<31302DC4C4C7BBC5CDBDC3BDBAC5DBB9D7C1A4BAB8BAB8BEC828B9DAB4EBBFEC292E687770>

Similar documents
<30312DC1A4BAB8C5EBBDC5C7E0C1A4B9D7C1A4C3A52DC1A4BFB5C3B62E687770>

DBPIA-NURIMEDIA

<30312DC1A4BAB8C5EBBDC5C7E0C1A420B9D720C1A4C3A52DBDC5C1F82E687770>

디지털포렌식학회 논문양식

<31362DC4C4C7BBC5CDBDC3BDBAC5DBB9D7C1A4BAB8BAB8BEC828B9DAB4EBBFEC292E687770>

±èÇö¿í Ãâ·Â

<30312DC1A4BAB8C5EBBDC5C7E0C1A4B9D7C1A4C3A528B1E8C1BEB9E8292E687770>

06_ÀÌÀçÈÆ¿Ü0926

인문사회과학기술융합학회

SBR-100S User Manual

<30392DC4C4C7BBC5CDBDC3BDBAC5DBB9D7C1A4BAB8BAB8BEC828B9DAB4EBBFEC292E687770>

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 10, Oct ,,. 0.5 %.., cm mm FR4 (ε r =4.4)

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

< FC1A4BAB8B9FDC7D D325FC3D6C1BEBABB2E687770>

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Nov.; 26(11),

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Feb.; 29(2), IS

DBPIA-NURIMEDIA

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

<353420B1C7B9CCB6F52DC1F5B0ADC7F6BDC7C0BB20C0CCBFEBC7D120BEC6B5BFB1B3C0B0C7C1B7CEB1D7B7A52E687770>

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

Microsoft PowerPoint - XP Style

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

IT현황리포트 내지 완

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

DBPIA-NURIMEDIA

<4D F736F F D205B4354BDC9C3FEB8AEC6F7C6AE5D3131C8A35FC5ACB6F3BFECB5E520C4C4C7BBC6C320B1E2BCFA20B5BFC7E2>

안전을 위한 주의사항 제품을 올바르게 사용하여 위험이나 재산상의 피해를 미리 막기 위한 내용이므로 반드시 지켜 주시기 바랍니다. 2 경고 설치 관련 지시사항을 위반했을 때 심각한 상해가 발생하거나 사망에 이를 가능성이 있는 경우 설치하기 전에 반드시 본 기기의 전원을

(JBE Vol. 23, No. 5, September 2018) (Regular Paper) 23 5, (JBE Vol. 23, No. 5, September 2018) ISSN

최종_백서 표지

소니 아크 CONTENTS + 소니에릭슨의 엑스페리아 아크(XPERIA arc)는 SK텔레콤 전용으로 4월에 출시됐다. vol 엑스페리아 아크는 안드로이드 진저브레드 OS 4.2인치 디스플레이 야간 촬영 카메 라 센서 등의 사양을 갖추고 있으며, 3월 24일 일본에서

AGENDA 모바일 산업의 환경변화 모바일 클라우드 서비스의 등장 모바일 클라우드 서비스 융합사례

3. 클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발.hwp

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Jun.; 27(6),

09오충원(613~623)

DBPIA-NURIMEDIA

ESET Mobile Security for Android

04서종철fig.6(121~131)ok

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

<353020B9DAC3E1BDC42DC5ACB6F3BFECB5E520C4C4C7BBC6C3BFA1BCADC0C720BAB8BEC820B0EDB7C1BBE7C7D7BFA120B0FCC7D120BFACB1B82E687770>

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

#WI DNS DDoS 공격악성코드분석

HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API

04_이근원_21~27.hwp

°í¼®ÁÖ Ãâ·Â

P2WW HNZ0

<31342D495420C0B6C7D5B1E2BCFA2DB9AEBFB5BDC42E687770>

[Blank Page] i

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Dec.; 27(12),

<31372DC4C4C7BBC5CDBDC3BDBAC5DBB9D7C1A4BAB8BAB8BEC828B9DAB4EBBFEC292E687770>

1. KT 올레스퀘어 미디어파사드 콘텐츠 개발.hwp

µðÇÃÇ¥Áö±¤°í´Ü¸é

06_±è¼öö_0323

DBPIA-NURIMEDIA

<%DOC NAME%> User Manual

DBPIA-NURIMEDIA

User Guide

2 사용하기 전에 안전을 위한 주의사항 1 사용하기 전에 주의사항은 경고 와 주의 의 두 가지로 구분되어 있으며, 의미는 다음과 같습니다. >: 이 그림 기호는 위험을 끼칠 우려가 있는 사항과 조작에 대하여 주의를 환기시키기 위한 기호입니다. 이 기호가 있는 부분은 위

