• 정보보호학회논문지
• /
• 제18권6A호
• /
• pp.163-177
• /
• 2008

오늘날 많은 기업들이 비용절감을 위해 서버 가상화 기술의 이용 및 보급을 확대함에 따라 가상화 서버에서의 사이버범 죄도 크게 증가할 것으로 예상된다. 서버 가상화 솔루션은 각 가상화 서버에 대한 가상머신 이미지를 생성하는 기능을 기본적으로 제공하기 때문에 서버 가상화 환경에서는 기존의 디지털 포렌식 수사과정의 디스크 이미지 수집과정을 생략하고 가상머신 이미지를 법적증거로 직접 활용함으로써 보다 신속하고 효율적인 수사가 가능하다. 하지만 가상화 서버의 구조적 특징으로 인해 나타날 수 있는 보안 취약성, 그리고 서버 가상화 솔루션의 신뢰성과 증거수집 절차상의 문제들로 인해 가상머신 이미지 자체만으로는 법적증거로서의 허용성을 인정받지 못한다. 본 논문에서는 가상머신 이미지가 법적증거로서 허용성을 인정받기 위해 서버 가상화 솔루션이 갖추어야 할 보안 요구사항, 디지털 포렌식 도구로서의 신뢰성 조건들을 도출하였으며, 가상머신 이미지가 증거로서의 연계보관성을 만족시키기 위해 갖추어야할 부가요소들을 제안한다. 또한 이러한 조건들을 통해 가상머신 이미지 증거가 미국 연방증거법의 법적 허용성 기준들을 만족시키는지 살펴보고, 이를 위한 관련 기관들의 구체적인 역할 및 세부 추진계획들을 제안한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제16권9호
• /
• pp.3068-3086
• /
• 2022

Digital Forensics is gaining popularity in adjudication of criminal cases as use of electronic gadgets in committing crime has risen. Traditional approach to collecting digital evidence falls short when the disk is encrypted. Encryption keys are often stored in RAM when computer is running. An approach to acquire forensic data from RAM when the computer is shut down is proposed. The approach requires that the investigator immediately cools the RAM and transplant it into a host computer provisioned with a tool developed based on cold boot concept to acquire the RAM image. Observation of data obtained from the acquired image compared to the data loaded into memory shows the RAM chips exhibit some level of remanence which allows their content to persist after shutdown which is contrary to accepted knowledge that RAM loses its content immediately there is power cut. Results from experimental setups conducted with three different RAM chips labeled System A, B and C showed at a reduced temperature of -25C, the content suffered decay of 2.125% in 240 seconds, 0.975% in 120 seconds and 1.225% in 300 seconds respectively. Whereas at operating temperature of 25℃, there was decay of 82.33% in 60 seconds, 80.31% in 60 seconds and 95.27% in 120 seconds respectively. The content of RAM suffered significant decay within two minutes without power supply at operating temperature while at a reduced temperature less than 5% decay was observed. The findings show data can be recovered for forensic evidence even if the culprit shuts down the computer.

• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제4권12호
• /
• pp.561-570
• /
• 2015

IT 기술이 급격히 발전함에 따라서 디지털 멀티미디어 장치 및 소프트웨어를 이용한 콘텐츠가 범람하고 있다. 그러나 불법적 목적을 가지고 있는 사용자가 활용함에 따라 이를 이용한 범죄가 증가되고 있고 멀티미디어 포렌식을 통한 콘텐츠의 보호 및 불법 사용 차단의 필요성이 대두되고 있다. 본 논문에서는 센서 패턴 잡음을 이용하여 디지털 영상 획득 장치 판별을 위한 포렌식 기술에 대하여 제안한다. 먼저 광자 탐지기의 빛에 대한 민감도가 불완전해 생기는 센서 패턴 잡음을 검출하기 위한 기술에 대하여 제시한다. 그다음에 참조 영상들에 대하여 센서 패턴 잡음을 추정하고, 검사 영상에 대하여 센서 패턴 잡음을 추정한 후 두 잡음 사이의 유사성 계산을 통하여 디지털 영상을 획득한 장치에 대하여 판별하는 방법을 설명한다. 제안한 기술의 성능 분석을 위하여 DSLR 카메라, Compact 카메라, 스마트폰, 캠코더 등을 포함한 총 10대 장치에 대하여 개발한 알고리즘에 대한 정량적 성능의 분석을 수행하였고, 그 결과 99.6%의 판별 정확도를 달성하였다.

