포커스 포커스 모바일앤티 - 포렌식도구동향 문필주 * 최근에스마트폰은우리일상생활에서가장많이사용하는 IT 기기중의하나가되고있다. 스마트폰을통해전화통화보다는웹서핑이나쇼핑을하고, 스케줄관리나인터넷뱅킹을하면서개인에관한중요한정보가많이저장되어있다. 생활에편리한만큼악성앱이설치되거나스마트폰을분실하였을때에는범죄에악용될소지가많다. 스마트폰에서중요데이터를삭제해도포렌식도구에의해손쉽게데이터가복구된다. 스마트폰의중요한개인정보를안전하게보관하고, 완벽하게삭제하는방법으로앤티-포렌식기술이나오고있다. 본고에서는스마트폰이나태블릿 PC에서사용할수있는모바일앤티-포렌식도구의동향에대해기술하고자한다. 목차 Ⅰ. 서론 Ⅱ. 모바일포렌식과모바일앤티- 포렌식 Ⅲ. 모바일앤티- 포렌식도구현황 IV. 맺음말 * 평택대학교정보통신학과 / 교수 I. 서론 스마트폰이나태블릿 PC 는우리일상생활에서가장많이사용하는모바일기기들이다. 스마트폰을통해전화나문자를주고받고, 카카오톡이나트위터와같은서비스를통해의견을주고받으며, 스케줄관리나사진, 동영상등을관리한다. 또한쇼핑이나모바일인터넷뱅킹을하는등편리한만큼, 개인에관한중요한정보들이스마트폰에저장되어있어악성앱이설치되거나스마트폰을분실하였을때에범죄에악용될소지가많아지게된다. 스마트폰에서앱을설치할때앱권한을제대로살펴보지않고설치하게되면악성코드가내장된앱이설치되어문제가발생 정보통신기술진흥센터 1
주간기술동향 2014. 12. 10. 하게된다. 앱권한이란해당앱이스마트폰에설치되어정보에접근하거나기기를작동할수있는범위를의미한다. 악성앱이주로사용하는앱권한은전화번호자동연결, 문자메시지를읽거나수정하고보내기, 주소록, 통화록읽기, 캘린더일정및기밀정보읽기, 네트워크연결보기, 완전한네트워크액세스등이다 [1]. 또한, 스마트폰을분실하였을때에는습득자가모바일포렌식도구를사용하여스마트폰의정보들을손쉽게취득하여악용할소지가있다. 스마트폰에서사진이나동영상, 인터넷뱅킹관련데이터등을삭제해도포렌식도구를사용하면누구나손쉽게데이터를복구할수있다. 이러한포렌식도구에의해데이터가노출되는것을막고안전하게데이터를삭제하거나보호하는기술을앤티- 포렌식이라고한다. 본고에서는스마트폰의정보를안전하게보호하거나변조하는기술인모바일앤티- 포렌식에대해소개하고모바일앤티- 포렌식도구들의동향에대해기술한다. II. 모바일포렌식과모바일앤티 - 포렌식 디지털포렌식 (Digital Forensic) 이란범죄수사에서적용되고있는과학적증거수집및분석기법의일종으로, 각종디지털데이터및통화기록, 이메일접속기록등의정보를수집및분석하여 DNA ㆍ지문ㆍ핏자국등범행과관련된증거를확보하는수사기법을말한다. 현대인들의생활속에는자신도모르게디지털기기와항상접해있어상당부분개인에대한기록이디지털정보로남아있는경우가많고, 디지털기술의발달로범행을숨기기위해삭제한자료등도복원이가능한경우가많아범죄수사에널리활용되고있다 [2]. 모바일포렌식이란휴대폰, 스마트폰, 전자수첩, 디지털카메라, MP3 플레이어, 휴대용메모리카드, USB 저장장치등에저장된데이터를추출및복원하는디지털포렌식의한분야를말한다 [3]. 이에반해, 모바일앤티-포렌식 (Anti-forensic) 이란모바일포렌식의반대되는개념으로, 모바일포렌식에의해노출되는정보를안전하게보호하거나거짓정보가노출되도록위조및변조하는기술을말한다. 이전의모바일포렌식의데이터는통화기록, 연락처, 폰의 IMEI/ESN 정보, SMS 와 MMS 메시지등이었지만, 최근에는웹브라우징, 무선네트워크세팅, 이메일및이미지, 2 www.iitp.kr
포커스 파일등의저장된데이터및스마트폰앱관련중요데이터등그범위가넓어지게되었다. 디지털앤티 - 포렌식은디지털증거를방해하거나파괴하는행위로정의된다. 디지털 앤티 - 포렌식기술들은데이터의파괴, 은닉, 조작, 출처제거등네가지분야로분류된다 [3]. 데이터파괴는데이터를사용하지못하게하거나조사를진행하지못하게하는것을 의미하며, 데이터은닉은데이터를나중에사용하기위해데이터를찾기어렵게만드는 과정을말한다. 즉, 조사관에디지털증거를보이지않도록하는암호화나스테가노그래피 (Steganography) 등의방법을사용하며, 스테가노그래피의경우에는텍스트메시지나이 미지파일을이미지파일, 비디오파일, 오디오파일등에숨겨데이터를은닉하는기능을 제공한다. 