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Jun.; 27(6),

UPMLOPEKAUWE.hwp

00내지1번2번

인문사회과학기술융합학회

05( ) CPLV12-04.hwp

00인터넷지07+08-웹용.indd


2019년도 지엠디 교육

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

Copyright 2009 Hewlett-Packard Development Company, L.P. Microsoft 및 Windows 는 Microsoft Corporation 의 미국 등록 상표입니다. Bluetooth 는 해당 소유권자가 소유한 상표이 며 Hew

PowerPoint Presentation

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

1 : (Sunmin Lee et al.: Design and Implementation of Indoor Location Recognition System based on Fingerprint and Random Forest)., [1][2]. GPS(Global P

암호내지

<30345F D F FC0CCB5BFC8F15FB5B5B7CEC5CDB3CEC0C720B0BBB1B8BACE20B0E6B0FCBCB3B0E8B0A120C5CDB3CE20B3BBBACEC1B6B8ED2E687770>

DBPIA-NURIMEDIA

2016_Company Brief

[한반도]한국의 ICT 현주소(송부)

*통신1704_01-도비라및목차1~11

<31362DB1E8C7FDBFF82DC0FABFB9BBEA20B5B6B8B3BFB5C8ADC0C720B1B8C0FC20B8B6C4C9C6C32E687770>

09권오설_ok.hwp

슬라이드 1

AVG PC TuneUp User Manual

<30302DB8F1C2F7BFDC2E687770>

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

IP IP ICT

OP_Journalism

이제는 쓸모없는 질문들 1. 스마트폰 열기가 과연 계속될까? 2. 언제 스마트폰이 일반 휴대폰을 앞지를까? (2010년 10%, 2012년 33% 예상) 3. 삼성의 스마트폰 OS 바다는 과연 성공할 수 있을까? 지금부터 기업들이 관심 가져야 할 질문들 1. 스마트폰은

160322_ADOP 상품 소개서_1.0

NX1000_Ver1.1

0.Â÷·Ê

04김호걸(39~50)ok

Journal of Educational Innovation Research 2018, Vol. 28, No. 1, pp DOI: * A Analysis of

Digital Forensic Report (Infringement Accident Scenario #1) 침해사고대응 : 시나리오분석 Best of the Best 4th Digital Forensic Track YungSan University Kim.

PowerPoint 프레젠테이션

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

20(53?)_???_O2O(Online to Offline)??? ???? ??.hwp

1. PVR Overview PVR (Personal Video Recorder), CPU, OS, ( 320 GB) 100 TV,,, Source: MindBranch , /, (Ad skip) Setop BoxDVD Combo

Transcription:

