• 정보보호학회논문지
• /
• 제28권1호
• /
• pp.111-122
• /
• 2018

안드로이드 운영체제의 서드파티 애플리케이션들은 사용자의 계정 및 개인정보에 대한 접근 권한을 획득하기 위해 OAuth 프로토콜을 이용하여 계정 정보 제공자들로부터 사용자의 크리덴셜 및 사용자의 자원에 접근할 수 있는 권한을 내포하는 접근 토큰을 전달받는다. 이러한 크리덴셜 및 토큰 정보는 안드로이드 운영체제가 제공하는 OAuth 관련 데이터 관리 방식에 의해 기기 내부에 저장되는데, 이 정보가 유출될 경우 공격자는 유출된 크리덴셜 및 토큰 정보를 이용하여 사용자의 계정에 대한 자유로운 로그인 및 데이터 접근이 가능하다. 이러한 특징은 디지털 포렌식 수사관이 증거 데이터를 수집하는 관점에서 피압수자가 사용하는 서비스의 원격지 서버로부터 직접 데이터를 수집하는 것을 가능하게 한다. 원격지에서 수집되는 증거 데이터는 2차적인 영장발부의 토대로 작용함으로써 수집한 디지털 증거의 증거능력을 확보할 수 있기 때문에 피압수자가 안드로이드 기기에서 애플리케이션 삭제 등의 증거 인멸을 시도한 경우 매우 중요한 증거가 될 수 있다. 본 논문에서는 다양한 안드로이드 운영체제 및 기기 환경에서 OAuth 토큰의 관리 현황을 분석하고, 이를 이용하여 다양한 서드파티 애플리케이션의 데이터를 수집하는 방법을 소개한다. 이를 통해 디지털 포렌식 관점에서 피압수자가 사용하는 서비스의 원격지 데이터를 수집함으로써 증거 수집의 영역을 확장할 수 있는 방안을 제안한다.

• 정보보호학회논문지
• /
• 제22권4호
• /
• pp.827-839
• /
• 2012

휴대폰은 개인의 생활과 가장 밀접한 디지털 기기로 디지털 포렌식 수사 시에 반드시 고려해야 할 대상이 되고 있다. 최근에는 스마트폰의 사용이 증가하고 있는데, 스마트폰은 피처폰과는 달리 일반 PC와 유사한 고성능의 운영체제(Android, iOS 등)를 사용하면서 다양한 모바일 앱(app)을 통해 사용자에게 여러 가지 기능을 제공하는 특징이 있다. 디지털 포렌식 관점에서 스마트폰의 사용 흔적을 수집하고 분석하는 것이 중요해짐에 따라서 전세계적으로 스마트폰 포렌식에 관한 연구가 활발하게 이루어지고 있다. 스마트폰 내의 데이터를 분석하기 위해서는 백업 또는 디버깅 기능을 이용하여 사용자 파일을 추출하거나, 운영체제의 루트(root) 권한을 획득하여 플래시 메모리에 대한 이미지를 수집한 후에 파일시스템(YAFFS, EXT, RFS, HFS+ 등)을 재구성하여 분석하는 방법을 사용할 수 있다. 그러나 이와 같은 방법은 정상적으로 존재하는 파일 이외에 삭제되거나 플래시 메모리 페이지의 데이터가 수정되면서 생성될 수 있는 잉여 데이터에 대한 분석에는 한계가 있다. 본 논문에서는 스마트폰으로부터 획득한 플래시 메모리 이미지 내의 단편화된 페이지(fragmented pages)를 분석하는 기법을 소개한다. 이를 통해 플래시 메모리 페이지의 스페어 영역(spare area)이 없어서 파일시스템의 재구성이 불가능한 이미지 또는 정상적인 파일시스템의 비할당 영역에 속하는 임의의 페이지들에 대한 효과적인 분석 방법을 제시한다.

