동재하 실험 데이터 기반 인공신경망을 활용한 말뚝의 극한 지지력 예측 기법

한재혁(Jaehyeok Han),정종원(Jongwon Jung) 한국지반환경공학회 2021 한국지반환경공학회 학술발표회논문집 Vol.2021 No.10

모의 위치 서비스를 이용한 온라인 게임 악용 탐지 방안

한재혁(Jaehyeok Han),이상진(Sangjin Lee) 한국정보보호학회 2017 정보보호학회논문지 Vol.27 No.5

최근에 출시된 포켓몬고는 위치 기반의 실시간 증강 현실을 모바일로 구현한 온라인 게임이다. 이 게임의 올바른 플레이는 사용자들이 직접 이동해가며 출현하는 포켓몬을 수집하는 것을 기본 전개로 해야 하지만, 인기가 많아짐에 따라 쉽게 플레이하기 위한 악용 사례가 생겨났다. 가장 많이 사용되는 방법은 Fake GPS와 같은 모의 위치 서비스를 제공하는 애플리케이션을 사용하는 것으로, 이러한 애플리케이션을 이용하면 실내에서 이동하지 않고도 게임을 할 수 있기 때문에 온라인 게임에서의 부정행위로 판단할 수 있다. 이와 같은 부정행위를 클라이언트 관점(모바일 기기)에서 탐지하면 시스템 자원을 많이 소모할 수 있어 게임 속도를 급격히 저하시킬 수 있다. 개발사 입장에서는 게임 사용성과 사용자 만족도에 부정적인 영향을 주는 탐지 방법은 적용시키기가 어려운 실정이다. 따라서 본 논문에서는 서버 관점에서 GPS 위치 기록을 활용하여 생성한 이동경로를 분석하여 모의 위치 서비스를 온라인 게임에서 악용하는 사용자를 탐지하는 기법을 제시한다. Recently Pokémon GO implements an online game with location-based real time augmented reality on mobile. The correct play of this game should be based on collecting the Pokémon that appears as the user moves around by foot, but as the popularity increases, it appears an abuse to play easily. Many people have used an application that provides a mock location service such as Fake GPS, and these applications can be judged to be cheating in online games because they can play games in the house without moving. Detection of such cheating from a client point of view (mobile device) can consume a large amount of resources, which can reduce the speed of the game. It is difficult for developers to apply detection methods that negatively affect game usage and user’s satisfaction. Therefore, in this paper, we propose a method to detect users abusing mock location service in online game by route analysis using GPS location record from the server point of view.

효율적인 디지털 포렌식 조사를 위한 육하원칙 중심의 정보 처리 규격

윤우성(Woosung Yun),한재혁(Jaehyeok Han),이상진(Sangjin Lee) 한국디지털포렌식학회 2019 디지털 포렌식 연구 Vol.13 No.2

디지털 포렌식 조사 과정에서 수집한 데이터로부터 시스템 동작이나 사용자 행위를 파악하는 과정은 필수적이다. PC의 경우 운영체제에 따라서 시스템의 동작이나 남는 로그의 종류가 매우 다양하고, 데이터를 분석해주는 디직털 포렌식 도구들의 분석 결과가 서로 상이하다. 한편, 디지털 포렌식 분야에서 도구의 신뢰성은 중요한 요소이기 때문에 보통 하나의 디지털 증거에 대해서 여러 개의 도구로 분석하며 교차 분석을 실시하는데, 분석 결과가 도구마다 다른 경우, 분석 결과를 종합하는 것이 어렵다. 이러한 문제점을 개선하는 방안으로 수집한 디지털 증거의 분석 결과를 쉽게 공유하고 직관적으로 파악할 수 있도록 육하원칙 중심의 정보 처리 규격을 제안한다. 또한 이를 사용하여 디지털 포렌식 분석 도구의 성능을 비교하여 분석 도구의 신뢰성을 검증할 수 있는 지표로 활용할 수 있는 방법을 제안한다. The process of identifying system behavior or user behavior from data collected during the digital forensics investigation is essential. In the case of PCs, there are many different types of system behavior or remaining logs depending on the operating system, and the analysis results of the de facto forensics tools that analyze the data are different. Because the reliability of a tool in the digital forensics field is an important factor, cross-analysis is usually performed with multiple tools for one digital evidence, and if the analysis results differ from one tool to the other, it is difficult to aggregate the analysis results. Therefore, a standard for processing information centered on the land-to-ground principle is proposed to facilitate sharing and intuitively identifying the analysis results of digital evidence collected. It also proposes a way to use it as an indicator to verify the reliability of an analysis tool by comparing the performance of a digital forensics analysis tool.

