최근 스마트폰의 등장으로 모바일 서비스가 다양한 형태로 성장하고 있다. 각 회사들은 Window Mobile, Android, iOS 등 다양한 운영체제를 탑재하여 출시하고 있지만, 현재 가장 보급이 원활하게 이루어지는 스마트폰은 Android와 iOS를 탑재한 스마트폰이 활발히 보급되고 있다. 이에 따라 스마트폰의 다양한 기능을 이용하여 각종 범죄로 연결될 수 있으며, 다양한 증거들이 남아 있을 수 있다. 본 논문에서는 디지털 포렌식(Forensic)의 관점에 따라 스마트폰에서 수집될 수 있는 증거 데이터의 위치를 파악하고, 도구를 설계해 수집된 데이터를 분석하였다. 이로 인해, 범죄사용으로 인한 스마트폰의 증거들을 수집할 때 시간을 단축시킬 수 있는 기대효과를 가져본다.
최근 스마트폰의 등장으로 모바일 서비스가 다양한 형태로 성장하고 있다. 각 회사들은 Window Mobile, Android, iOS 등 다양한 운영체제를 탑재하여 출시하고 있지만, 현재 가장 보급이 원활하게 이루어지는 스마트폰은 Android와 iOS를 탑재한 스마트폰이 활발히 보급되고 있다. 이에 따라 스마트폰의 다양한 기능을 이용하여 각종 범죄로 연결될 수 있으며, 다양한 증거들이 남아 있을 수 있다. 본 논문에서는 디지털 포렌식(Forensic)의 관점에 따라 스마트폰에서 수집될 수 있는 증거 데이터의 위치를 파악하고, 도구를 설계해 수집된 데이터를 분석하였다. 이로 인해, 범죄사용으로 인한 스마트폰의 증거들을 수집할 때 시간을 단축시킬 수 있는 기대효과를 가져본다.
As recent emergence of smart phones, mobile services are growing in various forms. Many companies released smart phones of various operating systems such as Window Mobile, Android and iOS. Currently, most popular smart phone operating systems are Android and iOS. Due to the various features of these...
As recent emergence of smart phones, mobile services are growing in various forms. Many companies released smart phones of various operating systems such as Window Mobile, Android and iOS. Currently, most popular smart phone operating systems are Android and iOS. Due to the various features of these smart phone, they can be employed to various crimes. From the point of view of digital forensics, this paper analyzes the evidence data which needs to be collected in the smart phone, and implements the evidence analysis tool. By using this tool, it can reduce the time and effort for collecting and analyzing the evidence of the smart phone.
As recent emergence of smart phones, mobile services are growing in various forms. Many companies released smart phones of various operating systems such as Window Mobile, Android and iOS. Currently, most popular smart phone operating systems are Android and iOS. Due to the various features of these smart phone, they can be employed to various crimes. From the point of view of digital forensics, this paper analyzes the evidence data which needs to be collected in the smart phone, and implements the evidence analysis tool. By using this tool, it can reduce the time and effort for collecting and analyzing the evidence of the smart phone.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 국내 보급이 원활하게 이루어지는 두 가지 스마트폰의 디지털 증거 수집 방법과 분석에 관해 다루었다. Android에서는 순정상태일 때 수집할 수 있는 데이터와 루팅을 하여야만 수집 할 수 있는 데이터를 분별하여 분석하였고, iOS에서는 I-Tunes 프로그램의 동기화 기능을 이용하여 PC에 저장되어 있는 증거 데이터들을 수집, 분석하였다.
따라서 스마트폰에 저장된 데이터가 디지털 증거가 될 수 있는 것을 보여주는 것이며, 이는 수사와 법정의 증거자료로 활용된다. 이에 따라 본 논문에서는 디지털 포렌식의 관점에서 각 OS별로 스마트폰의 디지털 증거가 되는 데이터의 위치를 미리 파악하고, 분석하는 방법을 제시하고자 한다.
제안 방법
모바일 포렌식 증거 데이터의 분류와 수집 및 분석 방법과 더불어 현재 국내 스마트폰들 중 보급률이 가장 높은 두 가지 스마트폰의 OS들을 분석하여 각 OS 의 소개 및 접근 방법에 대해서 기술하였다. Android 스마트폰으로 실험한 Nexus One에는 PC 동기화 프로그램이 존재하지 않아 기본 기능을 통한 동기화와 더불어 루팅을 통한 디지털 증거의 수집 방법을 다루었고, iOS를 탑재한 iPhonee Apple의 폐쇄적 정책에 내부 폴더 접근 자체가 제한되어 있었다.
이때 iOS 와 Android를 구분하여 동작하도록 만들었으며 좌측 박스를 통해 iOS, Android를 구분할 수 있다. 수집하는 데이터는〔표 1], 〔표 8〕에서 나열한 주요 데이터 폴더들의 DB 파일을 수집하였으며, 증거 데이터를 불러왔을 때 메인 필드 상단에 Device Information, Address, SMS, Call History, Twitter GPS, 브라우저로 나누어 각 데이터 들이 보기 쉽게 나열 되도록 하였다. DataTable로 변환한 뒤 출력 결과를 DataGridView 컨트롤을 이용하여 출력하며, 아래〔그림 5〕는 도구의 흐름을 도식화하여 나타낸 것이다.
