KIPS Tr. Comp. and Comm. Sys. Vol.5, No.7 pp.173~180 pissn: 2287-5891 ios(iphone, ipad) 에서의타임스탬프위 변조흔적조사에관한연구 173 http://dx.doi.org/10.3745/ktccs.2016.5.7.173 A Study on the Evidence Investigation of Forged/Modulated Time-Stamp at ios(iphone, ipad) Sanghyun Lee Yunho Lee Sangjin Lee ABSTRACT Since smartphones possess a variety of user information, we can derive useful data related to the case from app data analysis in the digital forensic perspective. However, it requires an appropriate forensic measure as smartphone has the property of high mobility and high possibility of data loss, forgery, and modulation. Especially the forged/modulated time-stamp impairs the credibility of digital proof and results in the perplexity during the timeline analysis. This paper provides traces of usage which could investigate whether the time-stamp has been forged/modulated or not within the range of ios based devices. Keywords : ios Forensic, Forged Time-Stamp, Modulated Time-Stamp, iphone Forensic, Digital Forensic ios(iphone, ipad) 에서의타임스탬프위 변조흔적조사에관한연구 이상현 이윤호 이상진 요 약 스마트폰은다양한사용자정보를저장하고있으므로, 디지털포렌식관점에서앱데이터분석을통해사건과관련된유용한정보를얻을수있다. 하지만스마트폰의특성상높은이동성과데이터의손실이나위 변조가능성이크기때문에그에맞는포렌식방법이필요하다. 특히위 변조된타임스탬프는디지털증거의신뢰성을저하하며, 타임라인분석에어려움을가져온다. 이논문은 ios 운영체제를기반으로하는디바이스내에서타임스탬프위 변조여부를조사할수있는사용흔적들을제시한다. 키워드 : ios 포렌식, 타임스탬프위조, 타임스탬프변조, 아이폰포렌식, 디지털포렌식 1. 서론 1) 현재세계적으로많은종류의스마트폰운영체제가상용화되고있으며, 그중 Android와 ios의 2014년시장점유율은약 96% 였으며, 2013년보다 2.5% 상승한수치였다 [1]. 그리고국내스마트폰가입자수는 2014년 11월기준 4천만명을돌파한만큼 1인당 1대의스마트폰을보유할정도로보급되었다 [2]. 스마트폰에는다양한사용자정보가생성되고저장된다. 따라서디지털포렌식관점에서스마트폰콘텐츠분석을통해사건과관련된유용한정보를얻을수있다. 특히범죄 준회원 : 고려대학교정보보호대학원정보보호학과석사과정 비회원 : 고려대학교정보보호대학원정보보호학과박사과정 종신회원 : 고려대학교정보보호대학원교수 Manuscript Received : April 11, 2016 First Revision : June 27, 2016 Accepted : June 30, 2016 * Corresponding Author : Sangjin Lee(sangjin@korea.ac.kr) 현장에서스마트폰을획득한경우많은정보를얻을수있는이점이존재하기때문에, 모바일포렌식의비중은증가하고있다. 스마트폰사용자들은스마트폰을통해전화통화및문자메시지를이용할뿐만아니라, 다양한콘텐츠를이용해활동하며그에따른기록들은스마트폰에저장된다. 하지만스마트폰의특성상높은이동성과데이터의손실이나위 변조가능성이크기때문에그에맞는포렌식방법이필요하다. 특히위 변조된타임스탬프는디지털증거의신뢰성을저하하며, 타임라인분석에어려움을가져온다. 그러므로이러한스마트폰의특성에맞는포렌식방법이필요하다. 본논문에서는 ios 운영체제를기반으로하는디바이스내에서추출된증거들을기준으로타임스탬프위 변조흔적조사에관한연구를진행하였다. Table 1과같이주요사용자정보에대한타임스탬프위 변조의가능성을언급하고, 타임스탬프가위 변조된데이터를통해타임스탬프위 변조분석방법에대하여언급하면서탈옥 (Jailbreak) 된기