윈도우 서버 2012에서 데이터 중복 제거 기능이 적용된 파일의 복원 방법에 관한 연구

손관철(Gwancheol Son),한재혁(Jaehyeok Han),이상진(Sangjin Lee) 한국정보보호학회 2017 정보보호학회논문지 Vol.27 No.6

중복 제거는 데이터를 효과적으로 관리하여 저장 공간의 효율성을 높이기 위한 기능이다. 중복 제거 기능이 시스템에 적용되면 저장되어 있는 파일을 청크 단위로 분할하고 중복되는 부분은 하나의 청크로만 저장함으로써 저장 공간을 효율적으로 사용할 수 있게 한다. 하지만 중복 제거된 데이터에 대해 상용 디지털 포렌식 도구에서 파일시스템 해석을 지원하지 않으며, 도구로 추출된 원본 파일을 실행하거나 열람할 수 없는 상황이다. 따라서 본 논문에서는 중복 제거 기능을 적용할 수 있는 윈도우 서버 2012 시스템을 대상으로 청크 단위의 데이터를 생성하는 과정과 그 결과로 생성되는 파일의 구조를 분석하고, 기존 연구에서 다뤄지지 않은 청크가 압축되는 경우에 대해서도 분석결과를 도출하였다. 이러한 결과를 바탕으로 디지털 포렌식 조사에서 적용할 수 있는 수집 절차와 원본 파일로 재조합하기 위한 방법을 제시한다. Deduplication is a function to effectively manage data and improve the efficiency of storage space. When the deduplication is applied to the system, it makes it possible to efficiently use the storage space by dividing the stored file into chunks and storing only unique chunk. However, the commercial digital forensic tool do not support the file system analysis, and the original file extracted by the tool can not be executed or opened. Therefore, in this paper, we analyze the process of generating chunks of data for a Windows Server 2012 system that can apply deduplication, and the structure of the resulting file(Chunk Storage). We also analyzed the case where chunks that are not covered in the previous study are compressed. Based on these results, we propose the method to collect deduplicated data and reconstruct the original file for digital forensic investigation.

손상된 ZIP 파일 복구 기법

정병준(Byungjoon Jung),한재혁(Jaehyeok Han),이상진(Sang-jin Lee) 한국정보보호학회 2017 정보보호학회논문지 Vol.27 No.5

