사물인터넷 시대에 디지털 포렌식 기술 동향

정현지(Hyunji Chung),이상진(Sangjin Lee) 한국정보과학회 2020 정보과학회지 Vol.38 No.9

클라우드 컴퓨팅 환경에서의 디지털 포렌식 동향 및 전망

정현지(Hyunji Chung),이상진(Sangjin Lee) 한국정보보호학회 2012 情報保護學會誌 Vol.22 No.7

클라우드 컴퓨팅은 네트워크, 스토리지, 서버, 응용프로그램 등과 같은 컴퓨팅 자원에 언제든지 편리하게 접근할 수 있는 새로운 컴퓨팅 모델이다. 클라우드 컴퓨팅은 기존의 컴퓨팅 환경과 다르게 다양한 단말 기기를 통해 접속할 수 있고, 사용자의 데이터를 로컬이 아닌 원격지에 저장하며, 작업 상태를 실시간으로 업데이트한다는 특징이 있다. 클라우드 컴퓨팅 환경에서 사용자의 데이터가 원격지에 존재하고, 서비스 제공자에 의해 관리되기 때문에 데이터 보안의 관점에서 위협 요소가 있을 수 있다. 또한 범죄와 관련된 데이터가 클라우드 시스템에 저장되어 있을 수 있다. 이를 조사하기 위해서 클라우드 컴퓨팅 환경에 적합한 디지털 포렌식 조사 절차와 방법이 필요하다. 본 논문에서는 디지털 포렌식 관점에서의 클라우드 컴퓨팅에 대해 설명한다. 또한 클라우드 포렌식 기술 동향과 클라우드 컴퓨팅 환경에서 발생하는 법적 이슈 동향을 살펴본다. 이를 바탕으로 향후 클라우드 컴퓨팅 포렌식 연구방향에 대해서 제시한다.

퍼지해시를 이용한 유사 악성코드 분류모델에 관한 연구

박창욱(Changwook Park),정현지(Hyunji Chung),서광석(Kwangseok Seo),이상진(Sangjin Lee) 한국정보보호학회 2012 정보보호학회논문지 Vol.22 No.6

과거 일 평균 10종 내외로 발견되었던 악성코드가 최근 10년 동안 급격히 증가하여 오늘날에는 55,000종 이상의 악성코드가 발견되고 있다. 하지만 발견되는 다수의 악성코드는 새로운 형태의 신종 악성코드가 아니라 과거 악성코드에서 일부 기능이 추가되거나 백신탐지를 피하기 위해 인위적으로 조작된 변종 악성코드가 다수이다. 따라서 신종과 변종이 포함된 다수의 악성코드를 효과적으로 대응하기 위해서는 과거의 악성코드와 유사도를 비교하여 신종과 변종을 분류하는 과정이 필요하게 되었다. 기존의 악성코드를 대상으로 한 유사도 산출 기법은 악성코드가 사용하는 IP, URL, API, 문자열 등의 외형적 특징을 비교하거나 악성코드의 코드단계를 서로 비교하는 방식이 사용되었다. 하지만 악성코드의 유입량이 증가하고 비교대상이 많아지면서 유사도를 확인하기 위해 많은 계산이 필요하게 되자 계산량을 줄이기 위해 최근에는 퍼지해시가 사용되고 있다. 하지만 퍼지해시에 제한사항들이 제시되면서 기존의 퍼지해시를 이용한 유사도 비교방식의 문제점이 제시되고 있다. 이에 본 논문에서는 퍼지해시를 이용하여 유사도 성능을 높일 수 있는 새로운 악성코드간 유사도 비교기법을 제안하고 이를 활용한 악성코드 분류기법을 제시하고자 한다. In the past about 10 different kinds of malicious code were found in one day on the average. However, the number of malicious codes that are found has rapidly increased reachingover 55,000 during the last 10 year. A large number of malicious codes, however, are not new kinds of malicious codes but most of them are new variants of the existing malicious codes as same functions are newly added into the existing malicious codes, or the existing malicious codes are modified to evade anti-virus detection. To deal with a lot of malicious codes including new malicious codes and variants of the existing malicious codes, we need to compare the malicious codes in the past and the similarity and classify the new malicious codes and the variants of the existing malicious codes. A former calculation method of the similarity on the existing malicious codes compare external factors of IPs, URLs, API, Strings, etc or source code levels. The former calculation method of the similarity takes time due to the number of malicious codes and comparable factors on the increase, and it leads to employing fuzzy hashing to reduce the amount of calculation. The existing fuzzy hashing, however, has some limitations, and it causes come problems to the former calculation of the similarity. Therefore, this research paper has suggested a new comparison method for malicious codes to improve performance of the calculation of the similarity using fuzzy hashing and also a classification method employing the new comparison method.

