Korean Institute of Information Technology

Current Issue

The Journal of Korean Institute of Information Technology - Vol. 20 , No. 8

[ Article ]
The Journal of Korean Institute of Information Technology - Vol. 20, No. 8, pp. 141-150
Abbreviation: Journal of KIIT
ISSN: 1598-8619 (Print) 2093-7571 (Online)
Print publication date 31 Aug 2022
Received 12 Jun 2022 Revised 20 Jul 2022 Accepted 23 Jul 2022
DOI: https://doi.org/10.14801/jkiit.2022.20.8.141

블록체인 분산 시스템을 적용한 피의자 신문조서의 문서성 및 증거능력 확보방안의 연구
윤철희* ; 황재훈** ; 강선*** ; 강장묵****
*경찰대학 치안정책연구소 연구관
**경찰대학 정보통신 경찰관
***수원과학대학 경찰법무행정학과 교수
****극동대학교 해킹보안학과 교수(교신저자)

A Study on How to Secure the Documentary and Evidence Capacity of the Suspect's Interrogation Report Applying the Blockchain Distributed System
Cheol-Hee Yoon* ; Jae-Hun Hwang** ; Kang Sun*** ; Jang-Mook Kang****
Correspondence to : Jang-Mook Kang Dept. of Hacking Security, Far East University Tel.: +82-43-879-3500, Email: 2021035@kdu.ac.kr

Funding Information ▼

초록

본 논문은 전자문서로 만들어진 피의자 신문조서에 관련 규정, 법률, 규칙에서 발생하고 있는 문제점을 살펴보고, 법과 관련된 실무상에서 작성하는 피의자 신문조서의 문서성 및 증거능력 확보방안을 고찰하였다. 현재 피의자 신문조서는 경찰관이 전자문서로 작성 후 전자서명 절차를 공인인증서 방식으로 사용하고 있다. 기존 공인인증서의 전자서명 문제를 해결하면서도 신문조서의 문서성과 증거능력 확보하는 방안에 대한 연구가 필요하다. 그 해결 방법은 도용·양도가 불가능한 생체인증(예:지문, 얼굴) 방식과 블록체인 기반인 DID (Decentralized-Identity:탈중앙화 신원증명) 방식을 제안하였으며, 다중원장의 신뢰성을 보장하는 블록체인플랫폼을 통한 피의자 신문조서에 간인 절차를 설명하고 그 방안에 대해 제시하였다.

Abstract

This paper examined the problems arising from the relevant regulations, laws, and rules in the suspect's interrogation report made of electronic documents, and considered ways to secure the documentality and evidence capacity of the suspect's interrogation report prepared in practice related to the law. Currently, the suspect interrogation report is written as an electronic document by the police officer and then the electronic signature procedure is used as a public certificate method. Research is needed on ways to secure the documentability and evidence capability of suspect's interrogation while solving the problem of electronic signature of existing public certificates.The solution proposed a biometric authentication(e.g., fingerprint, face) method that cannot be stolen and transferred and a blockchain-based DID(Decentralized Identification) method, and explained the simplified procedure in the suspect's interrogation report through a blockchain platform that guarantees the reliability of a multiple ledger.


Keywords: block-chain, DID, electronic documents, FIDO, main–NET, hyperledger

Ⅰ. 서 론

형사사법 정보시스템(KICS, Korea Information System of Criminal justice)은 ‘형사사법절차 전자화 촉진법‘에 근거하여 수사·기소·재판·집행 기관 간에 다양한 형사사법절차 문서를 전자화하여 “종이 없는 수사“, “종이 없는 재판”을 목적으로 개발한 국가기간 전산망이다. 형사사법절차에서 작성하는 피의자 신문조서(이하 “피신조서”라 한다)는 형사사법정보시스템에서 유통되는 대표적인 전자문서이다. 현재 단순 교통사건 형사사법절차에서 피신조서를 전자문서로 활발하게 사용되고 있다. 단순 교통사건인 음주운전 및 무면허운전 사건 중 피의자가 동의한 피신조서는 전자문서로 작성을 하고, 전자서명은 피의자가 서명패드에 서명한 이미지와 조사관과 참여경찰관의 공인인증서로 전자서명 하면 모든 작성 절차는 마무리된다[1]. 그리고 대부분의 피신조서는 경찰관이 피의자의 진술을 그대로 작성을 하고 그 진술 내용을 피의자가 확인 후 종이 문서로 출력하여 지문으로 매장마다 간인 한다. 간인 목적은 종이 형태의 피신조서가 사법 절차를 진행하는 모든 과정에서 연속성 및 무결성을 확보가 목적이다.

형사사법정보시스템은 21세기 정보화 시대에 걸맞게 ‘종이 없는 e-형사절차’ 구현과 첨단 형사사법정보 서비스를 제공하기 위해 개발하였다[1]. 그러나 아직도 피신조서를 종이 문서로 출력을 하고 있으며, 피의자 도장, 지문 등으로 간인하고 있다. 이와 같이, 작성된 피신조서는 경찰서에서 검찰로 직접 송달 하는 절차적 부담감과 서류에 저장된 개인정보 유출, 유실, 훼손 등 다양한 문제점을 내포하고 있다.