이외에도하드웨어 / 소프트웨어기반의다양한데이터은닉방법들이있다. 이처 럼다양한은닉방법들을결합하여사용하면그만큼포렌식조사는더어려워지게된다. 데이터조작은거짓된정보를제공하는것으로이정보로인해올바른포렌식과정에서 벗어나도록잘못된정보나우회정보를제공한다. 데이터의출처제거는디지털정보의 증거에관한출처를제거함으로써증거로사용될정보의생성을원칙적으로막을수있다. < 표 1> 은지금까지설명한디지털앤티 - 포렌식분야에대해각각의사용기법그리고 기능등을요약하였다. < 표 1> 앤티-포렌식의분야 [4] 분야기법기능 데이터파괴 데이터은닉 데이터조작 데이터의출처제거 파일분쇄 (File Wiping) 암호화 (Encryption) 스테가노그래피 (Steganography) 기타데이터은닉방법 정보변조 (Spoofing) - 데이터가증거로사용되지않도록완벽하게파괴하는방법 - 파일분쇄를수행한후의데이터복구는불가능하다. - 쌍방간에안전한통신을위해데이터를숨기는방법 - 미디어파일, 문서파일, 실행파일등에디지털정보를숨기는것 - 이미지나오디오, 비디오파일과같은미디어파일은파일의용량이크기때문에스테가노그래피로사용하기에유리하다. - 컴퓨터시스템의다양한위치에서데이터를숨기는툴과방법들을사용 - 메모리, 슬랙공간 (slack space), 숨겨진디렉토리, 배드블록, 대체데이터스트림, 숨겨진파티션등 - 현재사용중인스마트폰의정보를변조하여다른사용자들에게거짓정보를나타내는것을말한다. - 대표적인경우 : 소셜네트워크서비스나맵애플리케이션의거짓된위치정보 - 증거의출처를제거하여증거로사용될정보의생성을원칙적으로막는다. 정보통신기술진흥센터 3
주간기술동향 2014. 12. 10. III. 모바일앤티 - 포렌식도구현황 전술한바와같이모바일앤티-포렌식은모바일포렌식에의해노출되는정보를안전하 게보호하거나거짓정보가노출되도록위조하는기술을말한다. 이러한모바일앤티-포렌 식기능을수행하는하드웨어장치나소프트웨어를모바일앤티-포렌식도구라고한다. 본 장에서는주요모바일앤티-포렌식도구들의기능적특성및동향에관해기술한다. 먼저 < 표 2> 에주요모바일앤티- 포렌식도구들의종류를간략하게사용한기술과플 랫폼별로구분하였다. < 표 2> 모바일앤티-포렌식도구의종류 도구명 앤티-포렌식기술 플랫폼 File Shredder File Wiping Android ishredder File Wiping Android LUKS Manager File Wiping Android StegDroid Alpha 암호화 Android Steganography Steganography Android Fake GPS Location Spoofing Android icrypter 암호화 ios idelete File Wiping ios 1. File Shredder[5] File Shredder 앱은안드로이드기기에서파일들을영구히제거하기위해사용된다. (a) 초기화면 (b) 파일분쇄시작화면 (c) 옵션설정화면 ( 그림 1) File Shredder 의실행화면 4 www.iitp.kr
포커스 선택한파일에랜덤데이터를덮어쓰기함으로써파일을삭제하는방식이다. SSD 에서는 데이터를여러번반복해서덮어쓰기를할필요가없다. 파일이나폴더를쉽게선택하여 삭제할수있으며, 백그라운드작업이가능하다. 2. ProtectStar ishredder[6] ishredder 앱은안드로이드기기의파일, 폴더, 사진, 연락처, SD 카드, 사용하지않는 메모리공간도안전하게삭제하고, 결과를알려준다. (a) 초기화면 (b) 분쇄방법의설정화면 (c) 분쇄방법의실행화면 (d) 분쇄방법의도움말화면 (e) 설정화면 ( 그림 2) ishredder 의실행화면 정보통신기술진흥센터 5
주간기술동향 2014. 12. 10. 3. LUKS Manager[7] LUKS Manager 앱은안드로이드기기에서가상폴더를암호화한다. 이앱을동작하기위해서는실행되는안드로이드기기가루팅되어야하며, 만약에루팅되어있지않다면이앱은동작하지않는다. 이가상폴더들은마운트, 언마운트, 생성, 삭제할수있다. 볼륨의최대크기는볼륨이생성되는파일시스템에의해정해진다. 대부분의 SD 카드는 FAT32 로포맷되고, FAT32 는최대 4GB 크기의파일을생성할수있다. 4GB 이상의볼륨을생성하려면 EXT2/4 파티션방식으로볼륨을생성해야한다. (a) 초기화면 (b) 메뉴화면 (c) 마운트할볼륨선택화면 (d) 마운트후의화면 (e) 볼륨생성화면 (f) 볼륨생성후의결과화면 ( 그림 3) LUKS Manager 의실행화면 6 www.iitp.kr