피트니스 트래커에 대한 디지털 포렌식 연구

이선경(Sunkyoung Lee),정현지(Hyunji Chung),이상진(Sangjin Lee) 한국디지털포렌식학회 2021 디지털 포렌식 연구 Vol.15 No.3

최근 피트니스 트래커를 착용하고 다니는 사람들이 증가하고 있다. 일부 피트니스 트래커는 일상을 기록하는 life logger와 같은 역할을 한다. 디지털 포렌식 관점에서 이러한 종류의 기기는 사람의 일상 생활을 추정할 수 있게 해주는 중요한 증거를 생성할 수 있다. 그래서 피트니스 트래커에 대한 포렌식 연구는 점차 중요해지고 있다. 본 논문에서는 많이 사용되는 피트니스 트래커/서비스를 대상으로 포렌식 분석한 내용을 설명한다. 최근 많이 사용되는 4가지 피트니스 트래커 기기/서비스를 대상으로 데이터가 남을 수 있는 모든 소스(로컬 기기, 원격지 클라우드)로부터 데이터를 수집하는 다양한 방법들을 정리하였다. 실험 결과를 바탕으로 디지털 포렌식 프레임워크를 제안한다. 이는 향후에 새로운 피트니스 트래커가 출시되더라도 본 논문에서 제안한 절차를 통해 조사할 수 있다는 점에서 중요한 의미를 가진다. In these days, the number of people wearing fitness trackers has been increasing. Fitness tracker plays the same role as a life logger that records daily life beyond fitness trackers. From a digital forensics perspective, this type of device can produce important evidence that allows one to estimate one"s daily life. So forensics research on fitness trackers is becoming increasingly important. In this paper, we describe a forensics analysis of the commonly used fitness tracker/services that are widely used. We experimented with various methods of collecting data from all sources (local devices, remote cloud) where data can remain on four popular fitness tracker devices/services recently. And we have summarized how to collect smartphones and cloud artifacts. Finally, we propose a digital forensics framework that investigates collected fitness trackers. Even if a new fitness tracker is released in the future, our research is of great significance in that it can be investigated through the procedures we proposed.

전신홍반루푸스 환자에서 미코페놀레이트모페틸 음독 후 발생한 심실성빈맥

김정훈 ( Jung-hun Kim ),정현지 ( Hyunji Chung ),이경언 ( Kyung-ann Lee ),김해림 ( Hae-rim Kim ),이상헌 ( Sang-heon Lee ) 대한내과학회 2019 대한내과학회지 Vol.94 No.5

MMF의 과량 복용 후 발생한 심혈관계 부작용은 아직까지 보고된 바 없었다. 저자들은 구조적 심장 질환이 없는 SLE 환자에서 34 g의 MMF를 음독 후 발생한 심실성빈맥 1예를 경험하였기에 문헌고찰과 함께 보고한다. Mycophenolate mofetil (MMF) is an immunosuppressive agent used to treat severe lupus, including lupus nephritis. Common adverse effects of MMF include gastrointestinal and hematological manifestations; however, cardiac toxicity in association with MMF has not been reported. We present a 21-year-old woman with lupus nephritis who developed ventricular tachycardia 2 hours after an overdose of MMF (34 g). Ventricular bigeminy was documented 12 hours after the MMF overdose. Transthoracic echocardiography showed no evidence of structural heart disease. The ventricular arrhythmia was successfully treated with potassium replacement, hydration, and cholestyramine. This case suggests that an overdose of MMF can induce ventricular tachycardia, and electrocardiogram monitoring is critical to identify this rare cardiac complication of MMF. (Korean J Med 2019;94:455-458)

MS 엑셀 파일의 텍스트 셀 입력 순서에 관한 연구

이윤미(Yoonmi Lee),정현지(Hyunji Chung),이상진(Sangjin Lee) 한국정보보호학회 2014 정보보호학회논문지 Vol.24 No.2