특히, 2018년 과학기술정보통신부 국정감사에서 분실된 주민등록증에 지문을 스마트폰으로 찍고, 그 사진에 굴곡을 이용하여 제작한 실리콘 지문을 실제로 아이폰에 로그인하는 것을 국회에서 재현을 한 일이 있다. 만약, 간인 지문을 모조 지문으로 제작하여 사건 또는 수사와 관련된 스마트폰에 로그인 할 수 있다면 개인정보와 정보자기결정권의 심각한 침해가 우려된다. 그리고 피의자 신문조서 등에 날인된 지문이 공판 과정에서 열람, 복사 등을 통해 유출 제3자가 인증에 사용할 수 있는 우려가 있어 지문을 피신 조서에 날인 하는 것은 개인정보 침해가 발생할 수 있다. 이와 같이, 지문은 스마트폰 또는 인터넷에 인증 매체로, 피신 조서에 지문으로 간인 하는 절차는 반드시 개선해야 한다.

공인인증서는 공인인증기관(CA)이 발행하는 전자적 정보로서 신원확인, 무결성, 기밀성, 부인방지 등 많은 장점이 있어 국내 전자금융(인터넷 뱅킹, 스마트 뱅킹 등)거래에 오랫동안 사용하고 있다. 그러나 보안이 강력한 공인인증서도 피싱, 파밍 공격으로 일반 폴더에 저장된 인증서 파일이 유출되는 문제점이 있다. 국회 과학기술정보방송통신위원회 소속 국회 의원이 과학기술정보통신부로부터 제출받은 자료에 따르면 공인인증서 유출 건수는 2012년 8건, 2013년 8천710건과 2014년 4만1천733건으로 급증하였으며, 2015년에는 2만2천796건과 2016년 6천850건으로 다소 주춤하였으며, 2018년까지 총 유출 건수는 8만97건을 기록했다[2].

이와 같이, 공인인증서의 보안 문제점과 유출 사고 건수가 증가하고 있어, 이를 해결할 수 있는 새로운 인증방식 도입이 필요하다. 이러한 공인인증서의 유출 문제를 해결하기 위해 보안토큰을 활용하고 있으나, 이 보안토큰도 도용·양도가 가능한 문제점이 있다. 그러므로 공인인증서는 도용·양도가 가능하고 보안에도 취약하며 글로벌 인증방식에도 맞지 않아 다른 인증 방법으로 대체가 필요하다. 그래서 생체정보는 별도의 보관 및 암기가 불필요하며 분실 우려가 없고 도용·양도가 불가능하다는 점에서 비밀번호, 공인인증서 등 기존 인증 수단에 대한 추가 또는 대안 인증 수단으로 주목하고 있다. 최근 들어, 금융권과 공공기관이 전자문서 서명 방식을 공인인증서에서 생체인증방식으로 대체를 하고 있다.

생체인증 표준인 FIDO(Fast Identity Online)는 스마트폰뿐만 아니라 IoT 기기, 웹 브라우저 등에서도 사용할 수 있게 확장되면서, 생체인증은 점점 더 대중화되는 상황이다. FIDO의 대중화는 다수의 글로벌 IT(예: 마이크로소프트, 애플, 페이팔) 업체들이 회원사이기도 하지만, 사용자의 생체정보가 기업의 중앙 서버에 저장하는 방식이 아닌 개인 소유의 기기 보안영역에 저장되어 인증방식에 대한 보안 문제점과 사용자의 거부감이 없다는 것이다[3].

기존 인증방식 지식기반, 소유기반 인증방식은 계정을 도용·양도 할 수 있어, 제3자가 인증이 가능한 문제점이 있다. 또한, 블록체인 기반의 플랫폼과 DID(Decentralized Identifier)를 사용하여 블록체인과 생체인증 결합이 가능할 수 있다. 즉, 생체인증 방식은 도용·양도가 불가능하고 자신만이 소유할 수 있어 공인인증서의 다양한 문제점 해결이 가능하고, 블록체인 메인넷을 이용하면 각종 종이증명서를 제출하는 프로세스를 자격 증명으로 유통체계를 개선할 수 있다[4].


Ⅱ. 공인인증서와 형사사법상의 전자문서
2.1 공인인증서의 개념

공인인증서는 전자서명 검증에 필요한 공개 키에 소유자 정보를 추가하여 만든 일종의 전자 증명서 및 전자 인감증명이라고 할 수 있다. 공인인증서는 공개 키(전자서명법에는 전자서명검증정보로 표기)와 개인 키(전자서명법에는 전자서명생성정보로 표기)와 한 쌍으로 존재한다. 우리나라 공인인증서는 국제표준을 따르고 있지만, 그 파일을 보관 또는 저장하는 위치와 방법이 특이하여 일반적인 웹 브라우저에서는 사용이 불가능 했다. 그러나 2015년 이후에는 HTML5 기반의 비설치형 인증프로그램을 국민은행, 신한은행, 농협 등 많은 은행권에서 지원하고 있으며, 공인인증서의 보안 강화하기 위해 OTP나 가상키보드를 사용하고 있다[5].

