Microsoft Word - 문필주

Similar documents

보안공학연구회

H3250_Wi-Fi_E.book

Microsoft Word - 한표지


..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

게시: SWD

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API

iOS5_1±³

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

KIDI_W_BRIEF(제1호)_본문.hwp

F120L(JB)_UG_V1.0_ indd

2019년도 지엠디 교육

52 l /08

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

(Microsoft PowerPoint - AndroG3\306\367\306\303\(ICB\).pptx)

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터

wtu05_ÃÖÁ¾

SBR-100S User Manual

Microsoft Word - ICT Report

Microsoft Word - 문필주.doc

PowerPoint Presentation

고객 카드

5월호(작성중).hwp

SIGIL 완벽입문

Microsoft PowerPoint - 권장 사양

Microsoft Word - 문필주

PowerPoint 프레젠테이션

Microsoft Word _기술동향분석_우분투_유정목[1]

슬라이드 1

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Microsoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와 디바이스에 관계 없이 언제, 어디서나 문서를 확인하고 편집

IP IP ICT

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

<4D F736F F D204954B1E2C8B9BDC3B8AEC1EE5FB0FBC1F82E646F63>

PowerPoint Presentation

Office 365 사용자 가이드

위클리 초이스

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

02_3 지리산권 스마트폰 기반 3D 지도서비스_과업지시서.hwp

스마트폰 도입에 따른 국내 통신시장 환경의 변화 음성중심에서 데이터 중심으로 변화하고 있으며 데이 터 매출 비중도 08년 20.2% 13년 24.7%로 꾸준히 증 가할 전망이다. 또한, 데이터 활성화로 스마트폰 콘텐츠 장터(앱스토 어) 시장도 크게 성장할 것으로 예상된

슬라이드 1

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

슬라이드 1

해외전자정보서비스이용교육 EBSCO ebooks - 인터페이스상세이용방법및다운로드 ( 대출모드 ) 안내

Straight Through Communication

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

사용하기 전에 2

Print

스마트폰 애플리케이션 시장 동향 및 전망 그림 1. 스마트폰 플랫폼 빅6 스마트폰들이 출시되기 시작하여 현재는 팜의 웹OS를 탑재한 스마트폰을 제외하고는 모두 국내 시장에도 출 시된 상황이다. 이들 스마트폰 플랫폼이 처해있는 상황 과 애플리케이션 시장에 대해 살펴보자.

WebRTC 플러그인이 필요없는 웹폰 새로운 순수 VoIP 클라이언트 기반의 최신 WebRTC 기술은 기존 레가시 자바 클라이언트를 대체합니다. 새로운 클라이언트는 윈도우/리눅스/Mac 에서 사용가능하며 Chrome, Firefox 및 오페라 브라우저에서는 바로 사용이

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

Microsoft Word - 디오텍_091221_.doc

사용설명서를 읽기 전에 ios용 아이디스 모바일은 네트워크 연결을 통해 ios 플랫폼 기반의 모바일 기기(iOS 버전 6.0 이상의 ipod Touch, iphone 또는 ipad)에서 장치(DVR, 네트워크 비디오 서버 및 네트워크 카메라)에 접속하여 원격으로 영상을

Microsoft PowerPoint - chap01-C언어개요.pptx

<B4EBC7D1BAF1B8B8C7D0C8B8C3DFB0E8C7D0BCFABFACBCF62D C1F8C2A520C3D6C1BE292E687770>

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

마켓온_제품소개서_ key

만약, 업그레이드 도중 실패하게 되면, 배터리를 뺏다 다시 꼽으신 후 전원을 켜면, 안내문구가 나오게 됩니다. 그 상태로 PC 연결 후 업그레이드를 다시 실행하시면 됩니다. 3) 단말을 재부팅합니다. - 리부팅 후에 단말에서 업그레이드를 진행합니다. 업그레이드 과정 중

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

Windows 8에서 BioStar 1 설치하기

Visual Studio online Limited preview 간략하게살펴보기

월간 SW 산업동향 ( ~ ) Ⅰ. Summary 1 Ⅱ SW 5 2. SW 7 Ⅲ Ⅳ. SW SW Ⅴ : Big Data, 38

*2008년1월호진짜

슬라이드 1

사용설명서를 읽기 전에 안드로이드(Android)용 아이디스 모바일은 네트워크 연결을 통해 안드로이드 플랫폼 기반의 모바일 기기에서 장치 (DVR, NVR, 네트워크 비디오 서버, 네트워크 카메라) 에 접속하여 원격으로 영상을 감시할 수 있는 프로그램입니다. 장치의 사

