(de-duplicate)와 불필요 파일의 제거(culling), 색인화(indexing)작업이다. ESI는 파일의 복사와 이동이 자유로운 만큼 관리가 어렵다. 개인이 사용하는 컴퓨터에서도 동일한 파일이 많이 발견되지만 기업에서 사용하는 서버나 공용 컴퓨터 등에서는 복사본이 수도 없이 존재한다.
특히, e-mail을 통해 전송되는 각종 첨부파일과 자료 공유 폴더 등의 공동 저장공간, 각종 게시판 등에는 수많은 복사본이 존재할 수 있다. 이러한 복사본이 검토 대상에 많이 포함될수록 비용의 증가로 이어지기 때문에 수집 단계부터 확인 및 제거가 이루어져야 한다.
사본 파일 외에도 수집된 ESI에는 불필요한 파일이 많이 존재한다. 그 중 대표적인 것이 컴퓨터의 운영체제와 각종 소프트웨어의 시스템 파일인데, 이러한 정보들은 활성파일 복사의 경우에는 많이 수집되지 않지만 포렌식 복제를 하는 경우 여과없이 수집되기도 한다.
이러한 경우 NIST(National Institute of Standards)에서 제작된 파일리스트를 이용하면 운영체제에서 사용하는 시스템 파일이나 마이크로소프트, 어도비 등 글로벌 소프트웨어 업체들이 일반적으로 사용하는 소프트웨어 운영용 파일들을 쉽게 제거할 수 있다. 정보의 색인화 작업은 문서를 검토하는 변호사 등 검토자가 수월하게 검토할 수 있는 환경을 제공하여 검토에 발생하는 비용을 감소시킬 수 있는 절차이므로, 수집 단계에서 정보를 어떻게 색인화할 것인지 충분히 검토하는 작업이 요구된다.
네 번째 단계는 수집된 정보에 대한 검토와 분석단계이다. 수집된 정보들은 저마다 다양한 형태를 하고 있다. 문서 파일은 마이크로소프트 제품들이 다수 있을 것이고, 우리나라처럼 ‘한글과 컴퓨터’를 많이 사용하는 환경에서는 ‘한글(hwp)’파일들이 많이 있을 것이며, e-Mail, 음성, 영상, 그래픽 파일 등 다양한 목적을 가진 파일들이 서로 상이한 형태로 존재할 수 있다.
이러한 정보들을 빠른 시간 내에 검색하고, 확인할 수 있게 하기 위해서 e-Discovery소프트웨어들은 tiff나 pdf 등 용이한 파일 형태로 변환시킨 'load file'을 생성하기도 한다.
이렇게 수집된 정보들이 e-Discovery소프트웨어에 의해서 검토할 준비가 되면 온·오프라인 상에서 검토가 진행된다. 온라인상에서 이루어지는 검토는 다양한 제한 사항을 고려해야 하는데 이는 검토를 할 법률회사의 선정에도 영향을 미친다.
일반적으로 e-Discovery를 진행하는 법률회사들은 대용량 정보들을 검토할 수 있는 충분한 네트워크를 구성하고 있지 않다. 또한 대용량 저장장치도 보유하기 어려워 실제로 온라인 검토를 하기 위해서는 검토대상의 선별이 절대적으로 요구된다.
온라인으로 검토할 문서를 선별하는 과정에서 오프라인에서의 검토가 선행되는데 이 과정은 해당 기업에 소속된 자체 변호사와 고용된 법률회사의 변호사가 협의하여 수행할 수 있다.
또한 정보의 검토와 선별과정에서 관련 실무자의 정보와 해석이 필요하기도 하고, ESI에 대한 기술적 정보가 필요할 때도 있으므로 소송 관련 실무자와 디지털 포렌식 전문가가 함께 검토에 참여하는 것이 좋다. 선별된 정보의 검토가 종료되고 나면 사전된 협의된 내용에 따라 정보를 생산하여 법정에서 소송 간 활용하게 된다.
위의 절차는 e-Discovery의 세부 절차에 대한 개략적인 내용이다. 이 절차를 진행하는 동안 ESI가 디지털 증거로 활용되기 위한 조건도 충족돼야 하고, 소송과 관련없는 영업비밀이 상대방에게 공개되지 않도록 철저한 검증과 협의도 이루어져야 한다.
또한 소송과 관련된 자료이더라도 영업비밀이 포함될 경우 법률적인 검토를 통해 해당 자료를 공개하지 않을 수 있는 절차를 찾아야 소송 외 경제적 손실을 예방할 수 있다. 일련의 과정은 모두 유기적으로 이루어지는 만큼 사전에 철저한 분석과 계획이 필요하고, 평소부터 ESI에 대한 체계적인 관리가 이루어지고 있다면 더욱 효과적인 e-Discovery를 진행할 수 있다.
지금까지의 내용을 읽은 사람들은 많은 생각들이 있겠지만 한 가지 주제에 대한 공통된 생각이 있을 것이라고 생각된다. 필자는 지금까지 언급한 모든 내용의 원인이 ‘Big Data’에 있다고 생각한다. 후에 e-Discovery와 관련된 문제의 원인이 되고, 실무적인 오해와 어려움을 유발시키는 Big Data에 대해서 논의해 보고자 한다.
[글_유 정 호(griphis77@me.com) 기업보안담당자]
필자는-----------------------------------
유 정 호(griphis77@me.com)
다년간 군 수사기관에서 디지털 포렌식과 사이버 수사교관 등을 지내면서 경찰수사 연수원, 지방경찰청 사이버수사대 등 국가기관의 강사로 활동했고, 디지털 포렌식 관련 매뉴얼 집 등 다수 서적을 집필했으며, 각종 번역작업에 참여한 바 있다. 현재는 기업에서 e-Discovery, 디지털 포렌식, 개인정보보호 등의 업무를 담당하고 있다.
-----------------------------------------
2013년 5월 21일 화요일
[기사] e-Discovery와 디지털 포렌식의 공통점과 차이점 살펴보기
e-Discovery와 디지털 포렌식의 공통점과 차이점 살펴보기
e-Discovery 소프트웨어, 디지털 포렌식에 비해 빅데이터에 더 특화
본지에서는 현재 우리나라에서 이슈가 되고 있는 e-Discovery에 대한 개념적인 이해를 돕고, 나아갈 방향을 제시하기 위해 현재 기업보안담당자로 근무하고 있는 유정호 씨의 기고를 6회에 걸쳐 연재합니다. 독자 여러분들의 많은 관심 부탁드립니다. [편집자주]
연재목차-----------------------------
1회 e-Discovery의 필요성과 수행환경
2회 e-Discovery의 정의와 목적
3회 e-Discovery와 Digital Forensics
4회 e-Discovery 절차
5회 우리나라에서의 e-Discovery
6회 e-Discovery를 위한 준비
------------------------------------
[보안뉴스=유정호] 디지털 포렌식(Digital Forensics)과 e-Discovery는 보안업계 뿐만 아니라 많은 기업인들에게 주목을 받고 있다. 이 두 단어는 기업과 국가기관에서 보안, 수사 분야를 경험한 사람이나 관련 분야를 공부한 사람에게는 쉽게 구분될 수 있는 용어이지만 해당 분야에 생소한 사람들은 차이점을 구분하기 어려울 수도 있다.
사실 보안업무에 종사하는 사람들도 정확한 차이점을 설명하기란 쉽지 않을 만큼 이해하는데 어려움이 따를 수도 있는 것이 e-Discovery와 디지털 포렌식이다. 그리고 많은 언론에서 이 개념을 중복하거나 혼동해 보도하기도 하고, 그만큼 유사한 점도 많아 오해를 불러일으키기도 한다. 이에 3회에서는 디지털 포렌식과 e-Discovery의 차이점에 대해서 언급하고, e-Discovery 관점에서의 디지털 포렌식 활용방안에 대해서 제시하고자 한다.
디지털 포렌식이 우리나라에 알려진 것은 e-Discovery에 비해 조금 더 이전이라고 볼 수 있다. 디지털 포렌식(Digital Forensics)은 forensic과 digital의 합성어로, ‘법정에서 사용하는데 적합한 정보의 분석’이라는 뜻을 지닌 forensic 기법으로 디지털 정보를 취급하는 것을 말한다.