일반적으로 공인인증서는 ‘인감증명서’와 많이 비교된다. 인감증명서는 실생활에서 법률적으로 신원 증명이 필요한 다양한 거래에 많이 사용하고 있다. 이때, 신원 증명을 공인된 기관에서 증명하여 안심하고 거래를 할 수 있도록 도와주는 증명서이다. 공인인증서는 1999년 7월에 제정된 전자서명법이 시행됨에 따라 집에서 컴퓨터 또는 스마트폰으로 금전을 송금, 증권거래, 물건 구매를 할 수 있도록 신원을 증명해 주는 증명서로 사용하고 있다.

특히, 공인인증서는 신원확인, 무결성, 기밀성, 부인방지 기능이 있어, 인터넷이라는 가상의 공간에서 사용자를 증명할 수 있고, 거래와 관련된 정보를 숨길 수 있으며, 위·변조가 불가능하여 최종 결과를 부인 못 하도록 지원하는 기술이다. 이런 완벽한 기술에 힘을 얻어 현재까지도 인터넷 거래 또는 금융거래에 사용하고 있다.

2.2 공인인증서의 문제점

공인인증서는 인증서 파일을 보관하는 운영체제의 취약점과, 이를 해결하기 위한 보안 3종 세트인 키보드해킹방지, 개인 방화벽, 바이러스 스캔 등의 소프트웨어 취약점, 보안 3종 세트 설치를 위한 ActiveX의 취약점이 문제점이다. 이와 같이, 공인인증서의 문제점은 보안을 위해 구성하고 운영하는 소프트웨어, 운영체제 환경, ActiveX 소프웨어 등 다양하게 나타났다 공인인증서의 가장 큰 문제는 공인인증서의 비밀키를 안전하게 보관을 해야 하는데, 현재 비밀키는 보안 폴더가 아닌 일반 폴더(NPKI)에 저장 또는 보관하고 있다. 이런 문제점을 해결하는 방법으로 비밀번호 설정하여 안전성을 확보하고 있다. 그러나 비밀번호가 도용·양도 되면 공개키 자체의 안정성 확보는 장담할 수 없다[6].

공인인증서의 안전한 환경 구성을 위해 ActiveX의 기술을 이용하여 반 강제적으로 보안 3종 소프트웨어를 설치하고 있다. 그러나 ActiveX의 보안 취약점도 문제지만, 더 큰 문제는 보안 3종 소프트웨어 자체 보안 취약점이 더 큰 문제이다. 예를 들면, 바이러스 스캔 프로그램은 미리 공개된 취약점 또는 시그니처 차단만 가능하다. 그러나 미리 공개되지 않은 제로데이 공격은 방어가 불가능하다. 그리고 보안 3종 세트는 운영체제의 성능 저하와 사용자가 불편하게 느끼는 문제점도 있다.

가장 큰 문제는 공인인증서가 설치되는 운영체제의 보안 취약점이다. 최근 윈도우즈는 보안 취약점을 개선하고 있어 이전보다는 많이 강화가 됐지만, 스마트폰 운영체제인 안드로이드는 보안 취약점이 계속적으로 발견되고 있다. 특히 2013년 6,933건에서 90%에 해당하는 6,156건이 스마트폰에서 유출된 것이 가장 큰 문제점이다. 이는 공인인증서가 운영되는 공간이 안전해야 하는 원칙적인 문제를 해결하지 못하고 있다는 것이다.

위와 같이, 다양한 문제점이 노출된 공인인증서가 공개키 인증방식의 장점인 부인방지 기능을 위해 아직도 사용하고 있다.

그러나 최근, 생체인증 표준인 FIDO가 공개키 인증방식을 사용하고 있어 공인인증서 방식을 대체 인증방식으로 주목받고 있다.

FIDO의 인증방식은 그림 1과 같이 PKI 방식을 이용한다. 인증 절차 및 순서는 아래와 같다.


Fig. 1. 
FIDO certification process

  • 1) 사용자의 스마트폰 센서에서 생체정보(지문, 홍채, 음성 등) 취득하여 스마트폰 하드웨어 보안영역에 공인인증서과 같이 PKI 키쌍(개인키, 공개키)을 생성한다. 이후, 공개키는 FIDO 인증 서버에 전송하고 개인키는 스마트폰 하드웨어 보안영역에 저장한다.
  • 2) 사용자의 스마트폰 디바이스에서 생체정보를 인식한 후, 개인키를 이용한 연산 결과를 FIDO 서버에 전송하여 사용자의 공개키로 사용자를 인증한다.
  • 3) 인증한 사용자는 단말기에 개인키로 내역에 대한 전자서명을 하고, 그 결과를 FIDO 서버에 전송하여 서버가 공개키로 전송 된 정보를 전자서명 검증을 수행한다.

