• 디지털포렌식연구
• /
• 제12권3호
• /
• pp.27-38
• /
• 2018

최근 디지털 데이터의 양이 급격하게 증가함에 따라 대용량 저장 공간의 필요해지고 있다. RAID는 이러한 대용량 저장 공간을 관리할 수 있는 시스템이다. Windows에서 제공하는 저장소 공간은 소프트웨어 RAID의 일종이다. 저장소 공간은 Windows 8, Windows Server 2012 버전부터 지원되었으며 해당 기능에 대한 분석이 기존에 이루어져 있지 않다. 저장소 공간을 이용한 시스템을 분석하기 위해서는 저장소 공간 기능에 대한 분석과 가상 디스크 재구성 방법에 대한 연구가 이루어져야 한다. 본 논문에서는 기존 RAID의 레이아웃에 대해 간단히 설명하고 소프트웨어 RAID인 저장소 공간의 구성 방식과 메타데이터를 설명하고 구성 방식별로 가상 디스크의 재구성 방법을 제시하고 실험을 통해 이를 검증하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2017년도 춘계학술발표대회
• /
• pp.336-339
• /
• 2017

스마트폰 서드 파티 애플리케이션에 대한 포렌식 분석은 최근 수 년 간 탐구되어야 할 새로운 영역으로 떠올랐다. 현재 스마트폰 시장은 그 규모를 측정하는 것이 무의미할 만큼 커졌으며 각 스마트폰 플랫폼의 앱(App)마켓에는 셀 수 없이 많은 서드 파티 애플리케이션이 존재한다. 모바일 포렌식 소프트웨어 도구들은 일반적으로 연락처, 문자메시지, 통화기록 등의 전형적인 데이터를 수집한다. 이러한 도구들은 서드 파티 애플리케이션이 기기 내부에 저장하는 정보들을 간과하기 쉽다. 여러 제조사 중, 애플사의 모바일 기기에 설치된 많은 서드 파티 애플리케이션은 수사에 도움이 되는 많은 정보와 관련있는 디지털 증거를 남긴다. 이런 잠재적 증거들은 기기 내부에 저장되기도 하며, 비교적 손쉬운 방법으로 법정에 제출 가능하다. 스마트폰으로 이루어지는 많은 활동은 상당 부분 서드 파티 애플리케이션으로 이루어지며, 사이버 범죄 사건의 중심에 스마트폰이 있다면 서드 파티 애플리케이션 분석을 통한 핵심 증거 획득이 사건을 해결할 가능성이 높아진다. 본 논문에서는 스마트폰에서 널리 쓰이고 있는 소셜네트워크 애플리케이션인 '인스타그램(Instagram)'에서 행해진 포렌식 분석에 초점을 맞추고, 기기는 전 세계 적으로 가장 사용자 점유율이 높은 스마트폰인 아이폰에서 이루어졌다.

• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제10권10호
• /
• pp.421-428
• /
• 2021

HEIF(High Efficiency Image File Format)는 MPEG에서 개발된 이미지 포맷으로써, 비디오 코덱인 H.265를 활용하여 정지된 화면을 하나의 이미지 형태로 저장할 수 있도록 개발된 컨테이너이다. 아이폰은 2017년부터 HEIF를 사용하고 있으며, 2019년부터는 갤럭시 S10과 같은 안드로이드 기기도 해당 포맷을 지원하고 있다. 이 포맷은 우수한 압축률을 가지도록 이미지를 제공할 수 있으나, 복잡한 내부 구조를 가지고 있어 기기나 소프트웨어 간 호환성이 현저하게 부족하여 일반적으로 사용되는 JPEG(또는 JPG) 파일을 대체하기에는 아직 대중적이지 못한 상황이다. 하지만 이미 많은 기기에서 HEIF를 사용하고 있음에도 불구하고 디지털 포렌식 연구는 부족한 상황이다. 이는 디지털 포렌식 조사 과정에서 파일 내부에 포함된 정보의 파악이 미흡하여 잠재적인 증거를 놓칠 수 있는 위험에 노출될 수 있다. 따라서 본 논문에서는 아이폰에서 촬영된 HEIF 형식의 사진 파일과 갤럭시에서 촬영된 모션 포토 파일을 분석하여 파일 내부에 포함된 정보와 특징들을 알아본다. 또한 이미지 뷰어 기능을 지원하는 소프트웨어를 대상으로 HEIF에 대한 지원 여부를 조사하고 HEIF를 분석하는 포렌식 도구의 요구사항을 제시한다.

