[논문]손상된 OOXML 파일에서의 데이터 추출 고도화 방안 연구

김지윤; 김민수; 박우빈; 정두원

doi:10.13089/jkiisc.2024.34.2.193

손상된 OOXML 파일에서의 데이터 추출 고도화 방안 연구
Research on Advanced Methods for Data Extraction from Corrupted OOXML Files 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.34 no.2, 2024년, pp.193 - 206

김지윤 (성균관대학교) , 김민수 (성균관대학교) , 박우빈 (동국대학교) , 정두원 (성균관대학교)

초록
AI-Helper

디지털 시대의 발전과 더불어, 디지털 자료의 중요성과 그로 인한 디지털 포렌식 수사의 필요성이 증가하고 있다. 그러나 디지털 증거의 수집 및 분석 과정에서 정보저장매체의 손상이나 안티포렌식 등으로 발생하는 주요 문제점인 손상된 파일의 데이터 식별 불가능으로 증거 수집이 원활하게 이뤄지지 않고 있다. 또한, 손상된 파일복구를 위한 기존 도구의 기술적 한계로 인해 복구에 어려움이 존재한다. 따라서 본 논문은 디지털 자료 생성에 활용되는 손상된 MS Office 파일의 복구 방안을 제시하고자 한다. 복구 방안 제시를 위하여 MS Office 파일 구조인 OOXML포맷을 분석하고, 기존 복구 도구의 한계를 극복하기 위한 새로운 접근 방식을 제시한다. 이를 통해 손상된 데이터를 보다 효율적으로 복구하고 식별할 수 있는 방안을 마련함으로써 디지털 포렌식 분야에서 증거 수집의 질을 향상하는데 기여하고자 한다.

Abstract ▼ AI-Helper

In tandem with the advancements in the digital era, the significance of digital data has escalated, necessitating an increased focus on digital forensics investigations. However, the process of collecting and analyzing digital evidence faces significant challenges, such as the unidentifiability of damaged files due to issues like media corruption and anti-forensic techniques. Moreover, the technological limitations of existing tools hinder the recovery of damaged files, posing difficulties in the evidence collection process. This paper aims to propose solutions for the recovery of corrupted MS Office files commonly used in digital data creation. To achieve this, we analyze the structure of MS Office files in the OOXML format and present a novel approach to overcome the limitations of current recovery tools. Through these efforts, we aim to contribute to enhancing the quality of evidence collection in the field of digital forensics by efficiently recovering and identifying damaged data.

주제어

표/그림 (18)

그림 Fig. 1. The structure of PK ZIP
그림 Fig. 2. An example of a local file structure
표 Table 1. The signature of records
표 Table 2. Descriptions of some Parts in OOXML File
그림 Fig. 3. The Structure of An Word File(.docx) and An Excel File(.xlsx)
그림 Fig. 4. Local files in Excel file
그림 Fig. 5. Local file 'document.xml' in Word file
그림 Fig. 6. Document metadata stored in core.xml
그림 Fig. 7. Distinct Types of Damage Identified Through Experiments
표 Table 3. Type of Corruption to MS Office Files
표 Table 4. Tool (1) Result - Partially Deleted Local File Data of Excel and Word Files
표 Table 5. Tool (2) Result - Overwriting Some Local File Data in Excel and Word Files
그림 Fig. 8. Approaches for extracting data from corrupted OOXML files
표 Table 6. Local File Name for Input File Filtering
표 Table 7. Tool Results by Corrupted Type
그림 Fig. 9. When Essential Local Files Are Present for Document Content Identification
그림 Fig. 10. Examples of Extraction Approaches Minimizing Metadata Dependency
그림 Fig. 11. Example of Filtering for Non-MS Office Files

