최근 우리는 스마트폰을 활용하여 KakaoTalk IM(Instance Messenger)을 사용한다. IM 서비스에는 사용자/용의자의 생활패턴, 지리적 위치, 사상, 심리 상태 및 범죄 사실에 대한 흔적들이 존재하여 포렌식 분석이 필요하다. 하지만, KakaoTalk의 포렌식 분석은 미흡한 현실이다. 이에 본 논문은 KakaoTalk에 적합한 새로운 연구방법론을 제시하고, 흔적(Artifacts)의 위치 발견을 하고, 연락처 메시지의 칼럼 구조 분석하고, 사용자/용의자를 식별 하였으며, 추가한 연락처 정보들과 메시지의 타입을 파악하였고, 삭제한 연락처의 백업파일을 사용하여 복원하였다. 그 결과 분석한 정보와 방법론을 활용하면 Forensic Tool의 기본 플랫폼이 된다.
최근 우리는 스마트폰을 활용하여 KakaoTalk IM(Instance Messenger)을 사용한다. IM 서비스에는 사용자/용의자의 생활패턴, 지리적 위치, 사상, 심리 상태 및 범죄 사실에 대한 흔적들이 존재하여 포렌식 분석이 필요하다. 하지만, KakaoTalk의 포렌식 분석은 미흡한 현실이다. 이에 본 논문은 KakaoTalk에 적합한 새로운 연구방법론을 제시하고, 흔적(Artifacts)의 위치 발견을 하고, 연락처 메시지의 칼럼 구조 분석하고, 사용자/용의자를 식별 하였으며, 추가한 연락처 정보들과 메시지의 타입을 파악하였고, 삭제한 연락처의 백업파일을 사용하여 복원하였다. 그 결과 분석한 정보와 방법론을 활용하면 Forensic Tool의 기본 플랫폼이 된다.
Recently, IM(Instant Messenger) of KakaoTalk is being used on smart devices such as smartphones. Because IM service can carry user and/or suspector's various information including life style, geographical position, psychology and crime history, forensic analysis on IM service is desirable. But, fore...
Recently, IM(Instant Messenger) of KakaoTalk is being used on smart devices such as smartphones. Because IM service can carry user and/or suspector's various information including life style, geographical position, psychology and crime history, forensic analysis on IM service is desirable. But, forensic analysis for KakaoTalk is not well studied yet. This paper studies a proper forensic method for KakaoTalks, finds artifacts location, reconstruct the list of contacts and the chronology of the messages that have been exchanged by users. Proposed methodology and analyzed information can provide a basic platform for forensic tool.
Recently, IM(Instant Messenger) of KakaoTalk is being used on smart devices such as smartphones. Because IM service can carry user and/or suspector's various information including life style, geographical position, psychology and crime history, forensic analysis on IM service is desirable. But, forensic analysis for KakaoTalk is not well studied yet. This paper studies a proper forensic method for KakaoTalks, finds artifacts location, reconstruct the list of contacts and the chronology of the messages that have been exchanged by users. Proposed methodology and analyzed information can provide a basic platform for forensic tool.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
특히, 비휘발성 데이터의 정보는 단말기에 오랫동안 저장되어 잔존할 뿐만 아니라 휘발성 데이터 비해서 더 많은 정보들이 잔존한다. 이러한 이유로 본 논문에서는 IM 사용의 흔적인 비휘발성 데이터를 포렌식 분석한다. 이에 본 장에서는 KakaoTalk에 적합한 비휘발성 데이터의 포렌식 분석 방법을 제안한다.
이에 KakaoTalk의 DB 복호화 연구가 필요하여, 새로운 복호화 분석 방법을 제시 및 기술한다.
이에 본 논문에서는 KakaoTalk App(국내 1위 IM App)을 사용흔적을 분석하기 위한 적합한 분석방법론을 제안하고, 제시한 방법론으로 포렌식 분석 연구를 진행한다.
이러한 이유로 본 논문에서는 IM 사용의 흔적인 비휘발성 데이터를 포렌식 분석한다. 이에 본 장에서는 KakaoTalk에 적합한 비휘발성 데이터의 포렌식 분석 방법을 제안한다.
