(A) New steganalysis for JPEG format using the statistical distance

장정아 고려대학교 정보보호대학원 2006 국내석사

The thesis presents a new steganalysis method using Blockiness based on the attacking the OutGuess theory. We also describe how to estimate original characteristics from stego - images without original - images through experimentation. Based on the distance between the original and stego images, we can decide whether or not a test object is a stego - images. Since the proposed method utilizes a JPEG DCT transformation and the embedding process, the proposed method will be able to detect any JPEG steganography mehtods.

Recovery techniques of deleted files in the XFS filesystem

안재형 Korea University 2015 국내석사

크롬북 포렌식 기법에 관한 연구

윤여경 고려대학교 정보보호대학원 2019 국내석사

모바일 기기의 다양화, 고속통신기술과 웹기술의 발달, 클라우드의 대중화로 기기에 종속되지 않는 인터넷 중심의 웹 OS가 필요하게 되었다. 크롬북은 구글에서 개발한 크롬 OS가 탑재된 컨버터블 노트북 형태의 모바일 기기이다. 이런 웹 OS 모바일 기기는 동일기기 다중 사용자의 특성과 클라우드를 통한 자료의 저장과 공유의 장점이 있다. 또한 보안성이 우수하고 대부분의 자료가 클라우드에 저장되기 때문에 디지털 증거수집은 어렵고 상대적으로 증거인멸은 쉽다. 그러나 기존의 압수수색 절차나 포렌식 분석 방법으로는 이런 웹 OS 모바일 기기에 대응하기 어렵다. 본 논문에서는 앞으로 대중화되는 클라우드 기반의 웹 OS 모바일 기기인 크롬북에 대해 사용자와 관리자 모드로 구분하고, 클라우드 환경에 적합한 증거수집 절차와 분석 방법을 제안하고자 한다.

의료정보시스템의 압수수색 절차와 방법에 대한 연구

김태훈 고려대학교 정보보호대학원 2019 국내석사

병의원에 대한 수사에서 의료정보시스템 내에 존재하는 전자의무기록은 병의원에서 있었던 일을 확인할 수 있어 중요한 증거자료로 압수수색의 대상이 된다. 대형종합병원인 경우에는 전산실과 의무기록실을 운영하고 있어 이들의 협조를 통한 선별 압수가 가능하나, 소형 병의원에서는 이런 지원이 불가능하다. 수사기관에서는 소형병의원에 대해 전자의무기록 데이터베이스 전체를 복제 후 별도 시스템을 구축하여 열람하면서 관련된 자료를 선별하고 나머지는 폐기하는 방식으로 압수수색을 진행하고 있으며 이는 포괄적 압수수색이라는 시비에서 자유롭지 못하다. 본 논문에서는 무결성, 재현가능성, 관리연속성, 신속성을 확보하면서 의료정보시스템의 전자의무기록에 대한 현장 선별 절차와 방법을 제시한다. 의료정보시스템은 계속 변화하고 있으며, 현재 의료정보시스템의 압수수색 절차와 방법에 대한 연구가 선행되어야 다가올 클라우드 의료정보시스템에 대응할 수 있다.

웹 서비스 특성 기반 효율적인 보안관제 모델 연구

이재헌 고려대학교 정보보호대학원 2019 국내석사

보안관제는 여러 정보를 수집하고 그 정보를 분석하는 과정에서 유효한 결과 값을 도출함으로써 IT시스템을 사이버 침해로부터 지켜내는 것이다. 현재 보안관제 분야는 단편적인 정보만을 가지고 사이버 위협 정보를 분석하는 것에서 벗어나, 많은 데이터를 바탕으로 체계적이고 종합적인 관점의 분석을 가능케 하는 SIEM(Security Information Event Management) 장비 사용으로 매우 효과적인 수행이 이루어지고 있다. 그러나 이와 같은 보안관제도, 보안 인력의 수작업을 통해 사이버 공격을 분석하여 대응하고 있다. 이는 뛰어난 보안장비가 있더라도, 사용하는 사용자 중심으로 결과가 달라질 수 있게 된다. 따라서 현재의 보안관제와 앞으로 발전될 보안관제 기술 방향을 볼 때, 그 사이에서 좀 더 개선된 방향으로의 보안관제 방법 모색이 필요하다. 본 연구는 정보제공을 포함하면서도 특성 있는 웹 서비스를 운영하는 경우, 정보 분석을 통해 보안관제의 기준점을 제시하고, 여기서 도출된 관제 유형으로 실제 보안관제 업무 환경에서 누구나 손쉽게 집중 관제할 수 있는 보안관제 모델을 제안하고자 한다. 불필요한 정보는 제외하고 필요한 정보를 중심으로 보안관제함으로써, 효과적인 공격 탐지, 분석 및 차단 방안을 마련할 수 있을 것이다. The security control is to protect IT system from cyber infringement by deriving valid result values in the process of gathering various information and analyzing. In the field of the security control, it is an aspect that security control is very effectivly used with SIEM system which enales analysis of systematic and comprehensive viewpoint based on enormous data, apart from analyzing cyber threat information with limited information. However, It can also be said that cyber attacks are analyzed and coped with the manual work of security personnel. This means that even if there is excellent security equipment, the results will vary depending on the user using. Therefore, In view of the current security control and the direction of future security control technology, there is a need for security control methods in a deeper direction in the meantime. This study proposes a centralized security control method for not normal attempt packets but packets. It comes from white-list IPs based on characteristic parameters which are extracted from the analysis of required functions that are required to be used by a user. The more cumulative data in the white list IPs, the more accurate the IPs. The more accurate the IPs, the more accurate type value of the normal attempt packet. In addition, it is confirmed that the comparison numerical value when the centralized security control based on the type value is a very efficient method to identify the false positives and to centrally control true positives. In case of using SIEM in consideration of practical application, applying constant and real-time security control method with a security event alarm by centralized security control of the parts outside the analyzed type, is a fragmentary but closely related to actual security control work model. If the general security control process is actually performed by applying the security control model based on the characteristic web service, the average ability of the security control personnel could lead to a very effective attack detection, analysis and blocking schemes.

