Journal of the Korea Institute of Information and Communication Engineering 윤종철 1 박용석 2* Forensic Analysis of KakaoTalk Messenger on Android Environment Jongcheol Yoon 1 Yongsuk Park 2* Graduate School of Information Security, SeJong Cyber University, 121 Gunja-ro, Gwangjin-gu, Seoul 05000, South Korea 요약최근우리는스마트폰을활용하여 KakaoTalk IM(Instance Messenger) 을사용한다. IM 서비스에는사용자 / 용의자의생활패턴, 지리적위치, 사상, 심리상태및범죄사실에대한흔적들이존재하여포렌식분석이필요하다. 하지만, KakaoTalk의포렌식분석은미흡한현실이다. 이에본논문은 KakaoTalk에적합한새로운연구방법론을제시하고, 흔적 (Artifacts) 의위치발견을하고, 연락처 메시지의칼럼구조분석하고, 사용자 / 용의자를식별하였으며, 추가한연락처정보들과메시지의타입을파악하였고, 삭제한연락처의백업파일을사용하여복원하였다. 그결과분석한정보와방법론을활용하면 Forensic Tool의기본플랫폼이된다. ABSTRACT Recently, IM(Instant Messenger) of KakaoTalk is being used on smart devices such as smartphones. Because IM service can carry user and/or suspector s various information including life style, geographical position, psychology and crime history, forensic analysis on IM service is desirable. But, forensic analysis for KakaoTalk is not well studied yet. This paper studies a proper forensic method for KakaoTalks, finds artifacts location, reconstruct the list of contacts and the chronology of the messages that have been exchanged by users. Proposed methodology and analyzed information can provide a basic platform for forensic tool. 키워드 : 안드로이드포렌식, IM(Instant Messenger), KakaoTalk, WhatsApp, SNS(Social Network Service) Key word : Android Forensic, IM(Instant Messenger), KakaoTalk, WhatsApp, SNS(Social Network Service) 접수일자 : 2015. 12. 01 심사완료일자 : 2015. 12. 28 게재확정일자 : 2016. 01. 06 * Corresponding Author Yongsuk Park(E-mail:yongspark@sjcu.ac.kr, Tel: +82-2-2204-3894) The Graduate School of Information Security, SeJong Cyber University, 121 Gunja-ro, Gwangjin-gu, Seoul 05000, South Korea Open Access http://dx.doi.org/10.6109/jkiice.2016.20.1.72 print ISSN: 2234-4772 online ISSN: 2288-4165 This is an Open Access article distributed under the terms of the Creative Commons Attribution Non-Commercial License(http://creativecommons.org/li-censes/ by-nc/3.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited. Copyright C The Korea Institute of Information and Communication Engineering.