AI 본문요약
AI-Helper

문제 정의

기존 복구 도구 현황을 파악한 결과, 잔여 데이터가 존재하는 파일이더라도 내용 식별을 위한 복구가 제대로 이뤄지지 않고 있음을 확인하였다. 따라서 본 연구는 기존 도구의 한계를 극복하여 파일 내용 관련 데이터를 추출할 수 있는 방법을 모색하는 것에 초점을 맞추어 연구를 진행하였다.
실제 수사 과정에서 마주하게 되는 데이터는 대조 가능한 손상 전 파일이 존재하지 않는 경우가 다수라는 점에서 실질적으로 이를 활용하기 힘들다는 한계점을 지닌다. 따라서 본 연구에서는 기존 연구 및 도구에서 참조하는 문서의 메타데이터 활용을 최대한 배제 및 실제로 카빙된 데이터 또한 분석과 유형을 구분함으로써 고도화된 데이터 식별 및 추출 방안을 제시하고자 한다.
즉, MS Office 파일은 사실상 ZIP 아카이브 내에 하나의 문서를 구성하는 파일 및 디렉터리가 OOXML 형식으로 작성 및 저장된다. 따라서 본 절에서는 MS Office 파일이 따르는 포맷인 PK ZIP 및 OOXML 형식에 관해 설명하고자 한다.
본 논문에서는 파일의 손상 및 기존 카빙 도구의 한계로 내용 확인이 불가능한 버전 2007 이후의 MS Office 파일을 대상으로 잔여하는 데이터 추출 방안 고도화 방안을 연구하였다. 이를 위해 MS Office 파일 구조를 분석 및 손상 유형을 정의하였고, 열람이 불가능하더라도 문서 내용 추측을 위한 내부 데이터가 존재한다면 이를 추출하는 알고리즘을 개발하였다.
본 절에서는 MS Office 파일 구조 관련 연구 및 손상 파일 복구 방안에 관한 선행연구를 살피고자 한다.
실험 및 기존 도구 결과 분석을 진행한 내용을 기반으로 본 연구에서는 다음과 같이 손상된 MS Office 파일에서의 데이터 추출 방안을 제시하고자 한다. 데이터 추출 방안에 대한 전체적인 흐름은 Fig.
이에 본 연구에서는 기존 도구의 한계를 보완하고자 문서 생성 시 사용되는 MS Office 파일 중 버전 2007 이후의 word, excel 파일 구조를 분석 및 해당 파일을 대상으로 카빙된 데이터를 분석하여 손상된 파일에서 남아있는 데이터를 추출할 수 있는 방안에 대해 연구하고자 하였다.

