김도현
(Department of Computer Science, Catholic University of Pusan)
,
김준기
(School of Cybersecurity, Korea University)
,
이상진
(School of Cybersecurity, Korea University)
구글 클라우드는 사용자가 업로드 및 동기화한 파일과 데이터뿐만 아니라 모든 클라우드 서비스들의 동기화 내역과 사용자의 스마트폰 사용 내역, 위치 정보 등도 포함하기 때문에 사용자 행위 분석 관점에서 디지털 포렌식 조사에 유용하게 사용할 수 있다. 우리는 본 논문을 통해 구글의 Takeout 서비스를 사용하여 수집 가능한 클라우드 데이터의 종류를 확인했고, 사용자 행위 분석에 필요한 데이터를 선별 및 분석하여 디지털 포렌식 연구와 조사에서 유용하게 활용할 수 있는 도구를 개발했다. 구글 클라우드 데이터는 컴퓨팅 기기의 종류와 상관없이 구글 계정을 통해 동기화 되기 때문에 PC, 스마트폰, 태블릿 PC 등 다양한 기기에서 사용한 구글 서비스 데이터를 해당 기기가 없어도 구글 계정을 통해 수집할 수 있다. 따라서 본 논문의 연구 결과는 모바일 기기의 정보보호 기술의 발전으로 인해 데이터 수집이 어려워지고 있는 상황에서 디지털 포렌식 연구 및 조사에 매우 유용하게 활용할 수 있을 것으로 기대된다.
구글 클라우드는 사용자가 업로드 및 동기화한 파일과 데이터뿐만 아니라 모든 클라우드 서비스들의 동기화 내역과 사용자의 스마트폰 사용 내역, 위치 정보 등도 포함하기 때문에 사용자 행위 분석 관점에서 디지털 포렌식 조사에 유용하게 사용할 수 있다. 우리는 본 논문을 통해 구글의 Takeout 서비스를 사용하여 수집 가능한 클라우드 데이터의 종류를 확인했고, 사용자 행위 분석에 필요한 데이터를 선별 및 분석하여 디지털 포렌식 연구와 조사에서 유용하게 활용할 수 있는 도구를 개발했다. 구글 클라우드 데이터는 컴퓨팅 기기의 종류와 상관없이 구글 계정을 통해 동기화 되기 때문에 PC, 스마트폰, 태블릿 PC 등 다양한 기기에서 사용한 구글 서비스 데이터를 해당 기기가 없어도 구글 계정을 통해 수집할 수 있다. 따라서 본 논문의 연구 결과는 모바일 기기의 정보보호 기술의 발전으로 인해 데이터 수집이 어려워지고 있는 상황에서 디지털 포렌식 연구 및 조사에 매우 유용하게 활용할 수 있을 것으로 기대된다.
Google cloud includes data uploaded and synchronized by users, as well as synchronization history of all cloud services, users' smartphone usage, and location information. Therefore, Google cloud data can be useful for digital forensics from a user behavior analysis perspective. Through this paper, ...
Google cloud includes data uploaded and synchronized by users, as well as synchronization history of all cloud services, users' smartphone usage, and location information. Therefore, Google cloud data can be useful for digital forensics from a user behavior analysis perspective. Through this paper, we have identified the types of cloud data that can be acquired using Google's Takeout service and developed a tool that can be usefully utilized in digital forensics research and investigation by screening and analyzing the data required for analyzing user behavior. Because Google cloud data is synchronized through Google accounts regardless of the type of computing device, Google service data used on various devices such as PCs, smartphones, and tablet PCs can be acquired through Google accounts without the device. Therefore, the results of this paper's research are expected to be very useful for digital forensics research and investigation in the current situation.