이에 분석의 시간을 단축하기 위해 방법을 제시한다. 일반적으로 응용프로그램은 시스템의 디렉토리에 파일을 저장을 할 수 없다.
제안 방법
KakaoTalk의 분석방법은 흔적 파일의 위치분석방법과, 흔적 파일의 접근 권한 분석방법과, 연락처·채팅메시지 DB의 암호화를 복호화 하는 방법과, 연락처․채팅메시지의 테이블 구조를 분석방법을 제시하였다.
iOS의 IM 포렌식 연구는 Apple iTunes 백업/복원을 사용하여 획득한 사용자명, 메시지, 잔존하는 파일의 위치를 포렌식 분석하였다[5, 6]. 안드로이드의 IM 포렌식 연구는 세계에서 가장 많이 사용하는 WhatsApp 분석 연구가 활발하다.
KakaoTalk에서 채팅방(1:1 및 1:N 그룹방 채팅)을 생성하고, 참여한 채팅방에서 분석할 기능은 표 6과 같다. 그리고 Ⅲ장에서 언급한 분석방법들을 실현 수행하였다.
또한, WhatsApp의 암호화 Backup DB파일은 외부에서 공개한 복호화 프로그램(Xtract package)을 사용하여 복호화 후 얻은 평문의 과거 연락처·채팅메시지 정보를 포렌식 분석에 활용하였다[7].
복호화 제안방법은 채팅메시지 테이블(chat_logs 테이블 message 칼럼)의 암호화 메시지 값들을 이용한다. 송신한 메시지 값은 암호 값으로 저장되어 있지만, KakaoTalk을 실행하면 평문으로 볼 수 있는 점을 착안하였다.
본 논문의 가치는 실제 단말기에서 KakaoTalk의 비활성데이터 흔적을 포렌식 분석하여 기초정보의 제공과 주요 연락처의 칼럼 구조 분석, 복원(recovery)을 하여 KakaoTalk의 적합한 포렌식 분석을 하였다. 분석한 정보와 방법론을 바탕으로 Forensic Tool의 기본 플랫폼을 제공하였다.
본 논문의 가치는 실제 단말기에서 KakaoTalk의 비활성데이터 흔적을 포렌식 분석하여 기초정보의 제공과 주요 연락처의 칼럼 구조 분석, 복원(recovery)을 하여 KakaoTalk의 적합한 포렌식 분석을 하였다. 분석한 정보와 방법론을 바탕으로 Forensic Tool의 기본 플랫폼을 제공하였다.
복호화 제안방법은 채팅메시지 테이블(chat_logs 테이블 message 칼럼)의 암호화 메시지 값들을 이용한다. 송신한 메시지 값은 암호 값으로 저장되어 있지만, KakaoTalk을 실행하면 평문으로 볼 수 있는 점을 착안하였다. 암호화된 주요 개인정보인 멀티미디어, 휴대폰번호 등의 값과 송신한 chat_logs 테이블의 message 칼럼의 암호화 메시지 값을 서로 대체한 후 KakaoTalk을 재실행하여 평문 값을 얻는다.
얻은 평문값으로 연락처·채팅메시지 테이블의 구조분석은 연락처․채팅메시지의 값을 변화를 주어 테이블의 구조를 분석하였다.
얻은 평문값으로 연락처·채팅메시지 테이블의 구조분석은 연락처․채팅메시지의 값을 변화를 주어 테이블의 구조를 분석하였다. 연락처 테이블의 구조 분석은 용의자를 식별 가능한 주요 연락처 테이블 구조 분석을 하였고, 채팅메시지 테이블의 구조분석은 주고받은 메시지의 콘텐츠 타입을 분석을 하였다.
암호화된 주요 개인정보인 멀티미디어, 휴대폰번호 등의 값과 송신한 chat_logs 테이블의 message 칼럼의 암호화 메시지 값을 서로 대체한 후 KakaoTalk을 재실행하여 평문 값을 얻는다. 이러한 복호화 방법론을 활용하여 DB 테이블의 구조를 분석한다.