ESET Mobile Security for Android

Dropbox Forensics

Microsoft PowerPoint App Fundamentals[Part1](1.0h).pptx

<4D F736F F D B1E2C8B9BDC3B8AEC1EE2DB9DAB5BFB1D4>

Contents 1. 8월 유망 Issue & Theme Issue I. 불황없는눈( 眼 ) 산업... 3 휴비츠 (6551/Not Rated) 삼영무역 (281/Not Rated) Issue II. 언제 어디서나 스마트하게 일한다! 인프라웨어 (412/Not Rate

LG-LU6200_ICS_UG_V1.0_ indd

B _00_Ko_p1-p51.indd

Cloud Friendly System Architecture

Microsoft Word - 김완석.doc

ADP-2480

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P

SBR-100S User Manual

< C0FCC6C4BBEABEF7B5BFC7E E687770>

Microsoft Word - ijungbo1_13_02

슬라이드 1

< A67EAAD1AA46B77CC4B3A8C6A4E2A5552E706466>

산업백서2010표지

슬라이드 제목 없음


Microsoft PowerPoint - CoolMessenger_제안서_라이트_200508


Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

슬라이드 1

슬라이드 1

PowerPoint Presentation

AGENDA 모바일 산업의 환경변화 모바일 클라우드 서비스의 등장 모바일 클라우드 서비스 융합사례

<3132BFF93136C0CFC0DA2E687770>

Microsoft PowerPoint - ZYNQITTSIYUL.pptx

서현수

Microsoft Word - src.doc

2010 년 10 월넷째주 ( ) 1. IT와타산업융합위한민관노력강화 2. 한국, IT산업분야국제표준제안건수세계 1위달성 3. 한국, 3년연속세계브로드밴드경쟁력 1위기록 4. 삼성SDS, 2011년 IT메가트렌드선정 'Smart' 와 'Social' 이핵심

Transcription:

모바일포렌식도구동향분석 문필주 * 최근 IT 기술의발전에따른모바일기기의사용빈도가급속도로성장하고있다. 스마트폰이나태블릿 PC와같은모바일기기의사용은사용자들에게편의성을제공하지만, 이와는반대로보안에취약하여범죄에악용될소지가많이발생하고있으며, 범죄자들의범죄도구로이용되기도한다. 범죄자들의범죄도구로서의모바일기기는범죄행위와관련해유용한증거를찾을수있는훌륭한조사대상이될수있으며, 모바일기기에서이러한증거를찾아범죄수사의중요한증거로사용하는것을모바일포렌식이라고한다. 본고에서는다양한모바일포렌식도구들을조사하고기능을비교해봄으로써이들에대한특성을파악하고자한다. 목차 Ⅰ. 개요 Ⅱ. 디지털포렌식과모바일포렌식 Ⅲ. 모바일포렌식도구동향 IV. 맺음말 * 평택대학교정보통신학과 / 교수 I. 개요 최근에스마트폰이나태블릿 PC 와같은모바일기기의사용증가는단순히음성통화나메시지를주고받는단계에서기존의데스크탑컴퓨터에서처리하는기능들까지도수행하는단계로발전하고있음을나타내고있다. 유엔산하전기ㆍ통신전문기구인국제전기통신연합 (ITU) 이 2013 년 3 월 1 일발간한 2013 년세계정보통신기술발전현황 에따르면 2014 년말까지전세계휴대전화보급률이 96% 에이를전망이다. 이는전세계휴대전화가입자가 70 억명을상회하는것으로향후에는더많은사람들이디지털모바일기기를사용할것이며, 수많은 정보통신산업진흥원 1