제안 방법

그러나 기존 연구의 경우 주로 손상된 파일의 복구가 성공적으로 이루어졌는지를 확인하기 위해 손상전 파일과 손상 후 이를 복구한 파일을 비교하는 방식으로 검증을 진행하였다. 하지만 이러한 방식의 경우 실험을 위해 제작된 데이터에서만 활용할 수 있는 방안이다.
기존 복구 도구를 통해 복구되지 않는 파일의 경우, 파일 내용 파악을 위한 local file이 존재한다면 해당 local file의 file data 추출을 통해 내용 식별이 가능한지를 기준으로 개발한 도구의 실효성을 파악하였다. 그리고 카빙된 데이터를 활용하여 MS Office 파일이 아닌 확장자 파일이 input 파일로 지정될 시, 해당 파일은 데이터 추출 과정을 거치지 않고 올바르게 종료되는지를 확인하는 방식으로 검증을 진행하였으며, 개괄적인 검증 결과는 Table 7.과 같다.
먼저, 문서의 바이너리 값을 분석하여 각 파트에 저장된 시간 정보가 초기 값(0x00 00 21 00)과 일치하는지 그 여부를 파악, 일치하지 않는다면 은닉된 데이터가 존재한다고 간주한다. 다음으로는 문서를 압축 해제하여 어떠한 데이터를 은닉하였는지 이를 구분하고, 구분된 은닉 데이터 유형별로 이를 탐지하는 기술을 제시하였다.
따라서 해당 단계에서는 input data 필터링 과정을 거침으로써 실질적인 OOXML 형식의 MS Office 파일만을 대상으로 잔여하는 데이터를 추출할 수 있도록 설계하였다. 그와 동시에 문서 본문 내용과 관련된 데이터가 존재하는지도 함께 파악한다.
xml’로 변경 및 파트별 관계를 정의하는 local file에 이를 추가한다면 이를 탐지하지 못 한다는 점을 한계로 지적하였다. 또한, local file header에서 문서 작성 및 수정 시간이 남는 레코드 정보를 활용하여 은닉된 데이터를 탐지하는 기존 탐지 알고리즘의 한계 또한 언급하며 이를 보완한 새로운 기법을 제시하였다.
먼저 실험을 통해 손상 유형을 정의하고자 MS Office 파일을 작성할 수 있는 여러 가지 응용프로그램으로 버전 2007 이후의 word, excel 문서를 생성하였다. 생성된 문서에서 local file의 file data와 메타데이터를 일정한 크기만큼 완전 삭제하거나 0x00 00 00으로 덮어쓰기하는 방식으로 손상을 가하여 손상 파일 데이터세트를 제작하여 local file별 손상이 문서 열람에 미치는 영향 또한 함께 살피었다.
input 파일이 OOXML 형식의 MS Office word, excel 파일인지 확인하기 위하여 크게 세 가지 요소를 파악 및 필터링하게 된다. 먼저, input 파일이 local file header의 처음에 오는 PK 시그니처로 시작하는지 그 여부를 확인한다. 이는 OOXML 형식의 MS Office 파일이 PK ZIP 형식으로 패키징된다는 구조적 특성에서 기인한 것으로, 시그니처를 지니지 않은 파일은 구축하고자 하는 도구의 input data로 적절하지 않다.
그리고 손상 파일 유형 분류는 ZIP 파일 구조에 기반, 필드별 손상을 기준으로 ‘파일 시작부터 local file 영역의 일부까지만 남은 Case 1’, ‘파일 시작부터 central directory 영역의 일부가 남은 Case 2’, ‘파일 시작 부분이 손상되고 local file 영역부터 시작하는 Case 3’, 그리고 ‘파일 시작 부분이 손상되고 central directory 영역 일부가 남은 Case 4’로 총 네 가지로 정의되었다. 모든 local file 영역이 온전히 존재하는 Case 2를 제외한 나머지 세 가지 Case는 손상되기 이전의 파일과 동일한 상태로의 복구는 불가능하며, 특히 central directory 영역의 내용만 존재하는 Case 4는 파일 관련 메타데이터를 추출하는 방식으로 연구를 진행하였다.
본 장에서는 Karl Wust[5]가 제시한 ‘파일 손상이라는 정의 자체의 광범위함으로 인한 모호성’ 및 ‘원본으로의 완전 복구의 어려움’에 기반하여 데이터 추출을 위한 손상 파일의 유형을 정의하고자 한다
