• 한국차세대컴퓨팅학회논문지
• /
• 제13권3호
• /
• pp.26-33
• /
• 2017

최근 클라우드 플랫폼을 효율적으로 사용하기 위한 컨테이너 기술들이 주목을 받고 있다. 컨테이너 가상화 기술은 기존 하이퍼바이저와 비교하였을 때 이식성이 뛰어나고 집적도가 높다는 장점을 가지고 있다. 하지만 컨테이너 가상화 기술은 하나의 커널을 공유하여 복수개의 인스턴스를 구동하는 운영체제 레벨의 가상화 기술을 사용하기 때문에 인스턴스 간 공유 자원 요소가 많아져 취약성 또한 증가하는 보안 문제를 가지고 있다. 컨테이너는 컴퓨팅 자원의 효율적 운용을 위해 호스트 운영체제의 라이브러리를 공유하는 특성으로 인해 공격자는 커널의 취약점을 이용하여 호스트 운영체제의 루트 권한 획득 공격이 가능하다. 본 논문에서는 컨테이너가 사용하는 특정 메모리 영역의 변화를 감지하고, 감지 시에는 해당 컨테이너의 동작을 중지시키는 메모리 트랩 기법을 사용하여 컨테이너 내부에서 발생되는 호스트 운영체제의 루트 권한 탈취 공격을 효율적으로 탐지 및 대응하기 위한 프레임워크를 제안한다.

• 정보처리학회논문지C
• /
• 제19C권1호
• /
• pp.1-8
• /
• 2012

최근 초고속 통신망의 발달과 클라우드 컴퓨팅 기술을 활용한 온 디멘드(On-demand)형 소프트웨어 SaaS(Software as a Service)의 사용이 크게 증가하고 있다. 하지만 이러한 클라우드 컴퓨팅 환경에 대한 디지털 포렌식은 현재 학문적, 실용적 체계화 수준이 미비한 실정이다. 또한 클라우드 환경의 특성상 사용자 행위에 의한 데이터가 로컬 시스템에 거의 남지 않고, 원격지 서버에 분산 저장되기 때문에 디지털 포렌식 조사관점에서 많은 어려움이 따른다. SaaS는 기본적으로 웹을 통해 접속하는 서비스 형태이기 때문에, 클라이언트관점에서 History files, Cookie files, Temporary Internet Files, 물리메모리 등의 분석이 중요하다. 본 논문에서는 현재 널리 쓰이는 SaaS를 선정하여, 클라우드 컴퓨팅 서비스 타입 중 하나인 SaaS 사용 흔적 분석 방안을 제시한다.

• 정보보호학회논문지
• /
• 제33권3호
• /
• pp.471-485
• /
• 2023

최근 사용자의 익명성이 보장되는 블록체인의 특성으로 인해 블록체인 기반 기술인 암호화폐가 불법 거래 등의 범죄에 악용되는 사례가 증가하고 있다. 하지만 암호화폐는 암호화폐 지갑에서 보호되어 범죄 자금환수에 어려움이 있는 실정이다. 따라서 본 연구는 범죄에 사용된 암호화폐를 추적·환수하기 위해 브라우저 익스텐션 월렛 4종(Metamask, Binance, Phantom, Kaikas)을 대상으로 사용자 행위에 기반하여 로컬 PC의데이터와메모리영역에서 아티팩트를 획득하고, 디지털 포렌식 관점에서의 활용 방안을 분석한다. 분석 결과로 브라우저의 캐시데이터에서 획득한 API명을 통해 피의자가 사용한 지갑과 암호화폐의 종류를 확인했으며 송금 거래에 사용된 URL과지갑 주소를 획득했다. 또한 쿠키 데이터에서 사용된 디바이스를 식별할 수 있는 Client ID를확인하고, 메모리에서 니모닉 코드를 획득 가능함을 확인했다. 추가적으로, 획득가능한 니모닉 코드의 지속성을 측정하고 획득을 자동화하기 위한 알고리즘을 제안한다.