여기서 말하는 디지털 정보는 법률 제11690호 ‘전자문서 및 전자거래 기본법’ 제2조에서의 ‘정보처리시스템에 의하여 전자적 형태로 작성, 송신·수신 또는 저장된 정보’로 정의된 전자문서와 같이 디지털 형태로 저장된 각종 정보들 중 법정에서 재판에 사용될 정보를 말한다. 이러한 정보는 우리가 흔히 사용하는 컴퓨터와 스마트폰, 스마트패드, 디지털 카메라, 외장형 하드디스크, 서버, USB 플래시 디스크, DVD 등의 저장매체에 저장되는데 디지털 포렌식에서는 이러한 저장매체에 저장된 정보를 최초 수집부터 보관, 분석, 제출의 단계까지 정해진 일련의 절차대로 취급한다.
최근 기업보안팀에서 퇴사자에 대한 감사나 정보 유출이 의심되는 컴퓨터 등을 대상으로 디지털 포렌식을 수행한다고 표현하는 경우가 종종 있는데 법정에서 증거로 사용하지 않고, 삭제된 데이터를 복구하거나 데이터의 정밀 검색을 하는 경우라면 해당 기업에서 수행하는 것은 디지털 포렌식의 복구기법이나 정보검색 기법을 사용했다고 하는 것이 맞는 표현이라고 본다.
우리나라에 ‘과학수사’라고 알려진 Forensic Sciences는 법정에서의 문제 해결에 과학적인 분석 기법을 적용한 것으로 소송절차 중에 사용된 과학적 영역을 일컫는 말이다. 이는 디지털 포렌식보다 더 큰 의미를 가진 개념으로 기존에는 물리학과 의학, 화학의 개념에서 출발했지만 오늘날에는 법정에서 소송중인 사실과 관련된 가장 전문화되고, 적절한 분야의 기법이라면 어떤 것이든지 활용될 수 있는 의미로 인식되고 있다. 결국 디지털 포렌식도 Forensic Science 분야의 한 영역이고, 그 중 디지털 정보에 대해서 특화된 것이라고 할 수 있다.
e-Discovery와 디지털 포렌식은 표현은 다르지만 취급하는 대상에 있어 많은 공통점이 있다. e-Discovery에서 취급하는 Electronically Stored Information은 디지털 포렌식에서도 증거로 동일하게 취급될 수 있다. 가끔 e-Discovery 관련 서적이나 전문가의 글에서 디지털 포렌식 기법이 필요하다는 내용을 볼 수 있는 이유도 바로 여기에 있다. e-Discovery와 디지털 포렌식에서 주로 사용되는 분석기법은 다음과 같다.
각종 범죄사건 수사에서 디지털 포렌식 절차 수행 간에 가장 많이 분석하는 정보 중의 하나가 바로 메타데이터(metadata)에 관한 정보이다. 메타데이터는 ‘데이터에 대한 정보’라고 표현할 수 있는 정보처리기기나 저장장치에 저장된 정보에 대한 속성 값을 말한다. 예를 들어, 문서파일을 분석할 경우 메타데이터를 분석하면 최초 작성된 시간과 마지막으로 수정된 시간, 최종 접속시간 등에 대한 정보를 확인할 수 있고, 사진 파일의 경우 촬영한 카메라와 위치정보(GPS와 연동된 카메라로 촬영된 사진의 경우) 등도 확인할 수 있다.
또한, 파일의 형태(사진, 문서, 음성, 영상 등 파일의 종류)가 조작된 경우 메타데이터를 분석하면 파일의 본래 형태와 조작여부를 확인할 수도 있다. 디지털 포렌식 분석을 수행하는 동안 분석자들은 이 메타데이터를 면밀히 분석하고, 이에 대한 훼손을 방지하기 위해 노력하게 되는데, 만약 메타데이터가 손상되는 경우에는 파일의 작성시기가 변경되어 사건과 관련된 증거로 사용하지 못할 수도 있다.
쉽게 말해서 문서를 2011년 11월 12일에 작성했더라도, 2013년 5월 8일에 그 문서를 열람하다가 수정하고, 저장을 하게 되면 그 문서는 최종 수정된 날짜가 2013년 5월 8일로 변경되게 된다. 문서의 내용을 수정하지 않았고, 일부 오타만 수정했다고 하더라도 해당 내용에 대해서는 입증할 수 없기 때문에 수정된 파일은 2011년 11월 12일에 작성된 기록으로서의 역할을 하지 못하게 된다.
만약 e-Discovery 준비 과정에서 회사의 검토자가 서버에 직접 접속하여 문서 파일을 열람하다가, 수정하게 된다면 해당 문서는 e-Discovery 준비기간에 수정된 문서가 되어 증거로의 활용이 불가능해질 수도 있다. 이러한 상황을 예방하기 위해 디지털 포렌식 절차에서는 증거의 원본을 포렌식 복제(forensic duplicate, bit by bit capture, mirror imaging이라고도 하며, 디스크에 저장된 데이터만 복사하는 것이 아니라 삭제된 파일과 사용하지 않는 공간을 포함한 디스크 전체의 구조와 정보를 복제하는 개념)해 원본은 보존하고, 생성된 사본을 대상으로 분석을 하게 되는데, e-Discovery 절차 수행과정에서 최초 필요한 정보 수집 시 포렌식 복제를 통해 원본의 사본을 생성하는 것도 동일한 맥락이라고 볼 수 있다.
e-Discovery의 절차에서 많은 비용과 시간을 소요하는 부분 중 하나는 삭제된 파일에 대한 복구와 검토이다. 디지털 포렌식과 마찬가지로 e-Discovery에서도 삭제된 정보를 복구해 증거로 활용할 수 있다. 또한, 상대방 당사자는 이 삭제된 정보에 대해서 복구를 요구하기도 한다. 이는 디지털 포렌식에서 삭제된 파일을 복구하여 증거로 제시하는 과정과 유사하지만 복구하고, 검토할 데이터의 양과 방법에서 차이가 있다.
엄격하게 표현하면 디지털 포렌식에서의 ‘삭제된 정보의 복구’라고 표현되는 기법은 디스크에 기록된 영역의 전체가 삭제된 정보를 복구하는 것은 아니다. 만약 문서 파일 1개가 2,000개의 퍼즐로 이루어진 그림이라고 한다면 일반적으로 컴퓨터가 파일을 삭제한다는 개념은 2,000개의 퍼즐 조각 모두를 삭제하는 것이 아니라 퍼즐이 조립된 그림판을 퍼즐이 보이지 않게 하얀 천으로 덮어놓고 “이 그림판에는 퍼즐이 채워져 있지 않으니 다른 퍼즐로 채워도 됨”이라고 적어 놓은 것이라고 볼 수 있다.
컴퓨터의 일반적인 기능을 사용하는 사용자는 하얀 천 밑에 있는 퍼즐을 보지 못하고, 컴퓨터는 다른 파일을 생성할 때 기존의 퍼즐이 있던 그림판을 저장장소로 사용할 수 있다. 디지털 포렌식에서의 복구는 이 퍼즐 위에 있던 천을 제거하여 퍼즐의 내용을 보여 주는 작업이라고 볼 수 있고, 때로는 퍼즐 조각의 일부가 분실된 것을 확인하여 전체 그림은 아니더라도 부분적인 그림을 완성하여 주는 역할을 한다.
e-Discovery를 수행하기 위해서 필요한 정보를 수집·분석·생성해 제출하는 과정에서는 디지털 포렌식 기법의 적용이 반드시 필요하다. 굳이 디지털 포렌식 기법이 아니더라도 컴퓨터 공학적인 기법과 그와 관련된 법률적 검토가 필요하다고 표현할 수도 있으나 디지털 포렌식이 필요하다고 하는 이유는 오랜 시간 동안 디지털 정보를 수집·분석하며, 법정에서의 증거능력을 유지하기 위한 조건을 판단하고, 보관하는 절차를 정립해온 디지털 포렌식 만큼 e-Discovery의 정보 취급 절차에 부합되는 절차는 없다고 생각하기 때문이다.