먼저 실험을 통해 손상 유형을 정의하고자 MS Office 파일을 작성할 수 있는 여러 가지 응용프로그램으로 버전 2007 이후의 word, excel 문서를 생성하였다. 생성된 문서에서 local file의 file data와 메타데이터를 일정한 크기만큼 완전 삭제하거나 0x00 00 00으로 덮어쓰기하는 방식으로 손상을 가하여 손상 파일 데이터세트를 제작하여 local file별 손상이 문서 열람에 미치는 영향 또한 함께 살피었다.
실험뿐만 아니라 수사 과정에서 활용되는 기존 포렌식 도구 중 카빙 기능을 지원하는 도구(Axiom, EnCase, Data Rescue PC3, Scalpel, Recover My Files)의 카빙 결과에 대한 분석을 진행하여 MS Office 파일의 손상 유형을 구체화하였다. 이는 PK ZIP 구조로 패키징된다는 MS Office 파일의 OOXML 형식적 특성으로 인해 동일한 구조를 사용하는 다른 확장자 파일이 카빙된 데이터에 혼용되어 존재하여 증거 확보에 어려움이 존재한다는 이유에서 착안한 방식이다.
본 장에서는 Karl Wust[5]가 제시한 ‘파일 손상이라는 정의 자체의 광범위함으로 인한 모호성’ 및 ‘원본으로의 완전 복구의 어려움’에 기반하여 데이터 추출을 위한 손상 파일의 유형을 정의하고자 한다. 이를 위하여 고의적으로 파일 손상을 진행하는 실험뿐만 아니라, 카빙 기술을 지원하는 도구의 출력 파일들의 유형 또한 함께 살피어 보다 구체적으로 유형 구분을 진행하였다. 이뿐만 아니라, 유형화한 손상 MS Office 파일을 활용하여 현재 상용화된 복구 도구의 한계 또한 확인하여 데이터 추출 고도화 방안 마련을 위한 고려 사항을 파악하였다.
본 논문에서는 파일의 손상 및 기존 카빙 도구의 한계로 내용 확인이 불가능한 버전 2007 이후의 MS Office 파일을 대상으로 잔여하는 데이터 추출 방안 고도화 방안을 연구하였다. 이를 위해 MS Office 파일 구조를 분석 및 손상 유형을 정의하였고, 열람이 불가능하더라도 문서 내용 추측을 위한 내부 데이터가 존재한다면 이를 추출하는 알고리즘을 개발하였다. 제안하는 기법은 수사 과정에서 활용되는 기존의 포렌식 도구의 카빙 기술의 기술적 한계를 보완할 수 있는 기술로 활용될 수 있다.
이를 위하여 고의적으로 파일 손상을 진행하는 실험뿐만 아니라, 카빙 기술을 지원하는 도구의 출력 파일들의 유형 또한 함께 살피어 보다 구체적으로 유형 구분을 진행하였다. 이뿐만 아니라, 유형화한 손상 MS Office 파일을 활용하여 현재 상용화된 복구 도구의 한계 또한 확인하여 데이터 추출 고도화 방안 마련을 위한 고려 사항을 파악하였다.
평가를 진행할 도구 선정에는 PK ZIP 구조로 패키징되는 OOXML 형식을 고려하여, 도구 범주를 (1) ‘excel 또는 word 복구 도구’와 (2) ‘ZIP 복구 도구’ 두 가지로 지정하였다
해당 선행연구는 디지털 문서 작성 시 세계적으로 널리 활용되는 MS Office 파일의 구조인 OOXML 형식의 특성을 활용하여 안티포렌식 행위인 데이터 은닉이 가능한 사례를 제시 및 이를 탐지하는 알고리즘을 제시하였다[6].
정병준 외 2인[4]은 다양한 파일에서 활용되는 압축파일 형식인 PK ZIP 형식을 따르는 ZIP 파일이 손상되어 존재하는 경우, 해당 파일의 복구 기법을 제시하였다. 해당 연구에서는 Karl Wust[5]가 제시한 파일 손상에 대한 정의를 차용하여 손상된 ZIP 파일의 유형을 4가지로 분류, 유형별 복구 기법 연구를 진행하였다. 그리고 손상 파일 유형 분류는 ZIP 파일 구조에 기반, 필드별 손상을 기준으로 ‘파일 시작부터 local file 영역의 일부까지만 남은 Case 1’, ‘파일 시작부터 central directory 영역의 일부가 남은 Case 2’, ‘파일 시작 부분이 손상되고 local file 영역부터 시작하는 Case 3’, 그리고 ‘파일 시작 부분이 손상되고 central directory 영역 일부가 남은 Case 4’로 총 네 가지로 정의되었다.
해당 연구에서는 원본 파일과 동일한 상태로의 복구가 어렵다는 점에 착안하여 파일 복구에 있어 완전한 정확성이 아닌, ‘원본과의 충분한 유사성(sufficiently similar)’을 목표로 지정하였다