174 정보처리학회논문지 / 컴퓨터및통신시스템제 5 권제 7 호 (2016. 7) Name Domain - Path Data Address Book Call History SMS Photos Safari History Note Table 1. ios backup user data and Stored data HomeDomain-Library/AddressBook/AddressBook.sqlitedb SHA1 : cd6702cea29fe89cf280a76794405adb17f9a0ee HomeDomain-Library/CallHistory/call_history.db SHA1 : 2b2b0084a1bc3a5ac8c27afdf14afb42c61a19ca HomeDomain-Library/SMS/sms.db SHA1 : 3d0d7e5fb2ce288813306e4d4636395e047a3d28 CameraRollDomain-Media/PhotoData/Photos.sqlite SHA1 : 12b144c0bd44f2b3dffd9186d3f9c05b917cee25 AppDomain-Library/Safari/History.plist SHA1 : ed50eadf14505ef0b433e0c4a380526ad6656d3a HomeDomain-Library/Notes/notes.sqlite SHA1 : ca3bc056d4da0bbf88b5fb3be254f3b7147e639c Name, Phone Number etc. Caller, Callee, Time etc. Contents, Time etc. Photo, Video information Visited URL, Searching keyword etc. Note Content 기와순정기기를가지고 2가지환경에서타임스탬프위 변조흔적에대한조사를진행하였다. 탈옥은 ios의샌드박스제한을풀어타회사에서사용하는서명되지않은코드를실행할수있게하는과정을말한다. 일반적으로탈옥하는이유는애플과앱스토어가막아놓은콘텐츠에접근하기위해서이다. 또한, 사용자들은탈옥함으로써앱스토어를이용하지않고애플리케이션을이용할수있으며, 사용자가직접제작한앱이나인터페이스를사용할수있다 [3]. 하지만포렌식관점에서는기본적으로백업기능을통해얻을수있는정보이외에추가적인정보를얻을수있으므로탈옥을수행한다 [4]. 실제수사기관에서도기본인정보이외에탈옥을통해서추가적인정보를얻는경우가많으며, 해당하는사안의중대성에따라수사기관은탈옥의여부를결정하여정보수집및분석을진행한다. 2. 연구배경 2.1 관련연구모바일포렌식분야에서타임스탬프분석에관한논문은 2014년 M. Kaart와 S. Laraghy가 Android 운영체제기반디바이스를대상으로추출된증거들에대한분석방법을제시하였다 [5]. 2010년 S. Morrissey 는 ios 포렌식분석에관한책을발간하였지만, 타임스탬프분석에관한부분은언급하지않았으며, G. Horsman의경우교통사고분석시 ios의 Current Powerlog를통해운전자의행위분석방법에대하여제시하였다 [6, 7]. 국내에서도모바일포렌식에관한연구는지속하여왔지만 [8, 9], 앞서언급한타임스탬프위 변조분석에관한연구는미미한실정이다. 2.2 타임스탬프위 변조흔적조사의필요성디지털포렌식관점에서타임스탬프의위 변조흔적조사는다음의 2가지의이유로필요하다. 첫째, 사건은폐나위조의가능성이있으므로분석이필 요하다. 디지털증거의경우신뢰성이중요하다. 디지털증거의신뢰성은증거데이터의분석등처리과정에서디지털증거가위 변조되거나의도되지않은오류를포함하지않았다는것을의미한다. 만일디지털증거가위 변조되었다면, 디지털증거의신뢰성문제와수사과정에서혼선을일으킬수있으므로위 변조흔적조사가필요하다. 둘째, 타임라인분석에어려움을가져오기때문에분석이필요하다. 타임스탬프가위 변조된데이터로인하여특정시점의행위에대한추적이어려워지기때문에수사에혼선을줄수있다. 디지털데이터에서시간은범죄사실을규명하기위해매우중요한정보이다. 파일시스템상에저장되는파일의시간정보, 파일내부의메타데이터에저장되는시간정보등다양한곳에저장된시간정보를이용해타임라인을구성함으로써시스템사용자의행위를추적할수있으며, 저장된시간정보가연, 월, 일등으로분류되어가시적으로출력된다. 이러한기능을활용해서시스템이사용된시간대를알아내거나특정시점에서부터시스템사용자의행위를추적할수있다. 한편파일시스템에저장된시간과는별도로문서파일, 사진파일등은파일내부에고유한형식으로시간정보를저장하고있다. 파일자체에저장된시간정보는파일이복사, 이동, 수정되는과정에도변경되지않기때문에, 전문지식이없는경우에는조작이쉽지않다. 하지만모바일환경에서데이터의타임스탬프는간단한시간설정으로쉽게위 변조할수있다. 따라서조작여부를판단할수있는흔적에관한조사연구가필요하다. 3. ios 디바이스의시간조작실험및검증 ios 운영체제를기반으로하는디바이스내에서타임스탬프위 변조에대한흔적을조사하는방법에는크게 2가지가존재한다. 첫번째는아이튠즈의백업기능을이용하여분석하는방법이다. 아이튠즈를통해백업하면 ios 디바이스내의각종
