• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2022년도 춘계학술발표대회
• /
• pp.560-563
• /
• 2022

인공지능 기반의 딥페이크(Deepfakes) 기술이 사회적인 이슈로 대두되고 있다. 하지만 기존 딥페이크 탐지기는 sharpening, additive noise와 같은 간단한 이미지 변형만으로 탐지 우회가 가능한 문제점이 있다. 본 논문에서는 안티 포렌식에 강인한 딥페이크 탐지기를 개발하기 위해 이미지 편집 도구 기반의 안티 포렌식 데이터셋을 생성하고 적대적 학습을 수행하는 방법을 제안한다. 실험 결과를 통해 안티 포렌식에 취약한 기존 딥페이크 탐지기 성능이 제안한 적대적 학습 기법을 수행한 이후에 탐지율이 크게 개선된 것을 확인할 수 있었다.

• 정보보호학회논문지
• /
• 제27권1호
• /
• pp.25-38
• /
• 2017

국가 주요 기반 시설을 포함하여 보안사고 발생 시 심각한 피해를 발생시킬 수 있는 산업 제어시스템의 특성에 의해 세계적으로 많은 보안 침해 사고가 발생하고 있다. 따라서 산업 제어시스템 네트워크에 오가는 트래픽은 감시되고, 분석되어 공격을 사전에 파악하거나 사고 이후 재빠른 대응을 수행할 수 있어야 한다. 본 논문에서는 제어시스템 프로토콜인 DNP3를 대상으로 모든 공격의 가능성을 갖는 트래픽들을 대상으로 합리적인 의심이 가능하도록 네트워크 포렌식 관점에서 시각화를 연구를 수행해 정상행위기반 룰을 정의하고 시각화 요구사항을 도출했다. 이를 기반으로 제어시스템 네트워크상에 캡처된 패킷 파일을 대상으로 DDoS와 같은 급작스런 네트워크 트래픽의 변화를 일으키는 경우 혹은 정상행위를 위반한 공격이 탐지 가능한 시각화 도구를 개발했고, 디지털본드 패킷과 같이 치명적인 공격이 포함된 네트워크상에서 성공적으로 비정상행위 탐지를 수행하였다.

• 한국항행학회논문지
• /
• 제18권5호
• /
• pp.494-500
• /
• 2014

최근 대량의 개인정보 유출 사고가 잇따라 발생하고 있으며, 외부 해킹과 더불어 내부직원 및 외주업체 직원에 의한 개인정보 유출사고가 증가하고 있다. 이에 따라 기업에서는 내부 보안을 강화하고, 개인정보 처리 업무를 위탁한 수탁사를 대상으로 개인정보의 분실, 도난, 유출 위험을 최소화하기 위해 정기적인 조사 및 점검을 통한 개인정보 감사를 진행하고 있다. 그러나 수탁사의 다양한 업무환경으로 인해 한정된 시간 동안 모든 개인정보 취급 PC를 정밀 조사하는데 어려움이 있다. 따라서 개인정보의 유출 위험성이 높은 고위험군을 식별하여 점검 대상을 효과적으로 선정하는 것이 필요하다. 본 논문에서는 디지털 포렌식 기법을 활용하여 사용자 행위 기반의 고위험군 선정 방안을 제안한다. 또한, 이를 활용하기 위한 도구를 설계 및 구현하였고, 실험 결과를 통해 효과를 입증한다.

• 정보보호학회논문지
• /
• 제26권1호
• /
• pp.135-152
• /
• 2016

모바일 포렌식은 스마트폰의 대중화와 다양한 모바일 기기의 증가로 인해 그 중요성 및 필요성이 급격히 증가하고 있다. 하지만 그 방안 및 절차는 아직 모바일 포렌식의 특성에 충분히 맞게 적용되고 있지 않다. 이에 따라 본 논문에서는 현재 모바일 포렌식이 직면한 문제점을 파악하기 위해 법 제도 기술적 관점에서의 분석을 수행하였으며 이를 통해 모바일 기기에 대해서는 현재 디지털 포렌식 수사과정에서 큰 이슈가 되고 있는 선별압수에 있어서 제약사항이 있음을 확인하였다. 또한 모바일 포렌식에서 디지털 증거 수집 방안에 대한 분석 및 실사용 도구의 무결성 연구를 진행함으로써 현재 기술의 적합성 검증 및 추후 발생될 문제점에 대해 분석하였으며 결과적으로 모바일 포렌식에서 수집된 데이터가 증거능력을 확보할 수 있는 방안을 위해 전반적인 고려사항을 제시하였다.