대상 데이터

본 연구에서 제안하는 방법의 실효성을 확인하고자 MS Office 파일의 손상 유형을 정의 및 기존 도구의 한계 파악을 위해 제작하였던 손상 파일 데이터 세트 중 ‘기존 복구 도구가 복구하지 못한 파일’ 131개 및 ‘카빙된 데이터’ 445개를 3장에서 정의한 손상 유형별로 구분 및 이를 대상으로 검증을 진행하였다

이론/모형

MS Office 파일은 2007 이후 버전부터 ISO/IEC 29500 표준에 정의된 OOXML 형식을 사용한다. 여기서 OOXML 형식은 최종적으로 표준화 패키징 기술인 OPC(Open Packaging Conventions)를 기반으로 하나의 PK ZIP 아카이브 형식의 패키지(package)로 구현된다[2].

성능/효과

(1)의 경우, input data를 하나의 문서 파일 자체로 인식하기에 ‘MS 응용프로그램으로 열람 및 내용 확인이 가능한가?’를 기준으로 설정하였으며, 평가를 진행한 도구는 ‘DEFA, Stellar data Recovery, cimaware[word|excel] fix’ 등이다
(2)에 해당하는 도구의 평가 기준은 압축된 local file 레벨에서 데이터를 처리하므로 ‘손상을 가한 local file의 잔여 file data 확인이 가능한가?’를 기준으로 하여 ‘ALZip, winrar, Zip2Fix’ 등을 도구로 선정했다.
이뿐만 아니라, 메타데이터의 손상으로 기존 도구에서 복구 및 데이터를 추출하지 못한 손상 유형 또한 Fig. 10.처럼 파일 내부에 존재하는 내용을 확인할 수 있도록 작동되었다.
그리고 Fig. 11.과 같이 MS Office 파일이 아님에도 해당 확장자로 카빙된 데이터인 손상 유형 ③의 경우, Extraction 과정까지 진행되지 않고 올바르게 종료된 것을 확인하였다.
2.1.1항에서 분석한 결과에 따르면, 파일의 손상으로 인하여 문서 내용 확인을 위한 열람이 불가능하더라도, 해당 파일의 본문 내용을 담고 있는 local file이 존재한다면 해당 파일 내용 확인 또는 추측이 가능해진다. 따라서 잔여 데이터를 추출하기 위해서는 작성된 문서 내용이 저장되는 local file이 무엇인지 파악하고 식별하는 과정이 필요하다.
6.에서 확인할 수 있듯이 OOXML 형식의 파일에는 문서의 작성자, 작성일, 수정일 등의 메타데이터를 local file ‘docProps/core.xml’에 저장하기에 해당 문서에 대한 정보를 획득할 수 있게 된다.
7.의 좌측에 해당하는 (1) ‘파일 열람 자체가 되지 않는 경우’와 우측의 (2) ‘파일 열람은 가능하나 저장된 내용이 모두 보이지 않는 경우’이다
먼저, Fig. 9.처럼 OOXML 형식의 문서임과 동시에 문서 내용을 확인할 수 있는 필수 local file가 존재하는 손상 유형 ① 또는 ②의 경우, 해당 local file의 데이터를 확인할 수 있도록 추출해 주었으며, 만약 존재하지 않을 때는 Extraction을 진행하지 않고 정상적으로 종료되었다.
PK ZIP 구조를 분석한 결과, 해당 형식은 크게 문서 내용과 관련된 데이터가 저장되는 개별적인 local file 영역과 레코드 central directory처럼 문서의 내용 식별에 필수적이지 않은 부분 두 영역으로 나눌 수 있다. 그리고 모든 영역은 고유한 시그니처 값으로 시작하고 있음을 확인했다.
local file별로 file data가 손상된 데이터세트를 활용하여 실험을 진행한 결과, 문서 내용을 포함하고 있는 local file이 데이터를 충분히 가지고 있음에도 불구하고 여타 local file의 손상으로 인한 파일 열람 및 내용 식별이 불가능할 수 있음을 확인하였다. 따라서 file data 및 메타데이터 등의 손상으로 인해 파일 열람 및 내용 식별이 되지 않을 시, local file이 파일 내부에 존재하는지를 탐지하고, 파일 내용이 저장되는 파트 또한 존재한다면 이를 압축 해제하는 방식으로 데이터를 추출이 가능함을 확인하였다.
그리고 MS Office 파일임과 동시에 문서 내용을 추출할 수 있는 local file이 존재하지만, 문서 구성을 위한 관계값이 저장된 구조가 손상되거나 일부 local file의 유실 등으로 인하여 열람이 불가능한 경우, 저장된 내용이 존재하지 않는 파일(0x00 00 00…) 등을 발견할 수 있었다.
PK ZIP 구조를 분석한 결과, 해당 형식은 크게 문서 내용과 관련된 데이터가 저장되는 개별적인 local file 영역과 레코드 central directory처럼 문서의 내용 식별에 필수적이지 않은 부분 두 영역으로 나눌 수 있다. 그리고 모든 영역은 고유한 시그니처 값으로 시작하고 있음을 확인했다.
