[국내논문]안드로이드 환경에서 Signal과 Telegram 보안 메신저 디지털 포렌식분석 연구 Signal and Telegram Security Messenger Digital Forensic Analysis study in Android Environment원문보기
본 연구는 안드로이드 환경에서 널리 사용되는 두 개의 보안 메신저인 Signal과 Telegram에 대한 디지털 포렌식 분석을 진행하였다. 현재 모바일 메신저가 일상생활의 중요한 역할을 하는 만큼, 이들 앱 내부의 데이터 관리와 보안성은 매우 중요한 이슈가 됐다. Signal과 Telegram은 그중에서도 사용자들 사이에서 높은 신뢰성을 받고 있는 보안 메신저로, 암호화 기술을 바탕으로 사용자들의 개인 정보를 안전하게 보호한다. 하지만 이러한 암호화된 데이터를 어떻게 분석할 수 있을지에 대해서는 아직까지 많은 연구가 필요하다. 본 연구에서는 이러한 문제점을 해결하기 위해 Signal과 Telegram의 메시지 암호화와 안드로이드 디바이스 내 데이터베이스 구조 및 암호화 방식에 대하여 깊이 있는 분석을 진행하였다. Signal의 경우, 복잡한 알고리즘으로 인해 외부에서 접근하기 어려운 암호화된 메시지를 성공적으로 복호화 하여 내용을 확인할 수 있었다. 또한 두 메신저 앱의 데이터베이스 구조를 세밀하게 분석하여 해당 정보를 수시로 활용할 수 있는 폴더 구조 및 파일 형태로 정리하는 작업도 진행했다. 이렇게 분석한 정보를 바탕으로 보다 발전된 기술과 방법론을 적용함으로써, 앞으로 더욱 정확하고 세밀한 디지털 포렌식 분석이 가능할 것으로 기대된다. 이 연구가 Signal과 Telegram 같은 보안 메신저에 대한 이해를 높이는 데 도움을 주며, 이로 인해 개인 정보 보호와 범죄 예방 등 여러 측면에서의 활용 가능성이 열릴 것으로 예상된다.
본 연구는 안드로이드 환경에서 널리 사용되는 두 개의 보안 메신저인 Signal과 Telegram에 대한 디지털 포렌식 분석을 진행하였다. 현재 모바일 메신저가 일상생활의 중요한 역할을 하는 만큼, 이들 앱 내부의 데이터 관리와 보안성은 매우 중요한 이슈가 됐다. Signal과 Telegram은 그중에서도 사용자들 사이에서 높은 신뢰성을 받고 있는 보안 메신저로, 암호화 기술을 바탕으로 사용자들의 개인 정보를 안전하게 보호한다. 하지만 이러한 암호화된 데이터를 어떻게 분석할 수 있을지에 대해서는 아직까지 많은 연구가 필요하다. 본 연구에서는 이러한 문제점을 해결하기 위해 Signal과 Telegram의 메시지 암호화와 안드로이드 디바이스 내 데이터베이스 구조 및 암호화 방식에 대하여 깊이 있는 분석을 진행하였다. Signal의 경우, 복잡한 알고리즘으로 인해 외부에서 접근하기 어려운 암호화된 메시지를 성공적으로 복호화 하여 내용을 확인할 수 있었다. 또한 두 메신저 앱의 데이터베이스 구조를 세밀하게 분석하여 해당 정보를 수시로 활용할 수 있는 폴더 구조 및 파일 형태로 정리하는 작업도 진행했다. 이렇게 분석한 정보를 바탕으로 보다 발전된 기술과 방법론을 적용함으로써, 앞으로 더욱 정확하고 세밀한 디지털 포렌식 분석이 가능할 것으로 기대된다. 이 연구가 Signal과 Telegram 같은 보안 메신저에 대한 이해를 높이는 데 도움을 주며, 이로 인해 개인 정보 보호와 범죄 예방 등 여러 측면에서의 활용 가능성이 열릴 것으로 예상된다.
This study conducted a digital forensic analysis of Signal and Telegram, two secure messengers widely used in the Android environment. As mobile messengers currently play an important role in daily life, data management and security within these apps have become very important issues. Signal and Tel...
