• 정보보호학회논문지
• /
• 제30권3호
• /
• pp.417-428
• /
• 2020

정보통신기술의 비약적인 발전과 함께 모바일 장치는 우리 생활에 있어 필수적인 도구가 되었다. 모바일 장치는 대부분의 시간을 사용자와 함께 하면서 개인 정보 관리(PIM) 기능과 동시에 데이터를 축적하기 때문에 범죄 증명에 있어 중요한 증거 자료로 활용된다. 모바일 포렌식은 모바일 기기로부터 디지털 증거를 획득하는 절차로 기타 증거와 동일하게 적법절차에 따라 수집 및 분석이 이루어져야하며, 변조 및 삭제가 용이한 측면을 가지고 있어 증거의 무결성 입증이 필수적이다. 또한, 증거의 채택은 법관의 자유심증주의에 의존하고 있어 일반화된 절차 제시가 절실하다. 본 논문에서는 절차의 일반화를 통해 무결성을 보장받을 수 있는 모바일 포렌식 모델을 제시하였다. 제시된 모바일 포렌식 모델을 통해 증거의 신뢰성과 진정성을 확보함으로써 법관의 심증형성에 기여할 수 있을 것으로 기대된다.

• 한국항행학회논문지
• /
• 제15권5호
• /
• pp.887-892
• /
• 2011

최근 아이패드가 발표되어 신규 휴대기기에 대한 관심이 높아지고 있다. 이렇듯 태블릿 PC 시장이 확대됨에 따라 태블릿 PC에 대한 조사 빈도도 급증할 것으로 예상한다. 하지만 외산 포렌식 도구를 활용한 아이패드 조사는 국내에 특화된 애플리케이션의 분석을 수행할 수 없으며 단순한 뷰어 기능만을 제공하여 체계화된 분석이 어렵다. 따라서 본 논문에서는 아이패드의 기본적인 애플리케이션과 국내에 특화된 애플리케이션을 분석하여 데이터를 획득하고 이를 이용한 효과적인 디지털 포렌식 기법에 대해 제시한다.

• 정보보호학회논문지
• /
• 제33권4호
• /
• pp.671-685
• /
• 2023

인공지능이 이미지 편집 기술에 적용되어 조작 흔적이 거의 없는 고품질 이미지를 생성할 수 있게 되었다. 그러나 이러한 기술들은 거짓 정보 유포, 증거 인멸, 사실 부인 등의 범죄 행위에 악용될 수 있기 때문에 이에 대응하기 위한 방안이 필요하다. 본 연구에서는 이미지 조작을 탐지하기 위해 이미지 파일 분석과 모바일 포렌식 아티팩트 분석을 수행한다. 이미지 파일 분석은 조작된 이미지의 메타데이터를 파싱하여 Reference DB와 비교분석을 통해 조작여부를 탐지하는 방법이다. Reference DB는 이미지의 메타데이터에 남는 조작 관련 아티팩트를 수집하는 데이터베이스로서, 이미지 조작을 탐지하는 기준이 된다. 모바일 포렌식 아티팩트 분석은 이미지 편집 도구와관련된 패키지를 추출하고 분석하여 이미지 조작을 탐지하도록 한다. 본 연구에서 제안하는 방법론은 기존의 그래픽적 특징기반 분석의 한계를 보완하고, 이미지 처리 기법과 조합하여 오탐을 줄일 수 있도록 한다. 연구 결과는 이러한 방법론이 디지털 포렌식 조사 및 분석에 유의미하게 활용될 수 있음을 보여준다. 또한, 조작된 이미지 데이터셋과 함께 이미지 메타데이터 파싱 코드와 Reference DB를 제공하여 관련 연구에 기여하고자 한다.

• 한국산업정보학회논문지
• /
• 제17권1호
• /
• pp.39-46
• /
• 2012

본 논문에서는 클라우드 시스템에 대한 포렌식 측면의 수사 방법을 제시한다. 스마트폰의 성장기에 집어들면서 다양한 어플리케이션들이 개발 되었고 그중 클라우드 시스템은 개인 정보 및 정보 자산의 공유 어플리케이션으로써 사건 발생시 사건에 대한 증거 자료 수집에 중요한 요소가 되는 반면 이에 대한 체계적인 수사 방법은 미흡하여 수사 과정 중 혼동을 줄 수 있다. 따라서 본 논문은 클라우드 시스템에 대한 포렌식 측면의 수사 절차를 제안하여 사건 현장에서의 체계적인 수사 지원 및 은닉 자료에 대한 증거 수집을 지원한다.

• 한국산업정보학회논문지
• /
• 제19권2호
• /
• pp.73-83
• /
• 2014

다양한 오디오 편집 기술이 개발됨으로써 오디오 데이터의 변경이 보다 쉬워지고 그 결과로 위변조 같은 다양한 사회 문제가 발생하고 있다. 현재 이런 문제를 해결하기 위해 디지털 포렌식 기술이 활발히 연구되어지고 있다. 본 논문에서는 이러한 디지털 포렌식 기술 중의 하나로 모바일 기기를 판별하는 방법을 제안하였다. 제안 방법에서는 사람에게는 들리지 않지만 기기의 디자인과 IC로부터 발생하는 노이즈 특징을 이용한다. 위너필터를 사용하여 기기의 노이즈 음을 추출하고 MIRtoolbox를 이용하여 특징들을 추출한 후 이를 다층 신경망에 학습시켜 기기를 판별한다. 총 6개의 모바일 기기를 사용하였으며 5-fold test를 통하여 99.9%의 판별 성능을 보였다. 또한 UCC 사이트에 업로드 된 데이터에서도 노이즈 음을 통한 판별이 가능한지 실험을 진행하였으며 99.8%의 판별 성능을 보였다.

