Android/Windows Mobile Smart Phone의 취약점 분석과 Mobile Forensic 기술

천우성(Woo-Sung Chun),박대우(Dea-Woo Park) 한국컴퓨터정보학회 2011 한국컴퓨터정보학회 학술발표논문집 Vol.19 No.2

Smart Phone의 OS로 많이 사용하는 Android/Windows Mobile Smart Phone의 사용이 급격히 증가하고 있다. 무료 WiFi Zone과 인터넷 사용에 대한 취약점이 존재한다. Mobile Forensic의 증거 자료를 추출하는 방법은 SYN, JTAG, Revolving 방법이 있지만, 기존 휴대폰과 달리 Smart Phone은 OS와 구조, 사용방식과 기술의 차이로 인한 Mobile Forensic 연구 방법도 달라야 한다. 본 논문에서는 Smart Phone에서는 많이 사용되는 Windows Mobile/Android Smart Phone의 OS와 구조 차이를 분석한 데이터 백업과 스펙 분석 및 증거자료 분석을 한다. 또한 무료 WiFi Zone을 통한 인터넷 사용시에 취약점을 분석한다. 그리고 Android/Windows Mobile Smart Phone의 Forensic 자료를 생성하여 증거를 추출하고, Mobile Forensic 보고서를 생성한다. 본 연구를 통하여 Mobile Forensic의 기술 발전에 초석을 제공할 것이다.

모바일 포렌식 자료의 추출과 무결성 입증 연구

김기환(Ki-Hwan Kim),박대우(Dae-Woo Park) 한국컴퓨터정보학회 2007 韓國컴퓨터情報學會論文誌 Vol.12 No.6

최근에는 IT기술의 발전으로 다양한 기능을 하는 모바일 정보 기기의 보급이 많이 늘어나고 있는 추세이다. 모바일 휴대폰을 이용하여 더 편리하고 효율적인 정보 교환 및 업무를 하는 순기능도 있지만, 휴대폰을 이용한 첨단기술자료 유출, 개인의 프라이버시 침해, 공갈 및 협박 등의 범죄의 수단으로 활용되는 역기능도 나타나게 되는 문제점들도 있다. 하지만 이러한 휴대폰을 이용한 범죄에 대해서는 법령 미비 등의 법적 연구도 부족할 뿐더러 수사 관점에서도 삭제, 복사, 이동이 쉬운 디지털증거의 특성상 객관적인 증거로 보장하기 위한 포렌식 디지털증거의 무결성을 입증하여야만 한다. 본 논문에서는 모바일 포렌식의 대표격인 휴대폰을 통하여 일어날 수 있는 디지털증거의 획득 방안에 대하여 실제 검증해보고 해시함수를 이용하여 디지털증거의 무결성을 입증하는 방안을 연구하는데 목적이 있다. Lately, it is a trend that diffusion of Mobile Information Appliance that do various function by development of IT technology. There is function that do more convenient and efficient exchange information and business using mobile phone that is Mobile Information Appliance, but disfunction that is utilized by pointed end engineering data leakage, individual's privacy infringement, threat, etc. relationship means to use mobile phone is appeared and problems were appeared much. However, legal research of statute unpreparedness and so on need research and effort to prove delete, copy, integrity of digital evidence that transfer secures special quality of easy digital evidence to objective evidence in investigation vantage point is lacking about crime who use this portable phone. It is known that this Digital Forensic field is Mobile Forensic. In this paper, We are verify about acquisition way of digital evidence that can happen in this treatise through mobile phone that is Mobile Forensic's representative standing and present way to prove integrity of digital evidence using Hash Function.

