현장 경찰관 디지털포렌식 역량 강화를 위한 교육과정 개발

Abstract

디지털기기 사용이 보편화된 오늘날 디지털포렌식을 통한 경찰의 범죄 수사가 크게 늘고 있다. 디지털포렌식은 법원에서 발부받은 압수수색영장이나 디지털기기 제출자의 동의를 얻어 디지털기기에 저장된 정보를 추출하여 분석하는 작업으로 디지털기기에 저장된 방대한 정보에 범행을 입증할 수 있는 결정적인 범죄 단서가 남아 있는 경우가 많아 최근 수사에 있어서 필수 불가결한 요소로 자리 잡게 되었다. 그런데 컴퓨터나 스마트폰 같은 디지털기기에 대한 지식이 많지 않은 대부분의 현장경찰관이 디지털증거 압수수색현장을 직접 담당하고 있기 때문에 현장경찰관이라면 디지털포렌식에 대한 기본적인 이해와 디지털증거 압수수색 절차에 대한 지식이 반드시 필요하다. 본 연구는 디지털포렌식 관련 전문지식이 없는 현장경찰관의 디지털포렌식 역량 강화를 위한 교육과정을 구성하는 방법을 알아보고자 하였다. 2019년부터 2021년까지 제주경찰청 소속 현장경찰관 대상 디지털포렌식 교육을 실시하면서 교육효과를 극대화하기 위해 교육 전 교육 신청자 상대로 희망교육 분야를 파악하여 가장 많이 희망하는 분야 위주로 교육 과목을 편성하고 교육시간을 배정하였으며 교육 과정에 대한 실증 분석을 위해 교육 수료자 상대로는 교육 관련 현장의견 조사와 만족도 조사를 실시하였다. 또한 교육의 효과를 알기 위해 교육 수료 후 교육 내용을 바탕으로 문제를 구성하여 디지털포렌식 퀴즈대회를 실시하는 등 다양한 방법으로 교육과정을 구성하여 진행하였다. 제주경찰청에서 실시한 교육과정과 교육을 수료한 현장경찰관의 의견(열린 문항)을 질적분석한 결과 현장경찰관의 디지털포렌식 역량강화를 위한 교육과정을 설계한다면 다음과 같은 사항을 고려할 필요가 있다. 첫째 디지털증거 압수수색절차 교육은 필수적으로 모든 수사관에게 기본 교육으로 실시해야 한다. 디지털증거 압수수색 절차와 관련 서류 작성법은 반드시 필요한 교육으로 경찰청에서 제작한 표준강의안에 각 시도경찰청의 실정에 맞는 부분과 실제 사례를 반영하여 교육을 하는 것이 더욱 효과적이라고 생각된다. 더불어 교육대상자별 맞춤형 강의안을 마련할 필요가 있다. 수사부서별로 처리하는 사건의 종류가 다르기 때문에 같은 디지털기기라도 처리하는 사건에 따라 주의 깊게 봐야 하는 자료가 다를 수 있으므로 각 수사부서별 처리 사건에 맞는 맞춤형 강의안이 필요하다. 둘째, 디지털증거분석 건수의 80% 이상을 차지하고 있는 모바일기기(스마트폰)에 대해 모바일기기 압수시 유의 사항, 모바일기기에 저장되는 기본적인 정보의 종류, 디지털증거분석 결과물에서 사건과 관련한 자료를 탐색·추출하는 방법 등 모바일기기에 대한 심화 교육이 필요하다. 모바일기기의 경우 종류가 너무 많아 기종 및 버전에 따라 사용법이 다르고 새로운 어플리케이션이 꾸준히 생겨나고 있으며 모바일기기 운영체제인 안드로이드 버전이나 IOS 버전이 계속 업데이트 되고 있어 이에 대한 지속적인 교육이 필요하다. 셋째, 실제 현장에서 디지털증거와 관련하여 논의가 되었던 부분과 현장경찰관이 디지털증거 수집과정에서 디지털증거와 관련하여 궁금했던 사항, 실제 법원에서 증거능력을 인정받거나 부정 받은 사례를 대법원 판례 위주로 구성하고, 디지털증거와 관련한 새로운 판례가 나올 경우 최신 판례에 대한 내용도 교육에 반드시 반영해야 한다. 그리고 실습 위주의 교육을 희망하는 경우가 많으니 대면 교육을 진행하는 경우 실습 환경을 잘 구축하여 교육생의 흥미를 유발할 수 있도록 하고, 실습환경 구축이 쉽지 않은 상황이라면 실습 과정을 촬영한 동영상 형태의 교육자료를 만들어서 교육하는 것도 효과적일 것이다. 넷째, 디지털포렌식 교육의 효과를 높이기 위해서는 카드뉴스나 퀴즈와 같은 다양한 형태의 교육자료를 개발하면 좋을 것으로 판단된다. 제주경찰청에서 자체 제작한 카드뉴스나 퀴즈 외에도 퍼즐, 숨은그림찾기 등 흥미를 유발할 수 있는 교육자료를 다방면으로 개발하여 디지털포렌식 교육에 적극 활용해야 한다. 다섯째, 경찰 업무 특성상 교대부서에서 근무하는 경우가 많고, 당직근무, 피의자 체포 및 호송, 집회시위 같은 상황 발생으로 정해진 교육 일정에 참여하기가 쉽지 않으므로 언제 어디서나 접속이 가능한 인터넷을 통해 디지털포렌식 관련 강의를 들을 수 있는 사이트를 구축하여 운영하는 것도 좋은 방법이다. 컴퓨터나 스마트폰을 통해 쉽게 접속이 가능하며, 집중도가 떨어지지 않을 만큼의 적당한 분량의 동영상 강의를 분야별로 세분화해서 구성하여 듣고 싶은 강의를 선택해서 들을 수 있도록 한다. 업무상 보안이 요구되는 자료가 아닌 디지털포렌식 전반적인 내용 및 디지털증거 압수수색 현장에서 필요한 서류, 각종 법령과 규칙도 손쉽게 다운로드 받을 수 있다. 또한 실제 압수수색 현장에서 확인해야 하는 부분이 생겼을 때 실시간 채팅을 통해 질의를 할 수도 있고 교육자료 등 게시글에 대해서 댓글을 통해서도 질문을 할 수 있으며, 교육 관련 건의사항과 같은 현장경찰관의 의견 수렴도 쉽게 할 수 있어 추후 교육자료를 개발하거나 교육과정을 설계하는 데에도 도움이 될 거라고 생각한다. 디지털기기가 제대로 확보되어야 증거능력이 있는 디지털증거로 거듭날 수 있는 만큼 사건 해결에 있어서 현장경찰관의 디지털포렌식 역량은 점점 더 중요해질 것이다. 이 연구 결과를 토대로 현장경찰관의 디지털포렌식 역량을 강화시킬 수 있는 교육과정에 대한 연구가 계속되어 현장경찰관들이 쉽게 디지털포렌식을 접하고 실제 압수수색현장에서 바로 적용할 수 있는 다양하고 효과적인 교육방법이 개발되기를 희망한다.