FIDO의 생체인증 기술을 공인인증서와 동일한 공개키 알고리즘을 통한 암호화 및 전자서명을 제공하기 위한 PKI 기술을 사용한다. FIDO는 공인인증서와 동등한 보안 수준을 제공한다. 기존 공인인증서 유출 문제와, 공인인증서 오남용 문제, 재발급 및 키 갱신으로 인한 PC, 스마트폰 간 인증서 이동 등의 불편함과 복잡한 패스워드를 기억하고 입력할 필요 없이 생체정보(지문, 음성, 홍채 등) 스캔만으로 편리하게 이용할 수 있는 등 다양한 장점이 있다[7].

2.3 형법상 문서의 개념

국어사전에 문서는 글이나 기호 따위로 일정한 의사나 관념 또는 사상을 나타낸 것이라고 정의하고 있다. 그리고 IT 용어 사전은 어떤 응용 프로그램에 의해 작성된 체계적인 정보로서, 저장 공간에 고유의 파일명으로 저장되고, 그 파일명으로 검색할 수 있는 것이라고 정의하고 있다. 그러나 법의 테두리에서 문서는 문자 또는 이에 대신할 부호에 의하여 화체된 사상이나 관념을 표시한 것으로써, 법적으로 중요한 사실을 증명하기 위한 것이거나 증명할 수 있어야 할 뿐만 아니라, 그것을 통하여 명의인이 확인될 수 있어야 한다[8]. 즉 문서는 사실을 증명해야 하는 증명적 기능, 명의인을 증명해야 하는 보장적 기능, 이런 내용이 계속 유지되어야 하는 계속적 기능 등 3가지가 필요하다[9].

형법상에서 문서가 언급된 곳은 형법 제225조 「공문서등의 위조·변조」 “행사할 목적으로 공무원 또는 공무소의 문서 또는 도화를 위조 또는 변조한 자는 10년 이하의 징역에 처한다“ 라고 규정하고 있다. 그리고 대법원 판례를 보면 형법상 문서에 관한 죄에 있어서 문서는, 문자 또는 이를 대신할 수 있는 가독적 부호로 계속적으로 물체상에 기재된 의사 또는 관념이 표시인 원본 또는 이와 사회적 기능, 신용성 등을 동시할 수 있는 기계적 방법으로 복사본을 생성 그 내용이 법률상, 사회생활상 주요 사항에 관한 증거로 될 수 있는 것을 말한다[10]. 우리나라 판례 입장도 문서는 계속적인 기능, 증명적 기능, 보장적 기능 3가지는 형법상에서 필요한 요구 조건으로 제시하고 있다. 그리고 종이만 특정하는 것이 아닌 돌, 목판, 금속 등 그 내용이 계속적으로 유지하고 있으면 문서로서 인정할 수 있다.

2.4 형법상 전자문서의 사용

전자문서법에 ‘전자문서’란 정보처리시스템에 의하여 전자적 형태로 작성, 송신ㆍ수신 또는 저장된 정보로 규정하고 있으며, 그리고 동법 제4조 제1항에서 “전자문서는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 전자적 형태로 되어 있다는 이유로 문서로서의 효력이 부인되지 아니한다.”라고 명확히 밝히고 있다. 그리고 전자문서법의 입법 취지로 볼 때 전자문서법의 전자문서는 공문서와 사문서를 모두 포함하고 있는 것으로 해석이 가능하다[11]. 이는 형사사법시스템에서 경찰관들이 형사적 절차를 위해 작성한 모든 문서는 전자문서로 볼 수 있다.

피신조서 등에 날인된 지문을 공판과정에서 열람 복사 등을 통해 제3자가 인증에 사용할 수 있을 우려가 있어 지문정보를 피신 조서등에 그대로 날인하는 것은 부적합하다. 그래서 경찰과 검찰이 수사나 기소하는 부분과 법원 재판 과정에까지 제출하는 서류를 전자문서로 대체하는 문제점을 살펴보고자 한다. 특히, 형사법에서 사용하는 종이 문서를 전자문서로 변환하기 위해서는 등가성, 무결성, 보안성, 기밀성 등의 문제점을 살펴보고 해결방안을 제시하고자 한다[12].