모바일 포렌식 증거능력 확보 방안 연구

어수웅(Soowoong Eo),조우연(Wooyeon Jo),이석준(Seokjun Lee),손태식(Taeshik Shon) 한국정보보호학회 2016 정보보호학회논문지 Vol.26 No.1

모바일 포렌식은 스마트폰의 대중화와 다양한 모바일 기기의 증가로 인해 그 중요성 및 필요성이 급격히 증가하고 있다. 하지만 그 방안 및 절차는 아직 모바일 포렌식의 특성에 충분히 맞게 적용되고 있지 않다. 이에 따라 본 논문에서는 현재 모바일 포렌식이 직면한 문제점을 파악하기 위해 법·제도·기술적 관점에서의 분석을 수행하였으며 이를 통해 모바일 기기에 대해서는 현재 디지털 포렌식 수사과정에서 큰 이슈가 되고 있는 선별압수에 있어서 제약사항이 있음을 확인하였다. 또한 모바일 포렌식에서 디지털 증거 수집 방안에 대한 분석 및 실사용 도구의 무결성 연구를 진행함으로써 현재 기술의 적합성 검증 및 추후 발생될 문제점에 대해 분석하였으며 결과적으로 모바일 포렌식에서 수집된 데이터가 증거능력을 확보할 수 있는 방안을 위해 전반적인 고려사항을 제시하였다. Because of the evolution of mobile devices such as smartphone, the necessity of mobile forensics is increasing. In spite of this necessity, the mobile forensics does not fully reflect the characteristic of the mobile device. For this reason, this paper analyzes the legal, institutional, and technical considerations for figuring out facing problems of mobile forensics. Trough this analysis, this study discuss the limits of screening seizure on the mobile device. Also, analyzes and verify the mobile forensicdata acquisition methods and tools for ensuring the admissibility of mobile forensic evidence in digital investigation.

선형회귀법을 이용한 모바일 포렌식 동향 및 전망

최상용 한국컴퓨터정보학회 2022 韓國컴퓨터情報學會論文誌 Vol.27 No.10

In this paper, we analyze trends in the use of mobile forensic technology, focusing on cases where mobile forensics are used, and we predict the development of future mobile forensics technology using linear regression used in future prediction models. For the current status and outlook analysis, we extracted a total of 8 variables by analyzing 1,397 domestic and foreign mobile forensics-related cases and newspaper articles. We analyzed the prospects for each variable using the year of occurrence as an independent variable, seven variables such as text (text message usage information), communication information (cell phone communication information), Internet usage information, messenger usage information, stored files, GPS, and others as dependent variables. As a result of the analysis, among various aspects of the use of mobile devices, the use of Internet usage information, messenger usage information, and data stored in mobile devices is expected to increase. Therefore, it is expected that continuous research on technologies that can effectively extract and analyze characteristic information of mobile devices such as file systems, the Internet, and messengers will be needed As mobile devices increase performance and utilization in the future and security technology. 본 논문에서는 모바일 포렌식이 활용된 사례를 중심으로 모바일 포렌식 기술 활용의 동향을 분석하고, 이를 기반으로 미래 예측 모델에 사용하는 선형 회귀 분석을 사용하여 미래 모바일 포렌식 기술의 발전을 전망한다. 현황과 전망분석을 위해 국외 및 국내 모바일 포렌식 관련 사례 및 신문 기사등 1,397개를 분석하여, 발생 연도를 포함하는 총 8개의 변수를 추출하였다. 발생 연도를 독립 변수로 하고, 텍스트(문자메시지 사용정보), 통신정보(휴대전화 통신정보), 인터넷 사용정보, 메신저 사용정보, 저장된 파일, GPS, 기타 등 7개의 변수를 종속변수로 하여 각 변수에 대한 전망분석 결과 모바일 기기의 다양한 활용 측면 중 인터넷 사용정보, 메신저 사용정보, 모바일 기기에 저장된 데이터 등의 분야에 대한 활용이 증가할 것으로 예상된다. 따라서, 향후 모바일 기기의 성능과 활용성 증가 및보안기술 향상에 따라 파일시스템, 인터넷, 메신저 등 모바일 기기의 특성 정보를 효과적으로 추출하고 분석할 수 있는 기술에 관한 연구가 지속적으로 필요할 것으로 예상된다.

