철도사고 디지털포렌식 사례분석 및 법제도적 개선방안

박승준,김기범 한국디지털포렌식학회 2025 디지털 포렌식 연구 Vol.19 No.1

현대 철도는 중요한 대량 교통수단이지만, 철도사고는 증가하는 추세이고 안전 관리의 큰 과제로 남아 있다. 철도사고 분석을 위해 디지털포렌식의 중요성이 커지고 있지만, 현재 대응 체계에서는 충분히 활용되지 못하고 있다. 따라서 실제 철도사고 포렌식 사례를 분석하여 기술적, 제도적 한계를 살펴보고 철도사고 대응을 위한 디지털포렌식 발전방안을 제시 하였다. 본 연구에서는 시뮬레이션 환경 구축을 통한 철도사고 재구성, 디지털포렌식 데이터 통합 분석 시스템 도입, 철도 사고 데이터 분석을 통한 예방 정책, 철도 시스템과 디지털포렌식 연계 방안, 철도사고에 대한 디지털포렌식 대응 모델 등 을 제안하였다. 디지털포렌식은 철도사고 대응에 필수적인 요소이기에, 이 연구가 철도사고 원인 규명을 위한 디지털포렌 식 발전에 기여하기를 기대하고 철도 시스템의 안전성과 신뢰성을 강화하는 밑거름이 되기를 희망한다. Modern railways serve as a crucial means of mass transportation, yet railway accidents are on the rise and remain a significant challenge for safety management. While the importance of digital forensics in railway accident analysis is increasing, it is not yet fully utilized in the current response framework. Therefore, this study analyzes actual railway accident forensic cases to examine the technical and institutional limitations and proposes advancements in digital forensic applications for railway accident response. Key proposals include the establishment of simulation environments for railway accident reconstruction, the introduction of an integrated digital forensic data analysis system, the development of preventive policies through railway accident data analysis, the integration of railway systems with digital forensics, and a digital forensic response model for railway accidents. As digital forensics is an essential component of railway accident response, this study aims to contribute to its advancement in identifying accident causes and serve as a foundation for enhancing the safety and reliability of railway systems.

사회연결망분석기법을 이용한 디지털포렌식 연구동향 분석

이연주,박희원,이성진,김기범 한국디지털포렌식학회 2023 디지털 포렌식 연구 Vol.17 No.1

Although digital forensics is an area of speciality that requires both technology and legislation, it has tended to be recognized only as a technology research field. Digital forensics is growing as a field of study, but there is a lack of research on evaluation and problem of the development of digital forensics. For the purpose of finding digital forensic research trends and future research topics, we used a social network analysis approach focusing on research keywords and author information among bibliographic information of papers on digital forensics. According to the analysis result, first, digital forensics has a convergence of technology and legal practice. Second, we confirmed the quantitative growth of research from the increasing number of papers, and third, research topics are gradually subdivided and deepened compared to earlier studies. Fourth, it shows that a few research subjects and researchers have high network centrality and influence on the academic world. In digital forensics, the research for new technologies is relatively lacking, so more research is needed in the future. Recently, technology-oriented papers are more published than the legal practice, so convergence research should be encouraged more and more. It is also necessary to consider policy considerations for research promotion, human resource training, and budget input at the national level for areas that show limitations in the practice of digital investigation. 디지털포렌식은 기술과 법제의 융합 영역임에도 그간 기술 중심의 연구분야로만 인식되는 경향이 있다. 디지털포렌식은 학문의 한 분야로 성장하고 있으나 디지털포렌식의 발전에 대한 평가와 문제점에 대한 연구가 부족한 실정이다. 디지털포렌식 연구동향 및 향후 연구주제 발굴에 사용하기 위한 목적으로 디지털포렌식을 주제로 한 논문의 서지정보 중 연구 키워드와 저자 정보를 중심으로 사회연결망분석기법을 수행하였다. 분석결과에 의하면 첫째, 디지털포렌식은 기술과 법제의 융합적 성격을 띄고 있으며, 둘째, 논문 수의 증가 추세로 보아 학문의 양적인 성장이 확인되고, 셋째, 초기 연구에 비해 연구주제가 점차 세분화되고 심화되고 있으며, 넷째, 소수의 연구주제와 연구자가 높은 네트워크 중심성을 가지며 학계에 높은 영향력을 가지고 있다는 것을 확인할 수 있었다. 디지털포렌식 분야에서는 신기술을 적용한 연구가 상대적으로 부족한 실정이므로 향후 더 많은 연구가 필요하며, 학계에서는 기술 중심의 논문이 법제 분야보다 많이 연구되고 있으므로 융합적인 관점에서의 연구도 장려되어야 할 것이다. 디지털수사 실무에서 한계를 보이는 분야에 대한 국가차원의 연구장려, 인력양성, 예산투입에 대한 정책적인 고려도 필요하다.