ios(iphone, ipad) 에서의타임스탬프위 변조흔적조사에관한연구 175 파일이사용자 PC로저장된다. 백업기능을통해사용자 PC 에저장된파일중 com.apple.timed.plist와 Menifest.mbdb를통해시간조작여부를확인한다. 여기서 com.apple.timed. plist는 ios디바이스의시간설정값이저장된파일이다. 해당파일의설정값에따라디바이스의시간설정방식을달리하며, 기본적으로시간을설정하는방식은서버로부터동기화하는방식으로이뤄진다. 또한, 기본적인방식외에사람에의해서디바이스의시간을조정할수있는기능을기본적으로제공한다. 인위적으로시간을조작하게되면최초설정파일의생성시간보다최종수정시간이달라질수밖에없다. 하지만백업된 com.apple.timed.plist파일은저장되어있는설정값만볼수있으므로, 백업된파일들에대한파일시스템상의메타데이터와파일검증에필요한해시값등이저장된 Menifest.mbdb를이용해서생성시간과최종수정시간을확인및비교함으로써시간조작여부를확인한다. 또한, 백업된각애플리케이션들의사용자데이터의분석을통해서도분석할수있다. 각애플리케이션은사용자데이터를 SQLite 형식의 DB 파일로저장하는데, 이때각데이터는생성한순서대로저장된다. 이러한점을근거로하여생성된순서와생성시간의역전현상이존재하는경우시간조작여부를확인한다. 두번째는탈옥 (Jail-break) 상태의디바이스를가지고하는분석방법이다. 이방법은순정상태에서루트 (root) 권한을얻어내는탈옥이선행되어야한다. 이렇게탈옥된기기를가지고임의적인디바이스의시간조작이이뤄졌을때남아있는로그분석을통해시간조작여부를확인한다. 앞의방법을위해서 iphone 4s, 5, 5S, ipad mini 총 4대의기기를사용하였고, ios 7, ios 8의버전에서수행하였다. ios 7과 ios 8 버전에대한차이를현논문에서다루는타임스탬프위 변조흔적과관련해서얘기한다면, CurrentPowerLog 의운영방식이바뀌었다는점을볼수있다. ios 7 이하방식에서는 CurrentPowerLog를일반파일형식으로저장하였으나, ios 8부터는 DB를사용하여저장하는방식으로바뀌었다. 이에따라탈옥시조사방법이달라지는데, 그방법은 3.2 절에서소개한다. 이장에서는개념설명과 2가지환경에따른타임스탬프위 변조분석방법을실험을통해알아볼것이며, 해당처리순서도는 Fig. 1과같다. 3.1 아이튠즈의백업기능을이용한분석이절에서는아이튠즈의백업기능을이용한타임스탬프위 변조흔적에대한조사방법을제시한다. 시간설정파일인 com.apple.timed.plist의생성및수정시간을통해조사하는방법과백업된애플리케이션의사용자데이터를조사하는방법을제시한다. 1) 시간설정파일을이용한시간조작흔적조사 Fig. 1. Flow chart of timestamp analysis ios 디바이스는기본적으로서버로부터시간을동기화하는방식으로설정되어있다. 그러나사람에의해시간을임의로변경할수있는데, 이러한시간설정에관한내용을담고있는파일이 com.apple.timed.plist이다. 일반적으로는사람들이시간을임의로변경할일이없으므로, com.apple. timed.plist 파일은수정되지않는다. 따라서해당파일에대한생성시간과최종수정시간이같은것이기본적이다. 하지만시간을임의로변경한다면, 시간설정파일의최종수정시간은변경된다. 따라서 com.apple.timed.plist의최종수정시간을통해시간변경여부를확인해야하지만, 백업된 com.apple.timed.plist 파일만가지고해당파일의생성시간과최종수정시간을확인할수없다. 이것을확인하기위해백업파일들에대한메타데이터를가지고있는 Menifest. mbdb 파일을이용한다. 아이튠즈를이용하여백업을수행하면각디바이스에해당하는백업경로에백업파일들이생성되게된다. 각각사용자 PC에백업된파일들은일정규칙으로해시 (hash) 된파일이름으로명명된다. 이파일들은각각디바이스의애플리케이션데이터및사용자데이터이며, 해당파일들에대한메타데이터를레코드단위로가지고있는파일이 Menifest.mbdb이다. 해당파일은백업폴더안에저장되어있는파일들의파일명, 파일의도메인, 파일경로, 파일의해시값, 파일시스템상의시간등이레코드단위로기록되어있다.
