김주은
(Department of Computer Science and engineering, Seoul National University of Science and Technology)
,
서승희
(Department of Computer Science and engineering, Seoul National University of Science and Technology)
,
차해성
(Department of Computer Science and engineering, Seoul National University of Science and Technology)
,
김역
(Institute of Electric and Information Technology, Seoul National University of Science and Technology)
,
이창훈
(Department of Computer Science and engineering, Seoul National University of Science and Technology)
IoT(Internet of Things) 디바이스의 사용이 확대됨에 따라 경찰청의 디지털 포렌식 적용 범위가 스마트 홈 영역으로 확대되었다. 이에 따라 스마트 홈 플랫폼 데이터를 수집하기 위해 진행된 기존 연구들은 대부분 모바일 기기의 로컬 데이터 분석과 네트워크 관점의 분석 등의 연구가 주로 수행되었다. 하지만 증거 분석을 위해 유의미한 데이터는 스마트 홈 플랫폼의 클라우드 스토리지에 주로 저장되어있다. 따라서 본 논문에서는 사용자가 헤이 홈 앱 기반의 "헤이 홈 스퀘어" 서비스를 이용할 때 PC에 기록되는 Microsoft Edge, Google Chrome, Mozilia Firefox, Opera와 같은 웹 브라우저들의 쿠키 데이터베이스를 통해 사용자 계정의 accessToken을 획득하여 헤이 홈 Air 환경에서 클라우드에 저장된 데이터의 수집 방안을 연구했다. 데이터는 헤이 홈의 모회사가 제공하는 OpenAPI를 활용해 클라우드로 직접 접근하여 수집하였다. 본 논문에서는 스마트 온·습도 센서, 스마트 도어 센서, 스마트 모션 센서로 환경을 구성하여 실험를 수행했고 날짜 및 장소별 온·습도 데이터, 사용한 디바이스 리스트, 방 내 모션 감지 기록 등의 아티팩트를 수집할 수 있는 것을 확인하였다. 이와 같은 아티팩트 분석 결과를 통해 알 수 있는 사건 당시의 온·습도 등의 정보는 포렌식 수사 과정에서 단서로 활용될 수 있다. 또한 본 논문에서 제안한 OpenAPI를 활용한 클라우드 데이터 수집 방안은 데이터 수집 과정에서 발생할 수 있는 변조 가능성을 배제하고, API를 이용해 결과를 호출하기 때문에 디지털 포렌식의 원칙인 무결성의 원칙과 재현성의 원칙을 따른다.
IoT(Internet of Things) 디바이스의 사용이 확대됨에 따라 경찰청의 디지털 포렌식 적용 범위가 스마트 홈 영역으로 확대되었다. 이에 따라 스마트 홈 플랫폼 데이터를 수집하기 위해 진행된 기존 연구들은 대부분 모바일 기기의 로컬 데이터 분석과 네트워크 관점의 분석 등의 연구가 주로 수행되었다. 하지만 증거 분석을 위해 유의미한 데이터는 스마트 홈 플랫폼의 클라우드 스토리지에 주로 저장되어있다. 따라서 본 논문에서는 사용자가 헤이 홈 앱 기반의 "헤이 홈 스퀘어" 서비스를 이용할 때 PC에 기록되는 Microsoft Edge, Google Chrome, Mozilia Firefox, Opera와 같은 웹 브라우저들의 쿠키 데이터베이스를 통해 사용자 계정의 accessToken을 획득하여 헤이 홈 Air 환경에서 클라우드에 저장된 데이터의 수집 방안을 연구했다. 데이터는 헤이 홈의 모회사가 제공하는 OpenAPI를 활용해 클라우드로 직접 접근하여 수집하였다. 본 논문에서는 스마트 온·습도 센서, 스마트 도어 센서, 스마트 모션 센서로 환경을 구성하여 실험를 수행했고 날짜 및 장소별 온·습도 데이터, 사용한 디바이스 리스트, 방 내 모션 감지 기록 등의 아티팩트를 수집할 수 있는 것을 확인하였다. 이와 같은 아티팩트 분석 결과를 통해 알 수 있는 사건 당시의 온·습도 등의 정보는 포렌식 수사 과정에서 단서로 활용될 수 있다. 또한 본 논문에서 제안한 OpenAPI를 활용한 클라우드 데이터 수집 방안은 데이터 수집 과정에서 발생할 수 있는 변조 가능성을 배제하고, API를 이용해 결과를 호출하기 때문에 디지털 포렌식의 원칙인 무결성의 원칙과 재현성의 원칙을 따른다.