• 정보보호학회논문지
• /
• 제33권3호
• /
• pp.487-498
• /
• 2023

클라우드 서비스 취약점을 이용한 보안 사고가 발생하고 있으나, 복잡하고 다양한 서비스 모델을 갖는 클라우드 환경에서의 사고 흔적을 수집하고 분석하는 것은 어려운 문제이다. 이에 클라우드 포렌식 연구의 중요성이 대두되며, 퍼블릭 클라우드 서비스 모델에서의 대표적 보안 위협 사례에 기반한 클라우드 서비스 사용자(CSU)와 클라우드 서비스 제공자(CSP) 관점에서 침해 사고 대응 시나리오를 디자인해야 할 필요가 있다. 본 모의해킹 기반 사전 예방적 클라우드 침해 사고 대응 프레임워크가 클라우드를 대상으로 사이버 공격이 발생하기 전, 취약점 탐지 관점에서 클라우드 서비스 중요 자원 공격 프로세스에 대한 대응 방안에 활용할 수 있고, 포렌식 과정에서 침해 사고 포렌식을 위해 데이터 수집(data acquisition)을 위한 목적으로도 기대할 수 있다. 따라서 본 논문에서는 클라우드 침투 테스트 도구인 Cloudfox를 분석 및 활용하여 모의해킹 기반 사전 예방적 클라우드 침해 사고 대응 프레임워크를 제안한다.

• 정보보호학회논문지
• /
• 제28권3호
• /
• pp.591-603
• /
• 2018

윈도우 이벤트 로그는 윈도우 운영체제에서 시스템 로그를 기록하는 형식이며, 시스템 운영에 대한 정보를 체계적으로 관리한다. 이벤트는 시스템 자체 또는 사용자의 특정 행위로 인해 발생할 수 있고, 특정 이벤트 로그는 기업 보안 감사, 악성코드 탐지 등에 사용될 수 있다. 본 논문에서는 기업 보안 감사 및 악성코드 탐지와 관련된 이벤트 로그(외부장치 연결, 응용 프로그램 설치, 공유 폴더 사용, 프린터 사용, 원격 연결/해제, PC 시작/종료, 로그온/오프, 절전모드, 네트워크 연결/해제, 이벤트 로그 삭제, 시스템 시간 변경, 파일/레지스트리 조작, 프로세스 생성, DNS 질의, 윈도우 서비스 추가)들을 선정하고, 발생하는 이벤트 ID를 분류 및 분석하였다. 또한, 기존의 이벤트 로그 분석도구는 EVTX 파싱 기능만을 포함하고 있어 이를 포렌식 수사에 이용할 경우 사용자의 행적을 추적하기 어렵다. 이에 본 연구에서 새로운 분석도구를 구현하였으며, EVTX 파싱과 행위 분석이 가능하다.

• 정보보호학회논문지
• /
• 제23권2호
• /
• pp.223-230
• /
• 2013

최근 들어, 수많은 기업들은 IT 분야에서의 비용절감을 위하여 클라우드 솔루션을 채택해 오고 있다. 한편 디지털 흔적이 추후 법정에서 온전한 디지털 증거로 인정받기 위해서는 증거능력이 있어야 하는데, 그 중에서도 무결성은 증거능력을 갖추기 위한 여러 요건 중 하나이다. 이와 같은 맥락에서, 본 논문에서는 대표적인 사설 클라우드 솔루션(Citrix, VMware, MS Hyper-V)으로부터 수집된 VM 데이터를 대상으로 무결성 검증실험을 수행 하였으며, 그 결과로서 사설 클라우드 컴퓨팅 환경에서 수집된 VM 데이터에 대한 무결성 검증방법을 제안하고자 한다. 또한, 전 세계적으로 널리 사용되는 Guidance사의 EnCase 도구가 대표적인 가상 디스크 파일인 VHD (Virtual Hard Disk) 파일을 제대로 마운트 하지 못하는 오류가 있음을 확인하였다.