하지만 모든 e-Discovery 절차를 디지털 포렌식 기술로만 해결하지는 못한다. e-Discovery에서 필요한 정보의 식별과 분석을 하는 과정에서 디지털 포렌식 소프트웨어가 사용되는 경우도 있지만 별도의 e-Discovery 소프트웨어가 사용되는 것을 볼 수도 있다. 이 두 가지 소프트웨어의 차이점은 e-Discovery에서 요구하는 기능과 수행환경을 알면 쉽게 이해할 수 있다.
e-Discovery의 정보수집과 분석대상은 1, 2대의 컴퓨터가 아니다. e-Discovery의 취급 정보를 저장한 매체들 중에는 디지털 포렌식의 주요 분석대상이 되는 개인 컴퓨터나 모바일 단말기 같은 장비도 있지만, 기업의 주요 정보들을 종합하여 저장하거나 e-mail 등을 저장하는 대용량 서버들이 대량으로 있을 수도 있다. e-Discovery에서는 이러한 대상에서 필요한 정보들을 식별하고, 수집해서 분석해야 한다. 이는 디지털 포렌식에서 수행하는 것처럼 소수의 전문가가 장비를 복제하고, 데이터를 복구하여 분석하는 것이 아니다. 각기 다른 형태를 하고, 상이한 내용을 저장한 장비를 복제한 다음 삭제된 데이터를 복구하여 다수의 인원이 분석을 해야 한다.
또한, e-Discovery의 분석과정에서 이루어지는 문서 검토는 디지털 포렌식에서의 분석과는 상이한 조건에서 수행된다. 기업의 대용량 정보에서 수집된 정보들을 자체 변호사와 국내 및 미국의 e-Discovery 전문 법무법인 등에 소속된 검토자가 중복해서 검토를 해야 하는데, 정밀검토 대상이 되는 정보의 양이 수백 GB를 넘어설 수도 있다. 또한, 이러한 정보들은 워드나 엑셀, 파워포인트, 한글, 사진, 음성 등 다양한 형태로 구성되어 있고, 검토자들의 원활한 검토와 보안을 유지하기 위해 별도로 구성된 온라인상에서 정보를 공유해야 할 때도 있다.
이렇게 공유된 문서들을 중복해서 검토하게 되면 검토할 대상의 양과 복잡성에 따라 검토시간이 증가하게 되고, 이는 비용 증가로 연결된다. 그래서 e-Discovery 소프트웨어는 소송 당사자 기업에서 사용하고 있는 저장공간을 분석하여 소송에 필요한 데이터를 추출 및 종합하고, 이를 다시 분석해서 검토자들에 의해서 검토될 수 있도록 공유기능을 제공해야 한다.
또한, 다양한 종류의 형태를 가지고 있는 파일들을 pdf파일이나 tiff파일 등 간단한 구동 및 검색이 용이한 파일 형태로 변형할 수 있어야 하고, 기존에 출력된 종이문서를 스캔하여 보관 중인 정보들에서 문자를 인식하여 검색할 수 있는 OCR(Optical Character Reader, 광학 문자 판독기)과 같은 기능도 제공해야 한다. 더불어 다양한 저장공간에서 추출된 정보들의 위치를 기록한 후, 소송에 필요한 데이터의 위치정보 지도를 구현할 수 있는 데이터 도표화(Data Mapping) 기능도 구현할 수 있어야 한다. 그리고 이러한 기능에 보안 기능은 필수적으로 적용되어야 한다.
위와 같은 e-Discovery의 요구조건과 수행환경은 1명 또는 소수인원이 독립된 특정 매체를 대상으로 데이터를 복구하고, 필요한 정보를 검색하여 증거로 활용하는 디지털 포렌식과는 다소 상이하다. 물론 e-Discovery 수행 중에도 특정 장비에 대한 정밀 복구와 분석이 필요한 경우와 ESI가 저장된 단말기의 포렌식 복제를 하는 경우에 디지털 포렌식 기법이 사용된다. 하지만 디지털 포렌식 기법만으로는 e-Discovery에서 취급되는 빅데이터(Big Data)에 대한 검색과 추출이 어렵고, 해당 정보들을 수집하여 공유하는 기능을 수행하는 것이 제한된다. 이런 이유에서 e-Discovery 소프트웨어들은 디지털 포렌식 소프트웨어에 비해 빅데이터에 더 특화된 소프트웨어라고 볼 수 있다.
e-Discovery와 디지털 포렌식은 디지털 정보를 법정에서 요구하는 조건을 반영한 절차대로 취급하는 만큼 공통점이 많다. 그렇기 때문에 e-Discovery에 디지털 포렌식 기법은 많이 활용되어야 하고, 최초 e-Discovery에 대한 정책과 대응방안을 수립할 때 디지털 포렌식에서 정립된 정보에 대한 취급 기술이 충분히 반영되어야 할 필요가 있다.
우리나라의 경우 수사기관과 학계를 중심으로 디지털 포렌식이 발전한 반면에 e-Discovery는 기업과 법무법인을 중심으로 발전하다 보니 아직 많은 면에서 활발한 교류가 이루어지지 않고 있는 것으로 보인다. 하지만 e-Discovery와 디지털 포렌식의 목적, 개념, 환경을 이해한다면 두 가지 분야에서 서로 활용 가능한 지식들을 이해할 수 있을 것이고, 이는 양쪽 분야의 동반 발전으로 이어질 수 있다.
아직까지 대중적인 관심과 역사 면에서 e-Discovery에 대한 더 많은 연구가 필요하지만, 국내법과 미국법, 디지털 포렌식 기법, 기업의 보안과 정보관리 환경 등에 대해서 조금 더 활발한 연구와 노력이 지속된다면 우리나라에서 이룩한 디지털 포렌식의 높은 수준과 같이 e-Discovery의 수준도 향상될 것이라고 본다.
[글_유 정 호(griphis77@me.com) 기업보안담당자]
필자는-----------------------------------
유 정 호(griphis77@me.com)
다년간 군 수사기관에서 디지털 포렌식과 사이버 수사교관 등을 지내면서 경찰수사 연수원, 지방경찰청 사이버수사대 등 국가기관의 강사로 활동했고, 디지털 포렌식 관련 매뉴얼 집 등 다수 서적을 집필했으며, 각종 번역작업에 참여한 바 있다. 현재는 기업에서 e-Discovery, 디지털 포렌식, 개인정보보호 등의 업무를 담당하고 있다.
2013년 5월 16일 목요일
[기사] e-Discovery의 절차 및 정립, 증거개시제도 시행이후 연방민사소송규칙과 판례 변화...기술 발전에 따른 대응방안 연구해야
e-Discovery의 절차 및 정립, 증거개시제도 시행이후 연방민사소송규칙과 판례 변화...기술 발전에 따른 대응방안 연구해야
본지에서는 현재 우리나라에서 이슈가 되고 있는 e-Discovery에 대한 개념적인 이해를 돕고, 나아갈 방향을 제시하기 위해 현재 기업보안담당자로 근무하고 있는 유정호 씨의 기고를 6회에 걸쳐 연재합니다. 독자 여러분들의 많은 관심 부탁드립니다. [편집자주]
연재목차-----------------------------
1회 e-Discovery의 필요성과 수행환경
2회 e-Discovery의 정의와 목적
3회 e-Discovery와 Digital Forensics
4회 e-Discovery절차
5회 우리나라에서의 e-Discovery
6회 e-Discovery를 위한 준비
------------------------------------
[보안뉴스=유정호] e-Discovery에 대해 이해하기 위해서는 관련 법령과 판례들이 어떻게 변화하였는지 알 필요가 있다. 증거개시제도가 시행된 이후 ESI가 본격적으로 언급된 시기는 얼마 지나지 않았지만 그 변화를 보면 기술의 발달과 함께 법률과 사법환경도 변화하였음을 알 수 있다.
2회에서는 현재까지 e-Discovery의 절차가 정립되는 과정에서 있었던 연방민사소송규칙의 변화와 판례의 변화에 대해서 언급하고, 오늘날 e-Discovery의 정의와 추구하는 목적, 절차에 대해 설명하고자 한다.
e-Discovery는 재판과 관련된 당사자 또는 당사자들이 서로 특정한 상황과 관련된 사실을 찾는 법적 절차인 증거개시를 전기적으로 저장된 정보를 대상으로 적용한 것을 말한다.