스마트폰이나 태블릿 PC 사용이 보급화 되면서 장소에 구애받지 않고 실시간으로 문서의 생성과 편집이 일어나고 있다. 이처럼 학교나 회사에서 업무처리 방법의 한 부분을 차지하고 있는 문서 파일들을 분석하여 데이터가 입력되거나 편집된 흐름을 추적할 수 있다면 디지털 포렌식 수사에서 증거 자료로 활용될 수 있을 것이다. 대표적인 문서 프로그램으로 Microsoft 사의 Office 시리즈를 꼽을 수 있다. MS Office 프로그램은 복합 문서 파일 형식(Compound Document File Format)을 사용하는 97-2003 버전, OOXML 파일 형식(Office Open XML File Format)을 사용하는 2007-현재 버전까지 두 가지 파일 형식으로 구성된다. 지금까지 연구된 MS 파일에 대한 디지털 포렌식 분석방법은 파일에 은닉된 정보를 탐지하거나 문서의 속성 정보를 통해 위변조 여부를 판단하는 것이었다. 본 논문에서는 디지털 포렌식 관점에서 MS 엑셀 파일에 텍스트 셀이 입력된 순서를 분석하여 문서의 입력 순서와 마지막으로 수정한 셀을 파악하는 방법을 연구하였다. Since smart phones or tablet PCs have been widely used recently, the users can create and edit documents anywhere in real time. If the input and edit flows of documents can be traced, it can be used as evidence in digital forensic investigation. The typical document application is the MS(Microsoft) Office. As the MS Office applications consist of two file formats that Compound Document File Format which had been used from version 97 to 2003 and OOXML(Office Open XML) File Format which has been used from version 2007 to now. The studies on MS Office files were for making a decision whether the file has been tampered or not through detection of concealed items or analysis of documents properties so far. This paper analyzed the input order of text cells on MS Excel files and shows how to figure out what cell is the last edited in digital forensic perspective.

스마트폰 플래시 메모리 이미지 내의 단편화된 페이지 분석 기법 및 구현

박정흠(Jungheum Park),정현지(Hyunji Chung),이상진(Sangjin Lee),손영동(Youngdong Son) 한국정보보호학회 2012 정보보호학회논문지 Vol.22 No.4

휴대폰은 개인의 생활과 가장 밀접한 디지털 기기로 디지털 포렌식 수사 시에 반드시 고려해야 할 대상이 되고 있다. 최근에는 스마트폰의 사용이 증가하고 있는데, 스마트폰은 피처폰과는 달리 일반 PC와 유사한 고성능의 운영체제(Android, iOS 등)를 사용하면서 다양한 모바일 앱(app)을 통해 사용자에게 여러 가지 기능을 제공하는 특징이 있다. 디지털 포렌식 관점에서 스마트폰의 사용 흔적을 수집하고 분석하는 것이 중요해짐에 따라서 전세계적으로 스마트폰 포렌식에 관한 연구가 활발하게 이루어지고 있다. 스마트폰 내의 데이터를 분석하기 위해서는 백업 또는 디버깅 기능을 이용하여 사용자 파일을 추출하거나, 운영체제의 루트(root) 권한을 획득하여 플래시 메모리에 대한 이미지를 수집한 후에 파일시스템(YAFFS, EXT, RFS, HFS+ 등)을 재구성하여 분석하는 방법을 사용할 수 있다. 그러나 이와 같은 방법은 정상적으로 존재하는 파일 이외에 삭제되거나 플래시 메모리 페이지의 데이터가 수정되면서 생성될 수 있는 잉여 데이터에 대한 분석에는 한계가 있다. 본 논문에서는 스마트폰으로부터 획득한 플래시 메모리 이미지 내의 단편화된 페이지(fragmented pages)를 분석하는 기법을 소개한다. 이를 통해 플래시 메모리 페이지의 스페어 영역(spare area)이 없어서 파일시스템의 재구성이 불가능한 이미지 또는 정상적인 파일시스템의 비할당 영역에 속하는 임의의 페이지들에 대한 효과적인 분석 방법을 제시한다. A cell phone is very close to the user and therefore should be considered in digital forensic investigation. Recently, the proportion of smartphone owners is increasing dramatically. Unlike the feature phone, users can utilize various mobile application in smartphone because it has high-performance operating system (e.g., Android, iOS). As acquisition and analysis of user data in smartphone are more important in digital forensic purposes, smartphone forensics has been studied actively. There are two way to do smartphone forensics. The first way is to extract user’s data using the backup and debugging function of smartphones. The second way is to get root permission, and acquire the image of flash memory. And then, it is possible to reconstruct the filesystem, such as YAFFS, EXT, RFS, HFS+ and analyze it. However, this methods are not suitable to recovery and analyze deleted data from smartphones. This paper introduces analysis techniques for fragmented flash memory pages in smartphones. Especially, this paper demonstrates analysis techniques on the image that reconstruction of filesystem is impossible because the spare area of flash memory pages does not exist and the pages in unallocated area of filesystem.