모바일 포렌식에서의 무결성 입증방안 연구

김기환(Ki-Hwan Kim),박대우(Dea-Woo Park),신용태(Young-Tae Shin) 한국컴퓨터정보학회 2007 한국컴퓨터정보학회지 Vol.15 No.1

최근에는 IT기술의 발전으로 다양한 기능을 하는 모바일 정보 기기의 보급이 많이 늘어나고 있는 추세이다. 모바일 정보기기의 대표적인 휴대폰을 이용해 더 편리하고 효율적인 생활 및 업무를 하는 순기능도 있지만, 휴대폰을 이용한 첨단기술자료 유출, 개인의 프라이버시 침해, 공갈 및 협박 등의 범죄의 수단으로 활용되는 역기능도 나타나게 되어 문제점들이 많이 나타나게 되었다. 하지만 이러한 휴대폰을 이용한 범죄에 대해서는 법령 미비 등의 볍적 연구도 부족할뿐더러 수사 관점에서도 삭제, 복사, 이동이 쉬운 디지털증거의 특성상 객관적인 증거로 보장하기 위한 디지털증거의 무결성을 입증하기 위한 연구와 노력이 필요하게 되었다. 이러한 디지털 포렌식 분야를 모바일 포렌식이라고 한다. 본 논문에서 모바일 포렌식의 대표격인 휴대폰을 통하여 일어날 수 있는 디지털증거의 획득 빙안에 대하여 실제 검증해보고 해쉬함수를 이용하여 디지털증거의 무결성을 입증하는 방안을 제시하는데 목적이 있다. Lately, is trend that diffusion of Mobile information appliance that do various function by development of IT technology is increasing much. There is function that do more convenient and efficient life and business using portable phone that is Daepyorur of Mobile information appliance, but dysfunction that is utilized by Beopjoe of pointed end engineering data leakage, individual's privacy infringement, threat and threat etc. relationship means to use Mobile phone is appeared and problems were appeared much. However, legal research of statute unpreparedness and so on need research and effort to prove delete, copy, integrity of digital evidence that transfer secures special quality of easy digital evidence to objective evidence in investigation vantage point is lacking about crime who use this portable. It is known that this digital Forensic field is Mobile Forensic. Is purposeful to verify actually about acquisition way of digital evidence that can happen in this treatise through portable phone that is Mobile Forensic's representative standing and present way to prove integrity of digital evidence using Hash Function.

소셜 네트워크 서비스에서 사건 수사를 위한 모바일 디지털 포렌식 절차에 관한 연구

장유종 ( Yu Jong Jang ),곽진 ( Jin Kwak ) 한국항행학회 2013 韓國航行學會論文誌 Vol.17 No.3

소셜 네트워크 서비스는 사용자간의 통신수단 및 자신을 표현하는 하나의 수단으로 사용되면서 다양한 정보를 보유하고 있다. 이러한 정보들은 수사에 도움이 되는 유용한 증거로 사용 될 수 있다. 본 논문에서는 소셜 네트워크 서비스상에 있는 다양한 정보를 사건 수사에서 효율적으로 사용하기 위하여 소셜 네트워크 서비스를 이용하는 사용자의 스마트폰에 대한 모바일 디지털 포렌식 절차에 관한 연구를 진행하였다. 모바일 디지털 포렌식 절차 연구를 위하여 스마트폰에 저장되어 있는 소셜 네트워크 서비스 어플리케이션에 대한 DataBase 파일을 분석하여 사건 수사에 유용하게 사용할 수 있는 파일을 분류 하고 저장되어 있는 정보를 비교 분석하였다. 이를 통하여 본 논문에서는 소셜 네트워크 서비스 환경에서 사건 수사를 위한 적합한 모바일 디지털 포렌식 절차를 제안한다. Social network services(SNS) has been used as a means of communication for user or express themselves user. Therefore, SNS has a variety of information. This information is useful to help the investigation can be used as evidence. In this paper, A study of mobile digital forensic procedure for crime investigation in social network service. Analysis of database file taken from the smartphone at social network service application for mobile digital forensic procedure. Therefore, we propose a procedure for the efficient investigation of social network service mobile digital forensic.

