법적 증거

소스 코드는 소프트웨어의 설계도이자 핵심적인 지적 재산으로, 법적 분쟁에서 중요한 증거가 된다. 소스 코드는 특허 침해, 저작권 위반, 영업 비밀 유출, 또는 악성 코드 개발과 관련된 사건에서 핵심적인 증거 자료로 활용된다. 예를 들어, 두 회사의 소프트웨어 간 코드 유사성을 분석하여 저작권 침해 여부를 판단하거나, 특정 알고리즘이 특허권을 침해했는지를 확인하는 데 사용된다.

법정에서 소스 코드의 증거 능력을 확보하기 위해서는 엄격한 증거 수집 및 보존 절차가 필수적이다. 이는 포렌식 이미징을 통해 원본 저장 매체의 비휘발성 복사본을 생성하고, 체인 오브 커스터디를 문서화하여 증거가 위변조되지 않았음을 입증하는 과정을 포함한다. 특히 소스 코드는 쉽게 수정될 수 있으므로, 수집 단계부터 해시 함수를 이용한 무결성 검증이 반드시 동반되어야 한다.

소스 코드를 증거로 제출할 때는 관련성과 신뢰성이 주요 쟁점이 된다. 제출된 코드가 분쟁의 핵심 문제와 직접적으로 관련되어 있는지(관련성), 그리고 그 코드가 원본 그대로이며 조작되지 않았는지(신뢰성)를 입증해야 한다. 이를 위해 독립적인 제삼자 기관이나 디지털 포렌식 전문가에 의한 분석 보고서가 함께 제시되는 경우가 많다.

한국전자통신연구원이 2008년에 출시한 윈도우용 디지털 포렌식 소프트웨어와 같은 전문 도구들은 소스 코드를 포함한 디지털 증거의 체계적인 수집과 분석을 지원한다. 소스 코드 분석은 복잡한 작업으로, 단순히 코드 라인을 비교하는 것을 넘어서, 알고리즘의 구조, 변수와 함수의 네이밍 패턴, 주석 처리 방식 등 전반적인 구조와 논리를 종합적으로 검토하게 된다.

실행 파일은 컴퓨터에서 직접 동작하는 프로그램의 최종 형태로, 소스 코드가 컴파일되거나 빌드되어 생성된다. 법정에서는 악성코드의 유포, 저작권 침해 소프트웨어의 사용, 또는 불법적인 기능을 수행하는 프로그램 자체가 중요한 물적 증거가 된다. 실행 파일의 해시 값을 분석하면 파일의 고유성을 확인하고 위변조 여부를 판단할 수 있으며, 파일의 생성 및 수정 시간 같은 메타데이터는 사건의 타임라인을 구성하는 데 활용된다.

로그 파일은 시스템, 응용 프로그램, 네트워크 장비 등이 자동으로 생성하는 기록으로, 사건 발생 당시의 구체적인 활동 내역을 담고 있다. 예를 들어, 시스템 로그는 사용자 로그인 시도와 성공 여부를, 웹 서버 로그는 특정 IP 주소의 접속 기록을, 응용 프로그램 로그는 프로그램의 오류 또는 특정 명령 실행 이력을 보여준다. 이러한 로그는 디지털 공간에서의 행위를 재구성하는 결정적인 증거가 될 수 있다.

실행 파일과 로그는 모두 휘발성과 변경 가능성이 높은 디지털 정보라는 점에서 특별한 주의가 필요하다. 증거로 채택되기 위해서는 디지털 포렌식 절차에 따라 적법하게 수집되어야 하며, 수집 과정부터 법정 제출까지의 모든 경로를 기록하는 체인 오브 커스터디가 철저히 관리되어야 한다. 또한, 로그 파일의 경우 시스템 시간 동기화 오류나 로그 롤오버 정책으로 인해 기록이 손실되거나 왜곡될 수 있어, 신뢰성 있는 해석을 위해 추가적인 검증이 요구된다.

데이터베이스 기록은 소프트웨어 관련 법적 증거의 중요한 한 축을 이룬다. 이는 애플리케이션이나 시스템이 생성하고 저장하는 구조화된 데이터의 집합으로, 사용자 활동, 거래 내역, 시스템 상태 변화 등을 시간 순으로 기록한다. 데이터베이스 기록은 로그 파일과는 달리 주로 관계형 데이터베이스나 NoSQL 데이터베이스 내에 테이블 형태로 체계적으로 저장되며, SQL 쿼리를 통해 검색하고 분석할 수 있다.