• 정보보호학회논문지
• /
• 제25권1호
• /
• pp.39-48
• /
• 2015

최근 개인정보보호에 관심이 증대되면서 암호화 솔루션 사용이 증가하고 있다. 또한, Windows XP 서비스 지원 종료와 함께 사용자의 운영체제 사양이 향상되면서, Bitlocker와 같은 Full Disk Encryption 솔루션의 활용도가 높아질 것으로 예상된다. 따라서 앞으로의 디지털 포렌식 조사는 Full Disk Encryption 환경에 대한 대응이 필요하다. 본 논문에서는 Full Disk Encryption 환경에 대응하는 디지털 증거 수집 절차를 제안하고 Full Disk Encryption 솔루션 중 사용률이 높은 제품들의 대응 방법 및 탐지 도구를 소개한다.

• 정보보호학회논문지
• /
• 제18권6A호
• /
• pp.163-177
• /
• 2008

오늘날 많은 기업들이 비용절감을 위해 서버 가상화 기술의 이용 및 보급을 확대함에 따라 가상화 서버에서의 사이버범 죄도 크게 증가할 것으로 예상된다. 서버 가상화 솔루션은 각 가상화 서버에 대한 가상머신 이미지를 생성하는 기능을 기본적으로 제공하기 때문에 서버 가상화 환경에서는 기존의 디지털 포렌식 수사과정의 디스크 이미지 수집과정을 생략하고 가상머신 이미지를 법적증거로 직접 활용함으로써 보다 신속하고 효율적인 수사가 가능하다. 하지만 가상화 서버의 구조적 특징으로 인해 나타날 수 있는 보안 취약성, 그리고 서버 가상화 솔루션의 신뢰성과 증거수집 절차상의 문제들로 인해 가상머신 이미지 자체만으로는 법적증거로서의 허용성을 인정받지 못한다. 본 논문에서는 가상머신 이미지가 법적증거로서 허용성을 인정받기 위해 서버 가상화 솔루션이 갖추어야 할 보안 요구사항, 디지털 포렌식 도구로서의 신뢰성 조건들을 도출하였으며, 가상머신 이미지가 증거로서의 연계보관성을 만족시키기 위해 갖추어야할 부가요소들을 제안한다. 또한 이러한 조건들을 통해 가상머신 이미지 증거가 미국 연방증거법의 법적 허용성 기준들을 만족시키는지 살펴보고, 이를 위한 관련 기관들의 구체적인 역할 및 세부 추진계획들을 제안한다.

• 정보보호학회논문지
• /
• 제27권2호
• /
• pp.223-232
• /
• 2017

Microsoft SQL Server의 데이터 복구와 관련된 그간의 연구는 삭제된 레코드가 트랜잭션 로그에 존재하는 경우를 바탕으로 복원하는 방법이 주를 이루었다. 그러나 관련 트랜잭션 로그가 존재하지 않거나 물리 데이터베이스 파일이 Server와 연결되어 있지 않은 경우 적용하기 곤란한 한계가 있었다. 그러므로 범죄 과정에서 용의자가 delete 외 다른 이벤트를 이용하여 삭제할 가능성이 있기 때문에 이에 대한 삭제된 레코드의 잔존을 확인하여 복구 가능성을 확인해볼 필요가 있다. 이 논문에서는 Microsoft SQL Server 물리 데이터베이스 파일의 구조를 기초로 데이터 삭제가 수행되는 delete, truncate, drop 이벤트에 따른 Page 할당정보 유지 여부, 미할당 삭제데이터 존재 여부, 페이지 내 행오프셋 배열 정보의 변화를 실험하여 최종적으로 디지털포렌식 조사 시 관리도구 이용 가능성 및 데이터 복구 가능성을 확인하였다.