• Mass Spectrometry Letters
• /
• 제9권4호
• /
• pp.95-99
• /
• 2018

An innovative, simple, and rapid assay method based on liquid chromatography coupled with tandem mass spectrometry (LC-MS/MS) was developed and validated for the simultaneous determination of eight statin drugs in human urine. A simple sample clean-up procedure using the "dilute and shoot" (DAS) approach enabled a fast and reliable analysis. The influence of the dilution factor was investigated to ensure detectability and reduce the matrix effect. Chromatographic separation was performed on a Phenomenex Kinetex C18 column ($50{\times}3.0mm$ i.d., $2.6{\mu}m$) using an elution gradient of mobile phase A composed of 0.1% acetic acid, and mobile phase B composed of acetonitrile, at a flow rate of 0.35 mL/min. Quantitation was performed on a triple quadrupole mass spectrometer operated in multiple reaction monitoring (MRM) mode using electrospray ionization in positive ion mode. The total chromatographic run time was 15 min. The method was validated for selectivity, sensitivity, recovery, linearity, accuracy, precision, and stability. The present method was successfully applied to the analysis of Rosuvastatin in urine samples after oral administration to healthy human subjects.

• 정보보호학회논문지
• /
• 제28권3호
• /
• pp.625-633
• /
• 2018

Realm은 모바일 기기에서 주로 사용되는 SQLite를 대체하기 위해 개발된 오픈 소스 데이터베이스이다. 데이터 베이스에 저장되는 데이터는 사용자의 행위를 파악하고 모바일 기기의 동작 여부를 확인하는 데 도움이 될 수 있어 모바일 기기를 대상으로 하는 디지털 포렌식 분석 과정에서 반드시 확인되어야 한다. 뿐만 아니라, 사용자가 의도적으로 데이터베이스에 저장된 데이터 삭제와 같은 안티 포렌식 기법을 사용할 수 있으므로 데이터베이스에서 삭제된 레코드를 복구하는 방법에 대한 연구가 필요하다. 본 논문은 Realm 데이터베이스 파일의 구조와 레코드의 저장 및 삭제 과정을 분석한 결과를 바탕으로 삭제된 후 덮어 쓰여지지 않은 레코드의 복구 기법을 제시하였다.

• 정보보호학회논문지
• /
• 제19권5호
• /
• pp.151-166
• /
• 2009

포렌식 수사 절차상의 무결성을 입증하기 위한 방안으로 해쉬 함수 알고리즘을 적용한 디지털 증거의 경우, 무결성이 손상되면 그 자료는 폐기되어야만 했다. 즉, 주요 사건의 핵심 부분에 대한 증거 확보를 위해서는 삭제 영역에 대한 증거 복원이 필수적임에도 불구하고, 전체적인 해쉬값이 처음 해쉬값과 달라 증거 데이터가 훼손됨으로 인하여 결정적인 증거 능력 확보에 어려움이 있었다. 본 논문에서는 이와 같은 문제점을 해결하기 위한 방안으로서 새로운 모바일 포렌식 절차 모델인"Evidence-Finder (이하 E-Finder) 모바일 포렌식 절차 모델"을 제안한다. E-Finder 절차는 5개 영역의 총 15개 절차 모델로 구성되며 E-Finder 절차를 기존 NIST(National Institute of Standards and Technology)모델, Tata Elxsi Security Group 모델과 비교 및 고찰하였다. 이로 인하여, 현재까지 모바일 포렌식 분야에서 표준화 되지 않고, 검증되지 않은 방법론을 개선하는 기대효과를 달성하였다.

• Journal of information and communication convergence engineering
• /
• 제20권4호
• /
• pp.280-287
• /
• 2022

Recently, the number of mobile ransomware types has increased. Moreover, the number of cases of damage caused by mobile ransomware is increasing. Representative damage cases include encrypting files on the victim's smart device or making them unusable, causing financial losses to the victim. This study classifies ransomware apps by analyzing several representative ransomware apps to identify trends in the malicious behavior of ransomware. We present a technique for recovering from the damage, from a digital forensic perspective, using reverse engineering ransomware apps to analyze vulnerabilities in malicious functions applied with various cryptographic technologies. Our study found that ransomware applications are largely divided into three types: locker, crypto, and hybrid. In addition, we presented a method for recovering the damage caused by each type of ransomware app using an actual case. This study is expected to help minimize the damage caused by ransomware apps and respond to new ransomware apps.

• Journal of Information Processing Systems
• /
• 제18권3호
• /
• pp.402-410
• /
• 2022

Digital data can be manipulated easily, so information related to the timestamp is important in establishing the reliability of the data. The time values for a certain file can be extracted following the analysis of the filesystem metadata or file internals, and the information can be utilized to organize a timeline for a digital investigation. Suppose the reversal of a timestamp is found on a mobile device during this process. In this case, a more detailed analysis is required due to the possibility of anti-forensic activity, but little previous research has investigated the handling and possible manipulation of timestamps on mobile devices. Therefore, in this study, we determine how time values for multimedia files are handled according to the operating system or filesystem on mobile devices. We also discuss five types of timestamps-file created (C), last modified (M), last accessed (A), digitalized (Di), and filename (FN) of multimedia files, and experimented with their operational features across multiple devices such as smartphones and cameras.