종이문서와 전자문서가 법적 효력이 같은 경우를 등가성이라고 말할 수 있다. 형사법에는 등가성 관련 명문 규정은 없고, 등가성을 인정하는 법은「전자정부법」과 「전자문서 및 전자거래 기본법」에서 인정하고 있다. 그리고 민사소송법인 「민사소송 등에서의 전자문서 이용 등에 관한 법률」의 제5조 2항은 법원에 작성ㆍ제출ㆍ송달ㆍ보존하는 전자문서는 다른 법률에 특별한 규정이 있는 경우를 제외하고 제3조 각 호의 법률에서 정한 요건과 절차에 따른 문서로 본다“라고 등가성을 개별적으로 규정하고 있다. 예를 들면, 단순교통사건 약식절차 처리에 사용하는 피신조서는 조사관이 피의자에게 권리를 고지하고, 고지 내용을 이해 여부를 확인 후, 피의자가 사인패드에 서명한 정보를 이미지화하여 저장한다. 그리고 조사관은 피의자의 진술한 내용을 그대로 작성한 후 조서 말미를 작성하고, 미리 받은 피의자 서명 이미지와 조사관, 참여경찰관의 공인인증서를 이용하여 공인전자서명 하면 작성이 완료된다[1]. 약식절차지만 형사사법절차에서 피신조서가 전자문서로써 종이문서와 동일한 법적 효력을 인정받고 적극적으로 사용하고 있다. 형사법에서 명문 규정이 없어도 종이문서에서 전자문서로 사용하고 있은 좋은 예이다.

전자문서가 법적 증거자료로 인정받기 위해서는 반드시 무결성은 반드시 충족해야 할 조건이다. 이를 위해서는 작성이 완료된 전자문서는 내용 열람이 가능해야 하고, 문서 작성 후 송·수신을 완료해도 원본 그대로 재현 가능해야 하며, 작성자와 수신자 및 송수신 시간을 보존해야 한다. 만약 전자문서가 공인된 전자서명이 아닌 경우는 그냥 보관이 영구적이라는 기능만 있을 뿐 증거능력, 무결성 등을 보장할 수 없다[12]. 그러나 위 단순 교통사건 약식절차와 같이 형사절차의 모든 피신조서도 전자서명을 피의자, 조사자, 참여경찰관의 공인전자서명으로 도입하면 증거능력, 진정성, 무결성 등을 보장할 수 있다. 최근 들어, 공공기관의 전자문서 전자서명을 단순 아이콘 클릭, PIN(PIN number) 또는 지문 등 다양하고 간편한 인증방식으로 한번에 행정민원 서비스를 이용할 수 있도록 정부에서 디지털원패스라는 서비스를 시작하였다.

위와 같이 행정서비스에도 생체인증 방식을 도입하고 있으나 피신조서에는 아직도 지문으로 간인 하고 있어 개인정보 및 자기정보결정권의 침해가 발생할 수 있다. 이러한 문제를 해결하는 방법은 전자문서에 전자서명을 생체인증 방식으로 공인전자서명 하면 문서의 기밀성, 무결성 등을 보장할 수 있는 장점이 있다. 이와 같이, 전자문서의 무결성을 확보하면 법정에서 증거 자료로 인정받을 수 있다.


Ⅲ. 블록체인 분산 시스템을 적용한 신문조서 유통 시스템
3.1 블록체인 분산 시스템 적용

블록체인 분산 시스템을 적용하여 보장하려는 데이터는 프라이빗 기반의 메인넷을 기반으로 원장의 신뢰성을 보장해야 하고, 원장에 기록될 데이터는 신뢰성을 바탕으로 블록체인 노드를 통해 무결성을 보장하게 된다. 또한, 인증데이터는 블록체인 기반의 분산 ID 플랫폼 사용을 통해, 자기주권 신원 관리를 수행하게 된다. 구성요소는 식별자와 인증 수단으로 사용되는 DID 및 DID document, 보관용 ID로 사용되는 VC(Verifiable Credential), 그리고 제출용 ID로 사용되는 VP(Verifiable Presentation)으로 이루어진다. 피의자의 증거 조서를 유통을 위해 주요 참여자는 VC를 발행하는 Issuer, VC를 발급받은 후 VP로 가공하여 검증기관에 제출하는 Holder, 사용자로부터 VP를 수신하여 VP의 진위를 검증하는 Verifier, 그리고 DID 및 ID 관련 정보를 저장하는 분산저장소인 Identifier Registry가 있다.

주요 신문조서의 무결성 증명방식으로 Holder 는 키생성 과정을 거쳐 DID Document를 생성하고 하이퍼레저 방식의 블록체인에 등록을 한다. 이후 Holder는 Issuer에게 자격증명을 요청하고, Isssuer는 Holder의 DID를 기반으로 VC를 발행한다. 그리고 Verifier의 요청을 토대로 VP를 생성·제출하여 검증하는 절차를 따른다. 참여자인 Holder는 공개키쌍을 생성하고, 다른 참여자는 전달받은 공개키를 바탕으로 공용키를 생성 및 비밀키를 확인 후 DID Document를 블록체인에 등록한다[13].