Journal of the Korea Institute of Information and Communication Engineering 한국정보통신학회논문지 (J. Korea Inst. Inf. Commun. Eng.) Vol. 18, No. 12 : 2878~2884 Dec. 2014 Smishing 사고에대한 Mobile Forensic 분석 박대우 * Analysis on Mobile Forensic of Smishing Hacking Attack Dea-Woo Park * Department of Conversing Technology, Hoseo Graduate School of Venture, Seoul 137-867, South Korea 요약 2013 년도부터스마트폰을이용한 Smishing( 스미싱 ) 공격으로인하여피해가발생하고있다. 2014 년카드 3 사의 1 억 4 백만건개인정보유출로인하여 Smishing 을이용한해킹공격은증가하고있다. Smishing 해킹공격과연계된개인정보의탈취와직접적인금융피해가발생하고있다. 본논문에서는 Smishing 사고에대한실제사례를실험실에서연구분석하고 Mobile Forensic 분석을실행한다. Smishing 해킹공격의기술적인원리와실제적인사례분석을하고, Mobile Forensic 분석을통하여 Smishing 을이용한해킹공격의기술적인증거자료의입증과모바일포렌식보고서를작성한다. 본논문을통해모바일포렌식의기술발전과 Smishing 사고로부터법정증거의추출을연구하여, 안전하고편리하게스마트폰을사용할수있는안전한국민생활을위한연구가될것이다. ABSTRACT The Smishing attacks are caused using smartphone since 2013. Smishing hacking attacks are increasing due to the approximately 104 million private information leakage incidents by the 3 domestic credit card companies occurred in January 2014. The Smishing attack occurred in conjunction with hacking illegal leakage of personal information and direct financial damage. In this paper, i am analyze real-world case studies in the lab and study accident on Smishing Mobile Forensic analysis. I am study of a real case Smishing hacking attacks. And studying evidence for a Mobile Forensic analysis of the technical principles of Smishing attacks. The study for the Mobile Forensic evidence proved the Smishing hacking attacks using Mobile Forensic technic and create Mobile Forensic reports. Through this paper, the research will be safe for the people living in the smartphone can be used safely and conveniently, with the development of Mobile Forensic technology, to study the extraction of Smishing accident evidences from the court. 키워드 : 스미싱, SMS, 모바일포렌식, 해킹, 공격분석 Key word : Smishing, Short Message Service, Mobile Forensic, Hacking, Attack Analysis 접수일자 : 2014. 10. 06 심사완료일자 : 2014. 11. 12 게재확정일자 : 2014. 11. 27 * Corresponding Author Dea-Woo Park(E-mail:prof_pdw@naver.com, Tel:+80-10-8299-4455) Department of Conversing Technology, Hoseo Graduate School of Venture, Seoul 137-867, South Korea Open Access http://dx.doi.org/10.6109/jkiice.2014.18.12.2878 print ISSN: 2234-4772 online ISSN: 2288-4165 This is an Open Access article distributed under the terms of the Creative Commons Attribution Non-Commercial License(http://creativecommons.org/li-censes/ by-nc/3.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited. Copyright C The Korea Institute of Information and Communication Engineering.

Smishing 사고에대한 Mobile Forensic 분석 Ⅰ. 서론 Ⅱ. 관련연구 2013년 1월부터 8월까지통신, 인터넷을통한보이스피싱 (Voice Phishing), Smishing 등의사기피해건수가 2만8827건이고피해액은 439억원에달하는것 [1] 으로나타났다. 그림 1처럼 2014년 1월에는고객의개인정보의유출사건은 KB카드 5천300만건, 롯데카드 2천600 만건, NH카드 2천500만건으로총유출은 1억4백만건이나되는수치의개인정보유출사고가발생했다 [2]. 그림 1. 2014 년카드 3 사개인정보유출사고건수 Fig. 1 Number of accidents in personal information leakage from 3 cards in 2014(source : SBS News) 2014년금융카드 3사개인정보유출로인하여 Smishing사고의위험이증대되었다. Smishing 사고는단문자서비스 (SMS:Short Message Service) 와피싱 (Phishing) 의합성어로, 2013년도부터급속하게사회문제화가되기시작하였다 [3]. 스마트폰을이용하여 Smishing 공격자는피싱사기를유도하고, 스마트폰상으로개인정보를빼내거나, 본인도모르게소액결제를하게하는신종휴대폰사기수법이다 [4]. Smishing 사고는휴대폰또는스마트폰에서사회공학적인 SMS서비스가 URL(Uniform Resource Locator) 을포함하여전송되며, 스마트폰사용자가웹사이트링크인 URL을누르게되면, 바이러스퇴치를위한애플리케이션등을무료로다운받을것을권고 [5] 받게되나, 이파일에는트로이목마바이러스가포함되어, 다운로드즉시해커의조종으로피싱사이트로이동후 [6] 클릭을유도하여스마트폰에서개인정보가유출되거나, 금융결제가이루어지게된다. 따라서 Smishing 사고에서개인정보유출과금융피해가발생함에따라, Smishing 사고에대한해킹공격을분석하고, 모바일포렌식을연구하여, 안전한국민생활을위하여, 스마트폰스미싱공격기술분석과책임소재판단을위한증거추출에관한연구가필요하다. 2.1. 개인정보보호법개인정보보호법은 2011년 3월 29일제정을하여 2012년 3월 30일부터시행이되었다. 이법은개인정보의수집 유출 오용 남용으로부터사생활의비밀등을보호함으로써국민의권리와이익을증진하고, 나아가개인의존엄과가치를구현하기위하여개인정보처리에관한사항을규정함을목적으로한다. 개인정보보호법에따르면개인정보처리자는개인정보의안전환관리를위한기술적 관리적 물리적보호조치등을철저하게수행해야한다. 개인정보보호법의내용의일부중개인정보처리자가고유식별정보를처리하는경우에는그고유식별정보가분실 도난 유출 변조또는훼손되지아니하도록대통령령으로정하는바에따라암호화등안전성확보에필요한조치를하여야한다. 개인정보처리자는법제21조에따라개인정보를파기할때에는다음각호의구분에따른방법으로하여야한다. 1) 전자적파일형태인경우 : 복원이불가능한방법으로영구삭제 2) 제1호외의기록물, 인쇄물, 서면, 그밖의기록매체인경우 : 파쇄또는소각하여야한다. 2.2. 최근스미싱사고동향 2013년도부터사회문제화되기시작한 Smishing 공격은여러이슈별로국내에서피해가급증하였다. 특히 2014년 1월금융권에서발생한대규모개인정보유출사건이후 카드사정보유출 관련 Smishing이새롭게등장하여 2주동안 173건의신고를기록하고있다. 또새해를맞아직장인의관심을끄는 연말정산, 공인인증서갱신 과관련된 Smishing의신고건수도 2014년 1월부터증가하는추세다. 이러한 Smishing 공격은실시간으로이슈를모니터링하고, 문자에반영하여사용자를손쉽게속이는등그수법이더욱지능화되고있다. 기존에는문자내 URL을클릭하면바로악성애플리케이션이다운로드되었으나, 피싱사이트로이동후클릭을유도하는수법도최근발견되고있다. 2879