주요 증거 가치를 지닌 데이터베이스 기록에는 사용자 계정 정보, 로그인 시도 기록, 데이터 생성·수정·삭제 이력(트랜잭션 로그), 그리고 특정 애플리케이션의 핵심 업무 데이터(예: 금융 거래, 메시지 기록, 문서 접근 이력) 등이 포함된다. 예를 들어, 불법적인 데이터 유출 사건에서는 어떤 사용자가 언제 어떤 레코드에 접근하여 정보를 복사했는지에 대한 데이터베이스 접근 로그가 결정적 증거가 될 수 있다.

이러한 기록을 증거로 채택하기 위해서는 포렌식 과정에서 원본 데이터베이스 관리 시스템의 동작을 최소한으로 방해하면서 데이터를 추출해야 한다. 전문가들은 데이터베이스의 덤프 파일을 생성하거나, 데이터베이스 서버의 메모리 포렌식을 통해 휘발성 데이터를 확보하기도 한다. 이후 추출된 데이터는 무결성을 입증하기 위해 해시 함수를 이용한 디지털 지문 생성과 함께 안전하게 보관된다.

데이터베이스 기록의 법적 효력은 그 신뢰성에 크게 의존한다. 증거로 제출된 기록이 실제 시스템에서 생성된 원본 그대로이며, 수집 및 분석 과정에서 위변조되지 않았음을 입증하는 체인 오브 커스터디가 필수적이다. 또한, 복잡한 데이터베이스 스키마와 대량의 데이터를 법정에서 이해하기 쉽게 설명하고, 관련성 있는 부분만을 효과적으로 선별해내는 것이 실무적인 도전 과제로 남아있다.

시스템 메타데이터는 파일이나 시스템 객체 자체의 내용이 아닌, 그 객체에 관한 정보를 담고 있는 데이터를 의미한다. 이는 파일의 생성, 수정, 최종 접근 시간, 파일 크기, 소유자 정보, 접근 권한, 그리고 윈도우 운영체제의 경우 NTFS 파일 시스템에 기록되는 MFT 항목이나 유닉스 계열 시스템의 inode 정보 등이 포함된다. 이러한 메타데이터는 사용자의 행위 흔적을 재구성하거나 특정 시점에 시스템의 상태를 파악하는 데 결정적인 단서를 제공한다.

예를 들어, 파일의 타임스탬프는 해당 파일이 언제 생성되었고, 마지막으로 언제 수정 또는 접근되었는지를 보여준다. 이 정보는 범죄 혐의가 있는 문서가 실제로 특정 시간대에 작성되었는지, 또는 불법 복제 소프트웨어가 언제 설치되었는지를 입증하는 데 활용될 수 있다. 또한, 삭제된 파일의 메타데이터는 종종 복구 가능한 상태로 남아 있어, 사용자가 의도적으로 데이터를 지웠다는 사실 자체를 증명하는 증거가 되기도 한다.

시스템 메타데이터의 수집과 분석은 디지털 포렌식 조사의 핵심 과정이다. 전문적인 포렌식 도구를 사용하여 메타데이터를 추출하고, 이를 바탕으로 타임라인 분석을 수행하면 사건의 전후 관계를 명확히 하는 데 도움이 된다. 그러나 메타데이터는 운영체제나 애플리케이션에 의해 쉽게 변경될 수 있어, 증거로서의 무결성을 보장하기 위해 포렌식 이미징과 같은 방법으로 원본 매체로부터 직접 수집되어야 하며, 이후 체인 오브 커스터디가 철저히 관리되어야 한다.

네트워크 패킷 캡처는 네트워크를 통해 전송되는 원시 데이터 패킷을 수집하고 기록하는 과정이다. 이는 디지털 포렌식 조사에서 네트워크 침해 사고, 데이터 유출, 또는 불법적인 통신을 입증하는 결정적인 법적 증거가 될 수 있다. 패킷 캡처 도구를 사용하면 특정 시간대에 인터넷 프로토콜 주소 간에 교환된 모든 요청과 응답, 파일 전송 내용, 암호화되지 않은 통신 내용 등을 확인할 수 있다.

캡처된 패킷 데이터는 와이어샤크나 tcpdump와 같은 전문 소프트웨어로 분석된다. 분석을 통해 공격 경로, 사용된 악성코드의 명령 제어 서버와의 통신, 내부자에 의한 중요 문서 외부 전송 행위 등을 재구성할 수 있다. 특히, 방화벽이나 침입 탐지 시스템의 로그만으로는 알 수 없는 네트워크 계층의 상세한 활동을 파악하는 데 필수적이다.