176 정보처리학회논문지 / 컴퓨터및통신시스템제 5 권제 7 호 (2016. 7) Table 2. Example of Menifest.mbdb record structure No. Offset Data Explanation 1 2byte 0x000A Domain string length 2 String HomeDomain Domain name 3 2byte 0x0012 File Path string length 4 String Library/SMS/sms.db File Path 5 2byte 0xFFFF End of Domain and File Path 6 2byte 0x0014 File Hash string length 7 String 0xC5B0...7DBD File Hash string 8 2byte 0xFFFF End of File Hash 9 2byte 0x81A4 Mode(File, Directory and Authority) 10 4byte 0x000000 NULL 11 4byte 0x00000099 Node Value 12 4byte 0x000001F5 User ID 13 4byte 0x000001F5 Group ID 14 4byte 0x54FD8061 Last modified time (UNIX Time) 15 4byte 0x5502C62F Last access time (UNIX Time) 16 4byte 0x53F73BA5 Created time (UNIX Time) 17 8byte 0x0000000000807000 File size (byte) Fig. 2. Analysis com.apple.timed.plist through Menifest.mbdb file Menifest.mbdb 내에존재하는파일별레코드구조를분석해보면 Table 2와같다. 이정보를통해백업된파일의생성시간과수정시간그리고접근시간을알수있다. 따라서디바이스의시간설정파일인 com.apple.timed.plist의생성시간, 접근시간및수정시간을 Menifest.mbdb 내에저장된데이터를통해알수있다. Menifest.mbdb에서 com. apple.timed.plist에해당하는레코드를찾고그중에서그파일에대한생성, 수정, 접근시간을조사한다. Menifest.mbdb 에서 com.apple.timed.plist에해당하는레코드는 Fig. 2와같다. 만일생성시간과수정시간이같다면, 디바이스의로컬시간을임의로변경하지않았다고판단하며, 그렇지않으면임의로변경한것으로판단한다. 2) 애플리케이션사용자데이터를이용한시간조작흔적조사디바이스내에설치된 ios 운영체제가탈옥을지원하지못 할경우 Apple 사에서제공하는아이튠즈를이용하여백업된각애플리케이션의사용자데이터파일을가지고분석을한다. 이파일들은 SQLite 형식의 DB 파일로써데이터가저장될때, 각데이터는디바이스의시간과관계없이생성된순서대로저장되기때문에데이터의생성순서와저장된타임스탬프사이의역전을찾음으로써시간조작여부를확인한다. 여기서분석할애플리케이션 ( 이하앱 ) 은기본앱인 SMS( 문자메시지및아이메시지 ), PhoneCall, Camera 앱의사용자데이터에대하여분석을진행한다. 해당앱은기본앱중에서시간조작과연관이있는앱을선정하였으며, 3rd Party 메신저앱의사용자데이터를분석해본결과사용자데이터가저장된 DB 파일에메시지별송수신시간을저장할때, 디바이스의시스템시간을저장하는것이아닌서버시간을가져오기때문에시간조작분석과무관하여제외하였다.
