• 정보보호학회논문지
• /
• 제27권6호
• /
• pp.1397-1404
• /
• 2017

손상된 저장매체에 대해서 디지털포렌식 조사를 진행할 때 복구 도구를 활용한다. 하지만 사용하는 복구 도구에 따라서 복구 결과가 다른 문제가 존재한다. 그러므로 정확한 조사를 위해서는 도구의 성능과 한계점을 파악하여 사용할 필요가 있다. 본 논문에서는 이러한 파티션 복구 도구의 성능을 검증할 수 있도록 MBR, GPT 디스크 인식 방식과 FAT32, NTFS 파일시스템의 구조적 특징을 고려한 검증 시나리오를 제시한다. 그 후 검증 시나리오를 바탕으로 제작한 데이터 세트를 통하여 기존 복구 도구에 대한 성능 검증을 진행한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2014년도 추계학술발표대회
• /
• pp.460-463
• /
• 2014

클라우드 컴퓨팅의 많은 장점에도 불구하고 클라우드 컴퓨팅은 보안이슈는 줄어들지 않으며, 특히 디지털 포렌식은 실질적인 기능을 수행하기에 미비한 실정이다. 최근, 다양한 사이버 범죄가 증가하면서 클라우드 컴퓨팅 환경은 사이버 범죄에 노출되어 있으며 악의적인 공격의 위험을 가지고 있다. 클라우드 포렌식은 자원이 가상공간에 존재할 수 있고, 증거 데이터가 물리적으로 분산되어 있기 때문에 기존의 포렌식 수사와는 다르게 접근해야 한다. 또한, 클라우드 기반 포렌식에서 획득 가능한 증거 데이터에 대한 정의가 되어 있지 않아서 증거 데이터를 수집하는데 어려움을 겪는다. 이에 본 논문에서는 오픈스택 플랫폼을 이용한 클라우드 환경을 구축하고, 클라우드 플랫폼 기반 포렌식을 위해 획득 가능한 로그 데이터에 대해 정리하고, 실제 획득 가능한 로그를 수집 및 분석하고, 클라우드 컴퓨팅 플랫폼기반 포렌식의 한계점과 해결방안을 알아본다.

• 정보보호학회논문지
• /
• 제20권3호
• /
• pp.79-91
• /
• 2010

디지털 포렌식 수사에 있어 시간 정보는 중요한 요소이다. 윈도우즈의 NTFS(New Technology File System) 환경에서 획득할 수 있는 파일의 시간 정보는 생성, 수정, 접근, MFT entry 수정 시간이며 이는 파일의 복사나 이동, 이름 변경 등의 사용자의 행위에 따라 특징적으로 변경된다. 이러한 시간 변경 특징은 사용자의 데이터 이동 및 데이터 변경 등의 행위 분석에 활용할 수 있다. 본 논문에서는 윈도우즈 운영체제 별로 사용자의 행위에 따른 파일이나 폴더의 시간 변화를 분석하여 이를 바탕으로 시스템 분석시 사용자의 행위를 유추할 수 있도록 한다.

• 정보보호학회논문지
• /
• 제21권2호
• /
• pp.49-60
• /
• 2011

인터넷 메신저는 네트워크를 통해 대화를 나누거나 데이터 등을 주고받을 때 가장 널리 쓰이는 통신수단 중 하나이다. 그러므로 디지털 포렌식 관점에서 메신저의 통신내역을 확보하는 일은 전화, 휴대폰과 같이 전통적인 통신내역을 수집하는 작업처럼 매우 중요하다. 하지만 메신저의 통신내역은 사용자 컴퓨터에 암호화되어 저장되거나 메신저 서버에 보존되기 때문에 의미 있는 데이터 수집이 쉽지 않다. 본 논문은 네이트온, 버디버디, 야후!, Mi3 메신저를 대상으로 사용자 컴퓨터에 저장된 통신내역을 복구하는 방법과 메신저 서버에 존재하는 통신내역을 열람하기 위한 인증우회기법을 제시한다.