이러한 증거는 매우 휘발성이 강하기 때문에, 사건 발생 직후 신속하게 수집되어야 한다. 또한, 캡처 과정 자체가 네트워크 성능에 영향을 미치거나 개인정보 보호법에 저촉될 수 있으므로, 사법 기관의 합법적인 영장에 기반하여 수행되는 것이 일반적이다. 수집된 패킷 캡처 파일은 무결성을 입증하기 위해 해시 함수를 이용한 디지털 지문을 생성하고, 엄격한 체인 오브 커스터디 절차에 따라 보관되어 법정에서 증거 능력을 갖추게 된다.

포렌식 이미징은 디지털 증거를 수집하고 보존하는 핵심 절차이다. 이 과정에서는 원본 저장매체의 비휘발성 데이터를 그대로 복제하여 포렌식 이미지 파일을 생성한다. 이는 원본 매체에 대한 모든 데이터 섹터의 정확한 사본으로, 삭제된 파일이나 파일 시스템 메타데이터와 같은 잠재적 증거까지 포함한다. 이미징 작업은 전용 하드웨어 도구나 한국전자통신연구원이 개발한 디지털 포렌식 소프트웨어와 같은 전문 소프트웨어를 사용하여 수행되며, 윈도우 환경에서 주로 운영된다.

이미징 과정에서 가장 중요한 원칙은 원본 증거의 무결성을 훼손하지 않는 것이다. 이를 위해 쓰기 차단기라는 하드웨어 장치를 사용하여 원본 저장매체에 데이터가 기록되는 것을 물리적으로 차단한다. 생성된 이미지 파일의 무결성은 MD5나 SHA-256과 같은 암호화 해시 함수를 통해 검증된다. 이미징 전후에 계산된 해시값이 일치해야만 법정에서 증거의 신뢰성을 입증할 수 있다.

포렌식 이미징의 방법에는 물리적 이미징과 논리적 이미징이 있다. 물리적 이미징은 저장매체의 모든 섹터를 복제하는 방식이며, 논리적 이미징은 파일 시스템이 인식하는 파일과 디렉토리만을 복제한다. 포괄적인 증거 수집을 위해서는 일반적으로 물리적 이미징이 선호된다. 이렇게 생성된 이미지 파일은 이후 디지털 포렌식 분석가에 의해 안전한 분석 환경에서 마운트되어 심층 분석이 이루어진다.

체인 오브 커스터디는 법적 증거, 특히 디지털 증거의 적법한 처리 과정을 의미한다. 이는 증거가 최초 수집된 시점부터 법정에 제출될 때까지의 모든 이동, 접근, 분석, 보관 내역을 명확히 기록하고 책임 소재를 확인 가능하게 하는 절차적 체계이다. 증거의 무결성과 신뢰성을 보장하기 위한 핵심 원칙으로, 디지털 포렌식 분야에서 필수적으로 준수해야 한다.

체인 오브 커스터디를 유지하기 위해서는 증거물에 대한 모든 접촉이 상세히 문서화되어야 한다. 이는 증거를 수집한 사람, 수집 일시와 장소, 보관 장소, 분석을 위해 접근한 사람과 시간, 증거물의 상태 변화 등을 포함한 로그를 의미한다. 이러한 문서화는 증거가 위변조되거나 오염되지 않았음을 입증하는 데 결정적 역할을 하며, 법정에서 증거의 증거능력을 확보하는 기반이 된다.

한국전자통신연구원(ETRI)이 2008년에 출시한 디지털 포렌식 소프트웨어는 체인 오브 커스터디 관리 기능을 포함하여 증거의 안전한 처리 절차를 지원하는 도구의 예시가 될 수 있다. 이와 같은 전문 소프트웨어는 증거 이미징 과정에서 생성된 해시 값 기록, 분석자 및 분석 내역 자동 로깅 등을 통해 체인을 공고히 하는 데 기여한다.

체인이 단 한 번이라도 끊어지거나 문서화되지 않으면, 해당 증거는 법정에서 이의 제기의 대상이 되며 그 신뢰성과 증거 능력이 크게 훼손될 수 있다. 따라서 수사 기관, 법원, 변호사를 포함한 모든 법률 관계자는 디지털 증거를 다룰 때 엄격한 체인 오브 커스터디 프로토콜을 따라야 한다.