압축파일 형식으로 가장 많이 쓰이는 PKZIP형식은 ZIP 파일뿐만 아니라 MS Office 파일과 안드로이드 스마트폰의 어플리케이션 파일 등에서 사용되는 파일형식이다. 이처럼 다양한 영역에서 널리 쓰이는 PKZIP 형식의 파일은 디지털 포렌식 관점에서 구조분석이 필수적이고 파일이 손상된 경우 복구를 할 수 있어야 한다. 하지만 기존 연구들의 경우 ZIP 파일에서 사용하는 Deflate 압축 알고리즘이 적용된 데이터를 복구하거나 의미 있는 데이터를 추출해 내는 것에만 초점이 맞춰져 있다. 비록 대부분의 데이터가 ZIP 파일의 압축된 데이터에 존재하지만 그 외의 영역에서도 포렌식적으로 의미 있는 데이터가 존재하기 때문에 정상적인 ZIP 파일 형태로 복구를 해야 한다. 따라서 본 논문에서는 손상된 ZIP 파일이 주어졌을 때 이를 정상적인 형태의 ZIP 파일로 복구하는 기법을 제시한다. The most commonly used PKZIP format is a ZIP file, as well as a file format used in MS Office files and application files for Android smartphones. PKZIP format files, which are widely used in various areas, require structural analysis from the viewpoint of digital forensics and should be able to recover when files are damaged. However, previous studies have focused only on recovering data or extracting meaningful data using the Deflate compression algorithm used in ZIP files. Although most of the data resides in compressed data in the ZIP file, there is also forensically meaningful data in the rest of the ZIP file, so you need to restore it to a normal ZIP file format. Therefore, this paper presents a technique to recover a damaged ZIP file to a normal ZIP file when given.

기업 내부조사 시 스마트폰 데이터의 선별 합의 방안 연구

양혜진(Hyejin Yang),한재혁(Jaehyeok Han),이상진(Sangjin Lee) 한국디지털포렌식학회 2021 디지털 포렌식 연구 Vol.15 No.4

최근 기업의 투명성 강화 및 준법경영이 중요한 과제로 떠오르고 있으며, 이를 위한 기업 내부조사의 중요성이 점점 강조되고 있다. 게다가 기업 업무의 대부분이 디지털화되었기 때문에 디지털 포렌식을 활용한 기업 내부조사에 관한 관심이 증가하고 있으나, 기업이 사실관계 파악을 위해 증거를 어떻게 찾고 어디까지 조사할 수 있는지에 대한 판단은 쉽지 않은 일이며, 조사 과정 중에 개인의 프라이버시 침해를 일으킬 수도 있다. 특히 스마트폰 데이터를 조사하는 경우 이러한 문제는 더욱 부각된다. 기업으로서는 자산 횡령, 금품 수수, 직장 내 괴롭힘 등 부정행위가 발생하면 사실관계를 확인하고 필요한 조치를 취할 필요가 있지만, 개인으로서는 사생활의 비밀을 보호받을 권리가 있으며 회사라고 해서 개인의 권리를 함부로 침해할 수는 없다. 이러한 문제점을 개선하는 방안으로 본 논문에서는 ‘스마트폰 데이터 선별 합의 방안’을 마련함으로써 기업 내부조사가 객관성을 바탕으로 효과적으로 진행됨과 동시에 조사 대상자의 프라이버시 침해를 최소화하는 방안을 제안하고자 한다. Amid increasing social demand for transparency and legal compliance in corporate management, companies are recognizing corporate internal investigation as an effective means to be responsive to such demand. Furthermore, significantly digitized working environment in companies adds to the importance of corporate internal investigation based on digital forensics. Companies’ increasing need for corporate internal investigation, however, contrasts with the reality in which most companies find themselves: in most cases, companies find it hard to determine how to investigate alleged facts and secure evidence or the extent to which the investigation can be performed. This is especially so when companies need to look into smartphone data. Companies’ efforts to ascertain facts and take necessary measures in response to allegations of embezzlement, bribery, workplace harassment, etc. are often fought back by individuals’ assertion of rights to privacy protection, which they rightly deserve and should not be thoughtlessly violated. In that context, this “Study on How to Reach a Consensus on Triage of Smartphone Data for Corporate Internal Investigations” aims to propose ways to minimize the violation of the privacy of individuals who become subject to internal investigation while conducting the investigation effectively in an impartial manner.