Ⅰ. 서론 론과분석이필요하다. 인스턴트메신저 (IM : Instant Messenger) 는이동통신사 SMS, MMS 사용을대신해인터넷에연결하여메시지, 전화, 사진, 비디오그리고음성메시지를주고받는서비스이다. IM 서비스의이용자들은자유로운의사소통과정보공유, 그리고인맥확대등을통해사회적관계를맺어일상생활양식을크게변화시켰다 [1-3]. IM은사이버수사에증거로써용의자인적네트워크분석, 용의자범죄동기파악, 2차범죄사전예측, 용의자위치파악, 알리바이검증등을파악할수있는중요한정보이다 [4]. 따라서 IM 포렌식분석의관심이증가하고있다. 국외 IM Apps은포렌식분석연구가활발하게진행 [5-9] 중이지만, 국내 IM Apps은포렌식분석의연구 [10, 11] 가미흡한실정이다. 이에본논문에서는 KakaoTalk App( 국내 1위 IM App) 을사용흔적을분석하기위한적합한분석방법론을제안하고, 제시한방법론으로포렌식분석연구를진행한다. Ⅱ. 관련연구 IM Apps의포렌식연구는일반적으로 ios, 안드로이드의분석연구가존재한다. ios의 IM 포렌식연구는 Apple itunes 백업 / 복원을사용하여획득한사용자명, 메시지, 잔존하는파일의위치를포렌식분석하였다 [5, 6]. 안드로이드의 IM 포렌식연구는세계에서가장많이사용하는 WhatsApp 분석연구가활발하다. WhatsApp의분석연구는 VM(Virtual Machine) 의기반으로잔존파일의위치, 연락처 채팅테이블의구조분석등을포렌식분석하였다 [8, 9]. 또한, WhatsApp의암호화 Backup DB파일은외부에서공개한복호화프로그램 (Xtract package) 을사용하여복호화후얻은평문의과거연락처 채팅메시지정보를포렌식분석에활용하였다 [7]. 하지만, KakaoTalk의포렌식분석연구는기본적인패키지설치위치를소개하였고, 설치위치에존재하는프리퍼런스 (Preference), 데이터베이스 (DataBase), 파일 (File) 의기본적인소개로포렌식분석연구가미흡한실정 [10, 11] 으로 KakaoTalk의적합한포렌식분석방법 Ⅲ. 분석방법론 IM서비스는 1:1 또는 1:N 채팅방을만들고상호간텍스트메시지, 멀티미디어파일, 지도등을주고받는다. 주고받은정보들은단말기에크게나누어휘발성데이터, 비휘발성데이터로저장매체에저장된다. 특히, 비휘발성데이터의정보는단말기에오랫동안저장되어잔존할뿐만아니라휘발성데이터비해서더많은정보들이잔존한다. 이러한이유로본논문에서는 IM 사용의흔적인비휘발성데이터를포렌식분석한다. 이에본장에서는 KakaoTalk에적합한비휘발성데이터의포렌식분석방법을제안한다. 3.1. 기존포렌식분석방법의한계기존 (WhatsApp) 의분석방법은흔적파일의분석방법이정확히파악하기어렵고 ( 재연불가능 ), 연락처 채팅메시지 DB의암호화방식이달라다른접근방법이필요하고, 제공하는기능이다르고, 분석환경이다르다. 따라서 KakaoTalk의분석방법은다른분석방법이제공되어야한다. 파악된 WhatsApp과 KakaoTalk의비교분석은표 1 과같다. Table. 1 Comparison of WhatsApp and KakaoTalk Artifacts Location Contact Chat DB Contact Chat Backup DB Features Experiment Environment WhatsApp Replays are impossible Plain text File Normal Chat Virtual Machine KakaoTalk Introduction to basic Normal Chat Secret Chat Real Machine 3.2. 흔적파일의저장위치분석방법기본적으로다양한콘텐츠를송 수신시키면, 교환한콘텐츠의새로운파일이파일시스템에저장된다. 이러한콘텐츠파일의저장위치분석방법은콘텐츠송 73
수신전 (before) 디렉토리에있는파일과하위디렉토리목록 을텍스트파일로루팅된스마트폰에저장하고, 콘텐츠송 수신후 (after) 디렉토리에있는파일과하위디렉토리목록 을텍스트파일로루팅된스마트폰에저장한다. 저장한전 후텍스트파일은분석PC에저장하고, PC에서는전 후텍스트파일을비교하여새롭게생성한파일을발견한다. 하지만, 새롭게생성한파일은 KakaoTalk의콘텐츠파일, 시스템이생성한파일, 다른 App이생성한파일등이다량발견되어, 분석의어려움이가중된다. 이에분석의시간을단축하기위해방법을제시한다. 일반적으로응용프로그램은시스템의디렉토리에파일을저장을할수없다. 따라서, 시스템이생성한디렉토리 ( 하위디렉토리포함 ) 목록을제거한다. 제거후남겨진발견된파일은흔적파일로가정하여, PC에파일들을저장하고, 저장한파일은콘텐츠에대응하는뷰어프로그램을실행하고, 파일을본후실행하여볼수있는파일은흔적파일로판단한다. 추가로뷰어프로그램으로볼수없는파일은시그니처분석을하여, 흔적파일의저장위치를분석한다. 3.3. DB 암호상태구조 복호화분석방법 WhatsApp은저장중인연락처 채팅 DB파일이평문값으로이루어져복호화과정없이테이블의구조분석이가능하지만, KakaoTalk은저장중인연락처 채팅 DB파일이평문값과칼럼암호화 ( 주요개인정보인메시지, 멀티미디어주소, 휴대폰연락등의정보 ) 로되어있는것을확인하였고따라서테이블의구조분석이어렵다. 구체적으로파악된 KakaoTalk의연락처 채팅메시지 DB파일의저장경로 (Directory), 암호화는표 2 과같다. Table. 2 DB encryption status of KakaoTalk 이에 KakaoTalk의 DB 복호화연구가필요하여, 새로운복호화분석방법을제시및기술한다. KakaoTalk은복호화연구가활발히진행되지않아복호화연구의어려움을가중시킨다. 