디지털포렌식 전문인력 양성체계 및 산업 활성화에 관한 연구

신민지,홍준호 한국디지털포렌식학회 2025 디지털 포렌식 연구 Vol.19 No.3

디지털포렌식을 통한 디지털 증거 분석은 수사뿐만 아니라 사실 증명을 위한 주요한 수사기법이 되고 있다. 디지털포렌 식의 활용은 지식재산 침해범죄, 디지털 성범죄 더 나아가 자동차 분야까지 확장되었으며, 바이오 포렌식, 법심리분석과 함께 과학수사의 3대 분야로 선정되어 지속적으로 연구되고 있다. 이는 디지털을 통해 사회가 운영된다고 볼 수 있는 현 실에서 과학수사와 포렌식 기법의 발전이 시급하다는 점을 반증하는 것으로 보인다. 하지만 이러한 노력에도 불구하고 디 지털포렌식 분야는 여전히 산업계가 불명확하며, 직무 자격제도 역시 민간자격에 그치고 있다. 이로 인하여 실제 디지털 포렌식 전문가의 채용 기준과 규정을 살펴보아도 명확한 기준은 미비한 단계이다. 현대 사회는 디지털 기기나 저장매체 등에 있는 데이터와 자료들이 중요한 증거가 되며, 범죄 및 행정조사의 판단 근거가 되고 있다. 한편 디지털 형태의 증거 는 고도화된 타인의 사생활과 비밀의 자유를 침해할 수 있는 정보를 다룬다는 점에서 디지털포렌식을 외부 용역을 통한 분석, 체계적인 절차 없이 운영되는 현실에서 벗어날 필요성이 있다. 따라서 본 연구는 디지털포렌식 산업의 기반과 기술 적 역량, 신뢰성 있는 체계의 필요성을 검토하고 기반을 마련할 선순환 체계를 제시하고자 한다. Digital evidence analysis through digital forensics has become a major investigative technique for investigating and proving facts. As society becomes more digitized—including intellectual property infringement, sex crimes, and the automotive sector—digital forensics is considered one of the three major fields of forensic science, alongside bioforensics and forensic psychology. It is a continuously researched field. The fact that society operates digitally seems to prove the importance of advanced forensic policies and techniques. However, the digital forensics field remains unclear in the industry, and the job qualification system is limited to civilian qualifications. Consequently, the hiring standards and regulations for digital forensic experts remain unclear. In the modern world, data and materials stored on digital devices become important evidence and the basis for judgments in criminal and administrative investigations. On the other hand, digital evidence deals with information that may infringe on the privacy and secrecy of others. This information is highly sensitive, so it is necessary to move away from analyzing digital forensics through external services and hiring only technical analysts without systematic procedures. Therefore, this study examines the need for a foundation, technical capabilities, and a reliable system in the digital forensics industry, proposing a virtuous cycle system to establish one.