Themida의 API 난독화 분석과 복구방안 연구

이재휘(Jae-hwi Lee),한재혁(Jaehyeok Han),이민욱(Min-wook Lee),최재문(Jae-mun Choi),백현우(Hyunwoo Baek),이상진(Sang-jin Lee) 한국정보보호학회 2017 정보보호학회논문지 Vol.27 No.1

프로텍터란 프로그램의 핵심 아이디어를 보호하기 위해 실행파일을 압축하고 난독화를 적용하는 프로그램이다. 그리고 최근 악성코드가 자신의 악성행위를 분석하기 어렵게 만들기 위해 프로텍터를 적용하고 있다. 프로텍터가 적용된 실행파일을 정밀분석하기 위해서는 프로텍터를 해제하는 언패킹 작업이 필요하다. 기존의 연구에서는 OEP를 찾아 언패킹을 하는 것에 주력하였지만, 분석방해가 목적인 프로텍터의 경우 실행압축 해제가 완료된 이후의 실행에 분석방해 기능들이 남아있게 되어 여전히 분석에 어려움이 있다. 본 논문에서는 분석방해가 목적인 Themida 프로텍터가 사용하는 분석방해 기술을 분석하고 그에 대한 대응방안을 제안한다. A protector is a software for protecting core technologies by using compression and encryption. Nowadays malwares use the protector to conceal the malicious code from the analysis. For detailed analysis of packed program, unpacking the protector is a necessary procedure. Lately, most studies focused on finding OEP to unpack the program. However, in this case, it would be difficult to analyze the program because of the limits to remove protecting functions by finding OEP. In this paper, we studied about the protecting functions in the Themida and propose an unpacking technique for it.

Realm 데이터베이스의 삭제된 레코드 복구 기법

김준기(Junki Kim),한재혁(Jaehyeok Han),최종현(Jong-Hyun Choi),이상진(Sangjin Lee) 한국정보보호학회 2018 정보보호학회논문지 Vol.28 No.3

Realm은 모바일 기기에서 주로 사용되는 SQLite를 대체하기 위해 개발된 오픈 소스 데이터베이스이다. 데이터베이스에 저장되는 데이터는 사용자의 행위를 파악하고 모바일 기기의 동작 여부를 확인하는 데 도움이 될 수 있어 모바일 기기를 대상으로 하는 디지털 포렌식 분석 과정에서 반드시 확인되어야 한다. 뿐만 아니라, 사용자가 의도적으로 데이터베이스에 저장된 데이터 삭제와 같은 안티 포렌식 기법을 사용할 수 있으므로 데이터베이스에서 삭제된 레코드를 복구하는 방법에 대한 연구가 필요하다. 본 논문은 Realm 데이터베이스 파일의 구조와 레코드의 저장 및 삭제 과정을 분석한 결과를 바탕으로 삭제된 후 덮어 쓰여지지 않은 레코드의 복구 기법을 제시하였다. Realm is an open source database developed to replace SQLite, which is commonly used in mobile devices. The data stored in the database must be checked during the digital forensic analysis process for mobile devices because it can help to understand the behavior of the user and whether the mobile device is operating or not. In addition, since the user can intentionally use anti-forensic techniques such as deleting data stored in the database, research on how to recover deleted records is needed. In this paper, we propose a method to recover records that have not been overwritten after deletion based on the analysis of the structure and record and deletion process of the Realm database file.

스마트폰에서 촬영된 HEIF 파일 특징 분석에 관한 연구

권영진 ( Youngjin Kwon ),방수민 ( Sumin Bang ),한재혁 ( Jaehyeok Han ),이상진 ( Sangjin Lee ) 한국정보처리학회 2021 정보처리학회논문지. 소프트웨어 및 데이터 공학 Vol.10 No.10