이는 소송에 참여하는 당사자들이 서로에게 필요한 정보를 상대방이 가지고 있는 경우 이를 공개할 것을 요구해 공개된 자료를 사전에 확인하여 재판에 사용될 증거를 공유하고, 현재 존재하는 증거에 대한 은폐를 예방함으로써 당사자들에게 실제 존재하는 사실을 최대한 증거로 사용할 수 있게 하여 공정한 소송을 진행할 수 있게 하기 위한 제도이다.
이러한 과정을 수행하기 위해 연방민사소송규칙은 초기 단계에서의 정보에 대한 공개, 당사자들 간의 증거개시에 대한 협의, 증거개시에 대한 계획 수립, 특권이 있는 자료에 대한 환수, 자료 접근을 위해 과도한 비용이 소요되는 합리적이지 않은 상황 예방, 심문의 응답에 대한 비즈니스 기록으로서 ESI 생산, ESI생산의 요구, ESI에 대한 소환, 정상적인 ESI 훼손에 대한 안전장치 등의 내용을 규정하여 세부 절차에서 발생하는 불이익이나 불공정한 소송을 예방하고자 하였다.
이렇게 소송 당사자의 불이익을 예방하기 위한 세부적인 조치는 연방민사소송규칙을 처음 공포할 당시에는 반영되지 않았었지만 여러 차례의 개정을 통해 실질적으로 소송에 필요한 조치가 반영되어 오늘날과 같은 형태를 이루게 되었다.
e-Discovery와 관련된 주요 판례와 연방민사소송규칙의 개정 과정은 아래와 같다.
1938년 기존의 다른 법들과 관습법과 불문법을 정리하여 공포된 연방민사소송규칙에는 오늘날의 의미와는 다소 상이한 면은 있지만, 소송에서 당사자들 간 필요한 정보의 공개를 규정하는 증거개시제도가 포함되어 있다.
이후 1999년 뉴욕의 판사 Shira A. Scheindlin은 1938년 공포된 연방민사소송규칙 34조에 대해서 새로운 정보 기술에 대한 적합성에 대한 검토를 했는데 이는 훗날 실질적인 개정 소요 검토를 한 것으로 평가받고 있고, 이 때 처음으로 컴퓨터에는 저장되어 있으나 기존에 논의되지 않던 형태의 정보인 쿠키, 백업, 캐쉬, 히스토리 파일 등에 대한 문제가 제기되었다.
2003년 Laura Zubulake와 UBS Warburg LLC의 소송 판례는 e-Discovery의 방향을 바꿔 놓았다. 이른바 Zubulake 사건이라고 불리우는 이 사건은 당시 UBS에서 해고된 Zubulake가 소송과정에서 요구한 삭제되었을 수도 있는 e-Mail을 백업 테잎으로부터 복구하는데 소요되는 비용을 정의한 사건이었다.
당시 판사는 1999년 연방증거규칙을 검토했던 Shira A. Scheindlin였는데 그녀는 전기적으로 저장된 정보들 중 인식할 수 없는 수단 등으로 저장된 정보를 사용할 수 있도록 생산할 필요성이 있다고 결론을 내렸다.
이 판례는 e-Discovery와 관련된 많은 분야에 영향을 미쳤다. 첫째로 증거개시와 관련된 비용을 형평성을 고려하여 부과하는 방향을 제시함으로써 악의적인 의도로 소송을 지연시키는 일을 방지하고자 하였고, ESI의 저장과 관리 기술의 이해를 통해 정보 보존에 필요한 내용을 정리하였으며, 증거에 대한 보존의 의무를 향후 증거개시 대상이 될 것으로 예상되는 합리적인 이유가 있는 정보까지 대상으로 포함시킴으로써 ESI의 실질적인 관리 시스템과 저장원리, 접근 가능성이 고려된 구체적인 e-Discovery 실행 정책을 제시하였다.
또한 접근가능한 정보와 접근할 수 없는 정보에 대해 기술적인 해석과 법률적인 해석을 동시에 시도한 판례로서 2006년 연방민사소송규칙 개정의 기초를 마련한 판례라고 볼 수 있다.
2006년 연방민사소송규칙 개정을 통해 ESI가 반영되었고, e-Discovery와 관련된 많은 변화가 발생했다. 첫 번째 변화는 초기 공개돼야 할 정보{Rule 26(a)(1)(ii)}와 증거개시가 진행되는 동안 생산돼야 할 정보{Rule 34(a)(1)(A)}에 ESI를 포함한 것이고, 두 번째는 소송당사자에게 생성돼야 할 ESI에 대해서 형태를 구체화 할 것과 상대방에게 대상에 대한 허가를 요구한 것이며{Rule 34(b)(1)(C)}, 세 번째는 생성돼야 할 ESI의 형태가 구체화되지 않았다면 형태를 구체화한다는 것이다.
네 번째는 당사자가 상대방에 대해서 지적재산권 등의 권한이 있는 자료를 공개한 경우 제한된 환수 절차를 만든 것이고{Rule 26(b)(5)(B)}, 마지막으로 일상적인 사업활동에서의 신의성실에 의한 ESI의 삭제는 연방민사소송규칙에 의한 처벌을 금지한다는 것이다{Rule 37(e)}. 이러한 개정은 증거개시에 대한 ESI를 구체화시키고, 실제 소송에 활용할 수 있는 형태를 요구하였으며, 증거개시로 인한 재산권 침해를 예방하기 위한 것들이었다.
또한 e-Discovery를 준비하는 기업들이 ESI에 대한 저장을 위해 과도한 비용을 소요하는 것과 정상적인 기업의 활동 간 발생한 정보 관리 정책에 의해서 삭제된 정보를 원인으로 처벌하는 것을 예방하기 위한 내용이었다. 이는 건전한 경제활동을 보장하고, 증거개시제도의 목적을 동시에 달성하기 위한 조치였다고 볼 수 있다.
2006년 이후 2010년 12월 1일 당사자가 소답서면(訴答書面)이나 다른 서류를 등록하는 시간을 어떻게 계산할 지에 대해서 다룬 개정처럼 연방민사소송규칙과 연방증거규칙 등의 법률은 시대적인 흐름과 기술의 발전을 반영하여 합리적인 방향으로 개정이 지속적으로 이루어졌다.
또한 각 주의 법률들은 연방민사소송규칙의 변화를 반영했고, 형태는 조금씩 상이하지만 미국연방법원과 각 주에 있는 법원들의 근본적인 목적은 일치하는 e-Discovery 절차를 수립했다. 이러한 개정의 흐름을 파악하는 것은 e-Discovery를 준비하는 기업들이 최근 미국의 법률적 동향을 파악하고, e-Discovery 정책을 설정하는데 필요하며 나아가 향후 변화할 민사소송규칙의 방향을 예상하는데 필요하다.
이러한 변화는 e-Discovery의 근본적 목적을 유지하면서 시대의 기술적 발전과 관리적 흐름을 반영하여 진행되는 만큼, e-Discovery를 준비하기 위해서는 기업에서 ESI를 생산하고, 수정하며, 관리하는 기술과 방법에 대해서 지속적으로 확인해야 한다.
연방민사소송규칙은 증거개시에 대한 시대적, 기술적 환경 변화를 반영하여 본래 추구하는 목적을 달성하고자 한다. 이러한 증거개시의 목적은 첫째, 소송에 있어 당사자가 상대방에게 기습이나 속임수를 이용하여 승소를 하는 것을 막기 위함이고, 두 번째는 제기된 사실에서 진실과 거짓을 결정하는 것이며, 세 번째는 사실을 조사하여 사건에 대한 수행의 적합성을 검토하는 것이다. 이러한 증거개시 목적에 ESI의 특수성이 반영된 것이 e-Discovery의 목적이고, 연방민사소송규칙을 보면 그 세부적인 의미를 이해할 수 있다.
연방민사소송규칙 Rule 34(a)는 ESI에 대한 증거개시를 기존의 종이문서에 대한 증거개시와 동일한 기준으로 만들기 위해 개정된 것이다. 그래서 Rule 34(a)에는 전기적으로 저장된 정보인 ESI에 대한 정의가 반영되어 있고, Rule 26의 범위 내에서 상대방이 요청한 자료를 제공하도록 명시하고 있다.