복호화로직을분석하기위해디컴파일후소스코드를분석도가능하지만, 대량의소스코드및소스코드난독화가존재하여, 암호로직의파악이어려워복호화가어렵다. 이에복호화방법을제안하여연락처, 채팅메시지 DB 테이블의구조를분석한다. 복호화제안방법은채팅메시지테이블 (chat_logs 테이블 message 칼럼 ) 의암호화메시지값들을이용한다. 송신한메시지값은암호값으로저장되어있지만, KakaoTalk을실행하면평문으로볼수있는점을착안하였다. 암호화된주요개인정보인멀티미디어, 휴대폰번호등의값과송신한 chat_logs 테이블의 message 칼럼의암호화메시지값을서로대체한후 KakaoTalk을재실행하여평문값을얻는다. 이러한복호화방법론을활용하여 DB 테이블의구조를분석한다. 3.4. 연락처분석방법연락처테이블의구조분석은용의자 / 사용자를식별가능한정보 ( 이름, 휴대폰번호, id 등 ) 의중심으로분석이필요하다. KakaoTalk의연락처 DB파일은 Kakao Talk2.db 이고, 많은테이블중용의자 / 사용자를식별가능한테이블은 friends, block_friends로주요분석의대상테이블이다. 이테이블의구조분석은값의변화를주어칼럼및상세값의의미를분석해야한다. 이에 KakaoTalk 연락처테이블의영향을주는스마트폰의주소록과 KakaoTalk App의주소록을변화를주어분석해야한다. 스마트폰주소록의경우는주소록을추가 / 수정 / 삭제하여변화를주고, KakaoTalk App 주소록 ( 친구목록 ) 의경우는친구목록을즐겨찾기 / 숨김 / 차단하여값의변화를유도한다. DB Backup DB Directory File Name /data/data/com. kakao.talk/data bases /data/data/com. kakao.talk/files KakaoTalk.db (chat) KakaoTalk2.db (contact) 103466717.backup (chat) -1087431639.backup (contact) Table. 3 Contact DB file name and Contact Table name and encryption of KakaoTalk File Name Table Name friends KakaoTalk2.db block_friends X friends -1087431639.backup block_friends X 74
이를반복하여, 칼럼및상세값의의미를분석한다. 구체적으로파악된 KakaoTalk App의연락처 DB파일명, 테이블명및암호화여부는표 3 과같다. 3.5. 교환한메시지분석방법용의자와교환한메시지의중심으로분석이필요하다. KakaoTalk의채팅메시지 DB파일은 KakaoTalk.db 이고, 많은테이블중메시지를교환한용의자 / 사용자의테이블은 chat_logs, chat_rooms로주요분석의대상테이블이다. 이테이블의구조분석은값의변화를주어칼럼및상세값의의미를분석해야한다. 이에메시지를주고받을때, 칼럼의의미및상세값의의미를분석한다. 구체적으로파악된 KakaoTalk에서채팅메시지 DB파일명, 테이블명및암호화여부는표 4 과같다. Table. 4 Chat DB file name and Chat Table name and encryption of KakaoTalk File Name Table Name chat_logs KakaoTalk.db chat_rooms X 103466717.backup chat_logs chat_rooms X KakaoTalk에서채팅방 (1:1 및 1:N 그룹방채팅 ) 을생성하고, 참여한채팅방에서분석할기능은표 6 과같다. 그리고 Ⅲ장에서언급한분석방법들을실현수행하였다. Table. 6 Analysis the features scope Features Normal Chat Secret Chat Direct/Group Chat O O Photo O O Video O O Voice Note O X Voice Calling O X Location O X Contact Info O X Export Messages O X File Sharing (PC Only Send) X Ⅴ. 포렌식분석결과 본장에서는 KakaoTalk을사용하면서잔존하는흔적의파일위치분석, 연락처정보분석, 교환한메시지분석결과이다. Ⅳ. 실험및분석환경실험디바이스는스마트폰 3대, Windows 8.1 PC 1 대를사용한다. 실험에참여한스마트폰디바이스의 Android, KakaoTalk, WhatsApp 버전과루팅여부는표 5 과같다. 5.1. 흔적파일의저장위치분석 KakaoTalk을사용하면서잔존하는파일의저장위치를분석하며아래와같은정보를구한다. 패키지설치경로 (Directory) 채팅, 메시지 DB파일위치 채팅, 메시지 Backup DB파일위치 사진, 동영상등의저장경로 (Directory) Table. 5 Smartphone Devices Environment Model Number Android Ver. KakaoTalk Ver. WhatsApp Ver. Roo ting Nexus S 4.1.1 4.8.2 2.12.124 O Nexus 4 5.1.1 4.8.2 2.12.124 O IM-A88 0S 4.4.2 4.8.2 2.12.124 X KakaoTalk을설치하여 /data/data/ com.kakao.talk/ 에패키지가설치된다. 패키지의하위경로 databases는 KakaoTalk.2db, KakaoTalk.db, Journal 파일이저장된다. 패키지의하위경로 files는 KakaoTalk.2db의백업파일인 1087431639.backup, KakaoTalk.db의백업파일인 103466717.backup파일이저장된다. ( 저장경로는표 7. Row 1-2) 75