포커스 4. StegDroid Alpha[8] StegDroid Alpha 앱은오디오파일을생성하면서이오디오파일에비밀텍스트메시지를숨길수있다. 또한이앱을통해비밀메시지를추출할수있으며, 보안수준 (Security Level) 을추가적으로더강화하기위해패스워드를이용하여암호화할수있다. ( 그림 4) 는 StegDroid Alpha 를실행하여보이스파일에텍스트를삽입한후인코딩하는화면을나타낸다. StegDroid Alpha 앱은보이스파일에비밀메시지를삽입하는 Embed 메뉴와이를검색하는 Retrieve 메뉴를제공한다. Embed 메뉴를눌러서비밀메시지를입력하고음성메시지를저장하면된다. (a) 메뉴화면 (b) 보이스파일에삽입할 (c) 보이스파일의생성화면 (d) 보이스파일의생성후화면 메시지입력화면 ( 그림 4) StegDroid Alpha 의실행화면 5. Steganography Application[9] Steganography Application 앱은텍스트메시지를이미지파일에숨길수있다. 또한, 이미지파일을이미지와비디오파일들에숨길수있다. 이앱은이미지파일에서숨겨진텍스트를, 그리고이미지와비디오파일들에서숨겨진이미지를검색할수있다. ( 그림 5) 는특정이미지파일과메시지를이미지파일에숨기는작업을나타낸다. 또한, 특정파일을숨길때암호를설정하도록하여숨긴파일을다시나타낼경우암호를사용할수있도록한다. 정보통신기술진흥센터 7
주간기술동향 2014. 12. 10. (a) 특정이미지파일에 (b) 삽입결과화면 (c) 이미지파일의검색화면 (d) 삽입된메시지확인을위한 메시지를삽입하는화면 패스워드의입력화면 ( 그림 5) Steganography Application 화면 6. Fake GPS Location[10] Fake GPS Location 앱은사용중인스마트폰의현재 GPS 위치를거짓으로설정할수있게해준다. ( 그림 6) 은앱의설정화면에서가짜위치설정을체크하는부분을나타낸다. 가짜위치를설정하면거짓위치정보에따라거짓위치 결과가나타나게된다. (a) 가짜위치설정화면 (b) 위치결과화면 7. ProtectStari Crypter[11] ( 그림 6) Fake GPS Location 화면 icrypter 앱은 ios 기기에서이메일, WhatsApp, imessage, 페이스북, 트위터, 스카이프등을통해주고받는모든메시지들을 256 비트 AES 알고리즘을이용해서암호화하여안전하게주고받을수있게해준다. 사진, 비디오, 문서, 음성녹음등을암호화할수있으며, 쌍방간에이앱이설치되어있어야한다. icrypter 앱은애플의연락처리스트와별개로연락처리스트를사용하며각각의암호패스워드를저장한다. 패스워드가 5 번틀리면자동으로북마크와같은설정사항등을자 8 www.iitp.kr
포커스 (a) 초기화면 (b) 암호입력또는연락처메뉴화면 (c) 암호입력화면 (d) 메시지의암호화결과화면 (e) 암호화대상선택화면 ( 그림 7) icrypter 의메시지암호화화면동으로삭제하는기능도제공한다. ( 그림 7) 은 icrypter 앱을실행한후의초기화면을나타낸다. 초기화면자체가바로메시지를입력받을수있는화면이다. 메시지를입력한후에아래부분의열쇠버튼을누르면암호나연락처를선택할수있는화면이나타난다. 암호를입력한후에 Encrypt 버튼을누르면입력한평문메시지가암호문으로바뀌게된다. 열쇠버튼주위의 6 개버튼은암호화한메시지를바로사용할수있도록연결된앱들 ( 페이스북, 왓츠앱, 이메일등 ) 의버튼들을의미한다. 열쇠버튼밑의이메일버튼을누르면암호화한메시지를이메일의첨부파일로사용할수있다. 정보통신기술진흥센터 9