이 조항에는 해당 정보를 생산하여 상대방이나 그 변호인에게 검사와 복사, 실험 등을 허가하도록 명시하고 있고, 이 정보는 문자에 의한 기록이나 그림, 그래프, 차트, 사진, 음성녹음, 이미지 등 각종 데이터를 포함하고 있다.
또한 이러한 데이터는 변환 없이 직접 획득이 가능하거나 변환이 필요한 것들까지도 포함을 하고 있는데, 이는 현재 우리가 사용하는 정보의 전기적인 저장 형태를 모두 포함하기 위한 것이고, 향후 개발될 다른 정보의 형태까지도 포함하기 위한 의도가 반영된 것이라고 볼 수 있다.
뿐만 아니라 Rule34(a)(1)(A)에 포함된 ‘어떠한 매체에 저장된(stored in any medium)’정보라는 조문은 향후 개발될 수 있는 저장장치까지 ESI의 대상으로 포함시키기 위한 의도였음을 알 수 있다.
Rule 26(a)(1) 초기의 공개(Initial Disclosure)는 초기 단계에서 증거를 공개할 것을 요구하고 있다. 이는 증거 개시에 대한 요청을 기다리지 않고 증거를 공개함으로써, 공개의 범위를 축소시키고, 증거 공개의 형평성을 유지하기 위한 조치이며, 소송 당사자의 주장이나 방어를 뒷받침하는데 사용될 수 있는 정보가 가능한 많이 공개돼야 한다는 취지가 반영되어 있다. 이 단계에서 증거 공개의 대상은 당사자들이 사용한 백업 시스템, 네트워크 시스템, e-Mail 시스템과 다른 소프트웨어를 통해 저장된 모든 정보를 포함한다.
그러나 초기 단계에서의 증거 공개에 대한 의무는 당사자들에게 소송 초기 ESI를 수집하고 분석할 것을 요구하기 때문에 증거 공개로 인해서 불합리하거나 과도하게 발생하는 비용에 대해서는 문제가 될 수 있다. 이로 인해 복잡한 소송에서는 수정이나 보류가 필요한 경우도 있다.
그래서 Rule 26(b)(2)(C)는 필요한 경우 판사에게 법령을 근거로 증거개시의 범위를 적절한 범위 내로 제한할 것을 요구하고 있는데, 이는 초기 증거개시의 범위와 시기에 대해서는 당사자들 간에 협의가 필요하고, 필요 시 법원도 함께 협의에 참여할 수 있도록 하기 위함이다.
Rule 26(f) 당사자간의 협의(Conference of the Parties);증거개시의 계획(Planning for Discovery)은 증거개시의 계획 수립을 위한 당사자간의 협의를 규정하고 있는데, 이는 2006년 연방민사소송 규칙의 개정 내용 중 e-Discovery에 있어 가장 중요한 요소로 평가를 받고 있는 것이기도 하다.
이 조항은 소송 당사자들이 민사소송의 형태에 대해 합의할 수 있는 기회를 제공하고, 초기 분쟁 간 합의점을 찾지 못한 부분에 대해 합의할 수 있는 여건을 제공한다. Rule 26(f)는 대부분의 민사소송에서 당사자들이 서로 만나서 협의할 것과 초기 사실심리전 협의 이전에 법정에 증거개시 계획을 제출할 것을 요구한다.
이 때 당사자들은 증거개시에 사용할 정보의 보존 문제와 생성되어야 할 정보의 형태를 포함한 공개 및 증거개시의 문제, 특허나 독점적 권한을 가진 정보의 공개와 보호에 대한 문제에 대해서 협의해야 한다.
특히 e-Discovery와 관련하여 증거개시에 사용될 ESI의 보존의 문제와 정보 생성의 형태 문제는 합리적인 합의가 이루어지지 않을 경우 과도한 비용과 분쟁이 발생할 수 있는 위험이 있고, 독점적 권한을 가진 정보의 공개에 대해서 충분히 고려되지 않은 합의를 하게 된다면 기업의 영업비밀을 노출시킬 수도 있다.
Rule 16 사전심리전 협의(Pretrial Conference);일정계획(Scheduling);관리(Management)는 많은 면에서 Rule 26(f)의 내용과 유사하다. 하지만 Rule 16에서 규정된 내용은 Rule 26(f) 이후에 발생하는 협의를 말하는 것으로서 Rule 16에서 요구하는 만나서 협의를 하고, 증거개시 계획을 제출해야 할 의무는 당사자들이 법원에 Rule 26(f)에 의한 증거개시 계획을 제출한 이후에 이루어진다.
이 조항은 이전 협의에서 도출된 결과를 발전시키는 과정으로 그 목적은 소송의 신속한 처리와 관리의 부재로 인해 보호되지 않을 사건에 대한 초기 단계에서의 지속적인 통제, 불필요한 사전심리전 협의의 예방, 더 많은 준비를 통한 재판의 질적 향상, 화해의 촉진 등이다.
그 의미를 정리하면 Rule 16은 소송 초기 단계에서 예상되는 증거개시에 대한 법원의 조정 필요성을 언급하기 위해 만들어진 것이라고 볼 수 있다.
Rule 26(b)(5)(B) 증거개시 범위와 제한(Discovery Scope and Limits)은 재판 준비과정에서 독점적 지위에 있는 정보가 공개되어 피해가 발생하는 것을 예방하기 위해 만들어진 것으로, 당사자들의 독점적 지위가 있는 증거가 대상인 공개 요청에 대한 상호간 합의와 정보의 생성에 대한 합의를 명시한 Rule 26(f)(3)(D)와 유사하다고 볼 수 있다.
Rule 26(b)(5)(B)는 기업의 정보 공개에 대한 피해를 예방하기 위해 재판준비 간 생성된 정보에 대한 보호와 조사 대상에서의 제외에 대한 요청을 명시하고 있다. 이 조항은 부적절한 정보의 생성을 요구한 당사자가 상대방에게 요구에 대한 정보와 본질을 알려줄 것을 명시하고 있고, 또한 이 정보를 받은 당사자에게는 그 즉시 확인된 정보와 복제본을 돌려주거나, 격리하거나, 파괴할 것을 요구하고 있다.
Rule 26(b)(2)(B)는 Zubulake와 UBS Warburg LLC사건에서 인식되었던 ESI의 ‘접근할 수 있는’과 ‘접근할 수 없는’에 대한 인식을 반영한 개정이다. 일반적으로 ESI는 저장하고, 복원하기가 수월하다.
이러한 ESI의 특징은 사건에서의 증거개시에 대한 합리적인 범위를 결정하는데 반영되기도 했지만, 상당한 비용 부담으로 작용하기도 했고, 일부 사건에서는 그러한 정보들이 합리적으로 접근할 수 없는 것들이기도 했다. 그래서 이 조항은 고액의 비용으로 인해 합리적으로 접근할 수 없는 ESI의 소스(sources)에 대해서 소송 당사자는 공개할 필요가 없다고 함으로써 ESI의 공개에 대해 구체적인 제한을 명시하였다.
법령에 ESI 자체에 대한 접근성을 고려하지 않고 그 소스에 대한 접근성을 명시한 이유는 대부분 ESI의 소스가 모든 사용자에게 접근을 허가하여 주도록 설계가 되었지만, 일부 시스템은 접근하는데 고가의 비용이 소요되는 소스에 정보를 남길 수 있기 때문에 소스의 접근부터 비용이 소요되는 정보들에 무리하게 접근하기 위해 고가의 비용을 사용하는 것을 예방하기 위해서이다.
이 외에도 Rule 33(d)에는 심문의 응답에 대한 비즈니스기록으로서의 ESI의 생산, Rule 34에는 ESI에 대한 요청, Rule 37(e)에는 기업 비즈니스에서의 일상적인 활동에 의해 손실된 ESI에 대한 제제 등 e-Discovery에 있어 반드시 알아야 할 법률들이 있다.
이러한 법률들을 종합해 보면 e-Discovery가 어떤 근거에 의해서, 어떻게 이루어지고, 어떠한 목적을 의도하는지 알 수 있다.