Today, when the use of digital devices has become more common, the number of criminal investigations by the police through digital forensics is increasing significantly. Digital forensics is a process of extracting and analyzing information stored in digital devices with the consent of court-issued seizure warrants or digital device submitters, and has often become an indispensable factor in recent investigations. However, since most field police officers who do not have much knowledge of digital devices such as computers and smartphones are in charge of digital evidence seizure and search sites, field police must have a basic understanding of digital forensics and knowledge of digital evidence seizure. This study attempted to find out how to construct a curriculum to strengthen the digital forensics capabilities of field police officers without expertise related to digital forensics. From 2019 to 2021, digital forensics education for field police officers belonging to the Jeju National Police Agency was conducted to maximize the educational effect, and education subjects were organized and training hours were allocated. In addition, in order to know the effectiveness of education, the curriculum was organized and conducted in various ways, such as holding a digital forensics quiz contest by organizing questions based on the contents of education after completion of education. As a result of qualitative analysis of the opinions of field police officers who completed the curriculum and training conducted by the Jeju Police Agency, the following matters need to be considered when designing a curriculum to strengthen their digital forensics capabilities. First, education on digital evidence seizure and search procedures must be provided as basic education to all investigators. The digital evidence seizure and search procedures and related document preparation methods are essential training, and it will considered more effective to reflect the actual cases of each city and province's police agency in standard lectures produced by the National Police Agency. In addition, it is necessary to prepare a customized lecture plan for each subject of education. Since the types of cases handled by each investigation department are different, data that must be carefully viewed may vary depending on the case handled by the same digital device, so customized lectures are needed for each investigation department. Second, for mobile devices like smartphones, which account for more than 80% of digital evidence analysis, in-depth education on mobile devices is needed, such as precautions when confiscating mobile devices, types of basic information stored in mobile devices. In the case of mobile devices, there are so many types that there are different usage methods depending on the model and version, and new applications are steadily emerging, and Android and IOS versions, which are mobile device operating systems, continue to be updated, requiring continuous training. Third, what was discussed about digital evidence at the actual site, what the field police officer was curious about digital evidence in the process of collecting digital evidence, and cases of actual court recognition or denial of evidence ability must be reflected in the education. In addition, since there are many cases where practical education is desired, the training environment should be well established to induce the interest of trainees when conducting face-to-face education. If it is not easy to establish a practice environment, it would be effective to create and educate educational materials in the form of videos that filmed the practice process. Fourth, in order to increase the effectiveness of digital forensics education, it would be good to develop various types of educational materials such as card news and quizzes. In addition to card news and quizzes produced by the Jeju Police Agency, educational materials that can induce interest, such as puzzles and Finding hidden pictures, should be developed in various ways and actively used for digital forensics education. Fifth, due to the nature of police work, they often work in the shift department, and it is not easy to participate in the set training schedule due to situations such as on-call work, arrest and escort of suspects, and assembly demonstrations. Therefore, it is also a good idea to establish and operate a site where you can listen to lectures related to digital forensics through the Internet that can be accessed anytime, anywhere. It can be easily accessed through a computer or smartphone, and the appropriate amount of video lectures is subdivided into fields so that the concentration does not decrease, so that you can select and listen to the lectures you want to listen to. It is easy to download the overall contents of digital forensics, documents necessary at the site of seizure and search of digital evidence, various laws and regulations, not data that requires business security. In addition, inquiries can be made through real-time chat when there is a part that needs to be checked at the actual seizure and search site. In addition, you can ask questions about posts such as educational materials through comments, and it is easy to collect opinions from field police officers such as educational-related suggestions. Therefore, it will be helpful in developing educational materials or designing a curriculum in the future. Only digital evidence collected and analyzed through due process is recognized as evidence in court. Thus, the digital forensics ability of field police officers will become increasingly important in case resolution. Based on the results of this study, we hope that research on the curriculum that can strengthen the digital forensics capabilities of field police officers will continue, and various and effective educational methods will be developed that can be applied directly to actual seizure and search sites.