ios(iphone, ipad) 에서의타임스탬프위 변조흔적조사에관한연구 177 a) SMS 앱분석 SMS 앱으로송 수신한메시지들은 sms.db라는파일로파일시스템내부에존재하는데, 이것을아이튠즈의백업기능을통해백업했을경우, sms.db에해당하는해시값으로백업폴더내에저장한다. Fig. 3과 Fig. 4는 SMS 앱을이용하여문자메시지및아이메시지를보낸화면을보여주고있다. 여기서네모상자를보면시간의순서가오름차순이아닌무작위로섞여있는것을발견할수있는데, 이것은디바이스의시간을조작하여문자메시지를조작된시간으로발송한것이다. 해당문자메시지는 sms.db 파일내에서역전현상없이그대로화면에보여주고있음을확인할수있다. 해당메시지를 sms.db를통하여확인해본결과는 Fig. 5 와같다. 발송된메시지들은해당 DB의형식에맞춰저장되 고, 차례로 ROW ID의생성순서에따라메시지가저장되기에디바이스상에서는 SMS의타임스탬프위 변조가불가능하다. 하지만 Menifest.mbdb에저장된해시값을조작된 sms.db에대한해시값으로대체한뒤아이튠즈의복원기능을통해복원하면조작할수있다. b) PhoneCall 앱분석 PhoneCall 앱을통해사용한전화사용기록은파일시스템내부에 CallHistory.storedata라는이름으로존재한다. 이파일은백업폴더내에해시값으로지정된이름으로저장되어있다. Fig. 6은 PhoneCall 앱을이용하여전화를송 수신한화면과 CallHistory.storedata 파일을보여주고있다. SMS 앱에서봤던것과달리여기서는시간의흐름대로나열되어있음을 Fig. 3. Text Message on SMS Application Fig. 4. imessage on SMS Application Fig. 5. Database of SMS Application Fig. 6. Comparing Call history to CallHistory.stroedata file
178 정보처리학회논문지 / 컴퓨터및통신시스템제 5 권제 7 호 (2016. 7) 볼수있다. 하지만 Fig. 6의우측번호중 2, 3, 7번은디바이스의시간을조작한후에전화를시도한부분이다. 조작한부분을찾기위해전화사용기록에대한정보를담고있는 DB 파일인 CallHistory.storedata를분석한다. CallHistory.storedata는 SQLite 형식의 DB 파일로써해당전화송 수신기록이 index의순서대로저장된다. 따라서앱에서보이는전화송 수신목록의순서와 DB 상의순서를비교하여조작된통화를찾아낼수있다. c) Camera 앱분석 Camera 앱을통해찍은사진정보는파일시스템내부에 Photos.sqlite라는 DB 파일에존재한다. 사진들의기본정보를담고있는테이블은 ZADDITIONALASSETATTRIBUTES로써파일저장경로및이름등을기록하고있다. Fig. 7은 Camera 앱을통해찍은사진을보여주는 Photos 앱이다. 여기서제일상단에보이는사진이시간조작을통해찍은사진으로써 Photos 앱에서는시간의흐름에따라정렬해서보여주는것을볼수있다. 따라서해당증거의시간조작여부를판단하기위해서사진들의정보를 DB형태로저장된 Photos.sqlite를통해흔적을조사한다. Fig. 8은해당 DB 형식의파일을열어본것이다. ios 기반디바이스의경우사진을찍었을경우해당테이블의 ZEXIFTIMESTAMPSTRING 칼럼에사진을찍은시간이저장되어있는것을확인할수있으며, 이사진이현재조사중인디바이스에서찍었음을판단함과동시에, index 순서대로 DB 상에기록되기때문에사진의시간위 변조여부를판단할수있다. Fig. 8. DB Table of Photos.sqlite 3.2 탈옥된디바이스의 CurrentPowerLog를이용한분석 CurrentPowerLog는시스템이벤트를나타내는레코드들에대한로그를저장하는시스템용파일이다. 해당로그는 ios 버전에따라달라지는데, ios 7 이하버전의경우는 CurrentPowerLog.powerlog라는파일의형태로저장되어있으며, ios 8 이상버전의경우 CurrentPowerLog.PLSQL로 DB 파일로저장되어있다. 이파일을추출하기위해서는탈옥 (Jailbreak) 해야한다. 1) CurrentPowerLog.powerlog 분석 (ios 7 이하 ) 이파일은앞에서언급한바와같이 ios7 이하의버전에서사용되고있는시스템이벤트에해당하는로그파일이다. 이파일에서각레코드항목은속성태그에고정되어있으며, 이속성태그는수행된활동의유형을나타낸다. 해당파일이저장되어있는경로는 [/var/mobile/library/logs] 이며 Fig. 9는 CurrentPowerlog.powerlog의일부분이다. 그림을보면네모상자위의시간인 [03/04/15 19:01:15] 에서네모상자내에존재하는시간인 [03/01/15 19:01:57] 로바뀐것을확인할수있다. 