한국정보통신학회논문지 (J. Korea Inst. Inf. Commun. Eng.) Vol. 18, No. 12 : 2878~2884 Dec. 2014 Ⅲ. Smishing 공격분석 Smishing 공격의피해원리를알아보면, 해커는 SMS/MMS 등과같이메시지를공격목표사용자에게보내고, 공격목표사용자가첨부된링크를클릭하게되면, 악성코드가포함된애플리케이션을다운로드된다. 3.1. 2014년카드유출사고 Smishing 사고사례 2014년 1월, 금융카드 3사개인정보유출사고가발생했다. KB 카드 5천300만건, 롯데카드 2천600만건, NH카드 2천500만건이사고발생건수 [7] 이다. 그림 2와같이개인정보유출에따른고객의불안심리를악용하여개인의금융거래정보를빼돌린후금전을가로채는전형적인 Smishing 사기가기승을부리고있다. 그림 2. 정보유출사고를가장한 Smishing 공격 Fig. 2 Smishing attacks of masquerade in Information leakage incidents 서울검찰청직원이라고하면서 최근정보유출사고에당신이연루됐으니수사를위해요청하는정보를알려달라 며계좌비밀번호와보안카드등을빼내 5,000 만원을가로챈사례가있다. 최근개인정보를유출한 3개카드사와신용정보사가보낸것처럼가장하면서악성코드가포함된문자메시지를발송해, 스마트폰을감염시켜카드사직원이라고하면서, 기존고금리대출을저금리로전환해줄테니당신의채무정보를알려달라 고하고또한일부채무는우선변제돼야한다고속여가상계좌로이체할것을요청해 500만원을가로챈사례이다. 설치되어 SMS 탈취서비스가동작하고있다. Smishing 공격의피해원리는해커는 SMS/MMS 등과같이메시지를공격목표사용자에게보내고, 공격목표사용자가첨부된링크를클릭하게되면, 악성코드가포함된애플리케이션을다운로드된다. Smishing 공격자인해커는사용자가눈치채지못하게, 스마트폰에트로이목마와같은악성코드를배포하여, 악성코드나악성애플리케이션을통해사용자스마트폰의문자, 수신알람, 카메라, 전화번호, 금융정보, 개인정보등과같은스마트폰의기능을제어하면서정보를절취하게된다. 3.3. Smishing 공격으로금융결제사기 Smishing 공격을위해공격자해커는스마트폰사용자들에게악성애플리케이션설치용단축 URL을클릭적용문자메시지를지인을가장하여사회공학적방법으로발송한다. 스마트폰사용자가문자메시지에흥미를느껴서단축 URL을클릭하면악성애플리케이션을설치함과동시에스마트폰단말기를감염시킨다. Smishing 공격자인해커는그림 3처럼사용자가눈치채지못하게, 스마트폰에트로이목마와같은악성코드를배포하여, 악성코드나악성애플리케이션을통해사용자스마트폰의문자, 수신알람, 카메라, 전화번호, 금융정보, 개인정보등과같은스마트폰의기능을제어하면서정보를절취하여 ( 해외 ) 서버로전송하게된다. Smishing 공격자인해커는수집한정보를바탕으로게임사이트, 온라인쇼핑몰등각종인터넷구매사이트에서소액결제서비스를진행한다. 3.2. Smishing 공격을통한무단정보수집해커가 Smishing 공격을위해사용자에게보낸 SMS 를통하여설치한악성애플리케이션을실행시키면 점검시간입니다. 불편을드려서죄송합니다 라는문구로가장하여사용자를안심시키고실제로는악성코드가 그림 3. Smishing 공격의금융사기원리 Fig. 3 Principle of Smishing attack for financial fraud 2880