Table. 7 Application and their artifacts location Row # Contents Directory File Name 1 2 Contact Databases Chat Database 3 Photo 4 Video 5 Voice Notes 6 Location 7 8 9 10 Export Messages File Sharing Package install Basic Package /data/data/com.kakao.talk/databases /data/data/com.kakao.talk/files /data/data/com.kakao.talk/databases /data/data/com.kakao.talk/files /sdcard/android/data/com.kakao.talk/cache /{chat_id}/{random Directory} /sdcard/android/data/com.kakao.talk/cache/imageeditor/{ra ndom Directory} /sdcard/android/data/com.kakao.talk/contents/{chat_id}/{ra ndom Directory} /sdcard/pictures/kakaotalk (Photo Saved) /sdcard/android/data/com.kakao.talk/cache/{-user_id}/{rand om Directory} (When Chatroom Leave) /sdcard/android/data/com.kakao.talk/cache/{chat_id}/{rand om Directory} /sdcard/android/data/com.kakao.talk/contents/{chat_id}/{ra ndom Directory} /sdcard/video/ (Video Saved) /sdcard/android/data/com.kakao.talk/cache/{-user_id}/{rand om Directory} (When Chatroom Leave) /sdcard/android/data/com.kakao.talk/contents/{chat_id}/{ra ndom Directory} /data/data/com.kakao.talk/cache/daummap/cache/0001 /sdcard/android/data/com.kakao.talk/cache/default/{random Directory} /data/data/com.google.android.gm/cache (Send Text Only) /data/data/com.google.android.gm/cache/{gmail email address} (Send Text Only) /sdcard/kakaotalk/chats/kakaotalk_chats_{yyy-mm-d D_hh.mm.ss} (Save All Messages to SD Card) /sdcard/kakaotalkdownload /data/data/com.kakao.talk /data/data/com.kakao.talk/shared_prefs /data/data/com.kakao.talk/databases KakaoTalk2.db KakaoTalk2.db-journal -1087431639.backup (KakaoTalk.2db Backup File) KakaoTalk.db KakaoTalk.db-journal 103466717.backup (KakaoTalk.db Backup File) various Files various Files various Video Thumbnail Image Files various Files various files various files {YYYY-MM-DD-hh:mm:ss}-{9-12 Digit}.attachment KakaoTalkChats.txt KakaoTalkChats.txt various files various down files various Files KakaoTalk.more.perferences.xml KakaoTalk.perferences.xml various xml Files various SQlite DB Files 76
