Abstract
Various video conferencing and collaboration applications have emerged due to the global epidemic of new viral infections. In addition to real-time video conferencing, video conferencing applications provide features such as chat and file sharing on various platforms. Because various personal information is stored through functions such as chatting, file and screen sharing, these video conferencing applications are the major target of analysis from a digital forensic investigation. In the case of applications that provide cross-platform, the form of stored data is different depending on the platform. Therefore, to utilize data of video conferencing application for forensic investigation, preliminary research on artifacts stored by platform is required. In this paper, we used the video conferencing applications GoToWebinar and GoToMeeting and analyzed the artifacts generated. As a result, we list the main data from a digital forensic investigation. We identify data stored for each platform provided by GoToWebinar and GoToMeeting and organize artifacts that can estimate user behavior. Also, we classify the data that can be acquired according to the role and environment within the video conference.
신종 바이러스 감염병의 세계적 유행으로 인해 다양한 화상회의 및 협업 애플리케이션이 등장하였다. 화상회의 애플리케이션은 실시간 화상회의 외에도 채팅과 파일 공유와 같은 기능들을 다양한 플랫폼으로 제공한다. 채팅, 파일 및 화면 공유 등의 기능으로 다양한 개인 정보가 저장되기에 이러한 화상 회의 애플리케이션은 디지털 포렌식 수사 관점에서 주요 분석 대상이다. 크로스 플랫폼을 지원하는 응용프로그램의 경우 플랫폼에 따라 저장되는 데이터의 형태가 상이하기도 하다. 따라서 화상회의 애플리케이션의 데이터를 포렌식 수사에 활용하기 위해서는 플랫폼 별 저장되는 주요 아티팩트에 대한 사전 연구가 필요하다. 본 논문에서는 화상 회의 애플리케이션인 GoToWebinar 및 GoToMeeting를 사용하고 생성되는 아티팩트를 분석하여 디지털 포렌식 수사 관점에서 주요 주요한 데이터를 나열한다. 각 애플리케이션이 제공하는 플랫폼 별로 저장되는 데이터를 식별하며, 사용자 행위를 추정할 수 있는 아티팩트를 정리한다. 그리고 화상 회의 내의 역할과 환경에 따라 획득할 수 있는 데이터를 분류한다.