• 정보보호학회논문지
• /
• 제24권3호
• /
• pp.523-533
• /
• 2014

컴퓨터 침해사고 대응 시 침입경로를 파악하는데 많은 시간을 소비하므로 피해 범위가 확대되거나 침해사고 발생의 원인을 밝힐 주요 증거를 유실하게 된다. 이로 인해 동일한 원인의 침해사고가 재발하고 있다. 이 논문에서는 침입자를 신속하고 정확하게 찾아낼 수 있도록 침해사고 발생 전, 디지털증거지도 작성을 제안한다. 디지털증거지도는 다양한 IT장비와 소프트웨어가 만들어 내는 머신 데이터간의 연결 고리가 그물 형태로 만들어진다. 연결 고리는 다양한 외부요인에 민감하기 때문에 지속적인 관리가 필요하다. 침해사고 발생 전, 유효한 디지털증거지도를 숙지함으로써 침해사고 발생 시 신속히 대응하여 피해 범위를 축소하며 침입경로를 제거하여 침해사고 재발을 방지한다. 디지털증거지도는 로그뿐만 아니라 컴퓨터에서 발생하는 다양한 아티팩트들을 채용함으로써 고도화된 APT 공격과 안티-포렌식 기법에 효과적으로 대응한다.

• 정보보호학회논문지
• /
• 제28권5호
• /
• pp.1129-1140
• /
• 2018

인터넷의 보급과 다양한 디지털기기의 발달에 따라 전자정보의 양은 급격하게 증가하고 있다. 전자정보 중에서 본인이 직접 소지하지 않는 포털사 전자메일과 같은 제3자 보관 전자정보 압수수색은 지속해서 증가하고 있으며 재판에 증거로도 사용되고 있다. 그러나 현행 압수수색 방식은 압수 기간만 산정한 뒤 전체 전자메일에 대하여 무분별하게 압수수색을 진행하고 있으며 압수수색 결과에 대한 통보 부재와 같은 많은 문제점이 있어 압수수색 절차를 살펴보고 그 개선점에 대해 제시하였다.

• 디지털산업정보학회논문지
• /
• 제11권4호
• /
• pp.69-79
• /
• 2015

This research proposes a modified data hiding method to hide data in a slack space of an NTFS index record. The existing data hiding method is for anti-forensics, which uses traces of file names of an index entry in an index record when files are deleted in a direcotry. The proposed method in this paper modifies the existing method to make non-admittable ASCII characters for a file name applicable. By improving the existing method, problems of a file creation error due to non-admittable characters are remedied; including the non-admittable 9 characters (i. e. slash /, colon :, greater than >, less than <, question mark ?, back slash ${\backslash}$, vertical bar |, semi-colon ;, esterisk * ), reserved file names(i. e. CON, PRN, AUX, NUL, COM1~COM9, LPT1~LPT9) and two non-admittable characters for an ending character of the file name(i. e. space and dot). Two results of the two message with non-admittable ASCII characters by keyboard inputs show the applicability of the proposed method.

• 정보보호학회논문지
• /
• 제25권3호
• /
• pp.595-602
• /
• 2015

디지털 포렌식 분야가 직면한 과제 중 하나는 대량의 데이터를 어떻게 효율적으로 처리할 것인가이다. 디지털 객체 간의 유사성을 빠르게 식별하기 위해 신뢰성 있는 다양한 근사 매칭 알고리즘이 계속하여 제시되어왔다. 하지만 알고리즘만으로 문자열의 의미적 유사성을 식별하면 많은 오탐을 보여 오히려 그 실효성을 끌어내리고 있다. 이와 같은 문제점을 해결하고자 근사 매칭 대상의 전처리 과정을 추가하여, 알고리즘 자체의 신뢰성은 유지하면서 유사도 탐지 정확성을 더 높일 수 있는 방법을 제시한다. 본 논문에서는 의미적 유사성을 식별하고자 eml과 hwp 세트를 가지고 sdhash로 실험하였으며, 실험 결과를 이용하여 그 효과성을 검증한다.