사진송신은 원본, 고화질, 일반화질 의 3가지기능을제공하고, 사진을송 수신하면 /sdcard/andr oid/data/com.kakao.talk/ 하위경로 cache, contents 하위랜덤경로에사진파일을저장한다. 채팅방에서선택한사진을저장하면 /sdcard/pictures/kakao Talk/ 에파일을저장한시각 (13 Digit Unix Epoch Time) 값의파일이름이생성된다. 사진을 원본 파일로송신한사진을저장경우는 EXIF(Exchangeable Image File Format) 메타데이터의정보 ( 카메라제조사, 카메라모델명, 촬영시간등 ) 값은변경되지않는다. 그러나 고화질, 일반화질 로송신한사진을저장경우는 EXIF 메타데이터의정보값이삭제된다. 추가로채팅방을나가면채팅방에존재하는모든사진파일을 KakaoTalk Apps이삭제하여사진을찾을수없다. 하지만흔적파일로송신한사진만 /sdcard/android/data/com.kakao.talk /cache/{-user _id}/{random Directory} 에파일이존재한다. ( 저장경로는표 7. Row 3) 동영상을송 수신하면 /sdcard/android/data/com. kakao.talk/ 하위경로 cache, contents에동영상파일이저장되고, 채팅방에서선택한동영상을저장을하면 /sdcard/video/ 에파일을저장한시각 (13 Digit Unix Epoch Time) 값의파일이름이생성된다. 추가로채팅방에나가면채팅방에존재하는모든동영상파일이삭제되어동영상을찾을수없다. 하지만흔적파일로송신한동영상의썸네일이미지파일만 /sdcard/android/ data/com.kakao.talk/cache/{-user_id}/{random Directory} 에파일이존재한다. ( 저장경로는표 7. Row 4) 이외음성메시지, 위치정보, 연락처보내기등의흔적은표 7 과같다. 5.2. 연락처정보분석연락처정보를분석하여아래와같은정보를구한다. 연락처리스트, 연락처추가 / 삭제 연락처즐겨찾기 / 숨김 / 차단 연락처복원 ( 연락처백업파일복원 ) KakaoTalk 연락처의정보는 KakaoTalk2.db 파일 friends, block_friends 테이블에저장한다.( 저장경로는표 7. Row 1) friends 테이블은개인을식별가능한이름, 휴대폰번호등의연락처가저장된다. 특히, 용의자 / 사용자를파악가능한주요식별가능한값은이름, 연락처, 유저 ID 가존재하고, 주요칼럼명은다음과같다. 이름 : name 연락처 : phone_number, raw_phone_number 유저ID: id block_friends 테이블은차단한유저의이름, 프로필이미지 URL 등이저장된다. 분석한 block_friends 테이블의구조는표 8, friends 테이블의구조는표 9 과같다. Table. 8 Structure of the block_friends table _id id Name nickname profile_image_url Name _id id type phone_number raw_phone_number name profile_image_url full_profile_image_url original_profile_ image_url sequence number of the record (set by SQLite) KakaoTalk user ID KakaoTalk name of the contact (as set in communication partner profile) URL of communication partner profile Table. 9 Structure of the friends table sequence number of the record (set by SQLite) KakaoTalk user ID user add type 1 =KakaoTalk ID add, 2 =Phone Number add. Data phone number associated to the contact (type= 2 ) or blank Data KakaoTalk name of the contact (as set in communication partner profile) Data KakaoTalk profile image of the contact (as set in communication partner profile) 77