• 정보보호학회논문지
• /
• 제33권2호
• /
• pp.295-303
• /
• 2023

클라우드 컴퓨팅 시장이 성장하면서 다양한 클라우드 서비스가 안정적으로 제공되고 있으며 국내행정·공공기관은 모든 정보시스템을 클라우드 시스템으로 운영하기 위한 전환사업을 수행하고 있다. 그러나 인터넷을 통해 클라우드 자원에 접근할 경우, 내·외부 인력의 잘못된 자원 사용 및 악의적인 접근이 가능하기 때문에 사전에 클라우드 서비스를 안전하게 운영하기 위한 보안 기술을 마련하는 것이 필요하다. 본 논문은 클라우드 서비스 중, 민감한 데이터를 저장하는 클라우드 스토리지 서비스에 대해 제로 트러스트 기반으로 보안 기술을 설계하고, 설계된 보안기술을 실제 클라우드 스토리지에 적용하여 보안 기술의 실효성을 검증한다. 특히, 보안 기술 적용 여부에 따른 클라우드 사용자의 상세 접근 및 사용 행위를 추적하기 위하여 메모리 포렌식, 웹 포렌식, 네트워크 포렌식을 수행한다. 본 논문에서는 클라우드 스토리지 서비스로서 Amazon S3(Simple Storage Service)를 사용하고, S3의제로트러스트 기술로는 접근제어목록 및 키 관리 기술을 사용한다. 또한, S3에 대한 다양한 접근 유형을 고려하기 위하여 AWS(Amazon Web Services) 클라우드 내·외부에서 서비스 요청을 발생시키고, 서비스 요청위치에 따른 보안 기술 적용 효과를 분석한다.

• 정보보호학회논문지
• /
• 제30권3호
• /
• pp.369-378
• /
• 2020

모바일 기기의 보편화로 스마트폰 보급률 및 사용률이 계속해서 증가하고 있으며, 애플리케이션에서 저장 및 관리해야 할 데이터 또한 증가하고 있다. 최근 애플리케이션은 효율적인 데이터 관리를 위해 모바일 데이터베이스를 이용하는 추세이다. 2014년 개발된 Realm 데이터베이스는 지속적인 업데이트와 빠른 속도, 적은 메모리 사용, 코드의 간결함과 가독성 등의 장점을 바탕으로 개발자들의 관심이 증가하고 있다. 또한, 데이터베이스에 저장된 개인정보의 기밀성과 무결성을 제공하기 위해 암호화를 지원한다. 하지만 암호화 기능은 안티 포렌식 기법으로 사용될 가능성이 있으므로 Realm 데이터베이스가 제공하는 암·복호화 동작 과정 분석이 필요하다. 본 논문에서는 Realm 데이터베이스의 구조와 암·복호화 동작 과정을 상세히 분석하였으며, 분석 내용에 관한 활용 사례를 보이기 위해 암호화를 지원하는 애플리케이션을 분석하였다.

• 정보보호학회논문지
• /
• 제30권3호
• /
• pp.397-403
• /
• 2020

실시간 대화, 멀티미디어, 파일 및 연락처 공유 서비스의 편리함으로 대다수 사용자는 인스턴트 메신저를 사용하며, 제공하는 기능이 다양해짐에 따라 메신저 이용 시간이 증가하고 있다. 이러한 이유로 메신저는 많은 양의 사용자의 행위 정보를 포함하고 있다. 따라서 디지털 포렌식 관점에서는 메신저 데이터를 사용자 행위 파악을 위한 유용한 증거물로 활용할 수 있다. 그러나 개인정보보호를 목적으로 중요 정보는 암호화하여 저장하기 때문에 증거로 사용하기 어려우며, 사용자가 고의로 메신저 데이터를 삭제한 경우에는 데이터 획득이 불가능하다. 따라서 메신저 데이터를 증거로 사용하기 위해서는 암호화된 메시지 복호화와 삭제된 메시지 복구 연구는 필수적으로 선행되어야 한다. 본 논문에서는 윈도우 환경에서 인스턴트 메신저인 말랑말랑 톡카페의 데이터베이스 암호화 프로세스를 분석하였으며, 복호화에 성공하였다. 또한, 삭제된 메시지를 식별하고 이를 휘발성 메모리 영역에서 복구하였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제3권2호
• /
• pp.31-42
• /
• 2014