디지털포렌식 숙련도시험운영기관 발전방안디지털포렌식 숙련도시험운영기관 발전방안

신수민,이은지,나보미,이승용,황현욱,김기범 한국디지털포렌식학회 2024 디지털 포렌식 연구 Vol.18 No.4

디지털 전환에 따라 시험인증 분야 또한 환경 변화가 이뤄지고 있으며, 디지털증거분석실에 대한 시험기관 인증 수요도 증가하고 있다. 디지털증거분석실 시험기관 인증은 증거의 연계보관성, 무결성, 신뢰성을 보증하기 위한 요소로서 중요한 의미를 갖는다. 시험기관 인정은 숙련도시험을 통해 수행 분야 능력과 품질을 지속적으로 유지하는 것을 전제한다. 시험 결과의 정확성과 능력을 제고할 뿐만 아니라 방법·절차의 입증, 직원 교육, 고객 신뢰도 향상 등의 효과를 가져온다. 디지털포렌식 시험기관은 대부분 해외에서 제공하는 숙련도시험을 실시하고 있으며, 국내 숙련도시험운영기관의 디지털증거에 대한 숙련도시험 운영은 2024년에 국가보안연구소에서 처음으로 시작하였다. 따라서 본 논문에서는 디지털포렌식 숙련도시험운영기관 발전방안을 도출하고자 한다. 연구 방법으로 문헌연구, 시험·숙련도시험 운영기관 현장 방문과 심층 인터뷰, 해외 숙련도시험(CTS, ISFCE, Forensic foundations) 참가를 수행하였다. 그 결과 측정불확도 적용 가능성, 숙련도시험아이템의 안정성과 균질성에 대한 고찰, 숙련도시험 운영 시 제시된 문항의 해석 문제, 외부 컨설팅 및 자문 필요성에 대한 쟁점을 도출하였고 숙련도시험운영기관 활용방안 다각화, 숙련도시험을 위한 예산, 인력 확충, 의무화 규정 신설 등을 제안하였다. 본 논문이 디지털포렌식 숙련도시험운영기관 발전을 위한 초석이자 관련 연구의 시발점이 될 수 있기를 기대한다. As digital transformation progresses, changes are also occurring in the testing and certification field, with an increasing demand for the certification of digital forensic laboratories. The certification of testing laboratories for digital forensic laboratories holds significant importance as it ensures the chain of custody, integrity, and reliability of evidence. Accreditation of testing laboratories ensures the continuous maintenance of competence and quality in their respective fields through proficiency testing, which not only enhances the accuracy and capabilities of test results but also contributes to the validation of methods and procedures, staff training, and the improvement of customer trust. Most digital forensic testing laboratories conduct proficiency tests offered by international organizations. In South Korea, the National Security Research Institute initiated the first proficiency test for digital evidence in 2024. This study aims to propose development strategies for digital forensic proficiency testing providers. The research methods included a literature review, site visits and in-depth interviews with testing laboratories and proficiency testing providers, and participation in international proficiency tests (CTS, ISFCE, Forensic Foundations). The study identifies issues such as the applicability of measurement uncertainty, the stability and homogeneity of proficiency test items, interpretation problems of questions presented during proficiency testing, and the need for external consulting and advisory services. As development strategies, the paper suggests diversifying the utilization of proficiency test providers, increasing budgets and personnel for proficiency testing, and introducing mandatory regulations. It is hoped that this study will serve as a cornerstone for the development of digital forensic proficiency testing providers and a starting point for related research.

