본문 바로가기

Digital Forensics/Forensics Generalization

포렌식 관점에서 바라본 Exif Format-4 [Exif Data의 무결성 검증은 어떻게 할것인가]

Ⅳ. 개선방안

4.1 Exif Data의 무결성의 입증

4.1.1 Modify-Time의 변화

Exif Data는 위에서 살펴본 것처럼 조작이 가능하며 이미지 바이너리 자체로는 그 조작여부를 가릴 수 없다. 하지만 Exif Data를 조작하게 되면 파일 내부의 정보를 조작하는 것이 되어 소위 MAC-time 중 Modify-Time이 변하는 결과를 낳게 된다.


하지만 앞서 언급했듯이 파일시스템 수준에서 M-time을 조작할 수 있다. 따라서 단순히 M-time의 변화가 없다고 해서 Exif Data가 변하지 않았음을 입증할 수는 없다.

4.1.2 해쉬(Hash)값의 변화

Exif Data의 조작은 바이너리를 조작하는 것이기 때문에 파일의 해쉬값은 변화하게 된다.


결국 Exif Data의 무결성 여부은 해쉬값을 통하여 증명해낼 수 있다.

4.2 음주 측정기의 예

경찰이 음주측정시에 사용하고 있는 음주측정기는 측정시마다 일련번호 및 시간 그리고 혈중알콜농도 수치를 기재한 출력물이 나오고 기계 자체에 로그를 남기도록 되어있어서 조작이 거의 불가능한 것으로 알려져 있으며, 법정에서도 위드마크 공식에 따른 오차의 범위를 초월하지 않는 한에서 음주측정기의 증거능력을 인정하고 있다.

음주측정기가 무결성을 인정받아 법정에서 증거로 사용될 수 있는 이유는 측정시에 출력되는 프린트물을 피의자인 운전자와 법원이 확인할 수 있고, 그와 비교해 볼 수 있는 로그가 측정기에 남기 때문에 수사기관의 자의 및 불법이 개입될 여지가 없기 때문이다.

4.3 형사상 실무적 적용

실무상 디지털 카메라로 채증하는 상황(불법시위 등)에서는 피의자로 하여금 채증한 디지털 이미지에 대한 확인, 이의 및 의견을 제시하도록 하기는 힘들다. 즉, 피의자는 불법행위 현장에서 촬영된 이미지의 해쉬값 또는 일련번호를 확인하는 것이 실질적으로 불가능하다. 또한 만약에 수사기관 등이 임의로 애초부터 Exif 데이터를 조작한 후 디지털이미지의 해쉬값을 추출하여 법정에 제출할 가능성도 있다. 따라서 디지털 이미지 촬영 시 해쉬값을 담보해 줄 보완장치가 필요하다.


위 그림은 디지털 이미지의 무결성을 담보해 줄 한 방안을 표현하고 있다. 불법행위 현장에서 촬영한 디지털이미지의 원본과 해쉬값을 중립적인 제3의 기관에 전송하고, 동일한 데이터를 수사기관에 전송하여 수사를 마친 후 법정에 제출 하여 두 해쉬값을 비교하여 동일한 경우에만 Exif Data의 증거능력을 인정하도록 하는 것이다. 이를 통하여 피의자의 인권보호와 실체적 진실의 발견 모두 달성할 수 있을 것이다.

Ⅵ. 결 론

위에서 살펴본 것처럼 Exif Data를 통해서 촬영환경에 대한 수많은 정보를 얻을 수 있다. 이를 이용하면 피사체의 위치를 특정할 수도 있고, 촬영 시각을 특정할 수도 있다. 그리하여 디지털 이미지의 Exif Data와 피사체가 피의자와 동일하다는 것만 증명해낸다면 사건현장을 거의 정확히 재현해 낼 수 있다. 다만, 무결성은 증거능력을 확보하기 위한 필수 조건이다. Exif Data는 조작이 쉽고 조작에 대한 검증절차가 없기 때문에 피의자의 인권보호를 위해 디지털이미지의 무결성에 대한 담보장치가 필요하다.

형사소송에는 "열명의 범인을 놓치더라도 한명의 무고한 사람을 벌해서는 안된다" 라는 대원칙이 있다. 조작된 Exif Data를 발견해내지 못하면 무고한 시민을 범죄자로 만들 수도 있다.