무결성 검증은 디지털 증거의 원본성이 변조되지 않았음을 보장하고 입증하는 핵심 절차이다. 이 과정은 증거로 채택된 디지털 데이터가 수집 시점부터 법정에 제출될 때까지 어떠한 변경도 겪지 않았음을 객관적으로 증명하는 것을 목표로 한다. 이를 위해 해시 함수가 가장 널리 사용되는 도구로, 파일이나 저장 매체 전체의 고유한 디지털 지문인 해시값을 생성한다.

무결성 검증의 표준 절차는 주로 두 단계로 이루어진다. 첫째, 증거 수집 단계에서 원본 매체에 대해 포렌식 이미징을 수행한 직후, 생성된 이미지 파일의 해시값(예: MD5, SHA-1, SHA-256)을 계산하여 기록한다. 둘째, 이후 분석 과정이나 법정 제출 전에 동일한 이미지 파일의 해시값을 다시 계산하여 최초 기록값과 비교한다. 두 값이 일치하면 파일이 변경되지 않았음을, 불일치하면 위변조 가능성을 시사한다.

이러한 검증은 체인 오브 커스터디 문서와 긴밀히 연계되어 증거의 신뢰성을 뒷받침한다. 체인 오브 커스터디 문서에는 증거물의 이동 경로와 함께 각 단계에서 계산된 해시값이 기록되어, 물리적 관리 뿐 아니라 디지털적 무결성도 함께 추적 관리될 수 있게 한다. 국내에서는 한국전자통신연구원(ETRI)이 2008년 윈도우 플랫폼용 디지털 포렌식 소프트웨어를 개발하여 무결성 검증을 포함한 포렌식 절차를 지원한 바 있다.

무결성 검증은 디지털 증거가 증거 능력을 갖추기 위한 필수 조건으로 자리 잡았다. 특히 암호화 기술이 발전하고 클라우드 컴퓨팅 환경이 복잡해짐에 따라, 데이터의 출처와 변경 이력을 검증할 수 있는 강력한 무결성 검증 메커니즘의 중요성은 더욱 커지고 있다.

관련성은 법정에서 디지털 증거가 제출된 사건의 쟁점과 실질적이고 논리적인 연결이 있어야 함을 의미한다. 즉, 해당 증거가 사건의 사실 관계를 입증하거나 반증하는 데 도움이 되어야 한다. 예를 들어, 불법 복제 소프트웨어 유포 사건에서 피의자의 컴퓨터에서 발견된 소스 코드와 실행 파일은 직접적인 관련성을 가진다. 반면, 동일한 컴퓨터에서 발견된 개인적인 사진이나 다른 무관한 문서는 해당 사건과의 관련성이 낮거나 없을 수 있다.

법원은 증거의 관련성을 판단할 때, 그 증거가 제기된 주장을 지지하거나 약화시킬 가능성이 있는지, 그리고 그 증거 없이도 동일한 사실을 다른 방법으로 입증할 수 있는지 등을 고려한다. 특히 디지털 포렌식 과정에서 확보된 방대한 데이터 중에서 법적 쟁점과 직접적으로 연관된 부분만을 선별해 내는 작업이 중요해진다. 이는 단순히 기술적 존재 여부를 넘어, 그 증거가 사건의 핵심인 저작권 침해, 사기, 또는 네트워크 침입 등의 행위를 어떻게 설명하는지에 달려 있다.

디지털 증거의 신뢰성은 법정에서 그 증거가 얼마나 믿을 수 있고 정확한지를 판단하는 핵심 기준이다. 신뢰성은 증거가 생성, 수집, 보관, 분석되는 전 과정이 적절한 절차와 기술에 따라 이루어졌음을 입증함으로써 확보된다. 특히 디지털 포렌식에서는 증거의 원본성을 훼손하지 않는 무결한 상태를 유지하는 것이 가장 중요하다.

신뢰성을 확보하기 위한 구체적인 방법으로는 체인 오브 커스터디의 철저한 유지가 있다. 이는 증거물이 수집된 순간부터 법정에 제출될 때까지의 모든 이동, 접근, 변경 내역을 문서화하는 절차로, 누구에 의해 어떻게 관리되었는지 명확히 추적 가능해야 한다. 또한 해시 함수를 이용한 무결성 검증은 필수적이다. 수집 단계에서 생성된 원본 데이터의 해시 값과 분석 과정에서의 해시 값을 비교하여 일치 여부를 확인함으로써 위변조가 없었음을 증명할 수 있다.