주간기술동향 2014. 3. 5. 애플리케이션등을통해좀더많은중요한정보들이디지털모바일기기에저장될것이다 [1]. 모바일기기의사용은사용자들에게편의성을제공하지만, 이와는반대로보안에취약하여범죄에악용될소지가많이있으며, 범죄자들의범죄도구로사용되기도한다. 범죄자들이범죄도구로모바일기기를사용하는경우에는범죄행위와관련하여유용한증거를찾을수있는훌륭한조사대상이되며, 모바일기기에서디지털증거나데이터를복구하여범죄수사의중요한법적증거자료로사용할수있도록하는분야를모바일포렌식이라고한다. 이러한모바일포렌식기술은모바일기기를사용하는디지털범죄의증가추세에효과적으로대처하기위해매우중요한분야라할수있다. 본고에서는최근컴퓨터범죄에이용되는디지털기기인컴퓨터와스마트폰에저장된정보를추출하여분석하는디지털포렌식과그한범주에속하는모바일포렌식기술에관해소개하고모바일포렌식도구현황및특성에대해기술한다. II. 디지털포렌식과모바일포렌식 디지털포렌식 (digital forensic) 이란범죄수사에서적용되고있는과학적증거수집및분석기법의일종으로, 각종디지털데이터및통화기록, 이메일접속기록등의정보를수집ㆍ분석하여 DNA ㆍ지문ㆍ핏자국등범행과관련된증거를확보하는수사기법을말한다. 현대인들의생활속에는자신도모르게디지털기기와항상접해있어상당부분개인에대한기록이디지털정보로남아있는경우가많고, 디지털기술의발달로범행을숨기기위해삭제한자료등도복원이가능한경우가많아범죄수사에널리활용되고있다 [2]. 디지털포렌식기술은적용분야에따라디스크포렌식, 네트워크포렌식, 데이터베이스포렌식, 모바일포렌식, 크립토그래프포렌식, 회계포렌식등으로나뉘어진다. < 표 1> 은디지털포렌식분야에대한설명및대상매체를요약하여나타냈다. 이중에서모바일포렌식이란휴대폰, 스마트폰, 전자수첩, 디지털카메라, MP3 플레이어, 휴대용메모리카드, USB 저장장치등에저장된데이터를추출하여및복원하는기법을말한다 [3]. 이전의모바일포렌식의데이터는통화기록, 연락처, 폰의 IMEI/ESN 정보, SMS 와 MMS 메시지등이었지만, 최근에는웹브라우징, 무선네트워크세팅, 이메일및이미지, 파일등의저장된데이터와스마트폰앱관련중요데이터등으로그범위가점차확대되고있다. 2 www.nipa.kr

< 표 1> 디지털포렌식의분야 [4] 유형설명대상매체 디스크포렌식 네트워크포렌식 데이터베이스포렌식 모바일포렌식 크립토그래프포렌식 회계포렌식 - 디스크파일시스템분석 - 디스크검색, 복구, MAC 분석, 키워드검색 - 네트워크를통한데이터및로그분석 - 스니핑된트래픽로깅파일 - 데이터베이스로부터데이터추출및분석 - 기업의분식회계, 횡령, 탈세수사시필수 - 휴대용기기에서필요한정보를입수및분석 - 휴대용기기에데이터은닉용이성으로세심한분석이필요함 - 문서나시스템에서암호추출 - 증거수집에서비인가접근을막기위해문서나시스템에암호를설정한경우암호분석 - 저장된회계데이터를추출하고회계전문가가분석할수있도록데이터를정제 - 기업의부정과관련된수사시필요 - FAT, NTFS, EXT2, EXT3 등 - 라우터, 스위치, FW, IDS - 정보시스템의데이터베이스 - 휴대폰, PDA, 전자수첩 - USB 저장장치, 미디어 - 암호화문서및시스템 - 회계시스템 - SAP/R3 ERP, Oracle ERP III. 모바일포렌식도구동향 앞에서설명한바와같이모바일포렌식이란휴대폰, 스마트폰, 전자수첩, 디지털카메 라, MP3 플레이어, 휴대용메모리카드, USB 저장장치등과같은디지털모바일기기에 저장된데이터를추출및복원하는기법을말하는것이며, 이러한모바일포렌식을수행하는 < 표 2> 모바일포렌식도구들의종류 이름플랫폼설명 Black Light Windows/OSX/iOS ios 포렌식분석소프트웨어 Cellebrite Mobile Forensics Windows 범용적포렌식추출디바이스 Secure View 3 Software Kit Windows 하드웨어 / 소프트웨어패키지 Paraven Device Seizure Windows 하드웨어 / 소프트웨어패키지 SAFT Mobile Forensics Windows 안드로이드용포렌식애플리케이션 MicroSystemation XRY/XACT Windows 삭제데이터전용 Oxygen Forensic Suite Windows 스마트폰포렌식소프트웨어 Elcomsoft ios Forensic Toolkit(EIFT) Windows/Mac ios 기기의비트이미지의실시간획득 Elcomsoft Phone Password Breaker(EPPB) Windows Blackberry 또는 ios 기기의패스워드로보호된백업부분의액세스가능 MOBILedit Forensic Windows 하드웨어커넥션키트 / 소프트웨어패키지 viaforensics viaextract Virtual Machine 안드로이드용포렌식소프트웨어패키지 Internet Evidence Finder(IEF) Windows 포렌식증거검색및복구도구 정보통신산업진흥원 3