사이버 명예훼손·모욕 대량고소의 형사적 절차 개선방안

박상욱 고려대학교 정보보호대학원 2019 국내석사

인터넷 접근성이 높아지면서 온라인에 다양한 의견을 표출하는 방법과 기회가 늘어나고 있다. 그와 비례하여 사이버상 명예훼손‧모욕성 게시글에 대한 고소건수도 점점 많아지고 있다. 그런데 일부 고소인이 자신에 대한 명예훼손‧모욕 게시글 수십 ~ 수백 건을 고소하는 경우가 발생하고 있다. 사이버 명예훼손‧모욕 사건은 게시자의 인적사항이 특정되지 않기 때문에 이를 추적하기 위해 압수수색영장 발부 등의 절차를 거쳐야 하므로, 한 사건당 소요되는 수사비용이 상당하다. 그러나 반의사불벌죄(명예훼손), 친고죄(모욕) 특성상 게시자가 특정되면 고소인이 합의금을 받고 고소를 취소하는 경우가 많다. 이러한 점을 이용하여 처음부터 합의금을 목적으로 대량 고소를 진행하는 경우도 발생하고 있다. 국가가 이와 같은 사익(합의금)을 목적으로 하는 대량고소에 대해 수사력을 투입하는 것이 부적절하다는 지적이 있다. 본 연구에서는 사이버 명예훼손‧모욕 대량고소 사건에 대해, 합의금을 목적으로 하는 경우로 판단하여, 각하 처분을 할 수 있는 기준을 모색하였다. 우선, 고소인의 과거 동종 대량고소 여부‧횟수 및 처분 결과를 볼 필요가 있다. 두 번째로 형사 고소 외 민사‧형사적 수단 활용 여부, 세 번째로 합의 의사 명시, 네 번째로 고소보충 출석을 기피하는지 여부를 기준으로 판단해볼 수 있을 것이다. 이러한 기준을 서면화하여 일선 경찰관서에 하달하고, 개별 대량고소 사건에 대한 각하 여부를 상급 수사기관에서 최종 판단한다면, 민원 제기 우려를 최소화하고 각하 기준의 일관성을 확보할 수 있을 것으로 기대된다. As Internet accessibility increases, there are more ways and opportunities to express various opinions online. In proportion to that, the number of lawsuits against cyber defamation and humiliation posts is increasing. Some plaintiffs sue hunderes of complaints at once. Due to online anonymity, a lot of inverstigation costs are need to track down the suspect. However, many plaintiffs withdraw the charges after receiving a settlement from the suspect. Furthermore, a large number of lawsuits are being filed for settlement purposes from the start. Some point out that it is inappropriate for the nation to inject investigative power into a massive lawsuit aimed at such private interests. In this study, I sought 4 criteria for granting dismissal for the purpose of the settlement in cases of cyber defamation and insults. If Korea National Police Agency finalizes its decision on the dismissal of an individual mass complaint case, it is expected to minimize the concerns raised by the public and ensure consistency of the dismissal criteria.

