• 정보보호학회논문지
• /
• 제25권3호
• /
• pp.573-583
• /
• 2015

앰캐시(Amcache.hve) 파일은 프로그램 호환성 관리자(Program Compatibility Assistant)와 관련된 레지스트리 하이브 파일로 응용 프로그램의 실행정보를 저장한다. 이 파일을 통해서 응용 프로그램의 실행경로, 최초 실행시간을 확인할 수 있을 뿐 아니라, 삭제시간까지 추정할 수 있다. 응용 프로그램의 최초 설치시간 및 삭제시간까지 확인할 수 있기 때문에 프리패치(Prefetch) 파일, 아이콘캐시(Iconcache.db) 파일 분석과 병행하면 응용 프로그램의 전체적인 타임라인을 구성할 수 있다. 또한, 앰캐시 파일은 안티포렌식 프로그램, 포터블 프로그램 및 외장저장장치 흔적을 기록하고 있어 디지털 포렌식 관점에서 중요한 아티팩트이다. 본 논문에서는 앰캐시 파일의 특성과 응용 프로그램 삭제시간 추정 등 디지털 포렌식 기술로서의 활용방안을 제시한다.

• 융합보안논문지
• /
• 제15권7호
• /
• pp.75-84
• /
• 2015

윈도우즈 NTFS 파일시스템에서 인덱스 레코드에 데이터를 숨기기 위한 기법은 파일명을 이용하여 메시지를 숨기는 방법이다. 윈도우즈 NTFS의 파일명 규칙에서 일부 ASCII 문자는 파일명으로 사용할 수 없는 문제가 있다. 영문과 함께 한글, 기호 문자가 함께 입력이 될 때와 바이너리 형태의 데이터들이 입력될 때 인덱스 레코드에 데이터 숨기기 방법 수행 시에 파일생성 에러 문제가 발생하는 것을 해결하기 위한 방법으로 유니코드의 특정 영역으로 변환하는 방법을 제안한다. 에러가 발생하는 문자들을 한글과 영문 영역이 아닌 유니코드로 변환하고. 바이너리 형태의 데이터인 경우는 확장 유니코드 영역과 아스키 코드의 영역이 아닌 유니코드의 영역으로 256개의 코드 전체를 변환하는 방식을 적용한다. 영문과 함께 한글이 사용된 경우에 제안한 방식이 적용된 사례의 결과를 보이고. 바이너리의 경우는 PNG이미지 파일의 바이너리 코드를 유니코드로 변환한 사례를 통해서 제안한 방법이 타당함을 보인다.

• 정보보호학회논문지
• /
• 제24권5호
• /
• pp.885-896
• /
• 2014

일반적으로 사용하는 컴퓨터의 저장소는 예상치 못한 오류나 사고로 인해 파일이 삭제되는 일이 발생할 수 있다. 또한 악의적인 목적을 가진 누군가가 안티 포렌식을 목적으로 직접 데이터를 삭제하기도 한다. 이렇게 삭제된 파일이 범죄와 연관된 증거이거나 업무상 중요한 문서인 경우 복구를 위한 대책이 있어야 한다. NTFS, FAT, EXT와 같은 파일 시스템은 삭제된 파일을 복구하기 위한 기법이 활발히 연구되었고 많은 도구가 개발 되었다. 그러나 최근 NAS 및 CCTV 저장소에 적용된 XFS 파일 시스템을 대상으로는 삭제된 파일을 복구하기 위해 제안된 연구개발 결과가 거의 없으며 현재까지 개발된 도구들은 전통적인 시그니처 탐지 기반 카빙 기법에 의지하고 있어서 복구 성공률이 저조한 상황이기 때문에 이에 대한 연구가 필요하다. 따라서, 본 논문에서는 XFS 파일 시스템에서의 삭제된 파일을 복구하기 위해 메타데이터 기반 복구 방법과 시그니처 탐지 기반 복구 방법을 제안하며 실제 환경에서 실험하여 검증하였다.

• 정보보호학회논문지
• /
• 제27권3호
• /
• pp.489-499
• /
• 2017

MS 오피스는 국내뿐만 아니라 세계적으로 널리 사용되는 오피스 소프트웨어이다. 여러 버전 중 MS 오피스 2007부터 최신 버전인 MS 오피스 2016까지 문서 구조에 OOXML 형식이 사용되고 있다. 이와 관련해 대표적인 안티-포렌식 행위인 데이터 은닉에 대한 방법이 연구, 개발되어 은닉된 데이터에 대한 탐지 방법은 디지털 포렌식 수사 관점에서 매우 중요하다. 본 논문에서는 기존에 발표된 OOXML 형식의 MS 오피스 문서에 데이터 은닉 및 탐지에 관한 두가지 연구를 소개한 뒤 두 연구의 탐지 방법을 우회하는 데이터 삽입 방법과 MS 오피스 엑셀, 파워포인트의 데이터인 시트, 슬라이드 등을 은닉하는 방법을 제시한다. 이와 같은 방법으로 은닉된 데이터를 탐지할 수 있는 향상된 탐지 알고리즘 또한 제시한다.