주간기술동향 2014. 3. 5. 하드웨어장치및소프트웨어프로그램을모바일포렌식도구라고한다. 본장에서는현 재주로사용되고있는모바일포렌식도구들의기능적특성에관해기술한다. 먼저 < 표 2> 에모바일포렌식도구들의종류를간략하게플랫폼별로구분하여나타냈다 [5]. 1. BlackLight[6] BlackLight 는맥 OSX 컴퓨터와 ios 디바이스 ( 아이폰, 아이패드, 아이팟터치등 ), 윈도컴퓨터등의데이터를분석할수있는다중플랫폼포렌식도구이다. BlackLight 에서는다양한윈도파일시스템, 윈도레지스트리분석, 다양한인터넷아티팩트, 타임라인분석, 파일필터뷰등의기능을제공한다. - 윈도파일시스템은 NTFS, FAT16, FAT32 등을지원하며, 여기서얻어진포렌식이미지들을처리한다. - 인터넷아티팩트는인터넷익스플로러, 사파리, 파이어폭스, 구글크롬등을지원한다. - 타임라인분석기능은중요한사용패턴을찾기위해여러개의맥과윈도디바이스파일들과통신내역을시간대별로나타내고, 특정시간프레임에서생성되거나액세스한이메일, 문자메시지, 음성통화, 파일등을분석한다. - 파일필터뷰기능은미디어파일, 문자메시지, 연락처, 통화데이터의관련된핀포인트를빠르게제공한다. ( 그림 1) BlackLight 의 Message Analysis 화면 4 www.nipa.kr

2. Cellbrite 의 Mobile Forensics[7] Cellbrite 의 Mobile Forensics 는 UFED Touch Ultimate, UFED 4PC Ultimate, UFED TK, UFED Link Analysis 등이있다. UFED Touch Ultimate 는총체적모바일포렌식솔루션을제공하며, 피처폰, 스마트폰, 휴대용 GPS 장치, 태블릿, 중국칩셋을사용한폰등에서모바일데이터의추출, 디코딩, 분석, 리포팅을수행한다. UFED 4 PC Ultimate 는 PC 에서사용하도록만든솔루션으로 UFED Device Adapter 를제공한다. 이어댑터 ( 그림 2) UFED Touch Ultimate 는 USB 나 RJ 45 를통해디바이스의데이터추출을가능하게해주며, SIM 복제나추출을수행한다. 또한임베디드블루투스모듈을통한데이터추출도제공한다. UFED TK 는현장에서사용할수있도록만든도구이며, Panasonic Toughbook 의 CF 19 또는 CF53 또는 Toughpad G1 에 UFED 애플리케이션을설치하여제공되는완벽한턴키솔루션이다. UFED Link Analysis 는논리적 / 물리적추출을통해여러모바일기기간의연결성을분석한다. 또한데이터추출보고서에기반하여여러개의모바일기기간의접속과통신방법을규정하고시각적으로제공하는애플리케이션이다. UFED Link Analysis 의특징은다음과같다. - 개체분석 : 통계적인데이터는통신의빈도수와통신방법을나타낸다. - 타임라인 : 시간대순으로이벤트의리스트를나타낸다. - 위치분석 : 지도상에서여러개의의심스런위치들을분석한다. - 의심스런대상에서모든링크그래프기능을제공한다. - 날짜, 시간, 통신방법, 위치형태, 거리에따른필터링기능을제공한다. - 프로젝트 / 테이블검색 : 프로젝트와테이블내의모든데이터에대해텍스트검색기능을제공한다. - 레포트생성 : 세부적인정보와그래프를가진레포트를생성할수있다. - 그래프스냅샷 : 현재뷰의이미지를저장할수있다. - 프로젝트관리 : 프로젝트정보를저장할수있다. 정보통신산업진흥원 5