이것은 time zone 설정부분에서시간값을변경한것에대한로그가기록된것이다. 이것을통해현재인위적으로아이폰내의시간이조작되었음을확인할수있다. 하지만이로그파일은하루에한개의로그만을기록하고있으며, 최대 10일간의로그파일을 [/var/mobile/library/ Logs/PLArchive] 의하위디렉터리에저장한다. Fig. 10은 PLArchive 디렉터리하위에저장된 PowerLog 의모습이다. Fig. 7. Photos Application 2) CurrentPowerLog.PLSQL 분석 (ios 8 이상 ) 이파일은 ios 8 버전으로바뀌면서해당로그의형태가바뀌게되었다. DB 형식으로바뀌게되었으며, 수행된활동에대한유형을 207개의테이블별로나눠로그를기록하고있다. 각테이블은유형에따라다른칼럼들을가지고있다. 해당파일이저장된경로는 [/var/mobile/library/batterylife] 이다. Fig. 11은 CurrentPower log.plsql의일부분이며, PLStorageOperator_EventFoward_Timeoffset이라는테이블을보여주고있다. 이테이블은시간과관련된이벤트에대한기록이며, 이것을통해시간조작행위가일어났음을알아낼수있다. Fig. 11을보면 System이란칼럼은시스템내부시간을나타내는데표현형식은 Unix Time이다. 여기서 17, 18번 index 를비교하였을때, [1436511806.23503에서 1436475757.27837] 과같이시간이줄어들었음을확인할수있다. 이로그도 [/var/mobile/library/batterylife/archives] 라는하위디렉터리에최대 5일분량의로그파일을저장하고있다.
ios(iphone, ipad) 에서의타임스탬프위 변조흔적조사에관한연구 179 Fig. 9. CurrentPowerLog.powerlog file Fig. 10. Archive files of CurrentPowerlog.powerlog Fig. 11. PLStorageOperator EventForward Timeoffset Table on CurrentPowerLog.PLSQL Fig. 12. general.log 3.3 백업된파일의 Restore 기록을통한타임스탬프위 변조흔적에대한타당성검증디바이스의타임스탬프위 변조여부에관한확인은앞에서설명한것과같이아이튠즈를통해디바이스의데이터를백업한뒤, 이렇게백업된파일을조작하여 Restore( 복구 ) 한경우에는위 변조의여부를파악할수없지만백업된파일이조사대상디바이스에언제 Restore가되었는지확인할방법이존재한다 [10]. 이것은디바이스내에존재하는 general.log를통해서확인할수있는데, 해당파일이저장된경로는 [/private/var/logs/applesupport/] 와같다. 이렇게추출된 general.log파일을확인하면, 백업및복구날짜를확인할수있다. Fig 12. 는 general.log를확인한모습이다. 해당로그를통해 ios 디바이스의백업및복구날짜를확인함으 로써실제조사한디바이스의타임스탬프위 변조흔적에대한무결성을검증할수있다. 4. 결론본논문에서는 ios에서의타임스탬프위 변조흔적조사에관한방법을탈옥된기기혹은탈옥이가능한기기를분석하는방법과탈옥이되지않은기기를분석하는방법 2가지를제시하였다. 특히 ios 7 이하버전에서 ios 8로버전이상향되면서변경된 CurrentPowerlog에대한분석방법도제시함으로써타임스탬프위 변조에대한탐지를높이고자하였으며, 실제애플리케이션에남는타임스탬프데이터의분석을제시함으로써로그분석의방법과비교하여분석할
180 정보처리학회논문지 / 컴퓨터및통신시스템제 5 권제 7 호 (2016. 7) Table 3. Summarized in the table for the analysis Filename Type Table name Referenced column or line Details service Whether used for SMS or imessage sms.db message date Unix Time value ZDATE Unix Time value CallHistroy.storedata ZCALLRECORD ZADRESS Target phone number Database ZADDITIONALASSET ZEXIFTMESTAMPSTRING Taken time Photos.sqlite ATTRIBUTES ZORIGINALFILENAME File name PLStorageOperator_Even ID Event procedure CurrentPowerLog.PLSQL tforward_timeoffset system Unix Time value CurrentPowerLog.powerlog - Locale Notification that there is a change in the Timezone Text general.log - itunesrestore Notification that a recovery occurred at that time. 