표준규정과 판례 비교를 통한 디지털 포렌식의 법적 증거능력 인증기준

정진효,이창무 한국디지털포렌식학회 2017 디지털 포렌식 연구 Vol.11 No.3

The number of digital forensic implementations has been increasing and the scope of application diversifying as well. Digital forensics for securing concrete evidence in criminal investigations has been becoming critical and related technologies developing rapidly. However, the legal system in Korea has been focused heavily on physical evidence with little emphasis on digital evidence for digital forensic. For digital evidence derived from digital forensics to be recognized, integrity, originality, and reliability must be proven. In Korea, digital forensics is mainly used in crime investigation work by the prosecution and the police. In this process, standard guidelines written by each organization are used to acquire integrity, identity and credibility of digital forensic. There is a controversy that the defendant's complaint about the use of digital forensics is raised or that the technology can not be admitted because the guideline is not based on legislation. It is the most obvious way to revise the law, but it will take a long time to come up with laws that can encompass various electronic devices and digital forensic technologies that have been quickly developing. Therefore, supplementing and refining the existing standard guidelines will be more helpful in expanding the scope of digital forensics. To this end, this paper compares domestic and US digital forensic standard guidelines and precedents to analyze the actual standards for obtaining integrity, originality, and reliability. Through the comparison, it is possible to identify the proof standard of the digital forensic objectively, and to identify the factors for developing the Korean standard guidelines. 해가 지나갈수록 디지털 포렌식 실시 횟수는 증가하고 있으며 적용 대상 역시 다양해지고 있다. 범죄수사 과정에서 구체적 증거를 확보하기 위한 디지털 포렌식은 나날이 중요해지고 있으며 관련 기술들 역시 빠르게 발전하고 있다. 하지만 이를 뒷받침해줄 법률체계는 여전히 물리적인 증거에 집중되어 있으며 디지털 포렌식을 뒷받침하기에는 아직 보완해야할 부분들이 산재해 있다. 디지털 포렌식이 도출한 디지털 증거가 공인되기 위해서는 무결성, 동일성, 신뢰성이 입증되어야 한다. 국내에서 디지털 포렌식은 검찰과 경찰의 범죄수사 업무에 주로 사용되며 이 과정에서 무결성, 동일성, 신뢰성을 획득하기 위해 각 조직이 만든 표준규정이 활용되고 있다. 해당 표준규정이 법적인 지위를 획득한 것이 아니기에 디지털 포렌식 사용에 관한 피고측의 불만이 제기되거나 해당 기술을 인정할 수 없다는 반론이 나오곤 한다. 법률을 개정하는 것이 가장 확실한 방법이지만 빠르게 발전하고 있는 각종 전자기기와 디지털 포렌식 기술을 포괄할 수 있는 법이 나오기까지는 오랜 시간이 걸릴 수밖에 없다. 따라서 현재 활용되고 있는 표준 규정을 보완하고 구체화하는 것이 디지털 포렌식의 활용범위를 넓히는데 더 큰 도움이 될 것으로 보인다. 이를 위해 본 논문은 국내와 미국의 디지털 포렌식관련 표준 규정들과 판례들을 비교하여 무결성, 동일성, 신뢰성을 획득하기 위한 실질적 기준이 무엇인지 분석했다. 비교결과를 통해 현재 통용되고 있는 디지털 포렌식의 입증기준을 객관적으로 파악하고 국내 표준규정을 발전시키기 위한 요소들이 무엇인지 확인할 수 있었다.

디지털 포렌식 전문 인력 양성을 위한 교육과정에 대한 연구

이윤정,백윤철,손성훈,정진우 한국디지털포렌식학회 2009 디지털 포렌식 연구 Vol.3 No.2

The increasing demand for well trained digital forensic professionals have resulted in developing digital forensic education programs. There are, however, no standard curriculum and accreditation process for educational institutes yet. This paper surveys several educational programs and proposes an ideal graduate program for educating digital forensic experts. 최근 디지털 포렌식 전문가에 대한 수요가 증가함에 따라 디지털 포렌식 교육과정의 개발이 요구되고 있다. 그러나 정규교육기관을 위한 표준 교육과정이나 인증을 위한 절차 등이 아직 마련되지 않은 실정이다. 이 논문에서는 디지털 포렌식 교육기관의 교육 현황을 전반적으로 파악하고 이상적인 대학원 수준의 교육과정을 제안한다.