As the use of Internet of Things (IoT) devices has expanded, digital forensics coverage of the National Police Agency has expanded to smart home areas. Accordingly, most of the existing studies conducted to acquire smart home platform data were mainly conducted to analyze local data of mobile device...
As the use of Internet of Things (IoT) devices has expanded, digital forensics coverage of the National Police Agency has expanded to smart home areas. Accordingly, most of the existing studies conducted to acquire smart home platform data were mainly conducted to analyze local data of mobile devices and analyze network perspectives. However, meaningful data for evidence analysis is mainly stored on cloud storage on smart home platforms. Therefore, in this paper, we study how to acquire stored in the cloud in a Hey Home Air environment by extracting accessToken of user accounts through a cookie database of browsers such as Microsoft Edge, Google Chrome, Mozilia Firefox, and Opera, which are recorded on a PC when users use the Hey Home app-based "Hey Home Square" service. In this paper, the it was configured with smart temperature and humidity sensors, smart door sensors, and smart motion sensors, and artifacts such as temperature and humidity data by date and place, device list used, and motion detection records were collected. Information such as temperature and humidity at the time of the incident can be seen from the results of the artifact analysis and can be used in the forensic investigation process. In addition, the cloud data acquisition method using OpenAPI proposed in this paper excludes the possibility of modulation during the data collection process and uses the API method, so it follows the principle of integrity and reproducibility, which are the principles of digital forensics.
As the use of Internet of Things (IoT) devices has expanded, digital forensics coverage of the National Police Agency has expanded to smart home areas. Accordingly, most of the existing studies conducted to acquire smart home platform data were mainly conducted to analyze local data of mobile devices and analyze network perspectives. However, meaningful data for evidence analysis is mainly stored on cloud storage on smart home platforms. Therefore, in this paper, we study how to acquire stored in the cloud in a Hey Home Air environment by extracting accessToken of user accounts through a cookie database of browsers such as Microsoft Edge, Google Chrome, Mozilia Firefox, and Opera, which are recorded on a PC when users use the Hey Home app-based "Hey Home Square" service. In this paper, the it was configured with smart temperature and humidity sensors, smart door sensors, and smart motion sensors, and artifacts such as temperature and humidity data by date and place, device list used, and motion detection records were collected. Information such as temperature and humidity at the time of the incident can be seen from the results of the artifact analysis and can be used in the forensic investigation process. In addition, the cloud data acquisition method using OpenAPI proposed in this paper excludes the possibility of modulation during the data collection process and uses the API method, so it follows the principle of integrity and reproducibility, which are the principles of digital forensics.
피압수자가 자신의 PC에서 웹 브라우저를 사용했다면, 로컬 경로에서 사용한 웹 브라우저의 쿠키 데이터베이스 파일을 얻을 수 있다. 본 논문에서는 피압수자가 웹 브라우저를 통해 헤이 홈 스퀘어 서비스를 사용했다고 가정했을 때, 암호화된 데이터가 포함된 쿠키 데이터베이스 파일을 복호화하여 헤이 홈 서비스의 계정인증을 위한 access Token을 얻는 방안을 연구했다. 헤이 홈 서비스의 인증을 위한 accessToken의 정보는 square.
제안 방법
IoT 디바이스의 대중화가 가속화 되면서 클라우드 스토리지에 저장된 아티팩트 분석의 중요성이 증가함에 따라, 본 연구에선 로컬 PC에 기록된 웹 브라우저의 쿠키 데이터베이스를 통해 사용자의 accessToken을 획득하여 Microsoft의 DPAPI를 이용한 복호화 과정을 보였다. 또한 accessToken을 추출한 이후 ㈜고퀄의 OpenAPI를 이용해 먼저 로그인과 OAuth2.
그러나 본 논문에서는 헤이 홈 플랫폼 자체에서 제공하는 공개 API를 통해 클라우드에 접근하여 아티팩트를 수집·분석한다
IoT 디바이스의 대중화가 가속화 되면서 클라우드 스토리지에 저장된 아티팩트 분석의 중요성이 증가함에 따라, 본 연구에선 로컬 PC에 기록된 웹 브라우저의 쿠키 데이터베이스를 통해 사용자의 accessToken을 획득하여 Microsoft의 DPAPI를 이용한 복호화 과정을 보였다. 또한 accessToken을 추출한 이후 ㈜고퀄의 OpenAPI를 이용해 먼저 로그인과 OAuth2.0 인증과정을 수행하고, 데이터 요청 시 추출한 accessToken을 헤더에 주입한 뒤, 응답을 통한 클라우드 데이터를 분석하여 아티팩트 목록을 정리하였다.