더불어 신뢰성은 증거를 획득한 도구와 방법의 과학적 타당성에도 영향을 받는다. 법정에서는 포렌식 이미징을 수행한 소프트웨어나 하드웨어의 정확성과 보편적 인정 여부가 검토될 수 있다. 따라서 국제적으로 인정받는 표준 절차와 검증된 도구를 사용하는 것이 중요하다. 증거 분석가의 전문성과 교육 이력 또한 신뢰성 평가에 고려되는 요소가 될 수 있다.

디지털 증거의 위변조 방지는 법정에서 그 증거 능력을 확보하기 위한 핵심 요건이다. 디지털 정보는 물리적 증거와 달리 쉽게 복제, 수정, 삭제될 수 있어, 수집부터 제출까지의 모든 과정에서 원본성과 무결성이 철저히 관리되어야 한다. 이를 위해 디지털 포렌식 절차에서는 해시 함수를 이용한 무결성 검증이 표준적으로 적용된다. 증거로 삼은 저장 매체의 전체 복사본인 포렌식 이미징 파일을 생성한 직후, MD5나 SHA-256 같은 암호화 해시 알고리즘으로 고유한 지문과 같은 해시값을 계산한다. 이 값은 이후 어떤 단계에서도 동일하게 유지되어야 하며, 법정에서 이미지 파일의 해시값을 재계산하여 비교함으로써 조사 시작 이후 변경이 전혀 없었음을 입증한다.

증거의 위변조를 방지하는 또 다른 핵심 장치는 체인 오브 커스터디 문서이다. 이 문서는 디지털 증거가 수집, 분석, 보관, 운반, 법정 제출에 이르기까지 누가, 언제, 어디서, 왜, 어떻게 접촉했는지에 대한 모든 이력을 기록한다. 각 이전 과정의 담당자와 이후 과정의 담당자가 서명으로 인계인수를 확인하며, 증거가 보관된 장소와 시간, 접근 권한이 명시된다. 이 기록이 중단되지 않고 완벽하게 유지될 때, 법원은 증거가 조작되거나 오염될 가능성이 극히 낮다고 판단할 수 있다.

한국전자통신연구원(ETRI)이 2008년에 출시한 디지털 포렌식 소프트웨어는 윈도우 플랫폼에서 이러한 위변조 방지 메커니즘을 구현한 도구의 예시이다. 이러한 전문 소프트웨어는 증거 수집 단계에서 원본 매체에 대한 쓰기 방지 하드웨어를 사용하고, 모든 분석 작업은 원본 이미지의 사본에서 수행하도록 하여 실수로 인한 변조를 방지한다. 또한 작업 일지와 시스템 로그를 자동으로 생성하여 분석가의 모든 행위를 추적 가능하게 만든다. 클라우드 컴퓨팅 환경이나 암호화된 데이터와 같은 현대적 도전 과제 앞에서도, 증거의 무결성을 입증할 수 있는 감사 추적 기록을 만드는 것은 변함없는 원칙이다.

디지털 증거 분야는 하드웨어, 소프트웨어, 운영체제, 네트워크 프로토콜 등 관련 기술이 매우 빠르게 발전하고 변화한다는 점에서 큰 도전에 직면한다. 새로운 스마트폰 모델이 출시되거나 클라우드 컴퓨팅 서비스의 구조가 변경될 때마다, 수사 기관과 디지털 포렌식 전문가는 새로운 장치나 환경에서 증거를 획득하고 분석할 수 있는 방법론과 도구를 지속적으로 개발해야 한다. 이는 법적 절차가 요구하는 증거의 무결성과 신뢰성을 유지하기 위한 필수적인 작업이다.

특히, 임베디드 시스템과 사물인터넷 기기들이 일상에 광범위하게 보급되면서, 증거가 잠재적으로 존재할 수 있는 저장 매체와 형태가 기하급수적으로 늘어났다. 각기 다른 펌웨어와 전용 인터페이스를 가진 이러한 장치들에 대한 표준화된 분석 절차를 확립하는 것은 쉽지 않은 과제이다. 기술의 변화 속도가 법률과 법원의 판례가 정립되는 속도를 넘어서는 경우가 많아, 특정 기술에 대한 증거 능력을 판단하는 기준이 명확히 정립되기 전에 이미 그 기술이 구식이 되어버리는 상황도 발생한다.