수있도록하였다. Table 3은분석해야할파일과참조해야할데이터에대한정리표이다. 타임라인분석은분석데이터를시간순으로나열하여분석하는방법을말한다. 이런타임라인분석은포렌식조사에서특정이벤트발생시점전, 후로시스템상에서어떤일이발생했는지쉽게파악할수있으며, 정밀분석대상을빠르게선별할수있게해준다. 하지만이런타임스탬프가위 변조될경우, 디지털증거의신뢰성저하뿐만아니라타임라인분석시범죄자의의도대로수사의흐름이바뀔수있다. 예를들어, 범죄자가자신의거짓알리바이를위해디바이스의시스템시간을바꾼뒤조작된시간아래에서사진을찍어증거로제시할가능성이있다. 따라서본논문을통해기기내타임스탬프위 변조여부를분석함으로써사건해결에중요한타임라인을구성할때큰역할을할수있으리라판단된다. [9] JaeHyun So, Search evidence of the iphone Backup file, AhnLab Tech Report [Internet], 2012, http://www.ahnlab.com/ kr/site/securityinfo/secunews/secunewsview.do?seq=20118. [10] Sangah Kim, The Analysis of Synchronized or Restored Pictures in Smart Devices, Graduate School of Information Security, Korea University, 2014. 이상현 e-mail : leekeezz@korea.ac.kr 2011년가톨릭대학교컴퓨터공학과 ( 학사 ) 2015년 현재고려대학교정보보호대학원정보보호학과석사과정관심분야 : Digital Forensic, Mobile Forensic, Reverse Engineering References [1] Business Post [Internet], The market share of smartphone, 2015, http://www.businesspost.co.kr/news/articleview.html? idxno=9866. [2] ZD Net Korea [Internet], Domestic smartphone subscribers, 2015, http://www.zdnet.co.kr/news/news_view.asp?artice_id =20150120151312. [3] Wikipedia [Internet], ios Jailbreak, https://ko.wikipedia.org/ wiki/ios_ %ED%83%88%EC%98%A5. [4] SANS, Forensic analysis on ios devices, 2012. [5] M. Kaart and S. Laraghy, Android forensics: Interpretation of timestamps, Digital Investigation, Vol.11, Issue 3, pp. 234-248, 2014. [6] Sean Morrissey, ios Forensic Analysis for iphone, ipad and ipod touch, Apress, 2010. [7] Graeme Horsman and Lynne R. Conniss, Investigating evidence of mobile phone usage by drivers in road traffic accidents, Digital Investigation, Vol.12, pp.s39-s37, 2015. [8] SungKyoung Un and WooYoun Choi, A Trend of Smartphone Forensic Technology, Tech Report of ETRI, 2013. 이윤호 e-mail : yuno21@korea.ac.kr 2014년고려대학교정보보호대학원정보보호학과 ( 석사 ) 2014년 현재고려대학교정보보호대학원정보보호학과박사과정관심분야 : Digital Forensic, Mobile Forensic, Information Security 이상진 e-mail : sangjin@korea.ac.kr 1987년 : 고려대학교수학과 ( 학사 ) 1989년 : 고려대학교수학과 ( 석사 ) 1994년 : 고려대학교수학과 ( 박사 ) 1989년 1999년 ETRI 선임연구원 1999년 현재고려대학교정보보호대학원교수 2008년 현재고려대학교디지털포렌식연구센터센터장관심분야 : Digital Forensic, Steganography, Hash Function