사이버 공간 내 디지털 증거 수집 시스템에 관한 연구

정효정 고려대학교 정보보호대학원 2019 국내석사

사이버 공간 내 디지털 증거 데이터는 수정 및 삭제되기 쉬우며 실시간으로 변경사항이 반영되므로 사건 발생 시점 이후 증거 데이터의 빠른 획득이 필요하다. 클라이언트 측에서의 증거 수집은 별도의 행정절차로 인한 시간 지연 없이 데이터를 획득할 수 있다는 장점이 있지만, 대용량 데이터의 수집에 있어서는 마찬가지로 수집 시간 지연 문제에 취약하다. 증거 수집 이후에도, 증거 수집부터 법정제출 시점까지 수집된 증거 데이터가 변경되지 않았음 또한 보일 수 있어야한다. 사이버 공간 내 데이터의 수집 및 보존을 위해서 기존의 잘 알려진 웹 크롤링과 Open API 기술을 활용할 수 있다. 그러나 이는 빅데이터 활용을 위한 수집을 위해 사용되거나, 웹 기록 아카이브를 통한 데이터 보존에 주된 목적이 있었고, 이를 통한 증거화 그 자체에는 목적을 가지고 있지 않다. 따라서 디지털 포렌식 관점에서 사이버 공간 내 데이터의 수집과 보존에 대한 추가적인 연구가 필요하다. 본 논문에서는 사이버 공간 내 주요 웹 기반 서비스를 중심으로, 클라이언트 측면에서의 자동화 된 증거 수집 방식을 제안하여 대용량 데이터에 대한 효율적인 증거 수집이 가능하도록 한다. 나아가 제안한 방식을 사용하고 수집한 디지털 증거의 법정제출시점까지의 무결성을 보장하는 사이버 공간 내 디지털 증거 수집 시스템을 제안하고, 시스템을 구현하여 실제 서비스에서 제안한 증거 수집 방식을 활용할 수 있는지 확인하였다.

비식별화된 통신정보 수사 활용을 통한 개인정보 침해 최소화 방안

박현준 고려대학교 정보보호대학원 2019 국내석사

경찰·검찰 등 수사기관은 그동안 통신비밀보호법 제13조를 근거로 하여 “범죄수사의 필요성”이라는 요건만 충족되면 기간통신사업자 등 전기통신사업자로부터 착·발신 전화번호, 착‧발신 시간, 통화시간, 수‧발신 번호(이하 “기지국 통신 정보”라 한다.)를 수집하여왔다. 그러나 2018년 6월 헌법재판소는 통신비밀보호법 상 통신사실확인자료 제공요청 관련 조항에 대해 위헌이라고 판시하였다. 위와 같은 헌법재판소의 판결 이전에도, 학계에서는 현행 통신 수사에 관하여 통신비밀의 자유 및 사생활의 자유, 개인정보자기결정권 침해 등의 우려를 제기하며, 법원의 통제 강화를 위한 법률 개정을 촉구하여 왔다. 그러나 그동안 통신수사와 관련된 학계의 논의는 수사기관의 자료수집에 관한 법원의 통제 요건을 강화하는 것을 중심으로 진행되었으며, 기본권 침해를 최소화하기 위한 통신 수사의 기술적 방법 내지 방식의 개선에 대한 논의는 거의 이루어지지 않았다. 본 논문에서는 수사 실무에서 널리 활용되고 있는 통신수사의 실태를 분석하고, 현행 통신수사 방식에 의해 발생되는 기본권 침해의 원인을 분석하였다. 그리고 그 해결책으로 기술적 조치 도입을 통해 수사기관에서 1차적으로 비식별화된 기지국 통신 정보를 회신 받은 뒤, 분석을 거쳐 범죄 수사에 필요한 통신정보만을 재식별화 하는 형태로 수사기법을 전환할 것을 제안하였다. 아울러 구체적인 기술적 조치, 즉 비식별화 방법을 제시하였으며, 동 수사기법이 정착될 수 있도록 하는 법률 개선 방안을 함께 제시하였다. 앞으로 국민의 프라이버시와 기본권 보장을 위해서는 수사기관의 통신수사에 대하여 법원의 통제를 강화하고, 통신정보를 수집함에 있어 위에서 제시한 기술적 조치를 포함하는 방향으로 현행 통신비밀보호법을 개정하는 노력이 이루어져야 할 것이다.