주간기술동향 2014. 12. 10. ( 그림 7) 의 (a) 에서메시지입력창의좌측하단버튼을선택하면 (e) 와같이암호화할대상을선택하는화면이나타난다. 이앱은메시지외에도보이스파일, 사진, 동영상등을암호화할수있다. ( 그림 8) 은앞에서열쇠버튼을선택한후에 Select Contact 버튼을누른후의화면을나타낸다. 암호화한메시지를받을사람들의리스트를따로관리할수있다. 우 (a) 연락처화면 (b) 연락처추가등록화면 측상단의 + 버튼을누르면새로운수신자를 ( 그림 8) icrypter 의연락처화면 등록하거나기존의연락처리스트에서수신자를선택할수있다. ( 그림 9) 는이앱의옵션화면을나타낸다. 옵션에서는패스워드를설정하거나패스워 드가틀릴때데이터를자동으로삭제하는기능을설정할수있다. Password Protection 기능을설정하면 (b) 와같이패스워드패턴을설정하고, 이후에다시이앱을사용할때 는 (c) 와같이패스워드패턴을묻는화면이나타나게된다. (d) 와같이 Fail safe Function 기능을설정하면로그인시도가 5 번틀렸을때 icrypter 앱안의모든데이터를자동으로 삭제한다. (a) 옵션화면 (b) 패스워드패턴설정화면 (c) 패스워드패턴확인화면 (d) Fail Safe Protection 화면 ( 그림 9) icrypter 화면 10 www.iitp.kr
포커스 8. ProtectStar idelete[12] idelete 앱은아이폰, 아이패드, 아이팟터치의메모리를스캔해서더이상사용하지않는임시데이터들을삭제한다. 임시데이터들을삭제함으로써사용가능한디스크용량을확보하고기기의속도를빠르게할수있다. (a) 실행화면 (b) 실행결과화면 ( 그림 10) idelete 화면 9. ProtectStar itreasure[13] itreasure 앱은 256 비트의 AES 알고리즘을사용하여모든데이터를암호화하는데이터금고역할을한다. 패스워드가 5 번틀리면자동으로저장되어있는모든데이터들을삭제하는기능을제공한다. 삭제된데이터는복구가불가능하게완벽하게지워질수있다. itreasure 앱은사진, 동영상, pdf, 텍스트파일, ZIP, RAR, HTML, vcard, 마이크로소프트오피스, 애플 iwork 파일등거의모든종류의파일들을읽고, 전송하고, 압축하고 (a) 초기화면 (b) 파일리스트화면 (c) 비밀폴더화면 (d) 옵션화면 (e) 패스워드입력화면 ( 그림 11) itreasure 화면 정보통신기술진흥센터 11
주간기술동향 2014. 12. 10. 출력할수있는자체의스마트뷰어를제공하며, 네트워크상에서무선으로안전하게보고, 저장하고, 관리하고, 출력할수있는 ifile Server Tool 을제공한다. 또한 AirPlay 와 AirPrint 기능을제공하며, icloud 와드롭박스를통해파일들을백업, 복구, 공유할수있는기능도제공한다. 10. ProtectStar TimeLock[14] TimeLock 앱은알람기능을가진시계와 56 비트의 AES 알고리즘을사용해서사진과동영상을암호화하여보호하는금고역할을한다. 파일과문서도보호하며, 안전한보이스레코더기능도제공한다. 자체의스마트뷰어를제공하며, AirPlay 와 AirPrint 기능을제공한다. (a) 초기화면 (b) 시계화면 (c) 옵션화면 (d) 보이스메모녹음화면 ( 그림 12) TimeLock vault 화면 IV. 맺음말 최근에일상생활에서스마트폰의역할은점점커져가고있다. 스마트폰은생활에편리한만큼개인의중요한정보들이많이저장되어악성앱이설치되거나스마트폰을분실할때에는손쉽게개인정보들이노출되어범죄에악용될수있게되었다. 스마트폰의연락처, 메시지, 사진이나동영상등개인의중요한정보를삭제해도포렌식도구에의해손쉽게복구될수있다. 이러한것을막기위해나온기술이앤티- 포렌식기술이다. 12 www.iitp.kr
포커스 지금까지이러한모바일앤티 - 포렌식도구들의종류및특성들을조사하였으며, 이들 의특징들을비교하여요약해보면 < 표 3> 과같다. 