Google cloud includes data uploaded and synchronized by users, as well as synchronization history of all cloud services, users' smartphone usage, and location information. Therefore, Google cloud data can be useful for digital forensics from a user behavior analysis perspective. Through this paper, we have identified the types of cloud data that can be acquired using Google's Takeout service and developed a tool that can be usefully utilized in digital forensics research and investigation by screening and analyzing the data required for analyzing user behavior. Because Google cloud data is synchronized through Google accounts regardless of the type of computing device, Google service data used on various devices such as PCs, smartphones, and tablet PCs can be acquired through Google accounts without the device. Therefore, the results of this paper's research are expected to be very useful for digital forensics research and investigation in the current situation.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
각 서비스의 로그들을 분석한 결과를 활용하여 다양한 관점에서 디지털 포렌식 분석을 위한 다음과 같은 총 4가지 관점의 분석 방법을 연구했다.
본 논문은 구글의 클라우드 데이터에 대한 디지털 포렌식 분석과 관련된 것으로 이 연구를 통해 구글의 계정을 통해 동기화된 다 기종의 데이터를 효과적으로 분석할 수 있다. 우리는 약 11개의 구글 클라우드 서비스에 대한 데이터를 분석했고 이를 통합 분석하여 다양한 관점에서 복합적으로 사용자 행위를 분석했으며 이를 지원하는 도구를 개발 및 공개했다.
따라서 클라우드 데이터는 디지털 포렌식 조사 관점에서 매우 중요한 조사 대상이 되고 있다. 우리는 디지털 포렌식 관점에서 클라우드 데이터를 통해 사용자 행위를 분석하는 연구를 했다. 구글의 모든 클라우드 데이터는 계정을 통해 Takeout이라는 서비스를 사용하여 다운로드 받을 수 있다[5].
가설 설정
디지털 증거는 적법한 절차를 통해 수집되어야 법정에서 디지털 증거의 증거 능력을 인정받을 수 있다. 따라서 실제 디지털 포렌식 조사에서는 필수적으로 피압수자의 동의하에 클라우드 데이터를 수집해야 하며 본 연구는 이러한 방법을 통해 데이터를 수집한 경우를 가정하여 진행했다.
제안 방법
데이터에 관한 연구도 있었다. Dongho Kime 위치 정보 분석, 이메일 분석, 인터넷 사용 이력 분석을 위해 구글 클라우드의 다양한 데이터를 분석했다[15]. 이것은 Takeout에 대해 디지털 포렌식 분석을 한 유일한 연구로, 우리는 Takeout의 전체적인 구조 분석과 이 연구에서 다루지 않았던 사용자 데이터를 통해 전체적인 사용자 행위 분석을 위한 연구를 했고, 그 결과를 도구로 개발하여 구글의 Takeout 데이터를 디지털 포렌식 연구 및 조사에 유용하게 활용할 수 있도록 했다.
확인했다. 그 후 그 음식점의 영업 여부를 확인하기 위해 전화 앱을 통해 전화 통화를 했고, 그 음식점으로 운전하여 가기 위해 내비게이션 앱을 구동했다.
사용자가 생성, 수정, 공유한 파일들의 정보를 분석하기 위해 Drive, Google Photos 서비스의 실제 파일들과 로그를 분석했다. 표 1.
사용자의 모든 행위를 시간 정보를 기준으로 분석하기 위해 시간 정보를 포함하는 로그의 데이터를 모두 통합, 정규화하여 분석한다. 이를 위해 Android, Assistant, Chrome, Drive(파일 수정 시각), Gmail, Google Photos (사진/동영상 촬영 시각), Video Search, YouTube 서비스들의 로그를 활용한다.
우리는 Takeout 으로 수집한 구글 클라우드 데이터의 종류와 내부 구조를 분석하여 디지털 포렌식 관점에서 사용자 정보와 행위 분석을 위한 연구와 포렌식 조사를 위한 도구를 개발하여 오픈소스로 공개했다. 우리의 연구 결과는 클라우드 서비스에 대한 디지털 포렌식 연구, 조사에 유용하게 활용될 수 있을 것이다.
수 있다. 우리는 약 11개의 구글 클라우드 서비스에 대한 데이터를 분석했고 이를 통합 분석하여 다양한 관점에서 복합적으로 사용자 행위를 분석했으며 이를 지원하는 도구를 개발 및 공개했다.