위에서 설명한 조항들을 요약해보면 e-Discovery는 소송 초기에 증거개시의 대상이 될 ESI를 식별하고, 당사자들 간 협의를 통해 정보의 공개와 범위, 형태에 대해 합의한 후 구체적인 진행계획을 수립하며, 이때 증거개시의 대상이 된 ESI를 보존하되 기업 비즈니스에서의 효율성을 최대한 제한하지 않는 범위 내에서 보존하는 등의 절차로 볼 수 있다.
e-Discovery의 절차에 대해서 연방민사소송규칙은 더 세부적으로 설명을 하고 있고, 이러한 법령을 해석한 각종 판례를 보면 실제로 어떻게 e-Discovery를 준비하고, 실행할 지에 대해서 더 구체적으로 알 수 있다.
또한 증거개시제도의 본래 목적을 고려할 때 향후에도 기술의 발전에 따라 법의 개정은 언제든지 이루어질 수 있음을 인식하여 기술의 발전을 항상 주목해야 하고, 그 변화를 분석하여 향후 대응방안에 대해서 지속적으로 연구해야 한다.
이러한 변화들은 연방민사소송규칙 등 관련 법률의 개정에서 가장 명확하게 확인할 수 있고, 세도나 회의(https://thesedonaconference.org)와 같은 법률이나 소송의 연구 단체를 통해서 변화의 방향을 예측할 수 있다.
[글_유 정 호(griphis77@me.com) 기업보안담당자]
필자는-----------------------------------
유 정 호(griphis77@me.com)
다년간 군 수사기관에서 디지털 포렌식과 사이버 수사교관 등을 지내면서 경찰수사 연수원, 지방경찰청 사이버수사대 등 국가기관의 강사로 활동했고, 디지털 포렌식 관련 매뉴얼 집 등 다수 서적을 집필했으며, 각종 번역작업에 참여한 바 있다. 현재는 기업에서 e-Discovery, 디지털 포렌식, 개인정보보호 등의 업무를 담당하고 있다.
2013년 5월 15일 수요일
[뉴스] 외도 사실까지 입증하는 디지털포렌식…민간시장으로 ‘확대’
외도 사실까지 입증하는 디지털포렌식…민간시장으로 ‘확대’
2013년 05월 16일 09:10:46 / 이민형 기자 kiku@ddaily.co.kr
관련기사
기업의 디지털포렌식 활용, 개인정보침해일까?
“물리·융합보안, 보안산업의 새로운 성장동력”…KISA 이기주 원장
더존정보보호서비스, ‘아르고스 디파스’로 해외시장 공략
“기술적 조치만으론 보안사고 못막는다”
LG전자는 어떻게 기밀정보 유출을 막을까?
- 기업의 자산관리를 비롯 개인 간 분쟁해결 등에서 활용
[디지털데일리 이민형기자] 최근 디지털포렌식에 대한 대중의 이해도가 높아지면서 수사기관뿐만 아니라 민간에서도 이를 활용하는 사례가 증가하고 있다. 특히 개인 간의 소송 등에도 디지털포렌식이 그 역할을 톡톡히 하고 있다.
아래 소개되는 사례는 법률사무소에서 직접 의뢰를 받은 사건들이다.
#1. 갑은 자신의 회사에서 퇴직하는 사원 을이 퇴직이 확정된 이후, 회사PC에서 자신의 이동식저장매체(USB)로 회사의 중요기밀과 도면을 유출했다는 의심이 들었다. 이에 갑은 디지털포렌식을 통해 퇴직이 확정된 이후에 회사PC에서 USB를 사용해 회사의 기밀정보와 고객정보를 탈취한 것을 입증하고, 이를 근거로 형사고소 했다.
#2. 병은 특정일시에 집에서 PC게임을 즐기고 있었으나, 수사기관은 그 시간에 공범을 도와 범행을 했다는 혐의로 병을 입건했다. 이에 병은 디지털포렌식을 통해 특정일시에 게임을 하였다는 증거를 자신의 PC에서 찾아내고, 결국 알리바이를 입증했다.
#3. 정은 자신의 배우자가 외도하고 있다는 의심을 하자, 자신의 배우자 동의 아래 배우자의 모바일 기기를 건네받았다. 정은 이를 모바일포렌식 전문업체에 맡겼고, 그 결과 삭제된 문자 등을 복구해 결국 외도사실을 입증, 이혼을 하게 됐다.
◆디지털데이터 홍수 시대, 포렌식 확산에 일조= 얼마 전 까지만 하더라도 디지털포렌식은 PC내에 증거자료를 복원하고 검색하기 위해 검찰과 경찰 등 주로 수사기관에서 활용해왔다. 사이버범죄를 수사하기 위해서는 디지털포렌식 기법이 필요하기 때문이다.
그러나 최근 기업의 회계, 경영 등의 자료들이 디지털화 됨에 따라 이를 감사하는 방식에도 디지털포렌식 솔루션을 활용하는 추세다.
이찬우 더존정보보호서비스 대표는 “최근 공공기관, 기업들이 내부정보 감사용으로 디지털포렌식 솔루션을 많이 찾고있다”며 “IT에 한정된 산업군이 아니라 전 영역에서 디지털포렌식 솔루션 도입을 고민하고 있다”고 말했다.
기업이 디지털포렌식을 도입할 경우 두가지 이득을 기대할 수 있다. 먼저 사고를 미연에 방지할 수 있다. 전통적인 감사방식과 달리 사내 네트워크에 흐르는 모든 데이터를 분석해 부정행위가 어디서 어떻게 진행되는지 실시간으로 확인할 수 있다.
보안사고가 발생했을 경우에도 사고가 어디서부터 시작돼 어떻게 진행됐는지 여부를 알 수 있다. 특히 정보은닉이나 탈취 등 기업생존에 치명적인 영향을 끼칠 수 있는 상황에서 큰 위력을 발휘한다.
포렌식 진단기법을 활용하면 PC저장장치(하드디스크, 이동식디스크, CD 등) 또는 데이터베이스에 불법적(비인가자, 암호화 미적용)으로 오남용된 개인정보 처리 증거를 확보할 수 있을뿐더러 삭제된 증거, 외부저장장치 활용, 공모(악의적 이용에 대한 증거 및 관련자)와 관련된 정보도 찾아낼 수 있다.
개인 간 분쟁에서도 디지털포렌식이 활용된다. 앞서 소개한 3번의 사례에서처럼 PC나 모바일 상에서 일어난 행위들을 역추적해 분쟁을 해결할 수 있다.
법률사무소 민후 김경환 변호사는 “디지털포렌식에 대한 의뢰를 하는 의뢰인들이 증가하고 있어 대부분의 IT전문 법률사무소들은 디지털포렌식 솔루션을 보유하고 있을 것”이라며 “현재도 지속적으로 의뢰인이 증가하고 있으며, 스마트폰 등에 저장된 데이터를 복원해달라는 의뢰가 많다”고 설명했다.
◆기업들은 디지털포렌식 도입해도 외부노출 꺼려=김 변호사는 디지털포렌식과 개인정보침해는 종이한장 차이라고 강조했다.
그는 “디지털포렌식과 개인정보침해의 차이는 해당 대상자의 동의를 얻었느냐의 차이밖에 존재하지 않는다”며 “특히 개인의 디지털 활동내역을 모조리 다 알아낼 수 있기 때문에 매우 조심스럽게 운영하고 있다”고 설명했다.
현재 국내 대기업 계열사들은 인케이스, 액세스데이터, 더존 등 포렌식전문업체가 개발한 디지털포렌식 도구를 사용하고 있다. 그러나 해당 기업에 근무하고 있는 직원들 중 이러한 사실을 알고 있는 사람은 그리 많지 않다.
김 변호사는 “디지털포렌식을 도입한 기업들은 이 사실을 내부직원을 비롯해 외부로 알리는 것을 매우 민감하게 받아들인다. 인권침해 등의 요소가 많기 때문”이라며 “기업과 직원간 근로계약서 작성 당시 이러한 내용은 기술돼 있으나, 이를 신경쓰는 직원은 많지 않을 것”이라고 전했다.