웹 브라우저 캐시 재조립을 통한 온라인 스트리밍 서비스 상의 저작권 침해 가능성에 관한 연구

임이랑(Yirang Lim),정현지(Hyunji Chung),이상진(Sangjin Lee) 한국정보보호학회 2020 정보보호학회논문지 Vol.30 No.4

인터넷 기술의 발전에 따라 온라인상에서 사용자들이 콘텐츠를 공유할 수 있는 공유 서비스들이 많아졌다. 최근에 발표된 연구에서는 온라인 스트리밍 서비스를 재생했을 때 PC에 남는 캐시 파일들을 특정 규칙에 맞게 재조합하면 재생했던 영상을 복원할 수 있으며, 이를 통해 불법저작물 시청에 대한 디지털증거를 확보할 수 있음이 알려졌다. 저작권 침해의 관점에서 이러한 기술은 실시간으로 스트리밍된 콘텐츠들을 파일 형태로 다시 복원할 수 있고, 이는 다른 사이트로 재유포 및 재업로드 될 가능성이 있음을 의미한다. 본 논문에서는 현재 국내외로 많이 사용되는 온라인 스트리밍 서비스 23개를 선정하여 시청한 후, PC에 기록되는 캐시 파일을 이용하여 영상 복원 여부를 실험하였다. 이를 통해 거의 모든 사이트에서 복원이 가능했음을 확인하였다. 추가적으로 본 연구에서는 온라인 스트리밍 서비스상에서 영상 복원을 통한 저작권 침해를 방지하기 위한 방안들에 대해서도 함께 언급하고자 한다. As internet technology advances, users can share content online, and many sharing services exist. According to a recently published digital forensic study, when playing an online streaming service, you can restore the played video by reconstructing the Chrome cache file left on local device such as a PC. This can be seen as evidence that the user watched illegal video content. From a different point of view, copyright infringement occurs when a malicious user restores video stream and share it to another site. In this paper, we selected 23 online streaming services that are widely used both at home and abroad. After streaming videos, we tested whether we can recover original video using cache files stored on the PC or not. As a result, the paper found that in most sites we can restore the original video by reconstructing cache files. Furthermore, this study also discussed methodologies for preventing copyright infringement in online streaming service.

노이즈 기반의 새로운 피쳐(feature)와 SVM에 기반한 개선된 CG(Computer Graphics) 및 PI(Photographic Images) 판별 방법

정두원(DooWon Jeong),정현지(Hyunji Chung),홍일영(Ilyoung Hong),이상진(Sangjin Lee) 한국정보보호학회 2014 정보보호학회논문지 Vol.24 No.2

컴퓨터 그래픽 기술은 사람의 눈으로 컴퓨터 그래픽과 카메라로 촬영한 사진을 구분하기 힘들 정도로 발전하였다. 그래픽 기술의 진보는 인간에게 많은 편의를 주었으나 악의적인 조작·편집 및 사기 기법으로 사용되는 등 부작용도 수반하였다. 이에 대응하기 위해 이미지의 피쳐(feature)를 이용하여 컴퓨터 그래픽을 판별해내는 알고리즘에 대한 연구가 진행되고 있다. 본 논문에서는 기존에 제안된 알고리즘을 직접 검증해보고 컴퓨터 그래픽의 특성을 잘 나타내는 노이즈에 기반한 새로운 피쳐를 제안한다. 또한 선행 연구에서 제안한 피쳐와 함께 SVM(Support Vector Machine)을 활용하여 판별 정확도를 높이는 방법을 소개한다. As modern computer graphics technology has been developed, it is hard to discriminate computer graphics from photographic images with the naked eye. Advances in graphics technology has brought a lot of convenience to human, it has side effects such as image forgery, malicious edit and fraudulent means. In order to cope with such problems, studies of various algorithms using a feature that represents a characteristic of an image has been processed. In this paper, we verify directly the existing algorithm, and provide new features based a noise that represents the characteristics of the computer graphics well. And this paper introduces the method of using SVM(Support Vector Machine) with features proposed in previous research to improve the discrimination accuracy.