This study conducted a digital forensic analysis of Signal and Telegram, two secure messengers widely used in the Android environment. As mobile messengers currently play an important role in daily life, data management and security within these apps have become very important issues. Signal and Telegram, among others, are secure messengers that are highly reliable among users, and they safely protect users' personal information based on encryption technology. However, much research is still needed on how to analyze these encrypted data. In order to solve these problems, in this study, an in-depth analysis was conducted on the message encryption of Signal and Telegram and the database structure and encryption method in Android devices. In the case of Signal, we were able to successfully decrypt encrypted messages that are difficult to access from the outside due to complex algorithms and confirm the contents. In addition, the database structure of the two messenger apps was analyzed in detail and the information was organized into a folder structure and file format that could be used at any time. It is expected that more accurate and detailed digital forensic analysis will be possible in the future by applying more advanced technology and methodology based on the analyzed information. It is expected that this research will help increase understanding of secure messengers such as Signal and Telegram, which will open up possibilities for use in various aspects such as personal information protection and crime prevention.
This study conducted a digital forensic analysis of Signal and Telegram, two secure messengers widely used in the Android environment. As mobile messengers currently play an important role in daily life, data management and security within these apps have become very important issues. Signal and Telegram, among others, are secure messengers that are highly reliable among users, and they safely protect users' personal information based on encryption technology. However, much research is still needed on how to analyze these encrypted data. In order to solve these problems, in this study, an in-depth analysis was conducted on the message encryption of Signal and Telegram and the database structure and encryption method in Android devices. In the case of Signal, we were able to successfully decrypt encrypted messages that are difficult to access from the outside due to complex algorithms and confirm the contents. In addition, the database structure of the two messenger apps was analyzed in detail and the information was organized into a folder structure and file format that could be used at any time. It is expected that more accurate and detailed digital forensic analysis will be possible in the future by applying more advanced technology and methodology based on the analyzed information. It is expected that this research will help increase understanding of secure messengers such as Signal and Telegram, which will open up possibilities for use in various aspects such as personal information protection and crime prevention.
본 연구에서는 안드로이드 환경에서 널리 사용되는 메신저 애플리케이션 중 Signal 과 Telegram의 데이터를 디지털 포렌식 방법론으로 체계적으로 분석한다. 이 과정에서 우리는 각각의 데이터베이스 구조와 저장 방식 등 다양한 측면들을 깊게 파악하여 그 결과로부터 수사관들에게 유용할 수 있는 디지털 증거들을 도출하였다.
제안 방법
대표적인 암호화 메신저 애플리케이션인 Signal과 Telegram을 안드로이드 환경에서 분석함으로써, 주요 아티팩트를 분석하여 데이터베이스의 구조를 파악하고, 주요 아티팩트의 디렉터리를 경로별로 정리했다. 특히 Signal 데이터베이스의 복호화 방법을 통해 암호화된 메시지를 복호화 하여 추출하고, 사용자의 활동 흔적을 분석함으로써 수사관이 필요로 하는 증거를 확인했다.
Element 보안 메신저는 대화 참여자만 대화 이력을 확인할 수 있도록 종단 간 암호화 기능을 제공하고 있으나 이를 복호화 하는 연구가 미흡하다. 사용자의 패스워드 없이 Windows 자격 증명 관리자 서비스에 저장된 복호화 키를 활용하여 암호화된 보안 채팅방의 이력을 평문으로 확인하는 방안을 제안했다[2].
안드로이드 핸드폰에서 Telegram을 분석하기 위해서는 위 Signal을 분석하기 위해 준비했던 과정이랑 동일하다. 안드로이드 핸드폰이 루팅이 되어있는 상태에서 이미징 도구인 안드로이드 디버그 브리지를 이용하여 이미징을 하였다.
대표적인 암호화 메신저 애플리케이션인 Signal과 Telegram을 안드로이드 환경에서 분석함으로써, 주요 아티팩트를 분석하여 데이터베이스의 구조를 파악하고, 주요 아티팩트의 디렉터리를 경로별로 정리했다. 특히 Signal 데이터베이스의 복호화 방법을 통해 암호화된 메시지를 복호화 하여 추출하고, 사용자의 활동 흔적을 분석함으로써 수사관이 필요로 하는 증거를 확인했다. 이러한 연구 결과는 모바일 포렌식 분석 분야에서 유용하게 활용될 뿐 만 아니라, 불법 활동을 조사하고 수사하는데 필요한 중요한 정보를 제공하는 기술적 기반 자료로 활용될 것으로 기대된다.
