• 사물인터넷융복합논문지
• /
• 제7권3호
• /
• pp.1-8
• /
• 2021

IoT와 모바일 기기 사용이 급격히 증가하면서 IoT 기기를 대상으로 한 사이버 범죄 역시 늘어나고 있다. IoT 기기 중 Wireless AP(Access Point)를 사용할 경우 자체 보안 취약성으로 인해 패킷이 외부로 노출되거나 Bot과 같은 악성코드에 손쉽게 감염되어 DDoS 공격 트래픽을 유발하는 등의 문제점이 발견되고 있다. 이에 본 연구에서는 최근 급증하는 IoT 기기 대상 사이버 공격에 능동적으로 대응하기 위해 공공분야 시장 점유율이 높은 IoT 기기를 대상으로 침해사고 흔적을 수집하고, 침해사고 분석 데이터의 유효성을 향상시키기 위한 방법을 제시하였다. 구체적으로, 샘플 IoT 악성코드를 대상으로 동작 재현을 통해 취약점 발생 요인을 파악한 후 침해 시스템 내 주요 침해사고 흔적 데이터를 획득하고 분석하는 방법을 제시하였다. 이에 따라 대단위 IoT 기기를 대상으로 한 침해사고 발생시 이에 효율적으로 대응할 수 있는 체계를 구축할 수 있을 것으로 기대된다.

• 정보보호학회논문지
• /
• 제33권5호
• /
• pp.737-751
• /
• 2023

기업 및 개인의 데이터가 온프레미스 환경에서 클라우드로 이동하면서 클라우드 포렌식 중요성이 증가하고 있다. 클라우드 데이터는 모바일 기기부터 데스크톱 등 여러 장치에 저장될 수 있으며, 연동된 계정과 클라우드 서비스로부터 생성되는 정보 등 다양한 행위 아티팩트가 존재한다. 그러나 데이터의 분산 저장과 아티팩트 연계성 부족 등 클라우드의 환경적 제약으로 인해 디지털 증거를 확보하고 분석하는 것에 한계점이 있다. 이를 해결할 수 있는 수단 중 하나로 아카이빙 서비스가 있으며, 대표적으로 구글의 Takeout이 있다. 본 논문에서는 아카이빙 데이터 기반의 클라우드 포렌식을 위해 사용자 행위 데이터를 분석하고 수사 관점에서 필요한 항목을 선별한다. 또한 아티팩트의 연관성과 멀티 행위를 유의미하게 판단하기 위해 선별한 데이터를 시간 정보 기준으로 분석하는 과정과 웹 기반 시각화를 제안한다. 이를 통해 클라우드 데이터 증거수집의 중요성이 증가함에 따른 아카이빙 데이터의 활용 가치를 보여주고자 한다.

• 인터넷정보학회논문지
• /
• 제23권5호
• /
• pp.69-78
• /
• 2022

IoT(Internet of Things) 디바이스의 사용이 확대됨에 따라 경찰청의 디지털 포렌식 적용 범위가 스마트 홈 영역으로 확대되었다. 이에 따라 스마트 홈 플랫폼 데이터를 수집하기 위해 진행된 기존 연구들은 대부분 모바일 기기의 로컬 데이터 분석과 네트워크 관점의 분석 등의 연구가 주로 수행되었다. 하지만 증거 분석을 위해 유의미한 데이터는 스마트 홈 플랫폼의 클라우드 스토리지에 주로 저장되어있다. 따라서 본 논문에서는 사용자가 헤이 홈 앱 기반의 "헤이 홈 스퀘어" 서비스를 이용할 때 PC에 기록되는 Microsoft Edge, Google Chrome, Mozilia Firefox, Opera와 같은 웹 브라우저들의 쿠키 데이터베이스를 통해 사용자 계정의 accessToken을 획득하여 헤이 홈 Air 환경에서 클라우드에 저장된 데이터의 수집 방안을 연구했다. 데이터는 헤이 홈의 모회사가 제공하는 OpenAPI를 활용해 클라우드로 직접 접근하여 수집하였다. 본 논문에서는 스마트 온·습도 센서, 스마트 도어 센서, 스마트 모션 센서로 환경을 구성하여 실험를 수행했고 날짜 및 장소별 온·습도 데이터, 사용한 디바이스 리스트, 방 내 모션 감지 기록 등의 아티팩트를 수집할 수 있는 것을 확인하였다. 이와 같은 아티팩트 분석 결과를 통해 알 수 있는 사건 당시의 온·습도 등의 정보는 포렌식 수사 과정에서 단서로 활용될 수 있다. 또한 본 논문에서 제안한 OpenAPI를 활용한 클라우드 데이터 수집 방안은 데이터 수집 과정에서 발생할 수 있는 변조 가능성을 배제하고, API를 이용해 결과를 호출하기 때문에 디지털 포렌식의 원칙인 무결성의 원칙과 재현성의 원칙을 따른다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제6권7호
• /
• pp.307-314
• /
• 2017

스틱-PC(Stick-PC)는 크기가 작고 휴대가 용이하여 언제 어디서든 모니터나 TV 등의 디스플레이 장치에 연결하면 데스크탑 PC(Desktop PC)처럼 사용이 가능하다. 이에 따라 스틱-PC(Stick-PC)도 일반 PC처럼 각종 범죄로 연결될 수 있으며 다양한 증거들이 남아 있을 수 있다. 스틱-PC(Stick-PC)는 일반 데스크탑 PC(Desktop PC)와 같은 윈도우즈(Windows) 버전의 운영체제를 사용하고 있어 분석해야 할 아티팩트들은 동일하다. 하지만 데스크탑 PC(Desktop PC)와 달리 이동성이 있어 시스템 분석 전에 주변 기기 연결 흔적을 찾아 실사용자 확인 및 사용 흔적을 파악하는 것이 이루어지면 포렌식 조사 시 상당히 의미 있는 정보로 사용될 수 있다. 따라서 본 논문은 스틱-PC(Stick-PC)의 이미지 수집 방법 중 하나인 Bootable OS를 이용하여 이미지를 수집하는 방법을 제시한다. 또한 레지스트리와 이벤트로 그를 통해 디스플레이, 블루투스(Bluetooth) 등의 주변기기 연결 흔적과 네트워크 연결 흔적을 분석하는 방법을 제시하고 실험 시나리오를 통해 포렌식 관점에서 활용 방안을 제시한다.