임베디드 시스템 소프트웨어의 보안성 분석을 위한 동적 프로그램 분석을 시도하기 위해서는 디버거 체계가 필요하다. 타겟 장비가 범용 운영체제와 비슷한 환경을 지원하는 경우에는 소프트웨어 기반의 디버거 혹은 DBI 프레임웍 등을 장비 내에 설치하여 분석할 수 있으나, 설치 가능성 제한이나 분석 환경의 투명성 문제 등의 어려움이 있을 수 있다. JTAG (IEEE 1149.1)디버거 장비를 이용하여 분석하는 경우에는 분석을 위해 타겟 장비 내의 소프트웨어적 환경을 변경하지 않아도 된다. 타겟 장비의 보안성 분석을 위한 프로그램 동적 분석 기법들을 용이하게 적용하기 위해서는 JTAG 디버거 장비를 제어하기 위한 API가 필요하다. 본 논문에서는 ARM 코어 기반 임베디드 시스템 분석을 위한 JTAG API를 소개한다. 구현된 API는 JTAG 디버거 하드웨어를 직접 제어하며 디버깅 환경 및 동작제어를 위한 함수 세트를 제공한다. API의 활용 용이성을 확인하기 위하여 커널 함수 퍼징과 라이브 메모리 포렌식 기법을 적용한 보안 분석 도구의 예제 구현을 제시한다.

• 정보보호학회논문지
• /
• 제22권1호
• /
• pp.57-65
• /
• 2012

휴대폰에서 사용하는 대화내용을 녹음하거나 음성으로 메모를 남기는 경우가 있는데 범죄의 은폐나 사용자의 실수로 중요한 음성 데이터를 삭제하는 경우가 있다. 음성 데이터는 어떤 사실에 대한 증거로써 영향력이 강하기 때문에 포렌식 조사를 위해서도 삭제된 음성 데이터를 복구해야 한다. 데이터가 조각나기 쉬운 플래시 메모리에 데이터를 저장하는 휴대폰의 특성상 음성 데이터를 복구하기 어렵다. 하지만 음성 데이터를 특정할 수 있는 패턴이 있다면 이 패턴으로 이미지를 조사하여 음성 데이터를 일정 이상 복원할 수 있다. 음성 데이터에는 여러 종류가 있고, 본 논문에서는 퀄컴의 QCP 파일 포맷에서 사용하는 EVRC, AMR 코덱에 대하여 데이터를 복구할 수 있는 방안을 제안한다.

• 정보보호학회논문지
• /
• 제22권6호
• /
• pp.1345-1354
• /
• 2012

USB 메모리가 보편화됨에 따라 보안 USB 제품들이 일반화 되고 있다. 보안 USB는 장치 기반의 접근제어, 저장된 파일의 암호화 등 다양한 방식으로 데이터를 보호하고 있다. 따라서 포렌식 관점에서 분석자가 데이터에 접근하기 위해서는 많은 어려움이 존재하여 데이터 복호화가 필요하다. 본 논문에서는 보안이 적용된 이동식 저장 매체에 대한 취약성 검증을 위해 소프트웨어 방식의 데이터 암 복호화 기술을 연구하고 이에 대한 분석 메커니즘을 제안한다. 보안 메커니즘이 적용된 USB 저장장치를 대상으로 데이터 복호화를 위한 취약점 분석을 수행하였으며, 그 결과 암호화가 적용된 보안 USB 제품에 대해서 패스워드 없이 원본 파일을 추출할 수 있는 취약점이 존재함을 확인할 수 있었다.

• 한국항해항만학회:학술대회논문집
• /
• 한국항해항만학회 2022년도 춘계학술대회
• /
• pp.214-217
• /
• 2022

침몰 선박이 발생하는 경우, 선박의 사고에 대한 원인분석과 사고수습을 위하여 선박의 정확한 항적이 요구된다. 선박의 항적은 육상의 시스템에서도 수집될 수 있으나, 레이더, AIS 등 시스템 권역이 미치지 않는 경우, 선박 자체에 저장된 항적에 의존된다. 우선, 선박사고에서 항적은 사고 분석의 핵심 키가 되는데, 침수되는 선박의 경우, 항적을 저장한 항해장비가 침수되어 부식이 되므로 장비활용이 어렵게 만든다. 최근 사고 선박의 메모리칩을 이용하여 항적을 추출하는 연구가 진행되고 있어, 항적을 추출할 수 있는 가능성이 존재하나, 침수 선박으로 부식이 많이 된 상태에서 인양이 되면 칩자체 복구가 거의 불가능하다. 따라서 부식이 심하게 일어나기 전의 침수 선박의 인양 시점이 언제인지 또는 침수된 선박의 항해 장비 취득 시점이 언제인지는 해양분야 과학 수사에 매우 중요한 요소가 되고 있다. 따라서 본 논문에서는 침수된 선박의 항해장비와 같은 유사한 칩들을 침수시키는 시험을 수행하였고, 그 시험환경 및 결과 들을 공개 하고자 한다.