텀블러의 API 퍼머링크(permalink) 자동추출기 개발 및 활용방안 : 비동의 영상물 2차 피해 방지방안을 중심으로

오완균 고려대학교 정보보호대학원 2019 국내석사

스마트폰을 비롯한 다양한 고해상도의 소형 카메라를 이용해 여성들이 이용하는 대중화장실과 탈의실 같은 장소에서 몰래 촬영한 영상이나 리벤지포르노 동영상 같은 비동의영상물의 유포행위로 인한 피해가 증가하고 있다. 특히 해외 서비스인 텀블러의 경우 국제공조 및 차단․삭제 등 협조가 어려워 재유포 차단을 위해서는 피해자가 직접 영상물 URL을 찾아 신고해야 하지만 IT 전문성이 부족한 피해자가 이러한 절차를 진행하기가 어려워 피해가 가중되고 있다. 이에 기존 학계와 관련단체의 연구문헌 및 정책보고서를 통해 비동의영상물로 인한 피해자의 구제를 위한 지원활동 방안과 피해영상물의 재유포로 인한 2차 확산피해를 예방하기 위한 영상물 삭제방안을 살펴보았다. 비동의영상물로 인한 피해와 관련하여 학계와 관련단체의 연구 및 논의과정에서 제시된 다양한 정책들이 국가 종합대책에 반영되어 정부는 2017년 9월 범죄예방단계(변형 카메라 판매 및 촬영방지 등)부터 범죄처벌단계(가해자 수사 및 처벌 강화)와 피해자 구제단계 (피해자에 대한 심리치료 및 비동의영상물 삭제 대행 등)를 모두 아우르는 ‘디지털 성범죄(몰래 카메라 등)피해방지 종합대책’을 수립하여 적극 대응할 것을 공표하게 되었다. 아울러 해외에 있는 텀블러 서버를 이용하여 발생되는 피해에 대해 정보통신망 사업자가 국내 수사기관의 국제공조 및 방심위의 협조를 거부할 경우 정보통신망 사업자에 대한 민사소송을 통해 최소한 가해자의 가입정보와 인터넷 접속주소를 확보할 수 있는 방안을 살펴보았다, 그러나 사이버 공간에서 표현의 자유를 넓게 인정하는 미국 법원의 법률 시스템에서 텀블러 업체의 직접적인 과실을 밝히지 못하면 플랫폼만을 제공하는 상황에서는 현실적으로 민사소송의 법률적 강제력을 적용하여 가해자의 정보를 확보하는 방안은 어려운 것으로 확인 되었다. 이에 본 연구에서는 텀블러에 게시되는 비동의영상물의 재유포를 방지하기 위한 방안으로 텀블러의 개관 및 텀블러 블로그의 게시물에 대한 삭제․차단 절차에 관하여 살펴보았다. 먼저 텀블러의 블로그의 구조와 리블로그 운영방식을 살펴보고, 또한 블로그에 게시되는 동영상 및 사진의 게시형태와 리블로그를 통해 재유포 되는 과정에 대해서도 텀블러의 API소스 분석을 통하여 살펴보았다. 아울러 텀블러는 블로그에 게시되는 비동의영상물과 같이 피해자가 확인되는 게시물에 대해서 텀블러의 커뮤니티 가이드라인이라는 이름으로 사생활침해 신고사이트를 운영하고 있어 피해자가 이 사이트를 통해 영상물의 삭제요청을 하면 텀블러의 심의를 거쳐 삭제조치를 받을 수 있다는 사실도 확인되었다. 그러나 피해자가 IT 전문성이 부족한 경우 스스로 비동의영상물의 퍼머링크를 직접 찾아 신고사이트에 삭제요청 처리하기가 어렵고, 1회에 1건의 영상물만 신고 되도록 하고 있어 텀블러 내의 리블로그된 모든 영상물을 삭제하는 기간이 오래 걸려 실효성이 떨어진다. 이러한 문제점을 해결하기 위해 텀블러 블로그에 게시되는 비동의영상물의 API 퍼머링크에서 Python 크롤링 기법을 이용하여 비동의영상물의 저장 정보 URL과 해시(Hash)값을 자동으로 수집 한 후, <영문 삭제 요청서 예시문>과 함께 저장된 문서파일을 피해자에게 제공하여 쉽고 빠르게 침해신고를 할 수 있도록 지원하는 기술적 방안을 제안한다.

토르 서버 추적 사례 및 분석기법에 관한 연구

이경빈 고려대학교 2019 국내석사

일반적으로 다크웹에 대한 추적 기법은 네트워크 감시나 응용프로그램 취약점 연구를 바탕으로 진행되어왔다. 현재까지 다크웹을 기술적으로 완전히 비익명화 할 수 있는 방안은 제시된 바가 없다. 이에 따라, 사법기관에서도 다크웹 자체 에 대한 추적보다는 가상화폐 거래 내역 추적 등을 통한 주변 수사에 집중하고 있다. 그러나, 이러한 방식으로는 다크웹 상에서 운영되는 서버의 소재지를 직접 적으로 확인할 수 없다. 이러한 한계점을 극복하기 위해 기존에 연구된 토르네트 워크에 대한 다양한 추적기법에 대해 정리하고, 해당 추적 기법을 실제 사례에 적용 가능한지에 대하여 검토할 필요성이 있다. 본 논문에서는 실제 토르 네트 워크 상에서 운영되었던 히든서비스 사이트에 대한 운영방식을 확인하고, 서버를 추적하는데 사용한 기법을 확인하였다. 더불어, 서버에 대한 디지털포렌식을 진행 하는 과정에서 디지털포렌식 대상과 토르 히든서비스 사이트 간의 연결관계를 확인할 수 있는 분석 절차를 제시한다.