자기주권 신원관리를 위한 DID 인프라는 DID 호환 블록체인, 분산 원장 또는 분산형 네트워크 데이터 플랫폼 상에서 구현이 된다. 조사된 문서는 재판을 목적으로 블록체인 플랫폼 위의 데이터베이스에 저장되고, 수집된 데이터는 암호화된 개체간 상호작용을 위해 필요한 공용 키, 인증 프로토콜 및 서비스 엔드포인트 데이터 셋을 이용해 증거 정보를 DID로 변형하여 관리하게 된다. 그림 2그림 3은 하이퍼레저 방식의 블록체인 프레임워크를 적용한 시스템 아키텍처로 트랜잭션을 보증하고, 체인코드와 파라미터로 참조된 URL을 Peer Node들에게 연결하는 방안을 제시한다. 즉 Issur와 Verifier의 연결을 블록체인으로 보장하는 분산 시스템 구현이 가능하다.


Fig. 2. 
DID operation method


Fig. 3. 
Application of hyperledger blockchain technology

체인코드에 연결된 Peer Node의 키는 체인코드의 메타 데이터를 참조하고 되고, 생산된 문서의 보증항목을 검증 원장에서 확인하다. 즉, DID로 생성된 정보를 블록의 SeqNo와 BlocNo의 트랜젝션으로 확인 후 블록체인 분산시스템을 통해 무결성을 보장한다. 이를 통해 하이퍼레저 플랫폼을 이용하는 수사기관에 조사 및 적용, 그리고 법원에 재판을 위한 데이터로 전송이 가능해진다.

DID를 블록체인 하이퍼레저 기술을 적용하는 이유로는 분산된 네트워크에 연결된 기관들이 동일한 공유 플랫폼 제공된다는 점으로 들 수 있다. 하이퍼레져 방식의 DID를 적용하면 공개키를 통하여 데이터의 무결성 보장과 진위 판별을 기관 스스로 처리할 수 있으며, 이 과정에서 합의 알고리즘을 통하여 인증과정의 무결성을 보증할 수 있다.

DID Document를 하이퍼레저 블록체인상에 전달을 하면, 참여하고 있는 MSP(Membership Service Provider)가 CA(Certificate Authority)확인을 받고 그 절차상 체인코드에 연결된 Peer Node의 key 또는 ID를 참조한다. 체인코드의 메타데이터 내용을 보증하고, 검증 원장의 반영을 하는데 이때 Peer Node는 주변 Peer Noder들에게 트랜잭션 평가(Evaluation transactions)를 요청하고 유효할 경우를 확인한다. 결국, 검증된 원장을 블록으로 반영함으로써 유효성을 검증할 수 있다. 하이퍼레져를 통한 DID 인증 방식은 기관의 정보체계와 연동이 가능하고, 정보보호 관점에서 그 기능이 우수하다[14].

3.2 바이오 인증 시스템 적용

기존의 피신조서는 작성 후 출력을 하여 피의자의 지문으로 간인하기 때문에 임의적으로 다른 정보를 끼워 넣거나 수정하게 되면 문서가 무결성이 훼손되어 재판 과정에서 증거능력을 상실한다. 이를 방지하기 위해 피신조서가 작성이 완료되면 현재는 공인전자서명을 한다. 기존 공인인증서 방식과 지문 그리고 블록체인의 기술을 적용하면 피의자 조서의 문서성을 보장할 뿐만아니라, 블록체인의 머클트리 구조를 적용하기 때문에 검색과 운영의 효율성을 보장할 수 있다. 이는 통해 하이퍼레저방식의 블록체인 유통을 하면 관련 연계 기관에서 항상 우려하는 변조방지를 가능하게 하는 무결성이 보장된 문서의 생산이 가능하다[15]-[18].

전자서명을 하면 피의자 동의 없이 임의적으로 수정하게 되면 해쉬값이 변경이 되어 위·변조를 확인할 수 있다. 암호화한 피신조서는 복호화에 많은 시간이 걸리는 문제를, 그림 3과 같이 해쉬함수를 이용 해쉬값(“메시지 다이제스트”) 그리고 피의자 지문에서 미리 생성한 개인키(”전자서명생성정보”)로 해쉬값(“메시지 다이제스트”)을 암호화 한다. 이렇게 암호화된 전자문서를 “전자서명”이라고 부른다. 이렇게 생성된 전자서명은 서버에 미리 보관하고 있는 공개키(“전자서명검증정보”)로만 복호화가 가능하다.

피신조서의 해쉬값(“메시지 다이제스트”)을 암호화한 “전자서명”과 “피신조서 원본”을 첨부하여 서버로 전송하면 전자서명된 전자문서가 된다. 이와 같이, 기존 종이문서에 인감, 지문 또는 서명 날인하는 부분을 공인전자서명 방식으로 처리하면 신원확인과, 문서의 무결성을 보장할 수 있게 된다. 그리고 전자서명을 신뢰할 수 있는 기관에서 담당하게 하면 전자서명이 된 전자문서는 법적 효과가 있다고 할 수 있다. FIDO 서비스는 개인키/공개키 방식으로 사용자 인증으로 전자서명 메시지를 중간에서 위·변조가 불가능한 특성으로 사용자가 서비스를 이용한 것에 대해 부인방지가 가능하다. 그러나 생체인증 방식의 문제점은 보관하고 있는 개인키로 사용자를 특정할 수 없는 단점이 있다.

