Basic Principles of Forensics

Basic Principles of Forensics

By Dr. Zakaria Erzinclioglu, from An Illustrated Guide to Forensics

More than 80 years ago, Dr.Edmond Locard of Paris expressed the basic principle of forensic science: "Every contact leaves behind a trace." The burglar who touches a window with his bare hands leaves fingerprints behind; the criminal who steps on the flower-bed leaves his tracks and carries away some soil on his boot. The robber who smashes a window carries tiny fragments of glass on his clothes. The murderer may be contaminated with his victim's blood; the victim may retain some fibers from the murderer's clothes. "Leaving a trace" is the idea that all forensic science is based on.

80년전. 파리의 에드몬드 로카르드 박사는 포렌식 과학의 기본적 원리를 다음과 같이 표현했다 : "모든 접촉은 흔적을 남긴다." 강도가 맨손으로 만진 창문에는 그의 지문이 남는다, 화단 위를 걸은 범죄자의 경우, 그의 경로가 남고 그의 신발에는 약간의 흙이 남아있게 된다. 창문을 부순 강도의 경우 유리의 작은 조각들이 그의 옷에 남아있게 된다. 살인자의 경우 아마 피해자의 피로 옷이 오염되어 있을 것이며, 피해자의 섬유 조직이 피해자의 옷에 남아 있을 수도 있다. "흔적을 남긴다"라는 생각은 모두 포렌식 과학에 기반한 생각들이다.

Locard's Principle may be clear - the trace will be there - but our ability to find the trace will be limited by our talents, our knowledge, and the techniques and machines at our disposal. Chemical analysis of the soil may reveal decomposition products from a body. The change in the microscopic plant and animal life in the soil may provide a clue to the person who committed the crime. So may today's DNA evidence. The trick lies in finding and analyzing the trace.

로카르드의 법칙은 매우 명백하다 - 흔적은 존재할 것이나 흔적을 찾을 수 있는 우리의 능력은 재능, 지식, 기계와 기술에 의해 한정되어 있다. 토양의 화학적 분석은 신체의 분해 생성물을 드러낼 수 있게 해준다. 토양에서의 미세한 식물과 동물의 변화는 범죄를 저지른 사람에 대한 단서를 제공하기도 한다. 오늘 날의 DNA 증거처럼 이 신묘한 능력은 흔적을 찾고 분석하는데에 있다.

Forensic science is concerned with finding out what happened in the past - specifically discovering the truth about past events that are of interest to the law. But the practice of forensic science is not simply a set of laboratory techniques. It is the habit of starting with a doubt, of being eager and willing to question the evidence. The practice of forensic science needs people who can develop a "suspicious mind."

포렌식 과학은 과거에 어떤 일이 있었는지 알아내는 것과 관련이 있다. 구체적으로 과거의 사건에 대해 법과 관련하여 진실을 찾아내는 것이다. 그러나 포렌식 과학의 행위 자체는 단순한 실험 기술이 아니다. 의심으로 시작하는 습관을 가지고, 증거에 열망하고 질문을 던져야 한다. 포렌식 과학의 관행은 "의심하는 마음"을 발전 시킬 수 있는 사람을 필요로 한다.

Suspicion, of course, is of little use by itself; suspicion not supported by facts is useless. Suspicion based only on emotional reactions is worse than useless can cause great harm. For suspicion to be productive, it must be based on, and followed up by, sound reasoning, This mixture of suspicion and reason is essential for the forensic scientist.

물론 의심은 매우 약간 사용된다. 사실에 기반하지 않은 의심은 쓸모가 없다. 오직 감정적 반응에 기반한 의심은 있느니 못하며, 큰 피해를 야기 할 수 있다. 의심이 생산적이기 위해서는 건전한 추론에 기초를 두고 따라야 한다. 이성과 의심의 조화는 포렌식 과학자들에게 필수적인 요소이다.