그리고 손상 파일 유형 분류는 ZIP 파일 구조에 기반, 필드별 손상을 기준으로 ‘파일 시작부터 local file 영역의 일부까지만 남은 Case 1’, ‘파일 시작부터 central directory 영역의 일부가 남은 Case 2’, ‘파일 시작 부분이 손상되고 local file 영역부터 시작하는 Case 3’, 그리고 ‘파일 시작 부분이 손상되고 central directory 영역 일부가 남은 Case 4’로 총 네 가지로 정의되었다
기존 복구 도구 현황을 파악한 결과, 잔여 데이터가 존재하는 파일이더라도 내용 식별을 위한 복구가 제대로 이뤄지지 않고 있음을 확인하였다. 따라서 본 연구는 기존 도구의 한계를 극복하여 파일 내용 관련 데이터를 추출할 수 있는 방법을 모색하는 것에 초점을 맞추어 연구를 진행하였다.
본 연구에서 제안하는 방법의 실효성을 확인하고자 MS Office 파일의 손상 유형을 정의 및 기존 도구의 한계 파악을 위해 제작하였던 손상 파일 데이터 세트 중 ‘기존 복구 도구가 복구하지 못한 파일’ 131개 및 ‘카빙된 데이터’ 445개를 3장에서 정의한 손상 유형별로 구분 및 이를 대상으로 검증을 진행하였다. 기존 복구 도구를 통해 복구되지 않는 파일의 경우, 파일 내용 파악을 위한 local file이 존재한다면 해당 local file의 file data 추출을 통해 내용 식별이 가능한지를 기준으로 개발한 도구의 실효성을 파악하였다. 그리고 카빙된 데이터를 활용하여 MS Office 파일이 아닌 확장자 파일이 input 파일로 지정될 시, 해당 파일은 데이터 추출 과정을 거치지 않고 올바르게 종료되는지를 확인하는 방식으로 검증을 진행하였으며, 개괄적인 검증 결과는 Table 7.
local file별로 file data가 손상된 데이터세트를 활용하여 실험을 진행한 결과, 문서 내용을 포함하고 있는 local file이 데이터를 충분히 가지고 있음에도 불구하고 여타 local file의 손상으로 인한 파일 열람 및 내용 식별이 불가능할 수 있음을 확인하였다. 따라서 file data 및 메타데이터 등의 손상으로 인해 파일 열람 및 내용 식별이 되지 않을 시, local file이 파일 내부에 존재하는지를 탐지하고, 파일 내용이 저장되는 파트 또한 존재한다면 이를 압축 해제하는 방식으로 데이터를 추출이 가능함을 확인하였다.
deflate 알고리즘 특성상 압축된 데이터의 앞부분이 해석 가능한 정상적인 상태로 온전하게 존재한다면 이를 해제하여 내용을 확인할 수 있게 된다. 따라서 압축 해제를 시도하려는 데이터가 손상된 채로 저장돼 있더라도, 손상 이전 포인트까지 위치하는 데이터의 추출이 가능해진다.
과 같이 손상 유형을 네 가지로 정의한다면 유형 ①과 ②는 복구를 통하여 내용 확인이 가능하지만, 유형 ③, ④는 원천적으로 복구 및 내용 파악이 불가능하다. 따라서 정의한 유형에 따른 복구 방안 마련 시, MS Office 파일이 아닌 유형 ③, ④에 해당하는 파일은 초기에 필터링하는 과정이 필요하게 된다. 그리고 데이터 추출이 가능한 유형 ①과 ②의 경우, 파일 내용이 저장되는 local file의 존재 여부를 파악 및 데이터를 압축 해제함으로써 내용을 식별하는 방식으로 접근할 수 있게 된다.
MS Office 파일의 경우, file data의 압축을 위해 deflate 알고리즘이 적용되므로 해당 파일의 압축 버전이 기록되는 offset에 기록된 값이 deflate 알고리즘을 나타내는 ‘0x14 00’인지 확인하는 작업을 통해 input 파일의 적합성 여부를 판단한다. 마지막으로, 기본적인 MS Office 파일에서 확인할 수 있는 local file name의 존재 여부를 탐지함으로써 input 파일 검증 단계를 마무리한다. 이때 존재 파악을 위한 local file name은 앞서 진행한 파일 구조 분석 및 기존 복구 도구 현황 파악을 위해 진행한 실험의 결과로 도출한 내용을 토대로 선정되었으며, 구체적인 기준 및 각 기준에 해당하는 local file name은 Table 6.
먼저, word 및 excel 파일만을 대상으로 카빙을 진행하더라도 PK ZIP 방식으로 패키징되는 파일의 형식적 특성으로 인하여 해당 형식이 활용된 다른 확장자 파일과 구별이 어려워 여타 확장자 파일이 다수 혼동되어 추출되는 것을 확인하였다. 그리고 MS Office 파일임과 동시에 문서 내용을 추출할 수 있는 local file이 존재하지만, 문서 구성을 위한 관계값이 저장된 구조가 손상되거나 일부 local file의 유실 등으로 인하여 열람이 불가능한 경우, 저장된 내용이 존재하지 않는 파일(0x00 00 00…) 등을 발견할 수 있었다.
