KR101392624B1 - 네트워크 통신에 기반을 둔 모바일 포렌식 방법 - Google Patents

네트워크 통신에 기반을 둔 모바일 포렌식 방법 Download PDF

Info

Publication number
KR101392624B1
KR101392624B1 KR1020130112202A KR20130112202A KR101392624B1 KR 101392624 B1 KR101392624 B1 KR 101392624B1 KR 1020130112202 A KR1020130112202 A KR 1020130112202A KR 20130112202 A KR20130112202 A KR 20130112202A KR 101392624 B1 KR101392624 B1 KR 101392624B1
Authority
KR
South Korea
Prior art keywords
mobile
file
smart device
information
dump file
Prior art date
Application number
KR1020130112202A
Other languages
English (en)
Inventor
남기훈
Original Assignee
남기훈
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 남기훈 filed Critical 남기훈
Priority to KR1020130112202A priority Critical patent/KR101392624B1/ko
Application granted granted Critical
Publication of KR101392624B1 publication Critical patent/KR101392624B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0742Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in a mobile device, e.g. mobile phones, handheld devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Telephonic Communication Services (AREA)

Abstract

본 발명은 네트워크 통신에 기반을 둔 모바일 포렌식 방법에 관한 것으로서, 보다 구체적으로는 스마트 디바이스의 모바일 포렌식 방법으로서, (1) 상기 스마트 디바이스에 저장된 분석 대상 파일로 덤프(dump) 파일을 생성하는 단계; (2) 상기 생성한 덤프 파일을 네트워크를 통해 모바일 포렌식 장치에 전송하는 단계; 및 (3) 상기 모바일 포렌식 장치가, 상기 덤프 파일을 분석하여 분석 정보를 추출하는 단계를 포함하는 것을 그 구성상의 특징으로 한다.
본 발명에서 제안하고 있는 네트워크 통신에 기반을 둔 모바일 포렌식 방법에 따르면, 스마트 디바이스에 저장된 분석 대상 파일로 덤프 파일을 생성하여 네트워크를 통해 모바일 포렌식 장치에 전송하고, 모바일 포렌식 장치에서 덤프 파일을 분석하여 분석 정보를 추출함으로써, 용의자를 대면할 필요 없이 네트워크를 통해 신속하고 편리하게 원격지 용의자의 스마트 디바이스에 대한 모바일 포렌식을 수행하고, 모바일 포렌식의 수행에 따른 분석 정보를 획득하여 활용할 수 있으며, 전문적인 모바일 포렌식 장치에 의해 분석 정보가 추출되므로 분석 정보의 신뢰도 및 활용도를 향상시킬 수 있다.