• 인터넷정보학회논문지
• /
• 제13권3호
• /
• pp.49-59
• /
• 2012

촬영된 카메라의 기초 정보를 담고 있는 EXIF 파일을 편집 프로그램들을 통해 삭제 또는 변형하게 되어 우리 주변에서 출처를 알 수 없는 이미지들이 상당수 존재하게 되었다. 이와 같은 문제점은 디지털 이미지의 출처를 왜곡하여 공공기관에서 사건의 분석 및 감정에 혼선을 줄 수 있다. 특히 증거의 출처를 명시하는 법정 기관에 출처가 삭제, 변형된 EXIF 파일을 가진 디지털 사진은 객관적 증거의 역할을 할 수 없다. 본 논문은 이와 같은 문제를 해결하기 위한 연구로써 촬영에 사용된 카메라의 신원을 추적하는 데 목적이 있다. 이를 위해 본 논문은 디지털카메라 이미지 프로세싱에서 사용하는 렌즈 왜곡 보정 알고리즘을 주목하였다. 렌즈 왜곡 보정은 맵핑 알고리즘을 이용하며 이 때 위신호 인공물(Aliasing artifact)와 복원 인공물(Reconstruction artifact)의 발생을 제거하기 위한 보간 알고리즘을 사용한다. 여기서 보간은 맵핑의 패턴과 유사한 형태로 나타나며 이 보간의 흔적을 찾는 것이 연구의 핵심이다. 본 논문에서는 맵핑에 사용된 보간 패턴을 검출하기 위해 미니멈 필터(Minimum Filter)를 이용한 검출 알고리즘을 제안하였다. 보간이 발생한 영역과 그렇지 않은 영역을 분류하여 두 영역에 동일한 미니멈 필터를 적용한다. 이를 DFT를 통해 각 영역간의 주파수 특성이 어떻게 나타나는지 확인하였다. 이 결과를 바탕으로 두 영역간의 차분값을 활용하여 최종 검출 맵으로 구현하였다.

• 디지털융복합연구
• /
• 제10권5호
• /
• pp.223-232
• /
• 2012

최근 개인정보에 대한 유출과 침해행위가 급증하면서 악의적인 목적의 피해사례가 급증하고 있다. 대부분의 사용자가 윈도우즈 운영체제를 사용하고 있으며, 최근 Windows 7 운영체제가 발표되면서 Windows 7 OS 환경에서의 침해대응 기법에 대한 연구가 필요하다. 현재까지 개발된 침해사고 대응 기법은 대부분 Windows XP 또는 Windows Vista를 중심으로 구현되어 있다. 윈도우즈 운영체제에서 시스템 침해사고를 효율적으로 분석하기 위해서는 시스템에서 생성되는 이벤트 정보의 시간정보 및 보안 위협 가중치 정보를 중심으로 이를 시각적으로 분석할 필요가 있다. 따라서 본 논문에서는 최근 발표된 Windows 7 운영체제에서 생성되는 시스템 이벤트 정보에 대해 시각적으로 분석하고 이를 통해 시스템 침해사고를 분석할 수 있는 시스템을 설계 및 구현하였다. 본 논문에서 개발된 시스템을 이용할 경우 보다 효율적인 침해사고 분석이 가능할 것으로 예상된다.

• 정보보호학회논문지
• /
• 제23권2호
• /
• pp.223-230
• /
• 2013

최근 들어, 수많은 기업들은 IT 분야에서의 비용절감을 위하여 클라우드 솔루션을 채택해 오고 있다. 한편 디지털 흔적이 추후 법정에서 온전한 디지털 증거로 인정받기 위해서는 증거능력이 있어야 하는데, 그 중에서도 무결성은 증거능력을 갖추기 위한 여러 요건 중 하나이다. 이와 같은 맥락에서, 본 논문에서는 대표적인 사설 클라우드 솔루션(Citrix, VMware, MS Hyper-V)으로부터 수집된 VM 데이터를 대상으로 무결성 검증실험을 수행 하였으며, 그 결과로서 사설 클라우드 컴퓨팅 환경에서 수집된 VM 데이터에 대한 무결성 검증방법을 제안하고자 한다. 또한, 전 세계적으로 널리 사용되는 Guidance사의 EnCase 도구가 대표적인 가상 디스크 파일인 VHD (Virtual Hard Disk) 파일을 제대로 마운트 하지 못하는 오류가 있음을 확인하였다.