주간기술동향 2014. 3. 5. - 의심데이터관리 : 조사중수집된데이터와사진을추가할수있다. 3. Secure View 3 Software Kit[8] Secure View 3 Software Kit 는 svprobe, svsmart, svpin, svloader, svddr 과같은분석도구를제공한다. svprobe 는다중키워드검색, 타임라인분석, 통화, 문자, 연락처간의링크데이터를분석한링크그래프기능, 빈도별휴대폰행위리스트, 행위맵, 논리적인웹행위데이터등의기능들을제공한다. 다중키워드검색은 ( 그림 3) 과같이특정시간대의필터링, normal view/timeline view 의제공, 데이터의세부적인부분에서필요로하는여러개의키워드를검색할수있게해준다. 결과데이터는연락처, 통화내역, 문자메시지, 달력, 인터넷기록등으로정렬된다. 타임라인기능은모든데이터집합 ( 연락처, 통화내역, 문자메시지, 달력, 인터넷기록 ) 의타임라인분석기능을제공한다. 월 / 일 / 시간대, 키워드검색의특정집합으로데이터의분석이가능하다. 링크그래프기능은통화내역과문자메시지나연락처의링크기능을분석하며, 두번이상의접속을가진데이터의필터기능도제공한다. 빈도별휴대폰행위리스트기능은빈도별휴대폰행위들을나타내며, 송 / 수신내역이 ( 그림 3) 다중키워드검색화면 6 www.nipa.kr

나문자메시지별전화번호를분석하는데사용된다. 행위맵기능은송 / 수신내역이나문자메시지들을시간 / 일별단위로시각적으로나타낸다. 또한시간대 / 날짜 / 웹사이트링크 /SNS 별로논리적웹행위데이터를분석하며, 특정웹주소검색옵션도제공한다. 갤러리기능은휴대폰의사진을날짜 / 시간 / 파일이름 / 픽셀 /GPS 좌표별로분석하여준다. 또한, 사진의픽셀과명암에서유사한사진을찾아준다. svsmart 는증거수집과정에서정보를수집하고, svpin 은퀄콤칩셋을사용하는 CDMA 휴대폰의패스워드를해제하는기능을제공하며, svloader 는 XRY, UFED, Device Seizure 등에서획득한데이터를 Secure View 3 profile 로통합한다. svddr 은메시지, 연락처, 통화내역등다양한형태의삭제된데이터를복구해준다. 4. Paraven 의 Device Seizure[9] Paraven 의 Device Seizure 는모바일포렌식추출분석시스템이다. 논리적및물리적데이터추출, 사용자패스워드추출, 진보된파싱및분석, 구글어스통합, 파일정렬, 리포팅기능등을제공한다. - 논리적데이터추출기능은통화기록, SMS, 연락처, 사진등사용자데이터를 Device Seizure 나 DDS(Deployable Device Seizure) 를사용하여손쉽게얻을수있게한다. - 물리적데이터추출기능은 CDMA 폰, 안드로이드폰, GPS 장비에서파일시스템이나삭제된데이터를얻을수있게한다. - 사용자패스워드추출기능은모바일기기에서사용자패스워드를추출할수있게해준다. - 구글어스통합기능은 GPS 장비나폰에서얻은 GPS 좌표와구글어스와통합한형태의뷰를제공하게해준다. 5. SAFT Mobile Forensics[10] SAFT Mobile Forensics 는한번의클릭으로안드로이드기기에서중요한정보를추출할수있는모바일포렌식소프트웨어로 ( 그림 4, 5) 와같이안드로이드기기의통화기록, SMS 기록, 연락처리스트등을얻을수있다. 정보통신산업진흥원 7

주간기술동향 2014. 3. 5. ( 그림 4) SAFT mobile forensics 의 Dashboard 탭화면 ( 그림 5) SAFT mobile forensics 의 SMS 6. MicroSystemation 의 XRY/XAMN[11] MicroSystemation 의 XRY 는스마트폰, GPS 기기, 3G 모뎀, 휴대용음악플레이어, ipad 등다양한모바일기기에서데이터를추출하는소프트웨어이다. XRY 는 XRY Logical, XRY Physical, XRY Complete 등의추출위저드로구성되어있다. XRY Logical 은모바일기기의데이터를논리적으로추출하도록설계되어모바일기기의운영체제와통신하여모바일기기의데이터를요구하며, 기기에서동작중인데이터를복구할수있다. XRY Physical 은모바일기기의데이터를물리적으로추출하도록설계되어기기의운영체제와상관없이삭제된데이터를복구할수있다. 물리적추출은기기로부터데이터를가져오는덤프단계와복사한데이터를의미있는형태로만드는디코드단계로구성된다. XRY Physical 은 SIM 카드가없는 GSM 폰이나보안으로잠겨진기기에특히유용하다. XRY Complete 는 XRY Logical 과 XRY Physical 을결합한형태를나타낸다. 모바일기기의데이터를논리적및물리적으로추출할수있으며, 각각의결과를서로비교할수있다. XACT 는모바일기기에서물리적으로추출한데이터를 16 진수형태로보여주는애플리케이션이며, 필요한경우에는바이너리파일로저장할수있다. XAMN 은여러대의모바일기기들의모바일디바이스포렌식파일들을시각적으로보여주도록설계된분석도구로, 접속기록, 맵정보를시각적으로보여주며, 여러폰들의타임라인과검색기능을제공한다. 8 www.nipa.kr

