I. 법적 증거자료 확보 위한, 스마트폰 포렌식의 개요
가. 스마트폰 포렌식의 정의
- 스마트폰 내의 정보에 대하여 법정에서 증거로서의 증거 능력을 갖게 하기 위한 법률적/수사적/기술적 분석과정
II. 스마트폰 포렌식의 절차 및 데이터 추출/분석 방법
가. 스마트폰 포렌식의 절차
|
절차 |
설명 |
핵심사항 |
|
|
1 |
현장보존 |
- 스마트폰 발견 현장에서 사진을 찍어 현장 보존 - 스마트폰이 켜져 있는 경우 화면 사진 캡쳐 |
- 증거훼손방지 - 촬영/캡쳐 |
|
2 |
증거확보 |
- 스마트폰 상태 변경 방지를 위해 네트워크 차단 - 전원공급 통해 활성 데이터 보존 |
- 네트워크 차단 - 전원공급 |
|
3 |
데이터 추출 및 분석 |
- 법적 효력을 위한 수사 범위, 권한 등 검토 - 데이터 추출 및 분석 |
- 법적 효력 검토 - 추출/분석 |
|
4 |
보고서 작성 |
- 사건정보, 증거 획득 과정, 분석 결과 등 작성 |
- 증거 및 분석 객관성 확보 |
- 데이터를 추출하고 분석하는 방법에 대한 기술적 이해 필요
나. 데이터 추출/분석 방법
|
구분 |
방법 |
설명 |
|
포렌식 데이터 추출 |
논리적 데이터 추출 |
- USB 인터페이스를 통해 저장된 파일과 디렉토리 추출 - 안드로이드: 슈퍼유저 권한 획득(루팅), 데이터 추출 - IOS: 슈퍼유저 권한 획득(탈옥), 데이터 추출 |
|
물리적 데이터 추출 |
- 플래시 메모리 전체를 비트 단위로 복사 - 운영체제 명령어 사용, JTAG 포트 이용, 메모리칩 직접 분리 |
|
|
포렌식 데이터 분석 |
File Signature 분석 |
- 파일 내용 중 특정 값으로 파일 유형 판단 |
|
File Hash 분석 |
- 해시 값을 이용하여 파일의 변경 여부 등을 확인 |
|
|
TimeLine 분석 |
- 생성/수정/접근 시간을 의미하는 MAC Time 분석을 통해 사용자의 기기 사용 여부 추적 |
|
|
Window Registry 분석 |
- 시스템 설정 정보, 사용자 정보, 응용 프로그램 정보 등을 통해 최근 사용한 파일 또는 프로그램 추적 |
- 다양한 방법을 활용하여 스마트폰 등 모바일 기기 내의 데이터를 추출 및 분석
III. 스마트폰 포렌식의 대상 데이터
|
기본 어플리케이션 |
- 연락처, 통화목록, 문자메시지, 이메일, 웹 히스토리, GPS 데이터, 멀티 미디어, IMEI, IMSI |
|
사용자 어플리케이션 |
- 통신 어플리케이션 정보, SNS 정보, 클라우드 서비스 정보, 금융 어플리케이션 정보 |
'IT기술노트 > 디지털보안' 카테고리의 다른 글
| 악성코드 (0) | 2021.02.28 |
|---|---|
| 코드 난독화(Code Obfuscation) (0) | 2021.02.27 |
| 난독화(Obfuscation) (0) | 2021.02.27 |
| 시큐어코딩(Secure Coding) (0) | 2021.02.27 |
| 네트워크 포렌식 (0) | 2021.02.26 |
| 스테가노그래피(Steganography) (0) | 2021.02.26 |
| 슬랙 스페이스(Slack Space) (0) | 2021.02.26 |
| 데이터 카빙(Data Carving) (0) | 2021.02.26 |
댓글