먼저, 문서의 바이너리 값을 분석하여 각 파트에 저장된 시간 정보가 초기 값(0x00 00 21 00)과 일치하는지 그 여부를 파악, 일치하지 않는다면 은닉된 데이터가 존재한다고 간주한다. 다음으로는 문서를 압축 해제하여 어떠한 데이터를 은닉하였는지 이를 구분하고, 구분된 은닉 데이터 유형별로 이를 탐지하는 기술을 제시하였다.
손상을 가한 파일은 MS Office 공식 응용프로그램인 ’Microsoft Word’ 및 ‘Microsoft Excel’에서 해당 파일의 열람 가능 여부 및 내부 데이터 파악 가능 정도를 기준으로 손상 유형을 구분했다.
실험을 통해 제안하는 기법이 기존 복구 도구에서 데이터 추출이 불가하던 대다수의 손상 파일들에 대해서도 90% 이상의 성능으로 데이터 추출이 가능함을 확인하였으나 일부 파일에서는 복구 또는 필터링이 올바르게 되지 않는 것으로 나타났다. 예로, 데이터 추출이 가능하다고 판단되는 손상 유형①과 ②에 해당하는 excel 파일 중에서 sheet별 데이터 및 sheet의 수가 일정 수준을 초과하여 local file별 참조 값의 복잡성이 증가하거나 작성된 내용에 다수의 서식이 복합적으로 지정된 파일 등의 경우에는 올바르게 데이터 추출이 진행되지 않았다.
실험을 통해 제안하는 기법이 기존 복구 도구에서 데이터 추출이 불가하던 대다수의 손상 파일들에 대해서도 90% 이상의 성능으로 데이터 추출이 가능함을 확인하였으나 일부 파일에서는 복구 또는 필터링이 올바르게 되지 않는 것으로 나타났다. 예로, 데이터 추출이 가능하다고 판단되는 손상 유형①과 ②에 해당하는 excel 파일 중에서 sheet별 데이터 및 sheet의 수가 일정 수준을 초과하여 local file별 참조 값의 복잡성이 증가하거나 작성된 내용에 다수의 서식이 복합적으로 지정된 파일 등의 경우에는 올바르게 데이터 추출이 진행되지 않았다. 또한, PK ZIP 형식으로 패키징된 응용프로그램 등 필터링이 필요한 손상 유형③ 파일 중, 해당 파일 내부에 우연히 MS Office 파일의 local file name을 지닌 local file이 존재하는 경우에는 preprocessing 단계에서 필터링되지 않고 다음 과정으로 넘어가는 문제가 발생하기도 하였다.
즉, MS Office 파일은 사실상 ZIP 아카이브 내에 하나의 문서를 구성하는 파일 및 디렉터리가 OOXML 형식으로 작성 및 저장된다. 따라서 본 절에서는 MS Office 파일이 따르는 포맷인 PK ZIP 및 OOXML 형식에 관해 설명하고자 한다.
즉, 해당 형식으로 패키징되는 파일이 손상으로 인해 일반적인 열람 방식으로는 내용 식별이 불가능하더라도, 문서 내용과 직접적인 연관이 있는 local file이 존재한다면 해당 file data에 접근하여 이를 추출하는 방식으로 내용 식별이 가능하다는 것을 파악하였다.
‘Preprocessing’ 단계는 실질적인 데이터 추출을 시도하기 전, 해당 파일이 실제 OOXML 형식을 따르는 MS Office 파일인지 검증하는 단계이다. 카빙 데이터 분석을 통해 손상 유형을 정의한 결과, 문서 내용을 담고 있는 local file이 존재함에도 불구, 구조적 유사성으로 인하여 MS Office 파일 자체가 아닌 확장자가 혼재되고 있음을 파악하였다.
의 결과처럼 일부 local file data를 확인할 수 있었으나, 해당 도구 또한 메타데이터가 손상된 경우에는 잔여 file data를 확인할 수 없었다. 특히, excel 파일의 local file data의 일부가 완전히 삭제되는 방식으로 손상된다면 사용한 상용 도구 모두에서 잔여 file data 확인이 불가능하였다.
와 같이 손상된 파일의 복구가 제대로 진행되지 않고 있었다. 특히, 메타데이터가 덮여 쓰인 방식으로 손상된 파일은 복구가 완전히 불가능함을 확인할 수 있었다.
파일 구조 분석을 통해 word의 경우 ‘word/document.xml’에, excel은 ‘worksheets/sheet(n).xml’ 및 ‘xl/sharedStrings.xml’에 문서 내용이 저장된다는 것을 확인하였다
이는 PK ZIP 구조로 패키징된다는 MS Office 파일의 OOXML 형식적 특성으로 인해 동일한 구조를 사용하는 다른 확장자 파일이 카빙된 데이터에 혼용되어 존재하여 증거 확보에 어려움이 존재한다는 이유에서 착안한 방식이다. 해당 도구들의 카빙 데이터를 열람 및 분석한 결과, 크게 세 가지로 손상 유형이 구분 가능했다.

