클라우드 컴퓨팅 환경에서의 전자적 증거압수·수색에 대한 고찰
Searching and Seizing Electronic Evidence from Cloud Computing Environments
양종모(영남대학교)
15권 3호, 1~25쪽
초록
클라우드 컴퓨팅 환경이 본격화되면서 그것이 초래하는 엄청난 변화는 각종 법적 환경에도 지대한 영향을 가져다주었다. 이러한 클라우드 컴퓨팅 환경이 가져다주는 편익도 크지만 그로 인한 개인정보 유출 등 보안상의 위협도 상존한다. 본고에서는 클라우드 컴퓨팅서비스의 개요를 설명하거나 클라우드 컴퓨팅 환경이 초래하는 압수·수색 관련 각종 쟁점을 개괄적으로 다루지는 않았다. 압수·수색과 관련하여서는 클라우드 컴퓨팅 서비스에서제공하는 저장공간 개념이 중심이므로 IaaS 유형의 서비스가 기본이 된다는 점에서 클라우드 컴퓨팅 서비스의 유형적 구별은 압수·수색과 관련하여서는 큰 의미가 없다. 오히려 이러한 클라우드 환경은 외적 변화가 아닌 프레임과 패러다임의 전환이라는 점에서 피상적인해결책 보다는 이러한 변화를 근본적으로 수용하고 그에 맞는 해법을 찾을 필요가 있다는점에 주목하였다. 클라우드 환경에서 보안상의 위협에 대처하는 방안이 암호화인데, 클라우드 컴퓨팅 서비스 제공자의 이러한 암호화 기법이라는 해결책은 클라우드 스토리지에보관된 전자 정보에 대한 수사기관의 압수·수색 시 상당한 지장을 초래한다. 뿐만 아니라우리 형사소송법의 해석에서 압수·수색의 대상 특정이라는 것은 중요한 문제인데, 클라우드 스토리지에 보관된 정보의 압수·수색 절차에서 영장에 기재될 압수·수색의 대상을 어떻게 특정할 것인가 하는 것은 클라우드 환경의 특성상 여러 가지 문제를 야기한다. 전자적증거의 특성도 무시하지 못한다. 예를 들어 본고에서는 전자적 증거에 대한 수색의 경우그 수색 장소를 수색을 행하는 수사기관이나 분석기관으로 할 것인지 아니면 클라우드 컴퓨팅 서비스 회사로 할 것인지 하는 보다 실제적 문제들을 다루어 보았다. 해결책의 제시라기보다는 문제점을 발굴하고 그런 문제점을 인식하는데 초점을 두면서 실제 전자적 증거에 대한 압수·수색이 어떤 절차에 따라 이루어지는가 하는 구체적 과정을 살펴보았다. 또한물리적 압수·수색에 대한 기존의 해석 논리나 규정으로는 전자적 증거의 압수·수색을 통제하는데도 적지 않은 문제가 발생한다. 이러한 난점에 대한 해결책으로 흔히 제시되는 물리적 수색과 전자 정보의 압수·수색이라는 이단계적 접근법만으로는 클라우드 컴퓨팅 환경에서의 전자적 정보의 압수·수색을 통제하기 어렵다. 또한 클라우드 컴퓨팅 서비스에서의 압수·수색은 대상의 ‘특정’에서 많은 문제를 야기한다. 압수·수색영장이 법문에서 규정하고 있는 특정 요구를 제대로 충족하지 못하는 경우설사 영장이 발부되었다고 하더라도 이는 영장 없는 압수·수색이며, 이러한 경우 영장 없는예외적인 압수·수색의 요건을 충족하거나 그 흠결의 중대성 보다 증거로 사용하여야 할 이익이 중대하지 않는 한 증거능력이 부여된다고 보기 어렵다. 또 강력한 암호화가 구현된 경우 클라우드 스토리지에 보관된 정보의 압수·수색은 불가능에 가깝다. 그러한 경우 범죄 혐의자에게 그 암호화된 정보에 접근할 수 있는 비밀번호등을 제출토록 하는 것이 하나의 해결책인데, 그와 같은 경우 피의자에게 비밀번호 등을요구하는 것이 진술거부권을 침해하는 것이 아니냐는 문제도 생긴다. 클라우드 컴퓨팅 서비스 환경과 암호화의 특성, 비밀번호나 암호화 키의 제출이 가지는 의미를 감안하면 결론적으로 그러한 제출 요구는 피의자의 진술거부권을 침해한다고 보아야 한다.
Abstract
With a growing adoption of cloud computing service, law enforcement may encountervarious problem to access and obtain digital data held on computer systems.This article introduces how to obtain digital evidence from cloud computing using thelegal process in the existing statues applicable to cloud forensics. This article alsoconsiders various legal challenges for law enforcement in a cloud computingenvironment and discusses questions raised by the exercise of law enforcement. It arguesthe need for a new solution, a new set of procedural rules to regulate the acquisitionof digital evidence in cloud computing service. First this article suggests the existing single-step searches common to the collection oftraditional physical evidence to be replaced by two-step search process with digital datasearches. The two-step search process is divided into physical search and electronicsearch. An attempt to fit the single-step framework of existing law into this two-stepframework of the new era of computer searches will trigger various questions. Obtaining a search warrant authorizing the search and seizure of digital data fromcloud computing environments raises many critical issues. A search warrant should notbe a “general” warrant authorizing “fishing expeditions” into anything. A generalwarrant lacks a sufficiently particularized description of the person or thing to be seizedor the place to be searched. General warrants are unlawful because they do not meetthe specificity of the particularity. In instances where the search warrant is general,Searches and Seizures should be regarded as warrantless. But Complying withParticularity requirement in the cloud-based search and seizure is very strict. ThisParticularity requirement presents various issues for cloud-based search and seizure. The location independent nature of cloud computing clearly counters this requirement. In addition to physical location, pinpointing the data to be searched is also problematic. If a digital data is obtained in breach of legal rules, that evidence is not to be admittedunless the desirability of admitting the evidence outweighs the undesirability ofadmitting the manner in which it was obtained. Lastly this article addresses the question of whether the Right to remain silentprevents the law enforcement from forcing the suspect to provide a password or anencryption key to permit access to digital files on cloud computing services.
- 발행기관:
- 법학연구소
- 분류:
- 법학