그러나 피신조서를 작성하면서 같이 제출하는 수사자료표를 활용하면 개인키의 사용자를 특정할 수 있다. 지문 및 수사자료표 등에 관한 규칙은 수사자료표의 관리, 지문이 채취와 분류, 지문 감식에 의한 신원확인 등을 체계적이고 효율적으로 하기 위함이다. 생체인증에 사용한 지문을 수사자료표에 지문 채취와 비교 검증을 하여 피의자의 인적 사항, 죄명, 입건 관서, 입건 일자 등 수사경력 또는 범죄경력을 할 때 사용하면 생체인증과 수사자료표 출력을 동시에 진행 할 수 있다.

3.3 블록체인과 바이오인증의 융합 적용

FIDO의 공개키 인증방식은 사용자를 확인이 불가능한 단점이 있다. 이런 단점을 해결하는 방법은 그림 3과 같이 진술자의 지문을 관련시스템에 조회하여 사용자를 확인하는 절차와 함께, 공개키 인증을 위한 개인키와 공개키를 동시에 생성, 공개키는 서버에 저장, 개인키는 진술자의 기기에 저장하는 방식으로 제안된다.

FIDO 서비스는 개인키/공개키 방식으로 사용자 인증으로 전자서명 메시지를 중간에서 위·변조가 불가능한 특성으로 사용자가 서비스를 이용한 것에 대해 부인방지가 가능하다. 그러나 생체인증 방식의 문제점은 보관하고 있는 개인키로 사용자를 특정할 수 없는 단점이 있다. 또한, 변조 가능성이 있는 문서에 대한 검증은 말뭉치 코퍼스와 시소러스를 통한 방안도 있지만[20]-[23], 근본적으로 문서 생산자에 대한 생체인증에 사용한 지문과 수사자료표에 채취한 지문비교 검증을 통해 피의자의 인적사항, 죄명, 입건 관서, 입건 일자 등 수사경력 또는 범죄경력을 확인할 수 있다. 그림4는 피의자의 정확한 신원을 확인하는 방안과 블록체인의 프라이빗 플랫폼을 이용하는 프로세스를 제시하고 있다.


Fig. 4. 
FIDO application plan


Ⅴ. 결론 및 향후 과제

신문조서의 문서성 확보와 동시에 증거능력 확보를 위해 생산되는 피신조서는 디지털포렌식 관점에서 문서의 작성 후 법정에 제출하기 전까지 위·변조와 불가능하여야 하며, 문서의 무결성과 부인방지가 제공되어야 한다. 그 방안으로 블록체인 플랫폼 위에서 DID와 생체인증을 적용한 방안이 제시 되었다. 기존 비밀번호, 공인인증서 문제점인 도용·양도가 불가능해지며, 개인키는 로컬의 보안영역에 저장하고, 서버에는 공개키 형태로 보관을 하고 있어 생체정보가 노출될 우려도 없어 개인정보 보호가 가능하다. 게다가 블록체인 기반의 DID를 이용하면 보안성과 기밀성 유지가 가능하다.

n번방 사건과 같이 공무원의 아이디를 사회복무요원에게 도용·양도하여 불법적인 개인정보 검색과 노출이라는 문제점이 발생한 경험으로 생체인증과 블록체인을 활용한 인증방식을 도입해야 한다는 방안을 제시하였으며, 특히 생체인증은 도용·양도가 불가능한 인증방법으로, 특히 개인정보와 같은 민감한 시스템인 경우는 적극적으로 도입이 필요하다. 동시에 블록체인 기반의 기술을 적용하여야 하는 시점으로 보인다.


Acknowledgments

이 논문은 2020년도 정부(과학기술정보통신부)의 재원으로 정보통신기획평가원의 지원을 받아 수행된 연구임(No.2020-0-00901, 가상자산 부정거래 등 사이버범죄 활동 정보 추적 기술)