• 정보보호학회논문지
• /
• 제21권4호
• /
• pp.89-100
• /
• 2011

그간 디지털 포렌식의 활성 시스템 분석 분야의 한 화두는 물리 메모리 이미지 분석이었다. 물리 메모리 분석은 프로세스를 은닉을 하더라도 그 데이터를 물리 메모리에서 확인할 수 있고 메모리에 존재하는 사용자의 행위를 발견할 수 있어 분석 결과의 신뢰성을 높이는 등 디지털 포렌식 분석에 큰 도움이 되고 있다. 하지만 메모리 분석 기술 대부분이 윈도우 운영체제 환경에 초점이 맞추어져 있다. 이는 분석 대상의 다양성을 고려하였을 때 타 운영체제에 대한 메모리 분석이 필요하게 되었음을 의미한다. Mac OS X는 윈도우에 이어 두 번째로 높은 점유율을 가진 운영체제로 부팅 시 커널 이미지를 물리 메모리에 로딩하면서 운영체제가 구동하고 주요 정보를 커널이 관리한다. 본 논문은 Mac OS X의 커널 이미지가 저장하고 있는 심볼 정보를 이용한 물리 메모리 분석 방법을 제안하고, 제안한 내용을 토대로 물리 메모리 이미지에서 프로세스 정보와 마운트된 장치 정보, 커널 버전 정보, 외부 커널 모듈정보(KEXT)와 시스템 콜 목록 정보의 추출 방법을 보인다. 추가적으로 사례 분석을 통해 물리 메모리 분석의 효용성을 입증한다.

• 정보보호학회논문지
• /
• 제21권3호
• /
• pp.143-154
• /
• 2011

SQLite는 소형 데이터베이스로 임베디드 기기와 로컬 응용프로그램에서 주로 사용된다. 최근에는 스마트폰을 비롯한 휴대용 디지털 기기의 보급이 확대됨에 따라 SQLite의 사용이 더욱 증가하고 있다. 따라서 포렌식 수사 과정에서 수집된 디지털 증거에 SQLite 데이터베이스 파일이 포함되어 있을 가능성이 많으며, 용의자가 의도적으로 민감한 데이터를 삭제할 가능성이 있기 때문에, 조사시 SQLite의 삭제된 레코드를 최대한 복구할 필요가 있다. 이 논문은 SQLite의 데이터 관리 규칙과 삭제된 데이터의 구조를 분석하였고, 이를 토대로 삭제된 후 덮어 쓰여지지 않은 레코드의 복구 방법을 제시하였다. 또한 SQLite를 사용하는 대표적인 소프트웨어를 조사하여 삭제된 데이터의 복원 가능성을 확인하였다.

• 정보보호학회논문지
• /
• 제21권1호
• /
• pp.167-175
• /
• 2011

최근 스마트폰의 등장으로 모바일 서비스가 다양한 형태로 성장하고 있다. 각 회사들은 Window Mobile, Android, iOS 등 다양한 운영체제를 탑재하여 출시하고 있지만, 현재 가장 보급이 원활하게 이루어지는 스마트폰은 Android와 iOS를 탑재한 스마트폰이 활발히 보급되고 있다. 이에 따라 스마트폰의 다양한 기능을 이용하여 각종 범죄로 연결될 수 있으며, 다양한 증거들이 남아 있을 수 있다. 본 논문에서는 디지털 포렌식(Forensic)의 관점에 따라 스마트폰에서 수집될 수 있는 증거 데이터의 위치를 파악하고, 도구를 설계해 수집된 데이터를 분석하였다. 이로 인해, 범죄사용으로 인한 스마트폰의 증거들을 수집할 때 시간을 단축시킬 수 있는 기대효과를 가져본다.