이러한 환경에서 한국전자통신연구원과 같은 기관은 기술 발전에 대응한 표준 도구를 개발하는 역할을 수행해왔다. 예를 들어, 2008년 출시된 윈도우용 디지털 포렌식 소프트웨어는 당시의 기술 환경에 맞춰 증거 수집과 분석을 지원하기 위해 개발되었다. 그러나 이러한 도구 역시 지속적인 업데이트와 새로운 버전의 개발 없이는 빠르게 도태될 수밖에 없다. 따라서 디지털 증거의 법적 효력을 유지하기 위해서는 기술 변화에 대한 지속적인 모니터링과 이에 대응하는 법제도 및 실무 지침의 정비가 동반되어야 한다.

암호화 기술의 발전은 디지털 증거 수집 과정에 큰 도전을 제기한다. 강력한 암호화가 적용된 저장 장치나 통신 내용은 법적 수사 과정에서 접근이 불가능할 수 있으며, 이는 중요한 증거 확보를 어렵게 만든다. 특히 엔드투엔드 암호화가 적용된 메신저나 클라우드 스토리지 서비스의 경우, 서비스 제공자조차 사용자의 데이터 내용을 확인할 수 없어 법원의 영장 집행이 무용지물이 될 수 있다.

이러한 기술적 장벽은 사생활 보호와 법 집행 사이의 근본적인 긴장 관계를 드러낸다. 한편으로 암호화는 시민의 기본권인 프라이버시와 통신 비밀을 보호하는 핵심 수단이다. 반면 다른 한편으로는 범죄 수사와 공공 안전을 위한 필수적인 증거 확보를 가로막는 장애물로 작용한다. 이로 인해 일부 국가에서는 암호화 백도어 도입이나 법적 접근권 부여를 둘러싼 논쟁이 지속되고 있다.

암호화된 증거를 해독하기 위한 기술적 방법으로는 암호 해독 공격이나 장치의 보안 취약점을 이용하는 방법이 있지만, 이는 시간과 비용이 많이 들며 항상 성공을 보장하지 않는다. 또한 모바일 기기의 생체 인증이나 클라우드 기반 키 관리 시스템은 새로운 형태의 접근 제어 장벽으로 등장했다. 따라서 수사 기관은 암호화를 우회하기보다는, 메타데이터 분석이나 암호화가 적용되지 않은 주변 증거를 포괄적으로 수집하는 전략을 강구해야 한다.

클라우드 컴퓨팅 환경은 디지털 증거 수집과 분석에 새로운 복잡성을 더한다. 증거가 물리적 저장 매체가 아닌 원격의 클라우드 서버에 분산 저장되어 있어, 수사 기관이 직접적인 물리적 접근을 할 수 없는 경우가 많다. 이는 전통적인 포렌식 이미징 기법의 적용을 어렵게 만들며, 증거 확보를 위해 클라우드 서비스 제공자(CSP)와의 협력이 필수적이다. 또한 멀티 테넌시 구조와 가상화 기술로 인해 특정 사용자의 데이터를 격리하여 확보하는 과정이 기술적으로 까다롭다.

증거의 소재지와 관할권 문제도 중요한 도전 과제로 부상한다. 데이터가 여러 국가에 걸쳐 있는 데이터 센터에 저장될 경우, 어느 국가의 법률이 적용되어야 하는지, 그리고 적법한 절차를 통해 증거를 요청할 수 있는지가 불분명해질 수 있다. 이는 국제 사법 공조 절차를 필요로 하며, 시간이 많이 소요되어 신속한 수사 진행을 저해할 수 있다. CSP의 이용 약관과 데이터 보존 정책 또한 법적 증거 확보에 변수로 작용한다.

클라우드 환경에서의 증거 보존을 위해서는 CSP 측의 협조와 명확한 절차가 마련되어야 한다. 수사 기관은 보존 요청을 통해 관련 데이터가 삭제되지 않도록 해야 하며, 이후 발급 명령 등을 통해 실제 데이터를 확보한다. 이러한 과정에서 증거의 체인 오브 커스터디를 명확히 기록하고, 데이터의 무결성을 해시 값 등을 통해 검증하는 것이 매우 중요하다. 한국전자통신연구원과 같은 기관에서 개발하는 포렌식 도구들도 점차 가상 머신 이미지나 클라우드 스토리지 API를 통한 증거 수집 기능을 강화하고 있는 추세이다.