Name status_message chat_id favorite nick_name hidden involved_chat_ids enc created_at new_badge_updated_at new_badge_seen_at Data communication partner status message Chat room ID (participate in Chat room) Add to favorites: 1 : Added to favorites, 0 : no favorites. Data KakaoTalk nickname of the contact (as set in my KakaoTalk) hidden contact : 0 =normal contact, 1 =hidden contact. Chat room ID at participate Chat room encryption version 6 =v4.82. contact created time(13 Digit unix epoch) communication partner profile updated time(13 Digit unix epoch) new badge contact created unix epoch time(13 Digit unix epoch) 5.3. 연락처복원 ( 연락처백업파일복원 ) 삭제한용의자 / 사용자의연락처를복원이가능하면, 주고받은사람의연락처정보를얻을수있다. 휴대폰의연락처를삭제후 KakaoTalk을동기화를하면 friends 테이블 phone_number, raw_phone_number 칼럼등의휴대폰연락처정보가삭제된다. 일부상황이지만, 연락처백업 -1087431639.backup파일을열어연락처의정보를복원이가능하다. 5.4. 교환한메시지분석메시지정보를분석하면아래와같은정보를구한다. 메시지송신자 메시지콘텐츠구분 KakaoTalk의모든송 수신메시지는 KakaoTalk.db 파일 chat_logs, chat_rooms 테이블에저장한다. chat_logs 테이블은유저가송 수신한메시지들은 chat_logs 테이블에저장되고, chat_rooms 테이블은개별채팅방의마지막메시지가저장된다. chat_logs의테이블구조는메시지속성 (Message Attributes) 은표 10 과같고, 메시지와관련된콘텐츠 (Concerning Message Contents) 는표 11 와같다. Table. 10 Structure of the chat_logs table: field storing message attributes Name _id id chat_id user_id created_at deleted_at sequence number of the record (set by SQLite) unique message ID unique chat room ID unique KakaoTalk user ID time of created message(10 Digit Unix Epoch Time) time of deleted message(10 Digit Unix Epoch Time) or 0 (no delete) Table. 11 Structure of the chat_logs table: field storing information concerning message contents Name type message message content type: 0 = invited message, 1 = text message & satic emoticon, 2 = photo, 3 = video, 4 = send contact, 5 = voice note, 9 = PC login message, 12 = dynamic emoticon, 16 = location, 17 = send KaKao Talk Profile, 18 = file sharing, 51 = vocie calling. Data message content 78
Ⅵ. 결론 KakaoTalk 포렌식분석은국외 IM Apps 포렌식분석연구에대비하여연구가미비하다. 본논문은 Kakao Talk App의적합한분석방법을제시하였고, 제안한분석방법을진행하여그결과로아티팩트 (Artifacts) 를보였다. KakaoTalk의분석방법은흔적파일의위치분석방법과, 흔적파일의접근권한분석방법과, 연락처 채팅메시지 DB의암호화를복호화하는방법과, 연락처 채팅메시지의테이블구조를분석방법을제시하였다. 흔적파일의위치분석은다양한콘텐츠를송 수신의전파일시스템상태와파일시스템후상태를텍스트파일로저장하고, 저장한파일의내용을비교하여다양한콘텐츠의저장위치를파악하였다. 추가로, 흔적파일의접근권한분석방법은콘텐츠의저장위치에언루팅단말기로콘텐츠접근을하여접근가능여부를파악하였다. 연락처 채팅메시지 DB의암호화를복호화는채팅메시지테이블 (chat_logs 테이블 message 칼럼 ) 의암호화메시지값을이용하여평문값을얻었다. 얻은평문값으로연락처 채팅메시지테이블의구조분석은연락처 채팅메시지의값을변화를주어테이블의구조를분석하였다. 연락처테이블의구조분석은용의자를식별가능한주요연락처테이블구조분석을하였고, 채팅메시지테이블의구조분석은주고받은메시지의콘텐츠타입을분석을하였다. 제시및기술한분석방법으로흔적파일의저장위치를찾았고, 흔적파일의접근권한분석을하였으며, 연락처테이블의구조를분석하여용의자 / 사용자를식별을하였고, 교환한메시지의콘텐츠구분등을분석하였다. 추가로, 연락처 Backup DB파일을이용하여삭제한연락처정보를발견하여증거로서사용가능성을보였다. 