7. Oxygen Forensic Suite[12] Oxygen Forensic Suite 는 Standard Edition 과 Analyst Edition 으로구성된다. Standard Edition 은모바일기기의정보, 연락처, 메시지, 이벤트로그, 캘린더및태스크, 파일브러우저등의정보들을제공한다. Analyst Edition 은 Standard Edition 의기능외에전체연락처, 안드로이드루팅, 애플리케이션데이터분석, 백업파일의데이터추출, 중국폰지원, 다양한데이터뷰어, 사전식단어디스플레이, 전체검색, 키증거, 링크및통계, 패스워드, 타임라인, 웹접속과위치기능등을제공한다. - 전체연락처기능 : 연락처리스트, 메시지, 이벤트로그, 스카이프, 채팅애플리케이션등으로부터연락처들을분석하여자동으로정렬하고그룹핑된정보를나타낸다. - 안드로이드루팅기능 : 안드로이드운영체제모바일기기를루팅하여기기의사용자데이터를완벽하게나타낸다. - 애플리케이션데이터분석기능 : 모바일기기의다양한애플리케이션데이터를검색할수있게해주며, 패스워드, 로그, 히스토리등을파일형태로나타낸다. - 백업파일의데이터추출기능 : 아이튠즈, 안드로이드, 블랙베리의백업파일, DMG 또는다른포렌식소프트웨어이미지에서데이터를획득할수있게해준다. - 중국폰지원기능 : 복제폰이나저가의모바일기기에서데이터를추출할수있는기능을제공한다. 또란, 중국모바일기기에서이벤트로그, 메시지, 연락처, 파일등과같은사용자정보를획득할수있게해준다. - 다양한데이터뷰어기능 : 추출된데이터를편리한방식으로분석하는데도움을주며, 16 진수데이터, 사진, 음악 / 비디오플레이어, 코드페이지컨버터를가진텍스트, HTML, SQLite, Plist 뷰어등을제공한다. - 사전식단어디스플레이기능 : 모바일기기의메시지, 노트, 캘린더등에입력된모든단어들을나타낸다. - 전체검색기능 : 모바일기기의모든부분에서사용자데이터를검색할수있게해준다. 또한, 텍스트, 전화번호, 이메일, 위치정보, IP 주소, MAC 주소, 신용카드번호같은데이터를검색하는도구를제공한다. - 키증거기능 : 핵심증거로생각되는항목들을표시할수있으며, 원래위치에상관없이다양한섹션의핵심증거들을한번에리뷰할수있도록한다. 정보통신산업진흥원 9

주간기술동향 2014. 3. 5. - 링크및통계기능 : 모바일기기의사용자와연락처간의사회적연결성을나타낸다. 모바일기기사용자간의전화, 텍스트, 멀티미디어, 이메일메시지, 스카이프통화들을분석하여사회적연결성을분석할수있다. - 패스워드기능 : 키체인데이터베이스와같은기본보안저장장치로부터추출된로그인과패스워드를제공한다. - 타임라인기능 : 모바일기기의사용기록들을정렬된리스트로제공한다. 모든통화기록, 메시지, 캘린더이벤트, 위치정보등의데이터들을시간대순서로구성하여손쉽게한눈에분석할수있게해준다. - 웹접속과위치기능 : 모바일기기사용자의방문사이트나경로를나타낸다. Wifi 접속, IP 접속, 위치데이터베이스등의다양한위치정보데이터들을분석할수있다. 8. Elcomsoft ios Forensics Toolkit(EIFT)[13] Elcomsoft ios Forensic Toolkit 은실시간으로 ios 디바이스의비트단위의이미지를획득한다. 패스코드, 패스워드, 암호키와같은폰의비밀데이터를추출하고, 원래패스코드의유무와상관없이파일시스템이미지를복호화할수있다. 정보에대한액세스는패스코드가필요없으며, 패스코드로보호된비밀을복호화할때는패스코드복구옵션을사용한다. Elcomsoft ios Forensic Toolkit 의특징은다음과같다. - 완벽한디바이스이미지를얻을수있다. - 키체인항목을복호화할수있다. - 파일시스템의빠른획득이가능하다.(32GB 모델의경우 20~40 분소요 ) - 조사의모든과정이로그기록에남고저장된다. - 데이터추출시패스코드가필요없다. - 단순한 4 자리패스코드는 10~40 분이면복구된다. - 물리적 / 논리적데이터추출을지원한다. - 맥과윈도버전이제공된다. - 자동모드와수동모드가지원된다. 10 www.nipa.kr