디지털 증거의 신뢰성 확보 방안

길연희,은성경,홍도원 한국디지털포렌식학회 2007 디지털 포렌식 연구 Vol.1 No.1

In the paper, the characteristic of the digital evidence is introduced, and the condition for the digital evidence to be accepted as the evidence in the court of law is presented. The establishment of the standard procedure for digital evidence collection and the development of reliable digital evidence collection tools are the basic conditions, which are also included in this paper. 본 논문에서는 디지털 증거의 특성을 알아보고 디지털 증거가 법정에서 증거로 인정받기 위한 조건을 기술한다. 또한, 그 조건에 해당하는 디지털 증거 획득의 표준 절차및 디지털 포렌식 시스템의 요구사항을 제시하고, 관련 연구에 대한 국내외 동향을 살펴본다.

현행 디지털 증거 수집 관련 법률의 한계

이원상 한국디지털포렌식학회 2017 디지털 포렌식 연구 Vol.11 No.3

Our society has transformed from an information society to an ubiquitous society. The commercialization of the autonomous cars is on the horizon, and new technologies such as IoT, big data and cloud computing are constantly evolving. However, the law is not catching up with the changes in the world. So our criminal procedure law, which relates to digital evidence, still regulates the industrial era. Although the amount of digital evidence already outstrips the amount of analogue evidence, our criminal procedure still targets analog evidence. In comparison with major countries in the world, regulations established in the Criminal Procedure Act that governs the collection of digital evidence leave much to be desired. Furthermore, it can be more difficult to use digital evidence in court because of the exclusionary rule of the illegally collected evidence in criminal cases. Therefore, the information collected from the computer and other places connected to the network should also be seized. Also, it is needed to establish a new provision that requires those who have their digital evidence seized to cooperate with investigation. The court's submission order should be utilized by the investigative agency. And the preservation order for those who hold digital evidence is also necessary. Nevertheless, if the seized information is encrypted, the contents of the information will not be known. Moreover, it is very difficult to collect evidence from new types of digital information such as virtual currency. Therefore, we will need to introduce similar level of legislation used in advanced countries and will need to form a pool of experts who can respond to new types of digital information. 우리 사회는 이미 정보화 사회를 넘어서 유비쿼터스 사회로 발돋움 하였다. 자율주행자동차의 상용화가 눈앞에 있고, IoT, 빅데이터, 클라우드 컴퓨팅 등 새로운 기술들은 끊임없이 발전해 가고 있다. 하지만 법률은 세상의 변화에 아직 적응하지 못하고 있는 모습니다. 그런 가운데 디지털 증거와 관련된 우리 형사절차법은 아직도 산업시대를 규율하고 있다. 이미 디지털 증거의 양이 아날로그 증거의 양을 압도하고 있지만, 우리 형사절차법은 여전히 아날로그 증거를 대상으로 체계를 유지하고 있다. 물론 그와 같은 문제가 비단 우리나라만의 문제라고는 할 수 없다. 하지만 해외 주요 나라들의 규정과 비교해 보아도 우리 형사절차법상 디지털 증거 수집과 관련된 규정이 매우 미흡하다는 것을 알 수 있다. 더욱이 우리 형사소송법상의 위법수집배제법칙을 엄격이 적용하게 되면 디지털 증거를 통해 사건의 실체를 밝히기는 보다 어려워지게 된다. 적어도 현행과 같은 법규정과 법적용으로는 디지털 증거 수집이 쉽지 않으며, 그로 인해 실체적 진실발견에 어려움이 있고, 그 피해는 오히려 시민에게 가게 될 것이다. 그러므로 적어도 해외 주요 국가들이 규정하고 있는 것과 같이 압수·수색 장소의 정보통신기기와 정보통신망으로 연결된 다른 곳에 있는 저장매체의 정보도 압수·수색이 가능하도록 해야 할 것이며, 그와 함께 피압수자가 협력하도록 하는 규정이 필요할 것이다. 이를 위해 피압수자가 계정의 암호나 암호화된 정보의 암호를 알려주도록 해야 할 필요성이 있다. 그와 함께 현재 법원에게만 허용되고 있는 제출명령도 수사기관이 활용할 수 있도록 재설계될 필요가 있으며, 디지털 증거를 보관하고 있는 자에 대한 보존명령도 요구된다고 할 것이다. 그럼에도 불구하고 여전히 해외에 위치한 ISP가 제공하고 있는 서버에 저장된 디지털 증거를 강제로 압수·수색 한다든지 피압수자가 거부하는 경우 암호화된 정보를 복호화하여 디지털 증거를 수집하는 것은 여전히 쉽지 않은 상황이다. 그런 가운데 가상화폐와 같이 새로운 유형의 정보에서 디지털 증거를 수집하는 것은 더욱 요원하다고 할 것이다. 따라서 1차로 적어도 해외 주요국 정도의 규정들을 도입하고, 2차로 디지털 증거 수집과 관련해서 새롭게 등장하고 있는 문제점들을 법규화 하기 위한 전문가풀(pool)을 구성하여 적절한 규정이 만들어 질 수 있도록 노력하여야 할 것이다.