이를 위해 우리는 Assistant, Chrome, Gmail, Video Search, YouTube 서비스들의 로그를 분석했다. 이 로그들은 모두 시간 정보와 검색, 방문 또는 시청한 콘텐츠의 정보가 포함되기 때문에 기존의 웹브라우저에 대한 포렌식과 유사하고 이를 통해 분석한 내용은 정황 증거로 유용하게 사용할 수 있다.
대상 데이터
구글 클라우드에 저장된 사용자 정보는 일반적인 연구에서도 활용되었는데, Xiaonan는 공기 오염과 사람들의 이동에 대한 연관성을 분석하기 위해 GMLH (Google Map Local History)라는 구글 지도와 관련된 사용자의 위치 정보 데이터를 사용했다[6]. 이 외에도 Markus는 유비쿼터스와 모바일 기기를 활용한 사람들의 이동 경로를 분석하기 위한 연구에서 GMLH의 데이터를 사용하기도 했다[7].
사용자(저자)는 점심 식사를 위한 음식점을 웹브라우저 앱을 통해 검색하고, 그 음식점의 위치를 지도 앱을 통해 확인했다. 그 후 그 음식점의 영업 여부를 확인하기 위해 전화 앱을 통해 전화 통화를 했고, 그 음식점으로 운전하여 가기 위해 내비게이션 앱을 구동했다.
사용자의 구글 서비스 사용 내역이 저장된 표 1의 11 개 서비스들의 로그들을 분석했다. 우리는 각 단편적인 서비스들의 로그들을 디지털 포렌식 조사 관점에서 파싱하여 각 서비스들의 사용 내역을 쉽게 분석할 수 있도록 했다.
우리는 3장에서 사용자가 구글 클라우드 기반 서비스들의 사용 내역이 포함된 Takeout 데이터를 분석했다. 우리는 이것들을 디지털 포렌식 조사 관점에서 파싱 후 통합, 정규화하는 도구를 개발했고 이것들을 오픈소스로 공개했다.
여기에는 구글 계정을 사용한 모든 기기에서 사용자가 사용한 구글 서비스들의 사용 내역, 동기화된 파일들뿐만 아니라 시간 정보를 포함하는 안드로이드에서 사용한 모든 앱의 구동 내역, 사용자의 위치정보(위도, 경도 포함) 등도 포함된다. 우리는 이 중 디지털 포렌식 관점에서 사용자 행위 분석에 유용하게 사용할만한 정보를 포함하고 있는 표 1의 11개의 서비스를 선별하여 추출 및 분석했다.
성능/효과
실제 파일들을 저장한다. 따라서 이 로그를 분석하면 구글 포토에 업로드된 사진 또는 동영상 파일에 대한 앨범 명, 파일 명, 확장자, 파일 크기 정보와 다양한 시간 정보(앨범 생성 시각, 사진/동영상 파일의 촬영, 생성, 수정 시각)를 알 수 있다. 이뿐만 아니라 사진 파일에 EXIF 정보가 있는 경우 사진이 촬영된 위치 정보도 분석할 수 있다.
후속연구
또한, 수많은 사용자 내역들에 딥러닝을 적용하여 다양한 관점에서 사용자에 대한 정보를 도출해내기 위한 연구도 진행할 계획이다.
오픈소스로 공개했다. 우리의 연구 결과는 클라우드 서비스에 대한 디지털 포렌식 연구, 조사에 유용하게 활용될 수 있을 것이다.
Dongho Kime 위치 정보 분석, 이메일 분석, 인터넷 사용 이력 분석을 위해 구글 클라우드의 다양한 데이터를 분석했다[15]. 이것은 Takeout에 대해 디지털 포렌식 분석을 한 유일한 연구로, 우리는 Takeout의 전체적인 구조 분석과 이 연구에서 다루지 않았던 사용자 데이터를 통해 전체적인 사용자 행위 분석을 위한 연구를 했고, 그 결과를 도구로 개발하여 구글의 Takeout 데이터를 디지털 포렌식 연구 및 조사에 유용하게 활용할 수 있도록 했다.