HEIF(High Efficiency Image File Format)는 MPEG에서 개발된 이미지 포맷으로써, 비디오 코덱인 H.265를 활용하여 정지된 화면을 하나의 이미지 형태로 저장할 수 있도록 개발된 컨테이너이다. 아이폰은 2017년부터 HEIF를 사용하고 있으며, 2019년부터는 갤럭시 S10과 같은 안드로이드 기기도 해당 포맷을 지원하고 있다. 이 포맷은 우수한 압축률을 가지도록 이미지를 제공할 수 있으나, 복잡한 내부 구조를 가지고 있어 기기나 소프트웨어 간 호환성이 현저하게 부족하여 일반적으로 사용되는 JPEG(또는 JPG) 파일을 대체하기에는 아직 대중적이지 못한 상황이다. 하지만 이미 많은 기기에서 HEIF를 사용하고 있음에도 불구하고 디지털 포렌식 연구는 부족한 상황이다. 이는 디지털 포렌식 조사 과정에서 파일 내부에 포함된 정보의 파악이 미흡하여 잠재적인 증거를 놓칠 수 있는 위험에 노출될 수 있다. 따라서 본 논문에서는 아이폰에서 촬영된 HEIF 형식의 사진 파일과 갤럭시에서 촬영된 모션 포토 파일을 분석하여 파일 내부에 포함된 정보와 특징들을 알아본다. 또한 이미지 뷰어 기능을 지원하는 소프트웨어를 대상으로 HEIF에 대한 지원 여부를 조사하고 HEIF를 분석하는 포렌식 도구의 요구사항을 제시한다. The High Efficiency Image File Format (HEIF) is an MPEG-developed image format that utilizes the video codec H.265 to store still screens in a single image format. The iPhone has been using HEIF since 2017, and Android devices such as the Galaxy S10 have also supported the format since 2019. The format can provide images with good compression rates, but it has a complex internal structure and lacks significant compatibility between devices and software, making it not popular to replace commonly used JPEG (or JPG) files. However, despite the fact that many devices are already using HEIF, digital forensics research regarding it is lacking. This means that we can be exposed to the risk of missing potential evidence due to insufficient understanding of the information contained inside the file during digital forensics investigations. Therefore, in this paper, we analyze the HEIF formatted photo file taken on the iPhone and the motion photo file taken on the Galaxy to find out the information and features contained inside the file. We also investigate whether or not the software we tested support HEIF and present the requirement of forensic tools to analyze HEIF.

스마트폰에서 촬영된 HEIF 파일의 디지털 포렌식 특징 분석

권영진 ( Youngjin Kwon ),방수민 ( Sumin Bang ),한재혁 ( Jaehyeok Han ),이상진 ( Sangjin Lee ) 한국정보처리학회 2021 한국정보처리학회 학술대회논문집 Vol.28 No.1

HEIF (High Efficiency File Format)는 MPEG에서 개발된 이미지 포맷으로써, 비디오 코덱인 H.265를 활용하여 정지된 화면을 하나의 이미지 형태로 저장할 수 있도록 개발된 컨테이너이다. 아이폰은 2017년부터 HEIF를 사용하고 있으며, 2019년부터는 갤럭시 S10과 같은 안드로이드 기기도 해당 포맷을 지원하고 있다. 이 포맷은 우수한 압축률을 가지도록 이미지를 제공할 수 있으나, 복잡한 내부 구조를 가지고 있으며 기기나 소프트웨어 간 호환성이 현저하게 부족하여 일반적으로 사용되는 JPEG(또는 JPG) 파일을 대체하기에는 아직 대중적이지 못한 상황이다. 하지만 이미 많은 기기에서 HEIF를 사용하고 있음에도 불구하고 디지털 포렌식 연구는 부족한 상황이다. 이는 디지털 포렌식 조사 과정에서 파일 내부에 포함된 정보의 파악이 미흡하여 잠재적인 증거를 놓칠 수 있는 위험에 노출될 수 있다. 따라서 본 논문에서는 아이폰에서 촬영된 HEIF 형식의 사진 파일과 갤럭시에서 촬영된 모션포토 파일을 분석하여 파일 내부에 포함된 정보와 특징들을 알아본다. 또한 이미지 뷰어기능을 지원하는 소프트웨어를 대상으로 HEIF에 대한 지원 여부를 조사하고 HEIF 뷰어를 분석하는 포렌식 도구의 요구사항을 제시한다.