모바일 포렌식의 무결성 보장을 위한 효과적인 통제방법

김동국(DongGuk Kim),장성용(SeongYong Jang),이원영(WonYoung Lee),김용호(YongHo Kim),박창현(Changhyun Park) 한국정보보호학회 2009 정보보호학회논문지 Vol.19 No.5

포렌식 수사 절차상의 무결성을 입증하기 위한 방안으로 해쉬 함수 알고리즘을 적용한 디지털 증거의 경우, 무결성이 손상되면 그 자료는 폐기되어야만 했다. 즉, 주요 사건의 핵심 부분에 대한 증거 확보를 위해서는 삭제 영역에 대한 증거 복원이 필수적임에도 불구하고, 전체적인 해쉬값이 처음 해쉬값과 달라 증거 데이터가 훼손됨으로 인하여 결정적인 증거 능력 확보에 어려움이 있었다. 본 논문에서는 이와 같은 문제점을 해결하기 위한 방안으로서 새로운 모바일 포렌식 절차 모델인 Evidence-Finder (이하 E-Finder) 모바일 포렌식 절차 모델 을 제안한다. E-Finder 절차는 5개 영역의 총 15개 절차 모델로 구성되며 E-Finder 절차를 기존 NIST(National Institute of Standards and Technology)모델, Tata Elxsi Security Group 모델과 비교 및 고찰하였다. 이로 인하여, 현재까지 모바일 포렌식 분야에서 표준화 되지 않고, 검증되지 않은 방법론을 개선하는 기대효과를 달성하였다. To prove the integrity of digital evidence on the investigation procedure, the data which is using the MD 5(Message Digest 5) hash-function algorithm has to be discarded, if the integrity was damaged on the investigation. Even though a proof restoration of the deleted area is essential for securing the proof regarding a main phase of a case, it was difficult to secure the decisive evidence because of the damaged evidence data due to the difference between the overall hash value and the first value. From this viewpoint, this paper proposes the novel model for the mobile forensic procedure, named as E-Finder(Evidence Finder) , to solve the existing problem. The E-Finder has 5 main phases and 15 procedures. We compared E-Finder with NIST(National Institute of Standards and Technology) and Tata Elxsi Security Group. This paper thus achieved the development and standardization of the investigation methodology for the mobile forensics.

안드로이드 로그 시스템을 이용한 효율적인 사용자 행위기반 라이브 증거수집 및 분석 시스템 연구

홍일영(Ilyoung Hong),이상진(Sangjin Lee) 한국정보보호학회 2012 정보보호학회논문지 Vol.22 No.1

최근 안드로이드 모바일 기기의 사용자가 증가함에 따라 디지털 포렌식 분야에서도 안드로이드에 대한 관심이 높아지고 있다. 하지만 해당 플랫폼 및 기기의 고유한 특성을 이용한 증거수집 및 분석에 대한 연구는 부족한 실정이다. 안드로이드 시스템의 특징 중 하나인 안드로이드 로그는 기기의 휘발성 저장매체로부터 수집될 수 있는 휘발성 데이터로서, 안드로이드 하부 시스템에서부터 애플리케이션에 이르기까지 최근의 모든 구동 내역과 관련한 기록이 저장되기 때문에 포렌식적으로 매우 중요한 정보가 될 수 있다. 본 논문에서는 안드로이드 로그의 고유한 특성을 사용자 행위와 연계하여 유의미한 정보를 이끌어내는 안드로이드 로그 수집ㆍ분석 시스템을 제안하고 나아가 로그 분석의 효율성을 극대화하여 현장에서 실시간 증거 분석이 가능하도록 해주는 효율적 분석 기법을 제안한다. 실험에서는 제안하는 로그 수집ㆍ분석 시스템을 이용함으로써 다양한 사용자 행위 정보를 수집하여 구체적이고 직관적으로 표현 가능함을 보이고, 제안하는 로그 분석 기법이 일반 정규식 검색 방법에 비해 10배 이상 검색시간을 단축함을 보인다. Recently as the number of smartphone user is growing rapidly, android is also getting more interest in digital forensic. However, there is not enough research on digital data acquisition and analysis based on android platform"s unique characteristics so far. Android system stores all the related recent systemwide logs from the system components to applications in volatile memory, and therefore, the logs can potentially serve as important evidences. In this paper, we propose a digital data acquisition and analysis system for android which extracts meaningful information based on the correlation of android logs and user activities from a device at runtime. We also present an efficient search scheme to facilitate realtime analysis on site. Finally, we demonstrate how the proposed system can be used to reconstruct the sequence of user activities in a more intuitive manner, and show that the proposed search scheme can reduce overall search and analysis time approximately 10 times shorter than the normal regular search method.