이를 반복하여, 칼럼 및 상세 값의 의미를 분석한다. 구체적으로 파악된 KakaoTalk App의 연락처 DB파일명, 테이블명 및 암호화 여부는 표 3과 같다.
이에 메시지를 주고받을 때, 칼럼의 의미 및 상세 값의 의미를 분석한다. 구체적으로 파악된 KakaoTalk에서 채팅메시지 DB파일명, 테이블명 및 암호화 여부는 표 4과 같다.
복호화 로직을 분석하기 위해 디컴파일 후 소스코드를 분석도 가능하지만, 대량의 소스코드 및 소스코드 난독화가 존재하여, 암호로직의 파악이 어려워 복호화가 어렵다. 이에 복호화 방법을 제안하여 연락처, 채팅메시지 DB 테이블의 구조를 분석한다.
따라서, 시스템이 생성한 디렉토리(하위 디렉토리 포함) 목록을 제거한다. 제거 후 남겨진 발견된 파일은 흔적 파일로 가정하여, PC에 파일들을 저장하고, 저장한 파일은 콘텐츠에 대응하는 뷰어프로그램을 실행하고, 파일을 본 후 실행하여 볼 수 있는 파일은 흔적파일로 판단한다. 추가로 뷰어 프로그램으로 볼 수 없는 파일은 시그니처 분석을 하여, 흔적 파일의 저장 위치를 분석한다.
제시 및 기술한 분석방법으로 흔적파일의 저장 위치를 찾았고, 흔적파일의 접근 권한 분석을 하였으며, 연락처 테이블의 구조를 분석하여 용의자/사용자를 식별을 하였고, 교환한 메시지의 콘텐츠 구분 등을 분석하였다. 추가로, 연락처 Backup DB파일을 이용하여 삭제한 연락처 정보를 발견하여 증거로서 사용 가능성을 보였다.
대상 데이터
연락처 테이블의 구조 분석은 용의자/사용자를 식별 가능한 정보(이름, 휴대폰 번호, id 등)의 중심으로 분석이 필요하다. KakaoTalk의 연락처 DB파일은 Kakao Talk2.db 이고, 많은 테이블 중 용의자/사용자를 식별 가능한 테이블은 friends, block_friends로 주요 분석의 대상 테이블이다. 이 테이블의 구조 분석은 값의 변화를 주어 칼럼 및 상세 값의 의미를 분석해야한다.
용의자와 교환한 메시지의 중심으로 분석이 필요하다. KakaoTalk의 채팅메시지 DB파일은 KakaoTalk.db이고, 많은 테이블 중 메시지를 교환한 용의자/사용자의 테이블은 chat_logs, chat_rooms로 주요 분석의 대상테이블이다. 이 테이블의 구조 분석은 값의 변화를 주어 칼럼 및 상세 값의 의미를 분석해야 한다.
실험 디바이스는 스마트폰 3대, Windows 8.1 PC 1대를 사용한다. 실험에 참여한 스마트폰 디바이스의 Android, KakaoTalk, WhatsApp 버전과 루팅여부는 표 5과 같다.
데이터처리
연락처·채팅메시지 DB의 암호화를 복호화는 채팅메시지 테이블(chat_logs 테이블 message 칼럼)의 암호화 메시지 값을 이용하여 평문 값을 얻었다.
성능/효과
WhatsApp은 저장 중인 연락처·채팅 DB파일이 평문 값으로 이루어져 복호화 과정 없이 테이블의 구조분석이 가능하지만, KakaoTalk은 저장 중인 연락처․채팅 DB파일이 평문 값과 칼럼 암호화(주요 개인정보인 메시지, 멀티미디어 주소, 휴대폰 연락 등의 정보)로 되어있는 것을 확인하였고 따라서 테이블의 구조 분석이 어렵다.
KakaoTalk 포렌식 분석은 국외 IM Apps 포렌식 분석 연구에 대비하여 연구가 미비하다. 본 논문은 Kakao Talk App의 적합한 분석방법을 제시하였고, 제안한 분석방법을 진행하여 그 결과로 아티팩트(Artifacts)를 보였다.