있다. 이러한 시점에서 스마트폰 데이터를 다수포함하고 있는 구글 클라우드 데이터에 관한 우리의 연구 결과는 디지털 포렌식 연구와 조사에 많은 도움이 될 수 있을 것으로 기대된다.
특히, Takeoute 사용자의 위치 정보를 거의 실시간으로 매우 상세하게 포함하고 있어서 최근 코로나19 팬데믹 상황에서 확진자의 동의하에 구글의 Takeout를 수집할 수 있다면, 우리의 위치 정보 분석을 통해 확진자의 이동 경로를 효과적으로 분석할 수 있을 것이다.
향후 우리는 Takeout내의 다른 데이터들도 더 분석하고 통합 분석하는 방안과 디지털 포렌식 조사에 유용하게 활용할 수 있는 시각화 방안에 대해서도 더 연구할 예정이다. 또한, 수많은 사용자 내역들에 딥러닝을 적용하여 다양한 관점에서 사용자에 대한 정보를 도출해내기 위한 연구도 진행할 계획이다.
Current and planned usage of public cloud platform services running applications worldwide as of 2020 [Internet]. Available: https://www.statista.com/statistics/511467/worldwide-survey-public-coud-services-running-application/.
Purposes for personal cloud service usage in South Korea in 2019 [Internet]. Available: https://www.statista.com/statistics/1013119/south-korea-cloud-service-use-personal-purpose/.
Purposes for work-related cloud service usage in South Korea in 2019 [Internet]. Available: https://www.statista.com/statistics/1013121/south-korea-cloud-service-use-work-related-purpose/.
Google Takeout [Internet]. Available: https://takeout.google.com/.
X. Yu, A. L. Stuart, Y. Liu, C. E. Ivey, A. G. Russell, H. Kan, L. R. Henneman, S. E. Sarnat, S. Hasan, A. Sadmani, and X. Yang, "On the accuracy and potential of Google Maps location history data to characterize individual mobility for air pollution health studies," Environmental Pollution, vol. 252(A), pp. 924-930, 2019.
M. Lochtefeld, "DetourNavigator - Using Google Location History to Generate Unfamiliar Personal Routes," Extended Abstracts of the 2019 CHI Conference on Human Factors in Computing Systems (CHI EA '19), Paper LBW1117, pp. 1-6, 2019.
H. Chung, J. Park, S. Lee, and C. Kang, "Digital forensic investigation of cloud storage services," Digital Investigation, vol. 9, no. 2, pp. 81-94, 2012.
D. Quick and K. K. R. Choo, "Google Drive: Forensic analysis of data remnants," Journal of Network and Computer Applications, vol. 40, pp. 179-193, 2014.
C. Federici, "Cloud Data Imager: A unified answer to remote acquisition of cloud storage areas," Digital Investigation, vol. 11, no. 1, pp. 30-42, 2014.
E. Williams and J. Yerby, "Google and Facebook Data Retention and Location Tracking through Forensic Cloud Analysis," Southern Association for Information Systems (SAIS), 2019.
M. E. Alex and R. Kishore, "Forensics framework for cloud computing," Computers & Electrical Engineering, vol. 60, pp. 193-205, 2017.
D. Birk and C. Wegener, "Technical issues of forensic investigations in cloud computing environments," 2011 Sixth IEEE International Workshop on Systematic Approaches to Digital Forensic Engineering. IEEE, pp. 1-10, 2011.
B. Manral, G. Somani, K. K. R. Choo, M. Conti, and M. S. Gaur, "A systematic survey on cloud forensics challenges, solutions, and future directions," ACM Computing Surveys (CSUR), vol. 52, no. 6, pp. 1-38, 2019.
D. Kim and S. Lee, "A Study on the Usage of Investigation of Google Cloud Data (Smartphone user-oriented)," Journal of Digital Forensics, vol. 12, no. 3, pp. 107-118, 2018.
Material Design Lite [Internet]. Available: https://getmdl.io/.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.