Smishing 사고에대한 Mobile Forensic 분석 인터넷구매사이트에서결제대행사등을통해본인인증용승인문자번호를사용자스마트폰으로발송하게되는데, 이때악성애플리케이션이설치가되어있어스마트폰에서수신된승인문자번호가보이지않게조작하여, 스마트폰사용자는승인문자가온지도모르고그냥넘어가게된다 [8]. 공격자인해커는수신된승인번호를 ( 해외 ) 서버로몰래전송을시켜, 승인번호를가로채어정상적인터넷전자상거래등금융거래절차를수행한다. Smishing 공격자인해커는적립된사이버머니를현금화하거나, 물건등을불법적으로취득하여금융이득을취한다. 스마트폰사용자는나중에피해금액을청구받게되고나서야, Smishing 공격을당한사실을인지한다. Ⅳ. Mobile Forensic 분석및보고서 4.1. 스마트폰에서 Smishing 증거수집 Smishing 공격자인해커와공격목표가될스마트폰을실험실환경에서설정하고, 스미싱공격문자서비스와 URL이포함된공격을목표스마트폰으로발송한다. 목표스마트폰사용자는사회공학적내용의 URL을클릭하고악성코드를다운받게하여스마트폰을감염시킨다. 감염된스마트폰을 PC와의동기화를통해스마트폰에서증거자료를백업받은 PC에저장된자료에대한분석은표 1과같다. 표 1. 스마트폰의증거자료분석 Table. 1 Evidence analysis of the smartphone data 전화번호부 문자메시지 안드로이드 분석가능프로그램 윈도우모바일 분석가능프로그램.spb kies.vcf MITs.sme kies.sms MITs, 메모장 일정.ssc kies.csv MITs, Excel 멀티미디어.mp3,.avi 등 ( 원본파일형식 ) windows media player, 곰플레이어.skm windows media player, 곰플레이어 스마트폰의증거자료를실험용 PC로백업을실행하고, 증거자료는복사본을만들어분석을실시한다. 다음은 Mobile Forensic을위한실험스펙이다. Desktop 스펙 Forensic 자료추출용 CPU : Inter(R)Core(TM) i3 @ 2.93GHz 메모리 : 4.0GB RAM 운영체제 : Windows 7 Home Premium K SP 1 32비트 Laptop 스펙 분석용 CPU : Inter(R)Core(TM) i7-2630qm @ 2.00GHz 메모리 : 4.0GB RAM 운영체제 : Windows 7 Ultimate K SP1 64비트 Laptop 스펙 공격용 CPU : Inter(R)Core(TM)i5-3230M @ 2.60GHz 메모리 : 4.0GB RAM 운영체제 : Windows 8.1 K 64비트 WiBro 에그스펙모델명 : KWI-B2200 무선랜 : 802.11 b/g 보안 : WEP, WPA, WPA2 스마트폰 Galaxy S IV 스펙모델명 : 삼성전자 SHV-E300S CPU : S5PC111 1GHz 메모리 : 2G RAM, 32GB Storage 운영체제 : Android Platform ver 4.4.2 통신규격 : LTE(850/1800), WCDMA(1900/2100), GSM(900/1800/1900) AirPcap NX : 802.11 무선네트워크패킷캡처분석용 Laptop에는스마트폰인 Galaxy S에서데이터를백업받기위해삼성모바일에서제공해주는 Kies 3 을설치하였다. 패킷분석을위해패킷 Wireshark와 Cain & Abel를설치하였고, Forensic 자료추출을하기위해 Forensic 프로그램인 Digital Evidence Analysis System(DEAS) 2와 Oxygen Forensic Suite 2014를설치하였다. Samsung Mobile Kies v.1.0 The Wireshark Network Analyzer v.1.8.2 Cain & Abel v4.9.43 released Digital Evidence Analysis System 2 Oxygen Forensic Suite 2014 v.6.1 2881