9. Elcomsoft Phone Password Breaker(EPPB)[14] Elcomsoft Phone Password Breaker 는패스워드로보호되는블랙베리, 아이폰, 아이패드, 아이팟백업에대한액세스를가능하게하며, 그특징은다음과같다. - 패스워드로보호되는아이폰, 아이패드, 아이팟터치백업파일에대한액세스가가능하다. - AMD 또는 NVIDIA 비디오카드가설치된경우 GPU 가속화를통해시간을절약할수있다. - Tableau TACC1441 하드웨어의하드웨어가속화를지원한다. - 사용자가정의한순열에의한사전공격을지원한다. - 애플아이튠즈나블랙베리데스크탑소프트웨어없이오프라린공격을지원한다. - 아이폰, 아이패드, 아이팟터치기기의순정폰, 탈옥폰백업에대한패스워드복구를지원한다. - 모든블랙베리스마트폰에대한패스워드복구를지원한다. - AMD Radeon HD 7000 시리즈와 NVIDIA GTX 600 시리즈를지원한다. 10. MOBILedit Forensic[15] MOBILedit Forensic 은삼성, HTC, Nokia, Sony, LG, Motorola 등에서제조하는피처폰들과 Android, iphone, Blackberry, Symbian, Windows Mobile, Windows Phone, Bada, Meego 또는 Mediatek 같은스마트폰들을지원한다. MOBILedit Forensic 은폰의통화기록, 연락처, 텍스트메시지, 멀티미디어메시지, 파일, 캘리너, 노트, IMEI, 운영체제, 펌웨어등폰의모든정보를검색할수있으며, 논리적 / 물리적데이터추출기능도제공한다. 또한, 모바일기기사용자의데이터에대한보고서를 MS-Word, XLS, XML 형태로제공한다. 11. ViaForensics viaextract[16] viaextract 는 Android 기기의데이터추출, 유연한리포팅, 유용한유틸리티등을제 공하며, 그특징은다음과같다. 정보통신산업진흥원 11

주간기술동향 2014. 3. 5. - 획득된데이터의검색 / 정렬기능과 PDF 출력기능을제공한다. - call logs, contacts, browser history, SMS/MMS 의데이터복구기능을제공한다. - 외부의 SD 카드와내부의 EMMC 저장장치의이미징기능을제공한다. - Sleuth Kit Timeline 기능을제공한다. - 리눅스, 윈도, 맥 OS 에서실행되는 VM 을제공한다. - 제스처키잠금디바이스에서바이패스옵션을전송하는제스처키디코딩기능을제공한다. - 패스워드 / 패턴 /PIN 잠금바이패스기능을제공한다. 12. Internet Evidence Finder(IEF)[17] Internet Evidence Finder(IEF) 는 Magnet Forensics 사에서개발하였으며, 윈도와맥컴퓨터를지원하는 IEF Standard 와윈도 / 맥컴퓨터외에안드로이드와 ios 까지지원하는 IEF Advanced 로나뉘어진다. IEF Advanced 는 SMS, Email, Voicemail, Browser, Mapping, Pictures, Notes, Phone(call log) 와같은네이티브폰애플리케이션이나채팅이나 SNS, 클라우드서비스로부터데이터를복구한다. IEF Advanced 에서지원하는 Dynamic App Finder 는 ios 와안드로이드모바일기기의덤프한이미지나파일에서모바일채팅앱데이터베이스내용을검색할수있다. 또한, 사용한채팅앱의이름을확인하고, 채팅앱의분석결과를통해전송자, 수신자, 전송일시, 전송내용등을매핑시킬수있다. IV. 맺음말 최근의모바일기기의급속한성장은사용자에게편의성을제공해주었지만, 이와는반대로보안에취약하게되었으며, 범죄자들의범죄도구로사용하게되면서모바일포렌식분야가성장하는계기가되었다. 기존에는모바일포렌식데이터의범위가통화기록이나메시지만을대상으로하게되었으나최근에는분석대상장치의증가, 모바일기기의용량증가, 다양한운영체제와파일포맷, 데이터간연관관계분석이필요하게되면서데이터추출과분석비용이증가하게되었다 [18]. 12 www.nipa.kr