이에 따라 ㈜고퀄의 OpenAPI에서 사용자의 accessToken을 통해 클라우드 데이터를 획득할 수 있다는 것을 이용했다. 본 논문에서는 피압수자의 클라우드 아티팩트 수집을 위해 디지털 포렌식 수사관의 관점에서 클라이언트 계정을 발급받은 후, 피압수자 PC의 쿠키 데이터베이스에서 얻은 암호화된 accessToken의 값을 복호화한 후 클라우드 아티팩트를 얻을 수 있는 방안을 제시했다.
대상 데이터
웹 브라우저를 통해 헤이 홈 스퀘어의 서비스 이용 행위를 한 뒤에 쿠키 데이터베이스 파일을 확인한다. 웹 브라우저별로 쿠키 저장 경로나 방식이 각각 다르기 때문에 Microsoft Edge, Google Chrome, Mozila Firefox, Opera 총 4가지 웹 브라우저에서 실험을 진행했다. 피압수자의 계정 정보 없이 클라우드에 접근하기 위해 디지털 포렌식 수사관의 아이디로 로그인하여 기본 권한을 먼저 얻는다, 그 다음 API의 header로 피압수자 계정의 accessToken을 주입하여 해당하는 사용자의 헤이 홈 클라우드 데이터를 얻는다.
웹 브라우저별로 쿠키 저장 경로나 방식이 각각 다르기 때문에 Microsoft Edge, Google Chrome, Mozila Firefox, Opera 총 4가지 웹 브라우저에서 실험을 진행했다. 피압수자의 계정 정보 없이 클라우드에 접근하기 위해 디지털 포렌식 수사관의 아이디로 로그인하여 기본 권한을 먼저 얻는다, 그 다음 API의 header로 피압수자 계정의 accessToken을 주입하여 해당하는 사용자의 헤이 홈 클라우드 데이터를 얻는다.
처음 사용자의 계정을 생성하고 허브에 연결하는 것은 헤이 홈 앱을 통해 가능하다. 헤이 홈 서비스에서 제공하는 헤이 홈 스퀘어 서비스는 Microsoft Edge, Google Chrome, Mozila Firefox, Opera 총 4가지 웹 브라우저에서 사용하였다. ㈜고퀄의 OpenAPI를 이용해 결과를 가져오는 과정은 웹상에서 API 테스트 기능 서비스를 제공하는 Postman을 활용하였다.
성능/효과
본 논문에서 제안한 OpenAPI를 활용한 클라우드 데이터 수집 방안은 기존 연구와 같이 모바일 기기나 IoT 디바이스, 혹은 네트워크 관점에서 데이터를 수집할 시 발생할 수 있는 접속 기록 갱신 등의 데이터 변조 위험성이 적다는 장점이 있고, API 요청을 통해 클라우드 데이터를 수집하기 때문에 수집 시점이 다르더라도 같은 데이터 결과를 가진다는 장점이 있다. 이에 따라 본 논문에서 제안된 클라우드 아티팩트 수집 기법은 디지털 포렌식의 원칙인 무결성의 원칙과 재현성의 원칙을 보장한다.
각 웹 브라우저별 해당 경로는 표 2와 같다. 웹 브라우저 중 Mozila Firefox를 제외한 Microsoft Edge, Google Chrome, Opera의 쿠키 데이터베이스에 accessToken이 기록됨을 알 수 있었다.
본 논문에서 제안한 OpenAPI를 활용한 클라우드 데이터 수집 방안은 기존 연구와 같이 모바일 기기나 IoT 디바이스, 혹은 네트워크 관점에서 데이터를 수집할 시 발생할 수 있는 접속 기록 갱신 등의 데이터 변조 위험성이 적다는 장점이 있고, API 요청을 통해 클라우드 데이터를 수집하기 때문에 수집 시점이 다르더라도 같은 데이터 결과를 가진다는 장점이 있다. 이에 따라 본 논문에서 제안된 클라우드 아티팩트 수집 기법은 디지털 포렌식의 원칙인 무결성의 원칙과 재현성의 원칙을 보장한다. 또한, 도출된 아티팩트 분석 결과는 포렌식 수사 과정에서 사건 발생 당시 현장의 온·습도 등의 단서를 파악하는데 활용될 수 있다.