한국정보통신학회논문지 (J. Korea Inst. Inf. Commun. Eng.) Vol. 18, No. 12 : 2878~2884 Dec. 2014 그림 5. 안드로이드사용자 API 퍼미션 Fig. 5 User API permission in Android 그림 4. Smishing 공격당한스마트폰포렌식 Fig. 4 Smartphone forensics attacked Smishing 4.2. Mobile Forensic 증거자료분석그림 4처럼 Smishing 공격당한스마트폰포렌식을위한실험용갤럭시 S IV는안드로이드운영체제를탑재하고있어, 삼성전자에서제공하는 Kies 프로그램만설치하면 PC에서스마트폰의증거자료를백업및수집할수있다. Kies 3 프로그램을사용하여갤럭시 S IV 에서 SMS 증거자료를백업받아 PC의폴더에서저장된파일을수집및확인해야한다. 백업된증거자료를살펴보면, SMS의경우.SME 파일로압축되어저장이되고, 전화번호부인폰북의경우에는.SPB 파일로압축되어저장되고, 일정의경우.SSC로압축되어저장이되어진다. 그리고멀티미디어증거자료들은원형그대로저장되는것을볼수있다. Mobile Forensic 분석도구인 Oxygen 2014 Suit와자바 decompiler을통해실험용감염스마트폰에서추출한증거자료의백업본을 Forensic한다. Oxygen Forensic Suite 2014는심비안, 윈도우모바일, 안드로이드, ios 의운영체제를분석가능하며, 복사본생성에는 MD5, SHA-1 알고리즘을적용하여복제할수있다. Smishing 공격에감염된스마트폰의경우, 기본정보, 전화번호부, 메시지, 통화기록, 캘린더, 파일브라우저를통해타임라인, 애플리케이션과사전을분석한다. Smishing은정상애플리케이션을가장하여문자메시지전송후설치되어피해자의문자를가로채는행위의분서을위해서는소스파일패킹, 언패킹하는 Apk tools, jar 파일추출하는 dex2jar 등을시행한다. 그림 5처럼안드로이드스마트폰사용자 API 퍼미션을생성하고, 압축이되어있는 Apk 파일을풀면 classes.dex 파일이생성되된다. dex2jar 을이용하여 dex 파일을 jar로변환하고니서, Java Decompiler를이용하여 Smishing 해킹공격의애플리케이션에대한기술적구조를분석한다. 따라서 Smishing 분석시스템인 dex2jar 과자바 decompiler를이용하여개인정보유출 Smishing.apk 파일을실험실에서분석을해본결과, 그림 6처럼공격자인해커에게안드로이드스마트폰의개인, 금융정보를전송하여, Smishing 해킹공격이일어나는것을확인하였다. 소스를분석하여설치될때 http://cn.zz.mu/ Android_SMS/installing.php, Http Post 방식으로스마트폰번호를전송하는것을확인할수있다. 패킷분석툴 Wireshark을통하여패킷을분석한결과, 해커의서버로스마트폰사용자의개인정보가전송되는것을확인함으로써 Smishing 사고를분석할수있다. 그림 6. 스마트폰에서정보유출 Smishing 공격 Fig. 6 Information leakage Smishing attack on smartphone 2882