< 표 3> 모바일포렌식도구의기능적비교 종류제공형태대상 데이터추출 분석 타임라인 연결성분석 패스워드바이패스 Black Light SW Windows/OSX/iOS O O O X X Cellebrite Mobile Forensics Secure View 3 Software Kit Paraven Device Seizure SAFT Mobile Forensics MicroSystemation XRY/XAMN Oxygen Forensic Suite Elcomsoft ios Forensic Toolkit(EIFT) Elcomsoft Phone Password Breaker(EPPB) MOBILedit! Forensic viaforensics viaextract Internet Evidence Finder(IEF) SW/HW 대부분의폰 O O O O X SW 대부분의폰 O O O O X SW/HW CDMA 폰 /Android/GPS O O X X O SW/HW Android O O X X X SW/HW Android O O O O X SW Android/iOS O O O O X SW ios O O X X O SW Blackberry/iOS O X X X O SW/HW 대부분의폰 O O X X X SW Android O O X X O SW Windows/OSX/ Android/iOS O O X O X 지금까지모바일포렌식의종류및특성들을조사하여데이터추출, 분석, 타임라인, 연결성분석, 패스워드바이패스등의기능별로분석한결과 Cellebrite Mobile Forensics, Secure View 3 Software Kit, MicroSystemation XRY/XAMN, Oxygen Forensic Suite 가가장다양한기능을제공하고있음을알수있었다. < 표 3> 과같은기능적비교내용을요약하여나타냈다. 모바일포렌식분야는대용량저장매체, 클라우드컴퓨팅, 안티포렌식기술, 다양한임베디드장치들의출현등으로인해기술의발전을더욱어렵게하고있어, 향후대용량, 고속처리를위한분산 / 병렬플랫폼방식의모바일포렌식서비스와데이터중심분석이아닌사용자행위중심분석에대한연구가지속적으로진행되어야할것이다. 정보통신산업진흥원 13

주간기술동향 2014. 3. 5. < 참고문헌 > [1] 디지털포렌식? 아니모바일포렌식이 뜬다, http://www.boannews.com/media/view.asp?idx=32533. [2] 컴퓨터포렌식, http://ko.wikipedia.org/wiki/ 컴퓨터 _ 포렌식. [3] [ 사이버포렌식 ]-모바일포렌식, http://blog.daum.net/cybertramp/64. [4] List of digital forensics tools, http://en.wikipedia.org/wiki/list_of_digital_forensics_tools. [5] Mobile device forensics, http://en.wikipedia.org/wiki/mobile_device_forensics. [6] BlackLight, https://www.blackbagtech.com/blacklight-1.html. [7] Cellbrite Mobile Forensics, http://www.cellebrite.com/mobile-forensics. [8] Secure View 3 Software Kit, http://www.secureview.us/. [9] Paraven Device Seizure, http://www.paraben.com/device-seizure.html. [10] SAFT Mobile Forensics, http://www.signalsec.com/saft/. [11] MicroSystemation XRY/XACT, http://www.msab.com/. [12] Oxygen Forensic Suite, http://www.oxygen-forensic.com. [13] Elcomsoft ios Forensic Toolkit, http://www.elcomsoft.com/eift.html. [14] Elcomsoft Phone Password Breaker, http://www.elcomsoft.com/eppb.html. [15] MOBILedit Forensic, http://www.mobiledit.com/forensic.htm. [16] viaextract, https://viaforensics.com/products/viaextract/. [17] IEF Advanced, http://www.magnetforensics.com/software/internet-evidence-finder/iefadvanced/. [18] 이상진, 디지털포렌식기술동향및발전전망, IT 산업전망컴퍼런스, 2010. 10. * 본내용은필자의주관적인의견이며 NIPA 의공식적인입장이아님을밝힙니다. 14 www.nipa.kr

2024 © docsplayer.org 개인정보보호 | 약관 | 지원