첨단소재를 개발하는 대기업 계열사의 보안부서장은 “20명 남짓한 보안부서 직원들 중 절반은 디지털포렌식 도구를 활용해 사내 데이터 흐름을 지속적으로 모니터링한다”며 “디지털포렌식 솔루션 도입 이후, 실수로, 혹은 악의적인 목적을 가지고 데이터를 유출하려는 임직원을 다수 적발했다. 문제소지는 있을 수 있으나 기업의 자산관리에는 최적”이라고 말했다.
2013년 5월 12일 일요일
e-Discovery의 필요성과 수행환경
삼성과 애플의 지식재산권 소송 등에서 자주 언급된 e-Discovery
미국 법정에서의 재판 위한 필수준비 제도...국제적인 보안·법률이슈
본지에서는 현재 우리나라에서 이슈가 되고 있는 e-Discovery에 대한 개념적인 이해를 돕고, 나아갈 방향을 제시하기 위해 현재 기업보안담당자로 근무하고 있는 유정호 씨의 기고를 6회에 걸쳐 연재합니다. 독자 여러분들의 많은 관심 부탁드립니다. [편집자주]
연재목차-----------------------------
1회 e-Discovery의 필요성과 수행환경
2회 e-Discovery의 정의와 목적
3회 e-Discovery와 Digital Forensics
4회 e-Discovery절차
5회 우리나라에서의 e-Discovery
6회 e-Discovery를 위한 준비
------------------------------------
[보안뉴스= 유정호] 2011년 4월 18일(현지)은 애플이 미국 캘리포니아 북부지방법원에 지식재산권과 관련하여 소송을 제기한 날이다. 그 날 이후 세계는 삼성과 애플의 소송을 각종 언론을 통해서 접하게 되었고, 사람들은 두 기업 간의 특허전쟁을 보면서 저마다 많은 생각을 했을 것이다. 이 중에서 보안이나 법률과 관련된 직업을 가진 사람들은 e-Discovery라는 단어를 자주 보았을 것이다.
e-Discovery는 Electronic Discovery의 약어로 전기적으로 저장된 정보에 대한 ‘증거개시제도’를 말한다. 여기서 증거개시제도란 재판과 관련된 당사자 또는 당사자들이 서로 특정한 상황과 관련된 사실을 찾는 법적 절차를 말한다.
‘법적 절차’라는 용어로 정의된 것을 볼 때 재판과 관련된 법률을 근거로 법률이 정한 과정을 의미하는 것을 알 수 있는데, 이러한 법률적인 절차 중에서 전기적으로 저장된 정보를 취급하는 절차를 e-Discovery라고 한다(자세한 내용은 2회에서 설명). 우리나라에서 e-Discovery를 수행하기 위해서는 어떤 것을 이해하고, 준비해야 할까?
이렇듯 우리나라에서 중요성이 더욱 커지고 있는 e-Discovery에 대해 6회에 걸쳐 세부적으로 살펴보기로 한다. 1회에서는 e-Discovery의 필요성과 법률적 배경지식에 대해서 설명하고, 2회에서는 e-Discovery의 정의와 목적, ESI에 대해서, 3회에서는 e-Discovery와 디지털 포렌식과의 관계, 4회에서는 e-Discovery 절차, 5회에서는 우리나라에서의 e-Discovery, 6회에서는 e-Discovery를 위해 준비해야 할 것에 대해 상세히 소개할 예정이다.
내용은 법률과 기술적인 분야에서 기본적인 부분을 이해할 수 있도록 하고, 우리나라의 e-Discovery 현실, 향후 e-Discovery에 대한 발전방향에 대해 제시하는 형태로 구성했다.
현재 우리나라에서 실행되거나 준비되고 있는 e-Discovery는 미국 법정에서의 재판을 위한 것들이다. 물론 증거개시제도는 미국뿐만 아니라 다른 나라에서도 이루어지고 있다. 하지만 위에 언급한 것처럼 현재 우리나라의 몇몇 기업들이 미국 기업들과 지식재산권 관련 특허 소송을 진행중이고, 세계 1위의 경제대국이자 국가 간 무역에 사용되는 기축통화인 달러를 발행하는 나라인 미국 기업과 경쟁을 하는 기업들은 언제라도 증거개시제도를 수행해야 하는 상황에 직면할 수도 있기 때문에 미국 법정에서의 재판을 위한 준비할 수밖에 없는 입장이다.
이는 비단 지식재산권과 관련된 업체에만 해당되는 것이 아니라 미국법정에서 이루어지는 민사소송 재판을 받을 수 있는 미국에서의 경제활동이 가능한 모든 기업들에게 해당된다. 즉, 특정 기업과 경쟁관계에 있거나 유사한 기술을 가지고 있는 기업들로부터의 소송을 대비하는 것은 물론이고, 미국에서 판매와 생산 등의 경제활동을 하는 모든 기업들은 민사 소송의 대상이 될 수 있기 때문에 e-Discovery를 준비할 필요가 있다. 그러므로 e-Discovery를 준비하기 위해서는 재판과 관련된 법률적 지식을 습득하여 미국의 법률과 사법제도에 대해서 이해해야 한다.
미국의 사법체계는 연방(Federal) 정부의 사법체계와 주(State) 사법체계로 구분된다. 이 내용은 언뜻 보면 쉽게 생각할 수 있으나 미국 법원에서 소송을 진행해야 하는 경우라면 면밀하게 이해할 필요가 있다. 미국은 건국될 당시 영국으로부터의 독립을 주장하던 13개의 식민지를 통합한 국가였고, 각 주마다 문화와 체계가 상이했다.
미국 정부는 이러한 주들의 독립적인 요구를 수용하면서도 국가의 행정 체계를 구축하기 위해 연방정부와 주정부를 별도로 설립하게 된다. 이 과정에서 연방정부와 주정부에 별도의 사법권을 부여하게 되고, 이는 오늘날 미국의 사법체계의 근간이 되었다. 하지만 연방정부와 주정부가 별도로 독립되어 있음에도 불구하고, 연방정부는 국가정부로서의 역할이 필요하게 됐고, 이는 미국 헌법에 반영되어 연방법과 주법 사이의 경계를 명확하게 구분했다.
그래서 미국의 연방정부와 주정부는 각각 3권 분립체계를 구축하고, 독립된 입법권과 사법권을 가지고 있지만 연방헌법이 최상위 법으로서 기준을 제시하며, 헌법 6조(Article VI) ‘최고 법규 조항(Supremacy Clause)’의 “미국의 헌법과 헌법에 따라서 제정될 미국의 법률, 미국의 이름으로 체결됐거나 체결될 모든 조약을 미국의 상위법으로 하고, 모든 주의 판사들은 이 법을 근거로 하며, 어떤 주의 법률도 미국의 헌법이나 법률에 위배되어서는 안 된다”는 조항에 따라 미국의 헌법과 법률이 주의 헌법과 법률보다 상위에 있다는 것을 명시했다.
이는 우리나라처럼 단일한 사법체계와 입법체계를 가지고 있는 국가와는 상이한 환경으로 미국에서 법률과 관련된 업무를 하게 된다면 연방 법과 주의 법을 이해해야 하고, 이 법들에 따라 대응방향을 적절하게 설정해야 한다는 것을 의미한다.
연방법원과 주법원의 구성을 구체적으로 보면 법원의 구성은 우리나라와 유사하지만 상이한 부분이 많다. 연방법원은 1개의 연방대법원(Supreme Court)과 12개의 지역을 구분하여 담당하는 연방 상소심법원(U.S Appellate Courts) 등을 상소심 법원으로 두고 있다. 또한, 94개의 사법재판소(Judicial Courts)와 1개의 파산법원(Bankruptcy Court), 국제통상재판소(U.S. Court of International Trade), 연방청구재판소(U.S. Court of Federal Claims)로 구성된 연방사실심리법원(U.S. Trial Courts)이 1심 재판을 담당하고 있다.