• 정보보호학회논문지
• /
• 제30권3호
• /
• pp.369-378
• /
• 2020

모바일 기기의 보편화로 스마트폰 보급률 및 사용률이 계속해서 증가하고 있으며, 애플리케이션에서 저장 및 관리해야 할 데이터 또한 증가하고 있다. 최근 애플리케이션은 효율적인 데이터 관리를 위해 모바일 데이터베이스를 이용하는 추세이다. 2014년 개발된 Realm 데이터베이스는 지속적인 업데이트와 빠른 속도, 적은 메모리 사용, 코드의 간결함과 가독성 등의 장점을 바탕으로 개발자들의 관심이 증가하고 있다. 또한, 데이터베이스에 저장된 개인정보의 기밀성과 무결성을 제공하기 위해 암호화를 지원한다. 하지만 암호화 기능은 안티 포렌식 기법으로 사용될 가능성이 있으므로 Realm 데이터베이스가 제공하는 암·복호화 동작 과정 분석이 필요하다. 본 논문에서는 Realm 데이터베이스의 구조와 암·복호화 동작 과정을 상세히 분석하였으며, 분석 내용에 관한 활용 사례를 보이기 위해 암호화를 지원하는 애플리케이션을 분석하였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제6권2호
• /
• pp.59-66
• /
• 2017

MySQL 데이터베이스는 현재 데이터베이스 시장 점유율에서 2위를 차지하고 있다. 특히 InnoDB 스토리지 엔진은 MySQL 5.5 버전부터 디폴트 스토리지 엔진으로 사용되어 왔으며, 많은 기업에서 InnoDB 스토리지 엔진으로 MySQL 데이터베이스를 사용하고 있다. 디지털 포렌식 분야에서 InnoDB 스토리지 엔진에 대한 구조적 특징과 로그에 관한 연구는 꾸준히 진행되어 왔으나, 삭제된 데이터에 대해 레코드 단위로 복구하는 방법에 대해서는 연구되지 않았다. 기업 조사 시 데이터베이스 관리자가 사전에 증거 인멸을 목적으로 데이터를 훼손하는 경우가 많으므로 이를 복구하는 것은 포렌식 수사 과정에서 중요하다. 본 논문에서는 MySQL InnoDB 스토리지 엔진의 구조를 분석하여 삭제된 데이터를 레코드 단위로 복구하는 기법을 제안하고 제작한 도구를 활용하여 이를 검증한다. 이는 디지털 포렌식 관점에서 데이터베이스 안티포렌식 행위에 대해 대비할 수 있으며, MySQL InnoDB 데이터베이스와 관련된 사건 발생시, 고의로 삭제된 데이터를 복구하는데 활용할 수 있다.

• 인터넷정보학회논문지
• /
• 제23권6호
• /
• pp.1-13
• /
• 2022

정보통신 환경의 발전으로 인하여 군사 시설의 환경 또한 많은 발전이 이루어지고 있다. 이에 비례하여 사이버 위협도 증가하고 있으며, 특히 기존 시그니처 기반 사이버 방어체계로는 막는 것이 어려운 APT 공격들이 군사 시설 및 국가 기반 시설을 대상으로 빈번하게 이루어지고 있다. 적절한 대응을 위해 공격그룹을 알아내는 것은 중요한 일이지만, 안티 포렌식 등의 방법을 이용해 은밀하게 이루어지는 사이버 공격의 특성상 공격 그룹을 식별하는 것은 매우 어려운 일이다. 과거에는 공격이 탐지된 후, 수집된 다량의 증거들을 바탕으로 보안 전문가가 긴 시간 동안 고도의 분석을 수행해야 공격그룹에 대한 실마리를 겨우 잡을 수 있었다. 본 논문에서는 이러한 문제를 해결하기 위해 탐지 후 짧은 시간 내에 공격그룹을 분류해낼 수 있는 자동화 기법을 제안하였다. APT 공격의 경우 일반적인 사이버 공격 대비 공격 횟수가 적고 알려진 데이터도 많지 않으며, 시그니처 기반의 사이버 방어 기법을 우회하도록 설계가 되어있으므로, 우회가 어려운 공격 모델 기반의 탐지 기법을 기반으로 알고리즘을 개발하였다. 공격 모델로는 사이버 공격의 많은 부분을 모델링한 MITRE ATT&CK®을 사용하였다. 공격 기술의 범용성을 고려하여 영향성 점수를 설계하고 이를 바탕으로 그룹 유사도 점수를 제안하였다. 실험 결과 제안하는 방법이 Top-5 정확도 기준 72.62%의 확률로 공격 그룹을 분류함을 알 수 있었다.