후속연구

따라서 PK ZIP 형식으로 패키징된 MS Office 파일에서 문서 내용 관련 데이터 추출 방안 고도화를 위해서는 해당 파일의 본문 내용 확인에 필수적으로 존재해야 하는 local file을 파악하는 추가적인 분석이 필요하다.
1항에서 분석한 결과에 따르면, 파일의 손상으로 인하여 문서 내용 확인을 위한 열람이 불가능하더라도, 해당 파일의 본문 내용을 담고 있는 local file이 존재한다면 해당 파일 내용 확인 또는 추측이 가능해진다. 따라서 잔여 데이터를 추출하기 위해서는 작성된 문서 내용이 저장되는 local file이 무엇인지 파악하고 식별하는 과정이 필요하다. excel 파일의 경우에는 Fig.
이를 실무에 적용 및 법적 타당성을 갖추어 활용성을 높이기 위해서는 복구 결과물의 출처를 명시하는 방안에 관한 연구가 필요하다. 또한, 신뢰성 평가를 수행하여 추출한 정보를 디지털 증거로의 활용을 위한 추가적인 연구도 필요하다. 제안하는 기법으로도 복구하지 못한 파일 유형에 대하여 추가적인 분석을 진행 후, 도구에서 발견된 구현상의 문제를 개선, 도구의 성숙도를 높여 github 등에 오픈소스로 공개하여 해당 분야의 발전에 기여하고자 한다.
하지만 이러한 방식의 경우 실험을 위해 제작된 데이터에서만 활용할 수 있는 방안이다. 실제 수사 과정에서 마주하게 되는 데이터는 대조 가능한 손상 전 파일이 존재하지 않는 경우가 다수라는 점에서 실질적으로 이를 활용하기 힘들다는 한계점을 지닌다. 따라서 본 연구에서는 기존 연구 및 도구에서 참조하는 문서의 메타데이터 활용을 최대한 배제 및 실제로 카빙된 데이터 또한 분석과 유형을 구분함으로써 고도화된 데이터 식별 및 추출 방안을 제시하고자 한다.
이를 실무에 적용 및 법적 타당성을 갖추어 활용성을 높이기 위해서는 복구 결과물의 출처를 명시하는 방안에 관한 연구가 필요하다. 또한, 신뢰성 평가를 수행하여 추출한 정보를 디지털 증거로의 활용을 위한 추가적인 연구도 필요하다.
또한, 신뢰성 평가를 수행하여 추출한 정보를 디지털 증거로의 활용을 위한 추가적인 연구도 필요하다. 제안하는 기법으로도 복구하지 못한 파일 유형에 대하여 추가적인 분석을 진행 후, 도구에서 발견된 구현상의 문제를 개선, 도구의 성숙도를 높여 github 등에 오픈소스로 공개하여 해당 분야의 발전에 기여하고자 한다.
이를 위해 MS Office 파일 구조를 분석 및 손상 유형을 정의하였고, 열람이 불가능하더라도 문서 내용 추측을 위한 내부 데이터가 존재한다면 이를 추출하는 알고리즘을 개발하였다. 제안하는 기법은 수사 과정에서 활용되는 기존의 포렌식 도구의 카빙 기술의 기술적 한계를 보완할 수 있는 기술로 활용될 수 있다.
해당 연구에서는 기존의 탐지 알고리즘의 한계를 발생 가능한 시나리오를 서술하여 제시하였는데, 먼저 은닉하고자 하는 기밀문서의 확장자를 MS Office 파일의 파트와 동일한 확장자인 ‘.xml’로 변경 및 파트별 관계를 정의하는 local file에 이를 추가한다면 이를 탐지하지 못 한다는 점을 한계로 지적하였다

참고문헌 (8)

Korean Law Information Center, "Criminal Procedure Law", https://www.law.go.kr/%EB%B2%95%EB%A0%B9/%ED%98%95%EC%82%AC%EC%86%8C%EC%86%A1%EB%B2%95, June. 2023.
ISO, "ISO/IEC 29500-1:2016", https://www.iso.org/standard/71691.html, May. 2023.
PKWARE Inc, "ZIP File Format", https://pkware.cachefly.net/webdocs/casestudies/APPNOTE.TXT, May. 2023.
Byunjoon Jung, Jaehyeok Han and？Sangjin Lee, "A Method of Recovery？for Damaged ZIP Files," Journal of？The Korea Institute of information？Security & Cryptology, 27(5), pp.？1107-1115, Oct. 2017.
Karl Wust, "Force Open: Lightweight？black box file repair," vol. 20, pp.？S75-S82, Jan. 2017.
Kiwon Hong, Jaehyung Cho, SoramKim and Jongsung Kim, "Improved Data Concealing and Detecting Methods for OOXML Document,"？Journal of the Korea Institute of？Information Security &Cryptology,27(3), pp. 489-499, Jun. 2017.
Ralf D. Brown, "Improved recovery and reconstruction of DEFLATEd files", Digital Investigation, vol. 10,pp. S21-S29, Aug. 2013.

상세보기
Noor Ul Ain Ali, Waseem Iqbal and Hammad Afzal, "Carving of the OOXML document from volatile memory using unsupervised learning techniques," Journal of Information Security and Applications, vol. 65,article. 103096, Mar. 2022.

상세보기

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증