• 한국정보전자통신기술학회논문지
• /
• 제8권4호
• /
• pp.327-337
• /
• 2015

이 논문에서는 윈도우즈 NTFS 파일시스템에서 디렉토리의 인덱스에 메시지를 숨기기 위한 새로운 안티 포렌식 방법을 제안한다. 인덱스 엔트리 관리를 위하여 채택하고 있는 B-tree 구조의 특징을 이용하여 인덱스 레코드의 슬랙 영역에 숨길 메시지를 저장한다. 안티포렌식을 위해 숨길 메시지가 노출되지 않게 하기 위해 서 위장 파일을 사용하여 삭제된 파일이름의 정보가 MFT 엔트리에 남지 않도록 한다. 이 기법의 핵심 아이디어 의 이해하기 위해서 B-tree방식의 인덱스 레코드의 운영방법을 소개하고 이 연구에서 제안된 알고리즘을 설명 한다. 제작된 소프트웨어를 사용한 메시지를 숨긴 사례를 들어서 이 방법이 실질적인 기법이라는 것을 보인다.

• 융합보안논문지
• /
• 제17권3호
• /
• pp.15-20
• /
• 2017

클라우드 컴퓨팅은 인터넷이 가능한 환경에서 다양한 단말을 통해 IT 자원(소프트웨어, 스토리지, 서버, 네트워크)을 이용할 수 있는 서비스이다. 편리성과 효율성, 비용 절감의 이유로 최근 이용률이 급증하였다. 하지만 정보의 집중화로 인해 범죄의 표적이 되거나 클라우드 서비스를 악용하는 범죄가 발생하였다. 기존 디지털 포렌식 절차는 개인 단말기를 대상으로 하는 수사에 적합하다. 본 논문은 기존 디지털 포렌식 수사 절차로 클라우드 환경을 조사할 경우 발생하는 취약점들을 분석하여 새로운 수사 모델을 제안하였다. 제안된 수사 모델은 계정정보를 획득할 수 있는 방법을 추가하였으며, 공공 클라우드와 사설클라우드를 아울러 적용할 수 있다. 또한, 클라우드 서비스는 쉽게 접근이 가능하여 디지털 증거 인멸 가능성이 높기에 계정 접근 차단 단계를 추가함으로써 수사 모델을 보강하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2011년도 추계학술발표대회
• /
• pp.842-845
• /
• 2011

현재의 스마트폰 기반의 모바일 애플리케이션은 기본적인 전화, 문자와 같은 기능들 외 네비게이션과 같은 유용하고 편리한 기능들이 사용되고 있다. 이러한 애플리케이션에는 사용자와 관련된 많은 개인 정보들이 포함되어있고, 저장된 개인 정보는 사건 발생 시 사건의 직접적인 증거 혹은 간접적은 증거로 활용될 수 있다. 스마트폰에 저장된 증거를 수집하고 분석할 때 조사관들이 사용할 수 있는 기존의 도구는 복잡한 사용방법을 숙지해야 하고, 인증된 소프트웨어가 설치되어 있는 컴퓨터에서 국한되어 분석이 가능했다. 본 논문에서는 이와 같은 문제를 해결하기 위한 웹 서비스 개념의 스마트폰 포렌식 프레임워크를 제시한다.

• 한국정보과학회논문지:소프트웨어및응용
• /
• 제37권8호
• /
• pp.599-610
• /
• 2010

고성능 디지털 인쇄기기의 대중화와 손쉬운 이미지 편집 프로그램들의 등장으로 인하여 위 변조 범죄가 증가함에 따라 여러 가지 사회적인 문제를 야기하고 있다. 이를 해결하기 위해서 디지털 포렌식 기술이 활발하게 연구되고 있다. 본 논문에서는 디지털 포렌식 기술의 한 분야인 컬러 레이저 인쇄기기 판별기술을 제안한다. 각 제조사마다 인쇄방법이 다르기 때문에 육안으로 판별할 수 없는 미세한 차이가 출력물에 존재한다는 점을 이용하였다. 출력물의 노이즈를 추정하여 이러한 미세한 차이를 분석하였으며, 제안하는 방법에서는 출력물을 스캔한 이미지에 대해 위너필터를 거쳐 노이즈를 제거한 이미지를 차감하여 노이즈를 추출한다. 계산된 노이즈 대해 명암도 동시발생 행렬을 계산하여 특징값들을 추출한 뒤 이를 서포트 벡터 머신 분류기에 적용하여 인쇄기기를 판별하였다. 제안한 알고리즘의 성능을 분석하기 위하여 7대 프린터에서 각 371장씩 출력된 총 2,597장 이미지로 실험하였다. 제안한 알고리즘은 컬러 디지털 인쇄기기의 제조사를 판별하는데 있어서 97.6%의 정확률을 보였고, 동일 제조사의 모델을 판별하는데 84.5%의 정확률을 나타냈다.

• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제9권4호
• /
• pp.123-128
• /
• 2020

디지털 기기 사용이 일반화되면서 수사 과정에서 물적 증거 수집을 위해 디지털 포렌식 기법을 사용한다. 이 중 파일 포렌식 기법은 삭제된 파일을 복구하는 것으로, 여러 개의 파일로 구성된 데이터베이스가 삭제되어도 복구할 수 있다. 그러나 데이터베이스에서 레코드가 삭제된 경우는 파일 복구를 하여도 수정된 레코드 내용이 복원되지 않는다. 이에 삭제된 레코드를 복구하는 기법인 데이터베이스 포렌식이 필요하다. 데이터베이스 포렌식은 데이터베이스 설정 파일로부터 메타데이터를 획득하고, 데이터 파일에서 삭제된 레코드를 복구한다. 그러나 데이터베이스에서 블록 크기와 같은 데이터베이스 메타데이터를 획득하지 못하면 레코드 복구가 어렵다. 본 논문에서는 데이터베이스 메타데이터인 블록 크기를 탐지하기 위한 세 가지 방법을 제안한다. 첫 번째 기법은 블록에 존재하는 빈공간의 최대 크기를 이용하며, 두 번째 기법은 블록이 나타나는 위치를 이용한다. 세 번째 기법은 두 번째 기법보다 더 빠르게 블록 크기를 찾을 수 있도록 개선한다. 실험 결과는 세 가지 탐지 기법 모두 세 종류의 DBMS의 블록 크기를 정확하게 찾을 수 있음을 보인다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제5권12호
• /
• pp.491-498
• /
• 2016

최근 Windows PE와 같은 포터블 OS를 USB, CD/DVD 등의 이동식 저장매체에 저장하여 부팅하는 기법으로 기밀자료 및 내부정보가 유출되는 사례가 증가하고 있다. 이동식 저장매체를 이용한 이 부팅 기법은 타깃 PC에 설치된 USB 보안, 매체제어솔루션 등의 보안 소프트웨어의 우회가 가능하고, 부팅 후 PC의 저장매체를 마운트하여 정보 추출 및 악성코드 삽입 등의 행위가 가능하며, 이동식 저장매체의 사용흔적과 같은 로그기록이 남지 않는 특징이 있어 자료유출여부 확인과 역추적이 어렵다. 이에 본 논문에서는 플래시 메모리에서 BIOS 설정과 관련된 데이터가 기록되는 BIOS 펌웨어 이미지를 수집 및 분석하여 이상행위로 추정할 수 있는 이동식 저장매체를 이용한 부팅 흔적을 찾아 기업의 감사 또는 디지털 포렌식 수사를 수행하는데 도움이 될 수 있는 방안을 제시한다.

• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제4권12호
• /
• pp.561-570
• /
• 2015

IT 기술이 급격히 발전함에 따라서 디지털 멀티미디어 장치 및 소프트웨어를 이용한 콘텐츠가 범람하고 있다. 그러나 불법적 목적을 가지고 있는 사용자가 활용함에 따라 이를 이용한 범죄가 증가되고 있고 멀티미디어 포렌식을 통한 콘텐츠의 보호 및 불법 사용 차단의 필요성이 대두되고 있다. 본 논문에서는 센서 패턴 잡음을 이용하여 디지털 영상 획득 장치 판별을 위한 포렌식 기술에 대하여 제안한다. 먼저 광자 탐지기의 빛에 대한 민감도가 불완전해 생기는 센서 패턴 잡음을 검출하기 위한 기술에 대하여 제시한다. 그다음에 참조 영상들에 대하여 센서 패턴 잡음을 추정하고, 검사 영상에 대하여 센서 패턴 잡음을 추정한 후 두 잡음 사이의 유사성 계산을 통하여 디지털 영상을 획득한 장치에 대하여 판별하는 방법을 설명한다. 제안한 기술의 성능 분석을 위하여 DSLR 카메라, Compact 카메라, 스마트폰, 캠코더 등을 포함한 총 10대 장치에 대하여 개발한 알고리즘에 대한 정량적 성능의 분석을 수행하였고, 그 결과 99.6%의 판별 정확도를 달성하였다.