디지털포렌식 이미지 제작 모델에 관한 연구

오소정(Sojung Oh),이태기(Taegi Lee),김기범(Gibum Kim) 한국디지털포렌식학회 2021 디지털 포렌식 연구 Vol.15 No.2

Interest in digital forensics is growing as it plays a role as a smoking gun in solving significant cases. National institutions, along with companies, associations, societies, and universities, have activated education and training, tool development, and competitions on digital forensics for national security, criminal investigation, and industrial development, and digital forensic images are being used here. However, since there is no procedure for image production, time and budget are wasted due to trial and error, and it is difficult to objectively evaluate the quality. In addition, legal issues such as the Personal Information Protection Act and the Copyright Act are emerged. Therefore, in this study, a written survey was conducted twice (1st 3 experts, 2nd 9 experts) targeting digital forensic experts to derive inspection factors, and finally, a 10-step image production model was presented. The model consists of ① needs analysis, ② scenario design, ③ criminal behavior identification, ④ analysis technique selection, ⑤ legal review, ⑥ system environment establishment, ⑦ crime tool production, ⑧ criminal behavior execution, ⑨ imaging and ⑩ verification. Based on this, we developed guidelines for creating digital forensic images that can be used in the field. This model can ultimately achieve the purpose of production through securing efficiency and effectiveness for image production, and technical and legal verification of images. In addition, it will be used for qualifying verification of experts and performance comparison of tools, contributing to the development of the digital forensics industry. In the future, based on the results of this study, it is expected that empirical research for each device such as disk, mobile, drone, and IoT will be activated, and discussion of procedures for image production will begin in the international community.

Memcached 데이터베이스 디지털 포렌식 조사 기법 연구: 안티-포렌식 대응방안을 중점으로

윤호,김준호,김성배,양양한,이상진 한국디지털포렌식학회 2022 디지털 포렌식 연구 Vol.16 No.2

Non-relational databases(NoSQL) are widely used by companies providing big data-oriented services. Nevertheless, only a few studies have been placed on non-relational databases from the digital forensics perspective. This paper proposes a digital forensics investigation technique of Memcached, the key-value model of NoSQL in-memory solution for a database. Techniques for data collection, anti-forensic detection using logs, and discovering original data through memory analysis are covered. 비관계형 데이터베이스는 빅데이터 기반 서비스를 제공하는 기업들에 의해 많이 도입되어 사용되고 있다. 하지만, 사용량이 상대적으로 미비한 일부 비관계형 데이터베이스에 대한 디지털 포렌식 조사 기법이 부족한 상황이다. 이에, 본 논문에서는 데이터베이스를 위한 인메모리 솔루션이자 비관계형 Key-Value 모델인 Memcached의 디지털 포렌식 조사 기법을 제안한다. Memcached의 운영 환경 정보 수집 방법, 데이터 수집 및 분석 방법을 살펴보고, Memcached에 대한 안티-포렌식 대응 방안으로 로그 분석을 통해 안티-포렌식 행위를 탐지하고 메모리로부터 삭제 및 변경된 원본데이터를 확인하는 기법을 제안한다.