• 전자공학회논문지
• /
• 제52권1호
• /
• pp.61-68
• /
• 2015

최근에 위,변조 영상의 처리이력 복구를 위한 포렌식 툴로서 미디언 필터링 (MF: Median Filtering) 검출기가 크게 고려되고 있다. 미디언 필터링의 분류를 위한 미디언 검출기는 적은 양의 특징 셋과 높은 검출율을 갖도록 설계되어야 한다. 본 논문은 변조된 영상의 미디언 필터링 검출을 위한 새로운 방법을 제안한다. BMP를 미디언 윈도우 사이즈에 의하여 여러 미디언 필터링 영상으로 변환하고, 윈도우 사이즈에 따른 차분포 값을 계산하여 그 값으로 미디언 필터링 윈도우 사이즈와 같은 특징 셋을 만든다. 미디언 필터링 검출기에서, 특징 셋은 잠재성장 모델링 (LFM: Latent Growth Modeling)을 사용하는 모델 특성으로 변환된다. 실험에서, 테스트 영상은 TP (True Positive)와 FN (False Negative) 두 분류로 판별된다. 제안된 알고리즘은 분류 효율성이 TP와 FN의 혼동에서 최소거리 평균이 0.119로서 훌륭한 성능임이 확인 되었다.

• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제8권10호
• /
• pp.411-420
• /
• 2019

멀티미디어 포렌식 분야에서 영상을 촬영한 카메라 모델 판별을 위한 연구가 지속되어 왔다. 점점 고도화되는 범죄 중에 불법 촬영 등의 범죄는 카메라가 소형화됨에 따라 피해자가 알아차리기 어렵기 때문에 높은 범죄 발생 건수를 차지하고 있다. 따라서 특정 영상이 어느 카메라로 촬영되었는지를 특정할 수 있는 기술이 사용된다면 범죄자가 자신의 범죄 행위를 부정할 때, 범죄 혐의를 입증할 증거로 사용될 수 있을 것이다. 본 논문에서는 영상을 촬영한 카메라 모델 판별을 위한 딥러닝 모델을 제안한다. 제안하는 모델은 4개의 컨볼루션 계층과 2개의 전연결 계층으로 구성되었으며, 데이터 전처리를 위한 필터로 High Pass Filter를 사용하였다. 제안한 모델의 성능 검증을 위하여 Dresden Image Database를 활용하였고, 데이터셋은 순차분할 방식을 적용하여 생성하였다. 제안하는 모델을 3 계층 모델과 GLCM 적용 모델 등 기존 연구들과 비교 분석을 수행하여 우수성을 보였고, 최신 연구 결과에서 제시하는 수준의 98% 정확도를 달성하였다.

• 정보보호학회논문지
• /
• 제33권4호
• /
• pp.671-685
• /
• 2023

인공지능이 이미지 편집 기술에 적용되어 조작 흔적이 거의 없는 고품질 이미지를 생성할 수 있게 되었다. 그러나 이러한 기술들은 거짓 정보 유포, 증거 인멸, 사실 부인 등의 범죄 행위에 악용될 수 있기 때문에 이에 대응하기 위한 방안이 필요하다. 본 연구에서는 이미지 조작을 탐지하기 위해 이미지 파일 분석과 모바일 포렌식 아티팩트 분석을 수행한다. 이미지 파일 분석은 조작된 이미지의 메타데이터를 파싱하여 Reference DB와 비교분석을 통해 조작여부를 탐지하는 방법이다. Reference DB는 이미지의 메타데이터에 남는 조작 관련 아티팩트를 수집하는 데이터베이스로서, 이미지 조작을 탐지하는 기준이 된다. 모바일 포렌식 아티팩트 분석은 이미지 편집 도구와관련된 패키지를 추출하고 분석하여 이미지 조작을 탐지하도록 한다. 본 연구에서 제안하는 방법론은 기존의 그래픽적 특징기반 분석의 한계를 보완하고, 이미지 처리 기법과 조합하여 오탐을 줄일 수 있도록 한다. 연구 결과는 이러한 방법론이 디지털 포렌식 조사 및 분석에 유의미하게 활용될 수 있음을 보여준다. 또한, 조작된 이미지 데이터셋과 함께 이미지 메타데이터 파싱 코드와 Reference DB를 제공하여 관련 연구에 기여하고자 한다.