하지만 iTunes라는 PC 동기화 프로그램을 사용하여 iPhone의 내용을 동기화, PC 폴더에 백업함으로써 디지털 증거를 쉽게 수집할 수 있는 방법을 다루었다. 이러한 방법들로 수집한 데이터들을 분석 할 필요가 있으며, 이를 위한 도구를 설계하여 본다.
iOS에서 추출한 데이터는 주소록, 통화목록, SMS 데이터 내역이며, 주소록의 데이터베이스 파일의 경우 주소록에 등록된 이름과 전화번호가 서로 다른 필드에 존재함으로 이를 연결하는 작업이 필요하다. 주소록의 데이터베이스 파일에 있는 ABPerson 테이블에 등록된 이름 필드와 ABMultiVahie에 있는 전화번호 필드를 ROWID Key 값 비교를 통하여 추출 한다. 도구를 이용한 결과는〔그림 6〕, 〔그림 7〕과 같다.
대상 데이터
Android에서 추출한 증거 데이터는 SMS 데이터, twitter 데이터, Map 검색 데이터, 브라우저 사용데이터로 도구를 통해 분석해 보았다. iOS 와 Android는 테이블 구조가 다르므로 별도의 Android 모드를 구현하여 동작하게 히였다.
1 이상) 탈옥시 워터마크가 생성이 되며, 탈옥이 이루어진 스마트폰으로 구분된다. 본 논문에서는 국내에 유통되는 스마트폰 중 점유율이 높은 Android와 iOS기반 스마트폰으로 디지털 증거가 되는 데이터를 수집, 분석하는 기기로 Android 스마트폰은 Nexus One, iOS 스마트폰은 iPhone 3GS를 사용하였다.
본 도구를 이용하여 iOS의 데이터를 분석하였다. iOS에서 추출한 데이터는 주소록, 통화목록, SMS 데이터 내역이며, 주소록의 데이터베이스 파일의 경우 주소록에 등록된 이름과 전화번호가 서로 다른 필드에 존재함으로 이를 연결하는 작업이 필요하다.
리눅스 커널의 일반권한으로 동작하기 때문인데, 이를 Root 권한으로 바꿔서 동작하게 만드는 행동을 루팅이라고 한다. 실제 기기에 대해 다음 [그림 4〕의 루팅 프로그램을 이용하여 현재 Nexus One의 Android 버전인 2.2.1 루팅을 시도하고, Root 권한을 가진 Android 스마트폰 내부 폴더를 검색하여 증거 데이터를 수집한다.
분류는 5가지가 있었다. 특히 휴대폰 포렌식을 위한 디지털 증거 데이터는 음성 및 SMS 데이터. 음성녹음 데이터, 이미지 파일 등의 데이터가 존재하였으나, 스마트폰에서 디지털 증거가 될 수 있는 데이터는 음성 및 SMS 데이터 이미지 파일등은 물론이고.
성능/효과
도구를 사용한 결과 iOS와 마찬가지로 주소록, SMS, 통화목록을 확인할 수 있었으며. 추가로 twitter와 Map 검색 결과, 브라우저 사용 내역도 추출 할 수 있었다.
도구를 이용하여 열람한 결과 주소록의 연락처 SMS 송수신 내역과 메시지 내용, 전화통화 데이터와 송수신 내역 등을 추출할 수 있었다.
분석 도구를 통해 iOS와 Android의 증거 데이터를 열람해 보면 기본적으로 연락처와 SMS, 통화목록은 모두 분석 할 수 있었다. SMS 내용과 통화목록-,통화 시간 등을 한눈에 알아 볼 수 있으므로 증거나 단서를 찾을 때 유용하게 사용할 수 있다.
후속연구
향후 연구로 도구를 이용하여 두 OS의 증거 수집과 분석시 무결성을 어떻게 확보할 것인지에 대해서는 지속적인 연구가 필요하며 , 증거 수집 도구의 검색 기능 및 필드의 가독성을 높이고, 수집 및 분석 이후 이를 보고할 수 있는 보고서의 작성, 수집한 데이터의 백업이나 이미징의 연구 등이 필요하다. 앞으로 분석 도구가 갖추어야 할 요구사항을 꾸준히 도출하여 이를 구현 할 수 있는 연구가 필요하다.
하지만 현재까지 국내에는 스마트폰에 대한 증거 수집 도구가 미흡한 상황이며, 이에 대해 스마트폰 포렌식의 무결성을 확보하는 것과 동시에 증거 데이터가 수집, 분석되어야 할 도구 개발이 시급한 상황이다. 향후 연구로 도구를 이용하여 두 OS의 증거 수집과 분석시 무결성을 어떻게 확보할 것인지에 대해서는 지속적인 연구가 필요하며 , 증거 수집 도구의 검색 기능 및 필드의 가독성을 높이고, 수집 및 분석 이후 이를 보고할 수 있는 보고서의 작성, 수집한 데이터의 백업이나 이미징의 연구 등이 필요하다. 앞으로 분석 도구가 갖추어야 할 요구사항을 꾸준히 도출하여 이를 구현 할 수 있는 연구가 필요하다.
참고문헌 (12)
한국IDC, "내년부터 안드로이드가 세계 2위 스마트폰 운영체제(OS)가 될 것으로 전망," IDC, 2010년 9월
"3분기 세계 스마트폰 시장 8110만대 출하, 89.5%성장," IDC 2010년 11월
※ AI-Helper는 부적절한 답변을 할 수 있습니다.