모바일 인스턴트 메신저(MIM) 환경에서 디지털포렌식 기술을 활용한 보안 감사 기술

안광현,박원형 한국산업보안연구학회 2020 한국산업보안연구 Vol.10 No.3

현재, 스마트폰 보급이 시작된 이후 스마트폰 사용이 보편화되어 대다수의 사람들이 사용하고 있다. 스마트폰 사용이 대중화됨에 따라 과거에는 문자메시지(SMS), 통화, 이메일 등을 통해 타 인과 소통하는 방식으로 교류되고 있었지만, 오늘날에는 모바일 인스턴트 메신저 서비스(MIM)를 통해 연락하고 있다. 모바일 메신저 앱 서비스를 사용하는 주된 이유는 가족과 지인과의 개인적 인 접촉, 사내 비즈니스, 외부 거래처 서비스 등의 순으로 높았다. 외부 거래처 서비스의 경우 거 래처에서 모바일 인스턴트 메신저 서비스를 사용으로 응대와 업무용 컨퍼런스콜 목적으로 사용 하고 있다. 업무 특성상 고객 서비스(응대)에 사용되는 인스턴트 메신저 서비스(MIM)의 경우 DLP가 애플리케이션 실행 정책을 통해 인스턴트 메신저 서비스(MIM)을 통제할 수 있지만 업무 용으로 허용될 경우 인스턴트 메신저 서비스(MIM) 특성상 내부정보 유출의 잠재적 위험요인이 잔재한다. 따라서 인스턴트 메신저 서비스인 카카오톡을 통해 내부정보가 유출될 경우 디지털포 렌식 기법을 통한 보안감사 방법을 제안 한다. Today, After the spread of smartphones began in earnest in 2009, the use of smartphones has become so common that the majority of the people use them. As the use of smartphones has become popular, in the past, ways of communicating with others through text messages (SMS), calls, and e-mails have been exchanged, but today they are contacting them through a mobile instant messenger service (MIM). The main reasons for using the mobile messenger app service were in the order of personal contact with family and acquaintances, in-house business, and external customer service. In the case of external customer service, a mobile instant messenger service is used by the customer for response and business conference calls. In the case of instant messenger service (MIM), which is being used for customer service due to its nature of work, DLP can control instant messenger service (MIM) through application execution policies, but if it is to be allowed for business purposes, potential risks of internal information leakage exist due to the nature of instant messenger service (MIM). Therefore, when internal information is leaked through KakaoTalk, an instant messenger service, we propose a security audit methodology through digital forensics.

안드로이드 스마트폰의 갤러리 썸네일(Thumbnail)에 대한 포렌식 분석 방법에 관한 연구

윤대호 ( Daeho Yun ),이상진 ( Sang Jin Lee ) 한국정보처리학회 2017 정보처리학회논문지. 컴퓨터 및 통신시스템 Vol.6 No.1

Thumbnail, the small sized graphic file such as JPEG or GIF, serves to help the users to be recognized as a rapidly helps to make it easier recognize while browsing the large sized graphic file. Gallery application, which is installed in a later version of the 4.4.x(Kitkat) Android smartphone records the generated time of graphic file in thumbnail metadata. Thumbnail can be used to draw up the timeline of user action about user`s action such as creation, modification, deletion with original graphic file analysis. Also, take advantage of the features thumbnails are stored sequentially in a single thumbcache file, even if the thumbcache is deleted, we can restore the thumbnails. This paper illustrates the feature of thumbnail created by Android OS basic gallery app and methods for utilization in digital forensics.