모바일앤티 - 포렌식도구는악의적으 로사용될경우범죄증거를감추기위해범죄자에의해악용될수있지만, 일반사용자들 에게는개인의정보를보호하기위해필요한기술이기도하다. < 표 3> 모바일앤티 - 포렌식도구들의비교 도구명앤티 - 포렌식기술분류적용대상운영체제특징 File Shredder ishredder LUKS Manager StegDroid Alpha Steganography Application Fake GPS Location icrypter idelete itreasure TimeLock File Wiping File Wiping File Wiping 암호화 Steganography Spoofing 암호화 File Wiping 암호화 암호화 데이터삭제 데이터삭제 데이터삭제 데이터은닉 데이터은닉 데이터사기 데이터은닉 데이터삭제 데이터은닉 데이터은닉 폴더, 파일 폴더, 파일 폴더 오디오파일 이미지, 비디오파일 위치정보 파일, 메시지 임시데이터 모든파일 사진, 동영상 Android Android Android Android Android Android ios ios ios ios - 선택한파일에랜덤데이터를다시쓰기로파일삭제 - 폴더와파일을같이삭제가능 - 백그라운드로작업가능 - 선택한파일에랜덤데이터를다시쓰기로파일삭제 - 폴더와파일을같이삭제가능 - 사용하지않은메모리공간도안전하게삭제 - 가상폴더를암호화 - 루팅된상태이어야앱의실행가능 - 가상폴더들의마운트, 언마운트, 생성, 삭제가능 - 텍스트메시지를오디오파일에은닉 - 그룹메시지멀티캐스팅기능제공 - 파일크기를 33% 로감소 - 텍스트메시지를이미지파일에은닉 - 이미지를이미지파일이나비디오파일에은닉 - 스마트폰의현재 GPS 위치를거짓으로설정 - 부팅시 autostart 옵션제공 - 쌍방간에설치되어야한다. - 별개의연락처리스트를사용하며암호저장 - 자동삭제기능제공 - 사용하지않는임시데이터삭제 - 모든데이터암호화 - 자동삭제기능제공 - 자체스마트뷰어제공 - AirPlay, AirPrint, icloud, 드롭박스지원 - 사진, 동영상암호화 - 자체스마트뷰어제공 - AirPlay, AirPrint, 지원 정보통신기술진흥센터 13
주간기술동향 2014. 12. 10. < 참고문헌 > [1] 내정보를지키기위한스마트폰앱의권한설정, http://privacyblog.naver.com/220143419691. [2] 컴퓨터포렌식, http://ko.wikipedia.org/wiki/ 컴퓨터 _ 포렌식. [3] Mobile device forensics, http://en.wikipedia.org/wiki/mobile_device_forensics. [4] Anti-computer forensics, http://en.wikipedia.org/wiki/anti-computer_forensics. [5] File Shredder, https://play.google.com/store/ apps/details?id=net.fizzl.fileshredder&hl=ko [6] ishredder, https://www.protectstar.com/en/products/ishredder-android. [7] LUKS manager, https://play.google.com/store/apps/details?id=com.nemesis2.luksmanager&hl=ko [8] StegDroid Alpha, https://play.google.com/ store/apps/details?id=uk.ac.cam.tfmw2.stegdroid&hl=ko [9] Steganography Application, https://play.google. com/store/apps/details?id=com.preethi.bits.steganography&hl=en [10] Fake GPS Location, https://play.google.com/ store/apps/details?id=com.lexa.fakegps&hl=ko [11] icrypter, https://www.protectstar.com/en/products/icrypter. [12] idelete, https://www.protectstar.com/en/products/idelete. [13] itreasure, https://www.protectstar.com/en/products/itreasure. [14] TimeLock, https://www.protectstar.com/en/products/time-lock. * 본내용은필자의주관적인의견이며 IITP 의공식적인입장이아님을밝힙니다. 14 www.iitp.kr