Smishing 사고에대한 Mobile Forensic 분석 4.3. Mobile Forensic 보고서작성 Smishing 공격으로감염된스마트폰에서포렌식증거자료를확인하였을경우, 증거를수집하여수사보고서인포렌식보고서형태로작성한다음법정에증거기록으로사용한다. 스마트폰에서포렌식증거자료는법정에서인정하는수사관이인증된포렌식툴과포렌식기술과공공의장소나, 현장에서, 포렌식증거자료를생성하고, 백업프로그램을통해추출할수있는증거자료의원본성과무결성을입증하기위해 Hash 함수값을비교하여, 무결성을입증한자료를표 2와같이포렌식보고서를작성하여검사나법정에제출한다. Smishing 사고에대한법정증거자료를문서화작업으로서포렌식분석보고서를프린트하거나, pdf파일로변환하여, 법정증거자료로서제출한다. Ⅴ. 결론최근스마트폰사용량의증가와함께, Smishing 해킹공격과연계된개인정보의탈취와직접적인금융피해가발생하고있다. 본논문에서는스마트폰에서 Smishing 사고에대한실제사례를실험실에서연구분석하고, Mobile Forensic 분석을실행한다. Smishing 해킹공격의기술적인원리와실제적인사례분석을하였다. 또한 Mobile Forensic 분석을통하여 Smishing을이용한해킹공격의기술적인법정의증거자료의입증을위한모바일포렌식보고서를연구하고작성하였다. 향후연구로는스마트폰과인터넷과연계된스미싱공격에의한개인정보유출과금융거래피해를예방하는보안방법을강구한다. 표 2. 모바일 ( 스마트폰 ) 포렌식보고서 Table. 2 Mobile(Smartphone) Forensic Report 감사의글 접수일자접수자요청대상관리번호 분석일시분석장소 분석대상제조사일련번호 S / N 운영체제 분석 System Foresic Software 프로그래밍언어 Forensic 보고서 2014. 08 29. 박대우호서대학교벤처전문대학원 2014 제 09 호 ( 양식제 4 호 ) 2014. 07. 30. ~ 2014. 11. 29. 호서대학교벤처전문대학원 HFITC Lab Samsung Galaxy S IV (SHV-E300S) 삼성전자 0010447 R1AB555700 Android 4.4.2 CPU RAM OS HDD Intel(R) Core(TM) i3 CPU 4 GB Microsoft Windows 7-32 bit Samsung HD502IH (500 GB) EnCase, Oxygen, Wireshark MicroSoft Visual C, Java Page 1 본연구는 2014년도호서대학교교내학술비지원에의하여이루어진연구로서, 관계부처에감사드립니다. REFERENCES [1] In-Woo Park, Dea-Woo Park, A Study on the Analysis and Security Measures for Smishing Hacking Attacks, International Conference on Computing and Convergence Technology, Oct, Korea, 2013. [2] In-Woo Park, Dea-Woo Park,"A Study of Intrusion Security Research and Smishing Hacking Attack on a Smartphone", Journal of the Korea Institute of Information and Communication Engineering, vol. 17, no. 2, pp. 399-406, Mar, 2013. [3] Korea Internet & Security Agency, http://spam.kisa.or.kr/ kor/smishing/smishingway.jsp, Korea, 2014. [4] Korean National Police AgencyCyber Bureau,"Coping with smishing", Available: http://www.netan.go.kr/, the National Police Agency, 2013. [5] Dea-woo Park, "Guideline for Countermeasures against Smishing Incident", CJK IT Standards Meeting, April, 2883

한국정보통신학회논문지 (J. Korea Inst. Inf. Commun. Eng.) Vol. 18, No. 12 : 2878~2884 Dec. 2014 Korea, 2014. [6] Korea Internet & Security Agency, Monthly analysis and trend of Internet incidents : March, May, June, Korea Internet & Security Agency, Korea, March, May, June 2013. [7] Jin Shin, Dea-Woo Park,"A User s Guide for Countermeasures against Smishing Incident", Information An International Interdisciplinary Journal, vol. 17, no. 11(B), pp. 5683-5688, Nov, 2014. [8] Dea-Woo Park,"Forensic Analysis of Smishing Hacking Attack in Smartphone", Information An International Interdisciplinary Journal, vol. 17, no. 11(B), pp. 5689-5694, Nov, 2014. 박대우 (Dea-Woo Park) 2004 년 : 숭실대학교컴퓨터학과 ( 공학박사 ) 2004 년 : 숭실대학교겸임교수 2006 년 : 정보보호진흥원 (KISA) 선임연구원 2007 년 ~ 현재 : 호서대학교벤처전문대학원교수 관심분야 : Hacking, Forensic, CERT/CC, 침해사고대응, E-Discovery, 정보보호, 이동통신보안, IT 융합보안, 서비스보안표준화, 국가사이버안보정책 2884

2024 © docsplayer.org 개인정보보호 | 약관 | 지원