대법원은 상소심법원에서 상소된 소송을 다루기도 하고, 특정 사건의 경우 최초부터 취급을 할 수도 있다. 이 때 독특한 점은 미국의 대법원이 우리나라의 헌법재판소의 기능을 한다는 것이다. 영국이나 호주 등의 나라와 같이 미국은 헌법재판소를 별도로 설치하지 않고, 일반 법원에 헌법심판의 권한을 부여했다. 그래서 대법원에서 ‘위헌(unconstitutional)’로 판결이 되면 실제 관련 법률이나 정책은 헌법에 위배된다는 결과가 성립된다. 이러한 이유에서 미국의 대법원은 정책결정자로서의 역할을 하게 된다.
순회법원(Circuit Courts)이라고 불리기도 하는 상소심법원은 지방법원에서 상소된 사건에 대한 재심을 담당한다. 사실 대법원이 연간 처리하는 소송이 80~90건임을 감안하면 상소심법원이 전체적인 상소를 처리한다고 봐도 과언이 아니다. 이 때 상소심법원은 지방법원에서 상소된 소송을 심리(hearing)하는 역할을 하지 않고, 소송 절차에서의 문제점과 법리적 오류의 부분만 확인을 한다. 또한 상소심법원에서 대법원으로 상소되지 않은 소송 중에 ‘위헌’으로 판결된 사건은 위헌으로 종결되기 때문에 정책 수립의 역할도 한다고 볼 수 있다. 상소심법원은 12개의 지역을 구분하여 설치된 지역순회 상소심법원(Regional Circuit Courts of Appeals)과 연방순회 상소심법원(Court of Appeals for Federal Circuit)이 있다.
심리법원은 미 연방법원의 실질적인 사건에 대한 심리를 담당하는 곳으로 94개의 사법재판소가 일반적인 연방 법률과 관련된 소송을 담당하고, 파산이나 국제 무역 등에 관여하는 파산법원(사법재판소와 파산법원을 지방법원이라고 부른다)과 국제통상재판소, 연방청구재판소가 독자적인 분야의 소송에 대한 재판을 담당한다. 연방법원에서 심리법원의 심리는 상소심법원과 대법원에서의 최종 심리자료로 이용될 수 있기 때문에 특별한 사유가 발생하지 않는 한 변호인이 증인을 신문하거나 반대 신문할 수 있는 유일한 법원이기도 하다. 언론에서 보도된 애플이 삼성에 대해서 민사소송을 제기한 캘리포니아 북부 지방법원(California Northern District Court)은 연방심리법원의 사법재판소 중 하나다.
주의 사법체계는 연방사법체계와 유사하다. 하지만 주별로 각자의 법원조직을 구성할 수 있고, 사법시스템을 조직할 수 있기 때문에 일률적으로 정의하는 것은 어렵다.
그럼 e-Discovery를 준비하기 위해서는 어떤 법률을 이해해야 할까? 우선적으로 봐야 할 법률은 미국 연방법률집(United States Code, U.S.C) 28편 사법부와 재판절차(Judiciary and Judicail Process)이다. 아마도 미국에서 민사소송이 발생할 경우 우리나라 기업의 경우 연방법원과 주법원 중 어느 법원에서 재판을 받을지에 대해서 궁금한 사람들이 많을 것이다. 이러한 사법관할권에 관한 내용이 28 U.S.C에 정확하게 나와 있다.
미국 연방법률집 28편의 part 5 관할권과 재판지(Jurisdiction and Venue,1251장~1631장)에는 주적(州籍)의 다양성(diversity of citizenship)과 청구금액(amount in controversy), 비용(costs)이나 외국인과 기업에 대한 연방법원의 관할권 조항이 명시되어 있다.
그 중에서 청구금액을 보면 서로 다른 주의 사람들이 소송을 하거나 서로 다른 주의 집단이 소송을 하는 경우, 소송 집단의 구성원이 서로 다른 주에 속해 있는 경우 등을 구분하여 이자와 비용을 제외한 청구금액이 일정 금액 이상을 초과하였을 때 연방법원의 관할권에 대해서 명시하고 있다. 이외에도 미국 연방법률집 28편 part 6 소송절차(Procedure)에는 소송에 대한 절차와 증거, 비용 등에 대한 내용을 상세하게 명시하고 있기 때문에 미국에서의 소송에 있어 가장 먼저 이해해야 할 법률이라고 볼 수 있다.
하지만 이러한 법률만으로 소송과 관련된 법원을 판단하기는 어렵고, 실질적으로 소송에 영향을 미칠 수 있는 지역 정서 등에 대한 고려도 필요하다. 실제로 미국에서 민사소송이 제기된 경우 관련 법률에 따라 관할이 정해지는데 이 경우에 연방법원과 지방법원을 선택할 수 있는 경우도 있다. 이런 경우에 미국에 사업장이 있고, 현지에서 미국인들에게 일자리를 제공한 기업이라면 해당 주에서의 긍정적인 정서를 바탕으로 주 법원에서의 소송이 유리할 수도 있다. 하지만 미국 본토에 사업장이 없고, 미국 현지에서 일자리 등을 제공한 미국 기업과 소송을 진행하려면 연방 법원이 유리할 수도 있다. 또한 배심원 제도의 선택 여부에 있어서도 이러한 지역의 분위기는 반드시 고려해야 할 요소이다.
그 다음으로 이해해야 할 법률은 연방 민사소송규칙(Federal Rules of Civil Procedure)이다. 물론 e-Discovery가 민사소송에만 해당되는 것은 아니다. 연방 형사소송규칙(Federal Rules of Criminal Procedure)은 16조(Rule 16) 증거개시와 검사(Discovery and Inspection)에 정부와 피고의 정보 공개에 대해서 규정하고 있고, Justin P. Murphy와 같은 사람들은 형사소송에서의 e-Discovery 적용 사례와 문제점에 대한 글을 발표할 정도로 이슈가 되고 있는 분야이다.
하지만 현재 우리나라의 기업들이 민사소송을 진행 중에 있고, 향후 기업의 위기관리에 가장 밀접하게 적용될 수 있는 가능성이 있는 것이 민사소송이기 때문에 우선적으로 민사소송을 준비할 필요가 있다. 사실 e-Discovery의 실질적인 세부 절차를 이해하려면 이 규정을 이해해야 한다. 5장 공개와 개시(Disclosure and Discovery)에는 전기적으로 저장된 정보(Electronically Stored Information)에 대한 정의와 e-Discovery 절차에 대해서 세부적으로 설명하고 있다. 또한 연방 민사소송규칙의 개정은 e-Discovery의 현실적인 내용을 반영하고 있는 만큼 매년 그 변화에 주목을 해야 한다.
지금까지 설명한 내용은 e-Discovery 업무를 하는데 있어 기본적으로 알아야할 미국의 사법체계와 소송에 관련된 내용이다. 사실 우리나라에 알려진 e-Discovery관련 내용들을 보면 절차와 목적을 오인 해석한 내용들이 종종 발견된다. 이러한 근원적 법률을 접근하고 이해한다면 이러한 오해로부터 최대한 자유로울 수 있을 것으로 생각된다.
하지만 e-Discovery를 위해서 이해해야 할 법률과 기술에 대한 내용들은 아직 많고, 준비해야 할 여정도 결코 짧지 않다. 미국의 법만큼 중요한 우리나라의 사법체계와 증거에 대한 의미, 그리고 디지털 포렌식과 관련된 복구 및 검색, 보존기술 등등. 이 중에서 어느 하나라도 간과된다면 e-Discovery는 결코 성공할 수 없다. 그런 의미에서 국내의 전문가와 미국의 전문가가 협업을 통해 양국간의 법률, 기술이 결합된 합리적인 방향을 설정할 필요성은 누구도 의심할 여지가 없을 것이다.
[글_유 정 호(griphis77@me.com) 기업보안담당자]
필자는-----------------------------------
유 정 호(griphis77@me.com)
다년간 군 수사기관에서 디지털 포렌식과 사이버 수사교관 등을 지내면서 경찰수사 연수원, 지방경찰청 사이버수사대 등 국가기관의 강사로 활동했고, 디지털 포렌식 관련 매뉴얼 집 등 다수 서적을 집필했으며, 각종 번역작업에 참여한 바 있다. 현재는 기업에서 e-Discovery, 디지털 포렌식, 개인정보보호 등의 업무를 담당하고 있다.
-----------------------------------------
2013년 5월 7일 화요일
피드 구독하기:
글 (Atom)