<Organization>

대학 교양 시간에 Forensic을 다루는 수업을 진행하면서 해당 본문을 보게 되었다. 본문에서 다루는 Forensic은 말 그대로 법의학이다. (과학 수사) 물론 Digital Forensic도 Forensic의 범주이긴하다. 사실 대학 수업에서만 다루고 따로 깊게 생각해보려 하지는 않았으나 공부를 하다보니 어느 정도 공감 되는 내용이 있어 포스팅을 해본다. (위 서적의 일부 내용이며, 영어 실력이 좋지 않은 관계로 발 번역은 양해를 부탁한다.)

[Dr. Edmond Locard's Picture]

Locard's Principle

먼저 유명한 로카르드의 법칙으로부터 글을 시작한다. "모든 접촉은 흔적을 남긴다", 요즘 Fileless Malware. Anti-Forensic 기법 같이 Forensic이 힘들도록 다양한 기술이 사용되고 있다. 그러나 Artifact, Trace를 찾기가 힘들뿐이지, 특정 환경과 Technique만 충분하다면 침입이나 악성 행위가 발생했다는 여부 자체는 Forensic에 의해 증명이 가능하다. (Memory Forensic과 같이) 그러한 점에서 로카르드의 법칙은 정말 명확하고, Anti-Forensic 기법의 발전에도 불구하고 계속 Artifact를 찾아 갈 수 있을 것이라 본다.

Forensic Definition

중반에는 Forensic의 정의와, Forensic Science에 필요한 덕목에 대해 논한다. Forensic의 정의는 막상 쉽게 정의를 내리기는 어렵다. Forensic은 다양한 곳에 사용되고 있고 업무에서 Forensic을 어떻게 사용하는 지에 따라 관점이 다르기 때문이다. Digital Forensic의 경우 Investigate, Incident Response, Forensic Accounting, Company Audit 등 다양하게 사용되고 있으며, 동일한 목적을 지니고 있어도 각 기관과 조직의 규정에 따라 Evidence의 수집 절차와 보고서 작성이 달라지게 된다. 이러한 점에서 무작정 Forensic의 정의를 내리기는 쉽지는 않다고 본다.

Suspicion Habit

해당 글에서는 Forensic Science에 있어 Suspicious 하는 습관을 가지고 Evidence에 대한 열망과 질문을 던져야 한다고 한다. 사실 Digital Forensic을 공부하고 Artifact에 대해서 Suspicion 할 수 있었던 기회나 시간은 많지 않았던 것 같다. 교육이나 CTF (Capture The Flag)에서도 항상 정형화 된 이미지나 파일을 분석해야 했었고, 그 의도가 명확하여 특정 Artifact만을 살펴보는 편협된 시각을 가지게 되었다. 하지만 현장 케이스는 그렇지 않을 것이다. 그러한 점에서 항상 모든 사건과 결과에 대해 의심을 가지고, 명확한 인과 관계를 유추해봐야 할 것이다.

Innocent until proven guilty

해당 글의 마지막에서는 Suspicion에 대해 논하고 있다. 위의 방법대로 Suspicion을 하는 것은 좋으나 주의 할 것이 있다. 사건과 결과에 대한 Suspicion은 적절하나 앞에 언급한 것과 같이 사건과 관련한 "사람"에 대해, Emotional이 포함된 Suspicion은 부적절하다. 대한민국 헌법 27조 4항에서도 무죄추정의 원칙을 내세우고 있으며, In dubio pro reo (의심스러우면 피고인의 이익으로)라는 말도 존재한다. Forensic 전문가는 Evidence를 수집하고 분석함으로써 명확한 진실을 밝혀주는 것이 목적이므로 개인의 감정에 기반하여 의심하고, 수집 분석을 진행하는 것은 절대 옳지 않다고 본다.

약간 횡설수설을 한 것도 같지만, 영어를 공부하기 위한 Forensic과 관련한 짧은 글에서도 기존의 지식에 대해 다시 생각을 해 볼 수 있는 좋은 기회였다.