성능/효과
xml 파일이 있는 것을 확인할 수 있다. Signal의 userconfig.xml 파일에는 킷값이 저장되어 있는 것을 확인할 수 있었는데 안드로이드 5.1.1 버전의 Telegram 애플리케이션 구동 환경에서는 데이터베이스를 암호화하지 않아 키값이 들어가지 않은 것을 확인할 수 있다.
xml 파일로 Telegram 계정의 세부 정보가 저장되어 있다. 그리고 data/media 디렉터리 안에는 Telegram에서 생성된 사용자의 캐시 파일과 Telegram 메신저를 통해 주고받은 파일의 사본이 저장되는 것을 확인할 수 있다. 아래는 Telegram 애플리케이션을 분석할 때 확인할 수 있는 주요 아티팩트들의 위치이다.
xml 파일은 복호화에 사용되는 secret 키가 저장되어 있다. 그리고 databases 디렉터리 안에 있는 signal.db 파일은 분석한 결과 사용자가 애플리케이션을 사용한 흔적을 확인할 수 있었고, 사용자의 전화 기록과 보낸 메시지의 내용과 보낸 시간을 확인할 수 있었다. 특히 signal-key-value.
후속연구
특히 Signal 데이터베이스의 복호화 방법을 통해 암호화된 메시지를 복호화 하여 추출하고, 사용자의 활동 흔적을 분석함으로써 수사관이 필요로 하는 증거를 확인했다. 이러한 연구 결과는 모바일 포렌식 분석 분야에서 유용하게 활용될 뿐 만 아니라, 불법 활동을 조사하고 수사하는데 필요한 중요한 정보를 제공하는 기술적 기반 자료로 활용될 것으로 기대된다.
이 과정에서 우리는 각각의 데이터베이스 구조와 저장 방식 등 다양한 측면들을 깊게 파악하여 그 결과로부터 수사관들에게 유용할 수 있는 디지털 증거들을 도출하였다. 이러한 연구 결과는 현장 수사에서 실질적으로 활용될 수 있을 뿐만 아니라, 디지털 포렌식 분야의 발전에도 기여할 것으로 기대된다. 특히, 이번 연구를 통해 파악된 데이터베이스 구조와 저장 방식 등의 정보는 암호화된 메신저 애플리케이션의 데이터를 보다 효과적으로 분석하는 데 도움을 줄 것으로 예상된다.
이러한 연구 결과는 현장 수사에서 실질적으로 활용될 수 있을 뿐만 아니라, 디지털 포렌식 분야의 발전에도 기여할 것으로 기대된다. 특히, 이번 연구를 통해 파악된 데이터베이스 구조와 저장 방식 등의 정보는 암호화된 메신저 애플리케이션의 데이터를 보다 효과적으로 분석하는 데 도움을 줄 것으로 예상된다.
Zhang, Hao, Lei Chen, and Qingzhong Liu,.?"Digital forensic analysis of instant messaging applications on android smartphones"?2018 International Conference on Computing,?Networking and Communications (ICNC).?IEEE, 2018.
최주섭, 유재관, 현상원, 김형식, "Digital forensic analysis of encrypted database files in?instant messaging applications on Windows?operating systems: Case study with KakaoTalk,?NateOn and QQ messenger" Digital Investigation,?Vol.28, pp.50-59, 2019.
이병엽, 임종태, 유재수, "데이터베이스 암호화 솔류션 구현 및 도입을 위한 기술적 아키텍처",?한국콘텐츠학회논문지, 제14호제6호, pp.1-10,?2014.
박형도, "Is your database system secure?",?ORACLE KOREA MAGAZINE, pp.33-37,?2011.
김정윤 외5인, "종단 간 암호화 통신을 위한 키 전달 프로토콜에 관한 연구" 동계학술발표대회논문집, 제16권 제2호, pp 391-394, 한국컴퓨터정보학회, 2008.
오정훈, 이상진, "안드로이드 스마트폰 포렌식 분석 방법에 관한 연구" 한국디지털포렌식학회,?Vol.6, No.1, pp.47-76, 2012.
Cosimo, A., Massimo, C., Macro, G. :?"Forensic analysis of Telegram Messenger?on Android smartphones" Digital Investigation,?2017, vol.23,pp 31-49, 2017.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.