후속연구
이에 따라 본 논문에서 제안된 클라우드 아티팩트 수집 기법은 디지털 포렌식의 원칙인 무결성의 원칙과 재현성의 원칙을 보장한다. 또한, 도출된 아티팩트 분석 결과는 포렌식 수사 과정에서 사건 발생 당시 현장의 온·습도 등의 단서를 파악하는데 활용될 수 있다.
범죄 사건과 관련하여 피압수자가 기기의 위치를 저장해놓은 장소 정보, 날짜와 시간이 기록된 히스토리 정보는 증거로써 중요한 아티팩트이다. 또한, 헤이 홈에서 클라우드 아티팩트를 얻을 수 있는 헤이 홈 제품은 실험에 사용한 기기 이외에도 누수 감지, 연기 감지, 도어락 등 대략 45개가 더 존재하므로 헤이 홈 단독 플랫폼으로 스마트 홈을 구성한 피압수자에 대하여 논문의 실험을 적용한다면 의미있는 아티팩트를 수집할 수 있을 것으로 보인다.
본 논문에서 제안한 기법을 이용해 OpenAPI를 제공하는 다른 스마트 홈 플랫폼에서도 토큰을 이용한 아티팩트 수집·분석 기법을 활용할 수 있을 것이다
본 논문에서 제안한 기법을 이용해 OpenAPI를 제공하는 다른 스마트 홈 플랫폼에서도 토큰을 이용한 아티팩트 수집·분석 기법을 활용할 수 있을 것이다. 향후 연구에서는 웹 서비스에만 한정되는 것이 아니라 많이 사용되는 모바일 앱 서비스를 통해 모바일 기기에서 accessToken과 같은 크리덴셜 데이터를 획득하는 방안을 연구하고자 한다.
참고문헌 (12)
SH Kim, "Last year, the number of digital forensic analyses doubled in three years", ITBizNews, 2021.10.10., access 2022.07.09. https://www.itbiznews.com/news/articleView.html?idxno51592
YC Jung, "Smart home data to secure criminal cues.. Supreme Prosecutors' Office Launches Research on Forensic Techniques", etnews, 2022.03.17., access 2022.07.09. https://www.etnews.com/20220317000157
MJ Kim, TS Shon, "Smart Home IoT Forensics Technology Trends", REVIEW OF KIISC, Vol. 31, No. 6, pp. 31-35, 2021.
SJ Kang, SM Shin, SR Kim, GY Kim, JS Kim, "Artifacts Analysis of Xiaomi Smart Home and Utilization Method for Digital Forensics". Journal of Digital Forensics, Vol. 15, No. 1, pp. 54-66, 2021.
MJ Kim, TS Shon, "Research on Network-based Smart Home Device Forensic Technology", Journal of Digital Forensics, Vol. 15, No. 4, pp. 84-94, 2021.
SR Kim, MS Park, SH Kim, JS Kim, "Smart Home Forensics-Data Analysis of IoT Devices", Electronics, vol. 9, No. 8, pp.1215-1228, 2020. https://doi.org/10.3390/electronics9081215
GH Nam, SH Gong, BJ Seok, CH Lee, "Study onRemote Data Acquisition Methods Using OAuth Protocol of Android Operating System", Journal of the Korea Institute of Information Security & Cryptology, Vol. 28, No. 1, pp. 111-122, 2018. https://doi.org/10.13089/JKIISC.2018.28.1.111
SM Moon, SH Seo, CH Lee, "Digital Forensic Analysis for Smart-home Platform Hejhome", Summer Conference of Korea Institute of information Security & Cryptology, 2021.
Microsoft Docs, "dpapi.h header", Microsoft technical documentation, 2022.08.03., access 2022.09.07. https://docs.microsoft.com/en-us/windows/win32/api/dpapi/
Microsoft Docs, "CryptGenKey function (wincrypt.h)", Microsoft technical documentation, 2021.10.13., access 2022.09.07. https://docs.microsoft.com/en-us/windows/win32/api/wincrypt/nf-wincrypt-cryptgenkey
※ AI-Helper는 부적절한 답변을 할 수 있습니다.