후속연구
제시 및 기술한 분석방법으로 흔적파일의 저장 위치를 찾았고, 흔적파일의 접근 권한 분석을 하였으며, 연락처 테이블의 구조를 분석하여 용의자/사용자를 식별을 하였고, 교환한 메시지의 콘텐츠 구분 등을 분석하였다. 추가로, 연락처 Backup DB파일을 이용하여 삭제한 연락처 정보를 발견하여 증거로서 사용 가능성을 보였다.
질의응답
핵심어
질문
논문에서 추출한 답변
IM 포렌식 분석의 관심이 증가하는 이유는 무엇인가?
IM 서비스의 이용자들은 자유로운 의사소통과 정보 공유, 그리고 인맥 확대 등을 통해 사회적 관계를 맺어 일상 생활양식을 크게 변화시켰다[1-3]. IM은 사이버 수사에 증거로써 용의자 인적 네트워크분석, 용의자 범죄동기 파악, 2차 범죄 사전 예측, 용의자 위치 파악, 알리바이 검증 등을 파악할 수 있는 중요한 정보이다[4]. 따라서 IM 포렌식 분석의 관심이 증가하고 있다.
인스턴트 메신저란 무엇인가?
인스턴트 메신저(IM : Instant Messenger)는 이동통신사 SMS, MMS 사용을 대신해 인터넷에 연결하여 메시지, 전화, 사진, 비디오 그리고 음성메시지를 주고받는 서비스이다. IM 서비스의 이용자들은 자유로운 의사소통과 정보 공유, 그리고 인맥 확대 등을 통해 사회적 관계를 맺어 일상 생활양식을 크게 변화시켰다[1-3].
카카오톡 분석 방법에 WhatsApp 분석 방법을 적용할 수 없는 이유는 무엇인가?
기존(WhatsApp)의 분석방법은 흔적파일의 분석 방법이 정확히 파악하기 어렵고(재연 불가능), 연락처·채팅 메시지 DB의 암호화 방식이 달라 다른 접근 방법이 필요하고, 제공하는 기능이 다르고, 분석 환경이 다르다. 따라서 KakaoTalk의 분석 방법은 다른 분석방법이 제공되어야한다.
참고문헌 (11)
J. M. Lee, "The Effect of Personal Communication Activities using Smart Phone Instant Messenger on Job Performance," Journal of Korean Socieity for Internet Information, vol. 13, no. 6, pp. 17-24, Oct. 2012.
Wikimedia Foundation, Inc. Instant Messaging [Internet]. Available: https://en.wikipedia.org/wiki/Instant_messaging.
H. S. Jung, "The evolution of Korean social network service focusing on the case of Kakao talk," The Journal of Digital Policy and Management, vol. 10, no 10, pp. 147-154, Nov. 2012.
Yu Jong Jang, Jin Kwak, "Mobile Digital Forensic Procedure for Crime Investigation in Social Network Service," The Journal of Korea Navigation Institute, vol. 17, no. 3, pp. 325-331, Jun. 2013.
Mohammad Iftekhar Husain, Ramalingam Sridhar, "iForensics: forensic analysis of instant messaging on smart phones," in The First International Conference on Digital Forensics & Cyber Crime, pp. 9-18, Sept. 2009.
Yu-Cheng Tso, et al., "iPhone social networking for evidence investigations using iTunes forensics," in Proceedings of the 6th International Conference on Ubiquitous Information Management and Communication, ACM New York, article no. 62, Feb. 2012.
Shubham Sahu, "An Analysis of WhatsApp Forensics in Android Smartphones," International Journal of Engineering Research, vol. 3, no. 5, pp. 349-350, May 2014.
Neha S. Thakur, "Forensic analysis of WhatsApp on Android smartphones," M.S. Thesis, University of New Orleans Theses and Dissertations, 2013.
Cosimo Anglano, "Forensic analysis of WhatsApp Messenger on Android smartphones," Digital Investigation, vol. 11, no. 3, pp. 201-213, Sept. 2014.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.