• 정보보호학회논문지
• /
• 제27권1호
• /
• pp.25-38
• /
• 2017

국가 주요 기반 시설을 포함하여 보안사고 발생 시 심각한 피해를 발생시킬 수 있는 산업 제어시스템의 특성에 의해 세계적으로 많은 보안 침해 사고가 발생하고 있다. 따라서 산업 제어시스템 네트워크에 오가는 트래픽은 감시되고, 분석되어 공격을 사전에 파악하거나 사고 이후 재빠른 대응을 수행할 수 있어야 한다. 본 논문에서는 제어시스템 프로토콜인 DNP3를 대상으로 모든 공격의 가능성을 갖는 트래픽들을 대상으로 합리적인 의심이 가능하도록 네트워크 포렌식 관점에서 시각화를 연구를 수행해 정상행위기반 룰을 정의하고 시각화 요구사항을 도출했다. 이를 기반으로 제어시스템 네트워크상에 캡처된 패킷 파일을 대상으로 DDoS와 같은 급작스런 네트워크 트래픽의 변화를 일으키는 경우 혹은 정상행위를 위반한 공격이 탐지 가능한 시각화 도구를 개발했고, 디지털본드 패킷과 같이 치명적인 공격이 포함된 네트워크상에서 성공적으로 비정상행위 탐지를 수행하였다.

• 정보보호학회논문지
• /
• 제28권3호
• /
• pp.625-633
• /
• 2018

Realm은 모바일 기기에서 주로 사용되는 SQLite를 대체하기 위해 개발된 오픈 소스 데이터베이스이다. 데이터 베이스에 저장되는 데이터는 사용자의 행위를 파악하고 모바일 기기의 동작 여부를 확인하는 데 도움이 될 수 있어 모바일 기기를 대상으로 하는 디지털 포렌식 분석 과정에서 반드시 확인되어야 한다. 뿐만 아니라, 사용자가 의도적으로 데이터베이스에 저장된 데이터 삭제와 같은 안티 포렌식 기법을 사용할 수 있으므로 데이터베이스에서 삭제된 레코드를 복구하는 방법에 대한 연구가 필요하다. 본 논문은 Realm 데이터베이스 파일의 구조와 레코드의 저장 및 삭제 과정을 분석한 결과를 바탕으로 삭제된 후 덮어 쓰여지지 않은 레코드의 복구 기법을 제시하였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제2권1호
• /
• pp.43-50
• /
• 2013

파일 식별과 분석은 컴퓨터 포렌식 수사과정에서 디지털증거 획득 및 증거분석에 중요한 요소이며 지금까지 많은 연구가 진행되었다. 그러나 실행파일의 식별과 분석은 주로 악성코드에 대해 연구되어 왔기 때문에, 저작권침해 사고와 같은 일반적인 실행파일을 세부적으로 분류하고 탐지해야 할 경우에는 기존의 악성코드 분류 방법은 적용되기 어렵다. 따라서, 본 논문에서는 실행파일 헤더내 문서화되지 않은 정보의 유사도 측정에 근거한 비교를 통해 실행파일을 세부적으로 분류할 수 있는 방법을 제시한다. 제안한 방법은 실행파일의 헤더에 포함된 정보를 이용하기 때문에 일반적인 실행파일뿐만 아니라 기존의 악성코드 및 새로운 악성코드와 변종 그리고 실행압축, 코드변형, 가상화 및 난독화된 실행파일 분류에도 활용이 가능하다.

• 정보보호학회논문지
• /
• 제27권3호
• /
• pp.489-499
• /
• 2017

MS 오피스는 국내뿐만 아니라 세계적으로 널리 사용되는 오피스 소프트웨어이다. 여러 버전 중 MS 오피스 2007부터 최신 버전인 MS 오피스 2016까지 문서 구조에 OOXML 형식이 사용되고 있다. 이와 관련해 대표적인 안티-포렌식 행위인 데이터 은닉에 대한 방법이 연구, 개발되어 은닉된 데이터에 대한 탐지 방법은 디지털 포렌식 수사 관점에서 매우 중요하다. 본 논문에서는 기존에 발표된 OOXML 형식의 MS 오피스 문서에 데이터 은닉 및 탐지에 관한 두가지 연구를 소개한 뒤 두 연구의 탐지 방법을 우회하는 데이터 삽입 방법과 MS 오피스 엑셀, 파워포인트의 데이터인 시트, 슬라이드 등을 은닉하는 방법을 제시한다. 이와 같은 방법으로 은닉된 데이터를 탐지할 수 있는 향상된 탐지 알고리즘 또한 제시한다.