References
1. S. H. Park and S. G. Lee, "Review on the Documentability of Electronic Documents in Criminal Procedure of Minor Traffic Offenses", The Journal of Police Science, Vol. 19, No. 1, pp. 33-58, Mar. 2019.
2. https://www.yna.co.kr/view/AKR20171022052800033. [accessed: Mar. 05, 2022]
3. LG CNS, https://blog.lgcns.com/2123, 2019. [accessed: Feb. 15, 2022]
4. https://www.hyosungfms.com/fms/promote/fms_news_view.do?id_boards=13355. [accessed: Mar. 07, 2022]
5. https://ko.wikipedia.org/wiki/공인인증서. [accessed: May 20, 2022]
6. S. S. Jang, "A Study on the Effect Fintech on the Information Scurity Industry", Internet & Security Focus, 4-32, 2015.
7. J. H. Song and I. S. Kim, "A Study on the Utilization of Biometric Authentication for Digital Signature in Electronic Financial Transactions: Technological and Legal Aspect", The Journal of Society for e-Business Studies, Vol. 21, No. 4, pp. 41-53, Nov. 2016.
8. Lackner/Kühl, §267 Rn. 16; SK/Samson, §267 Rn. 9;Schönke/Schröder/Cramer, §267 Rn. 42;Trönder/Fischer, §267 Rn. 12.
9. H. K. Kim, "Criminal Interpretation of Electronic Document", The Journal of Police Science, Vol. 12, No. 3, Sep. 2012.
10. Supreme Court precedent, 2006. 1. 26, sentence, 2004do 3788.
11. J. M. Yang, "Is the bill the fundamental act on e-commerce and electronic documents?: Korea Electronic Commerce and Electronic Documents Act(bill)", The Journal of Property Law, Vol. 28, No. 2, pp. 175-199, Aug. 2011.
12. B. G. Sung, "The Law Political Review on the Change from Paper Document to Electronic Document", Journal of Law and Politics research, Vol. 16, No. 2, pp. 33-39, Jun. 2016.
13. J. S. Kim, G. Y. Kim, and J. C. Ryu, "Blockchain based DID System Design Using Threshold Signature Scheme", Proc. of Symposium of the Korean Institute of communications and Information Sciences, 180-181.
14. S. B. Kim,  K. W. Park, Y. G. Park, Gyu- Seon Jo,  Hyun-Joon Ha, and Dohoon  Kim, "Campus  Student  ID  Issuance  and  Service  based  on  Blockchain and  DID", The Proceeding of the 2021 KIIT Summer Conference, Jeju Korea, Vol. 16, No. 1, pp 739-744, Jun, 2021
15. S. Park and S. Lee, "Big Data-oriented Analysis on Issues of the Hyper-connected Society", The E-Business Studies, Vol. 16. No. 5. pp. 3-18, Oct. 2015.
16. S. W. Lee and S. H. Kim, "Finding Industries for Big Data Usage on the Basis of AHP", Journal of Digital Convergence, Vol. 14. No. 7. pp. 21-27, Jul. 2016.
17. S. H. Kim, S. Chang, and S. W. Lee, "Consumer Trend Platform Development for Combination Analysis of Structured and Unstructured Big Data", Journal of Digital Convergence, Vol. 15. No. 6. pp. 133-143, Jun. 2017.
18. S. H. KIM, H. S. HWANG, J. H. LEE, and J. K. CHOI, "Design of Prevention Method Against Infectious Diseases based on Mobile Big Data and Rule to Select Subjects Using Artificial Intelligence Concept", International Journal of Engineering and Technology, Vol. 7. No. 3. pp. 174-178, 2018.
19. S. S. Lee and I. Jung, "Development of a Platform Using Big Data-Based Artificial Intelligence to Predict New Demand of Shipbuilding", The Journal of The Institute of Internet, Broadcasting and Communication, Vol. 19. No. 1. pp. 171-178, Feb. 2019.
20. H. Hwang, S. Lee, S. Kim, and S. Lee, "Building an Analytical Platform of Big Data for Quality Inspection in the Dairy Industry: A Machine Learning Approach", Journal of Intelligence and Information Systems, Vol. 24. No. 1. pp. 125-140, Mar. 2018.
21. J. Kang and S. Lee, "Algorithm Design to Judge Fake News based on Bigdata and Artificial Intelligence", International Journal of Internet, Broadcasting and Communication, Vol. 11. No. 2, pp. 50-58, Apr. 2019.
22. J. Kang and S. Lee, "Strategy Design to Protect Personal Information on Fake News based on Bigdata and Artificial Intelligence", International Journal of Internet, Broadcasting and Communication, Vol. 11. No. 2, pp. 59-66, Apr. 2019.

저자소개
윤 철 희 (Cheol-Hee Yoon)

2016년 8월 : 고려대학교 디지털포렌식과(공학석사)

2021년 8월 : 연세대학교 기술정책협동과정(공학박사수료)

2016년 ~ 현재 : 치안정책연구소

관심분야 : 자율주행, 인공지능

황 재 훈 (Jae-Hun Hwang)

2021년 2월 : 고려대학교 디지털포렌식과(공학석사)

2019년 ~ 현재 : 경찰대학 정보통신 경찰관

관심분야 : 디지털포렌식, FIDO, DID, 자율주행

강 선 (Sun Kang)

1999년 2월 : Complutense 대학 범죄학과(석사)

2014년 2월 : 경기대학교 범죄심리대학원(범죄심리학 박사)

2021년 ~ 현재 : 수원과학대학 경찰법무행정학과 교수

관심분야 : 범죄심리, 치안과학

강 장 묵 (Jang-Mook Kang)

2004년 2월 : 고려대학교 정보보호대학(공학박사)

2021년 4월 ~ 현재 : 극동대학교 해킹보안학과 교수

관심분야 : 정보보호, 블록체인