본논문의가치는실제단말기에서 KakaoTalk의비활성데이터흔적을포렌식분석하여기초정보의제공과주요연락처의칼럼구조분석, 복원 (recovery) 을하여 KakaoTalk의적합한포렌식분석을하였다. 분석한정보와방법론을바탕으로 Forensic Tool의기본플랫폼을제공하였다. 하지만 KakaoTalk과 WhatsApp의 ios 스마트폰포 렌식분석을미래연구로남기며, 자세한 chat_rooms, chat_logs의채팅메시지분석과 WhatsApp 와 Kakao Talk의비교분석연구를현재진행중이다. REFERENCES [ 1 ] J. M. Lee, The Effect of Personal Communication Activities using Smart Phone Instant Messenger on Job Performance, Journal of Korean Socieity for Internet Information, vol. 13, no. 6, pp. 17-24, Oct. 2012. [ 2 ] Wikimedia Foundation, Inc. Instant Messaging [Internet]. Available: https://en.wikipedia.org/wiki/instant_messaging. [ 3 ] H. S. Jung, The evolution of Korean social network service focusing on the case of Kakao talk, The Journal of Digital Policy and Management, vol. 10, no 10, pp. 147-154, Nov. 2012. [ 4 ] Yu Jong Jang, Jin Kwak, Mobile Digital Forensic Procedure for Crime Investigation in Social Network Service, The Journal of Korea Navigation Institute, vol. 17, no. 3, pp. 325-331, Jun. 2013. [ 5 ] Mohammad Iftekhar Husain, Ramalingam Sridhar, iforensics: forensic analysis of instant messaging on smart phones, in The First International Conference on Digital Forensics & Cyber Crime, pp. 9-18, Sept. 2009. [ 6 ] Yu-Cheng Tso, et al., iphone social networking for evidence investigations using itunes forensics, in Proceedings of the 6th International Conference on Ubiquitous Information Management and Communication, ACM New York, article no. 62, Feb. 2012. [ 7 ] Shubham Sahu, An Analysis of WhatsApp Forensics in Android Smartphones, International Journal of Engineering Research, vol. 3, no. 5, pp. 349-350, May 2014. [ 8 ] Neha S. Thakur, Forensic analysis of WhatsApp on Android smartphones, M.S. Thesis, University of New Orleans Theses and Dissertations, 2013. [ 9 ] Cosimo Anglano, Forensic analysis of WhatsApp Messenger on Android smartphones, Digital Investigation, vol. 11, no. 3, pp. 201-213, Sept. 2014. [10] JaeWan Jo, Study Android lock features analysis of Digital Forensic focus, M.S. Thesis, KOREA University Theses and Dissertations, 2013. [11] HoSeung No, Logical Forensic Technique on Android Smartphone, M.S. Thesis, KOREA University Theses and Dissertations, 2014. 79
윤종철 (Jongcheol Yoon) 세종사이버대학교정보보호대학원정보보호학과석사과정 관심분야 : IT 서비스및보안, 포렌식, 클라우드, IoT 등 박용석 (Yongsuk Park) 서강대학교컴퓨터공학 ( 학사 ) 뉴욕 (POLY) 대 ( 석사, 박사 ) AT&T (Bell) Labs, 삼성전자현재세종사이버대학교정보보호대학원주임교수현재세종사이버대학교 IT 학부교수 관심분야 : IT 서비스및보안, 산업보안, 클라우드, IoT 등 80