Description

네트워크 통신에 기반을 둔 모바일 포렌식 방법{MOBILE FORENSICS METHOD BASED ON NETWORK COMMUNICATION}
본 발명은 모바일 포렌식 방법에 관한 것으로서, 보다 구체적으로는 네트워크 통신에 기반을 둔 모바일 포렌식 방법에 관한 것이다.
스마트폰, 태블릿 PC, 스마트 카메라 등 각종 스마트 디바이스가 급격히 보급되면서, 현대인의 일상생활에서 중요한 역할을 하고 있다. 최근의 스마트 디바이스에서는, 단순한 통신 기술뿐 아니라 게임, 카메라, 다이어리, 파일 저장, 웹브라우저 등 다양한 기능의 활용이 가능하며, 무선인터넷을 이용하여 각종 애플리케이션 프로그램을 설치 및 실행함으로써, 그 기능을 확장할 수 있다.
이와 같이 스마트 디바이스는 현대인들에게 없어서는 안 될 도구로서, 사용자의 행위와 관련된 각종 정보가 저장되게 된다. 따라서 범죄와 관련된 스마트 디바이스에는 범죄와 관련된 유용한 증거가 저장되어 있어, 훌륭한 조사 대상으로 주목받고 있다.
이와 관련하여 모바일 포렌식이 각광받고 있는데, 모바일 포렌식은 디지털 포렌식 분야의 하나로 모바일 기기에서 디지털 증거나 데이터를 복구하여 범죄 수사의 중요한 법정 증거자료로 사용할 수 있도록 하는 것이다. 모바일 기기에 대한 포렌식 연구는 2000년대 초반에 시작된 비교적 새로운 분야이다.
소비자 시장에서의 스마트폰 사용 확산으로 인해 스마트 디바이스의 포렌식 조사에 대한 수요가 늘고 있지만, 이를 기존의 컴퓨터 포렌식 기술로 해결하는 데는 한계가 있는 것이 사실이다. 이와 같은 한계를 극복하기 위하여, 최근 몇 년간 수사관의 최소한의 간섭으로 스마트 디바이스의 메모리를 복구하고 분석할 수 있는 상업용 툴도 나오기 시작하였다. 그리고 점차 모바일 포렌식과 관련된 기술들이 더욱 빠르게 개발되기 시작하였으며, OS나 애플리케이션 개발환경 등 다양한 모바일 환경 특성을 고려한 모바일 포렌식 시스템 및 방법이 개발되기도 하였다(공개특허 제10-2011-0129573호 등).
종래의 모바일 포렌식에 따르면, 모바일 포렌식 수행을 위해서는 용의자로부터 스마트 디바이스를 받아야 하기 때문에 용의자를 직접 대면해야 한다. 즉, 모바일 포렌식은 전문적인 하드웨어 장비를 이용하므로, 용의자로부터 스마트 디바이스를 받아 전문적인 하드웨어 장비에 연결하는 방식으로 포렌식이 이루어졌다. 그러나 원격지에 있는 용의자의 스마트 디바이스를 신속하게 분석하여 수사에 활용하여야 하는 수사 상황에서, 이와 같은 방식으로 포렌식을 활용하는 데에는 불편함이 따르며 시간도 오래 걸리는 어려움이 있다. 또한, 각각의 수사 기관마다 직접 모바일 포렌식 장치를 구비하는 것은, 경제적인 부담이 클 뿐만 아니라 전문성도 떨어지므로 모바일 포렌식의 수행이 원활하게 이루어지지 못하는 단점이 존재한다. 따라서 이와 같은 문제를 해결하기 위한 모바일 포렌식 방법의 개발이 시급히 필요한 실정이다.
본 발명은 기존에 제안된 방법들의 상기와 같은 문제점들을 해결하기 위해 제안된 것으로서, 스마트 디바이스에 저장된 분석 대상 파일로 덤프 파일을 생성하여 네트워크를 통해 모바일 포렌식 장치에 전송하고, 모바일 포렌식 장치에서 덤프 파일을 분석하여 분석 정보를 추출함으로써, 용의자를 대면할 필요 없이 네트워크를 통해 신속하고 편리하게 원격지 용의자의 스마트 디바이스에 대한 모바일 포렌식을 수행하고, 모바일 포렌식의 수행에 따른 분석 정보를 획득하여 활용할 수 있으며, 전문적인 모바일 포렌식 장치에 의해 분석 정보가 추출되므로 분석 정보의 신뢰도 및 활용도를 향상시킬 수 있는, 네트워크 통신에 기반을 둔 모바일 포렌식 방법을 제공하는 것을 그 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명의 특징에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법은,
스마트 디바이스의 모바일 포렌식 방법으로서,
(1) 상기 스마트 디바이스에 저장된 분석 대상 파일로 덤프(dump) 파일을 생성하는 단계;
(2) 상기 생성한 덤프 파일을 네트워크를 통해 모바일 포렌식 장치에 전송하는 단계; 및
(3) 상기 모바일 포렌식 장치가, 상기 덤프 파일을 분석하여 분석 정보를 추출하는 단계를 포함하는 것을 그 구성상의 특징으로 한다.
바람직하게는, 상기 단계 (1) 및 단계 (2)는,
상기 스마트 디바이스 또는 상기 스마트 디바이스와 연결된 사용자 단말에 의해 처리될 수 있다.
바람직하게는,
상기 단계 (1)에서는, 상기 생성한 덤프 파일의 가상 디스크 이미지를 생성하며,
상기 단계 (2)에서는, 상기 생성한 가상 디스크 이미지를 네트워크를 통해 상기 모바일 포렌식 장치에 전송할 수 있다.
바람직하게는, 상기 단계 (3) 이전에는,
상기 모바일 포렌식 장치가, 비용의 청구를 위한 결제 프로세스를 처리하는 단계를 더 포함할 수 있다.
바람직하게는, 상기 단계 (2)와 단계 (3) 사이에는,
상기 모바일 포렌식 장치가, 상기 덤프 파일의 수신이 완료되면 확인 메시지를 전송하는 단계를 더 포함할 수 있다.
바람직하게는, 상기 단계 (3) 이후에는,
(4) 상기 모바일 포렌식 장치가, 상기 추출한 분석 정보를 이용하여 사용자의 행위를 시뮬레이션하는 단계를 더 포함할 수 있다.
더욱 바람직하게는, 상기 단계 (4) 이후에는,
상기 모바일 포렌식 장치가, 상기 시뮬레이션 결과를 시각화하여 출력하거나 사용자 단말에 전송하는 단계를 더 포함할 수 있다.
바람직하게는, 상기 분석 대상 파일은,
시각 정보, 좌표 정보, 파일 시스템 정보, 파일 로그 정보, 통화 로그 정보, 데이터 로그 정보 및 모바일 웹 히스토리 정보 중 적어도 하나 이상을 포함하는 파일일 수 있다.
본 발명에서 제안하고 있는 네트워크 통신에 기반을 둔 모바일 포렌식 방법에 따르면, 스마트 디바이스에 저장된 분석 대상 파일로 덤프 파일을 생성하여 네트워크를 통해 모바일 포렌식 장치에 전송하고, 모바일 포렌식 장치에서 덤프 파일을 분석하여 분석 정보를 추출함으로써, 용의자를 대면할 필요 없이 네트워크를 통해 신속하고 편리하게 원격지 용의자의 스마트 디바이스에 대한 모바일 포렌식을 수행하고, 모바일 포렌식의 수행에 따른 분석 정보를 획득하여 활용할 수 있으며, 전문적인 모바일 포렌식 장치에 의해 분석 정보가 추출되므로 분석 정보의 신뢰도 및 활용도를 향상시킬 수 있다.
도 1은 종래의 스마트 디바이스의 모바일 포렌식 시스템을 도시한 도면.
도 2는 본 발명의 일실시예에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법을 구현하기 위한 시스템의 구성을 도시한 도면.
도 3은 본 발명의 일실시예에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법을 통해 모바일 포렌식을 수행할 수 있는 스마트 디바이스를 도시한 도면.
도 4는 본 발명의 일실시예에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법의 흐름을 도시한 도면.
도 5는 본 발명의 일실시예에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법에서, 단계 S200 및 단계 S300 사이에 처리될 수 있는 단계들의 흐름을 도시한 도면.
이하, 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 바람직한 실시예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시예를 상세하게 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다. 또한, 유사한 기능 및 작용을 하는 부분에 대해서는 도면 전체에 걸쳐 동일한 부호를 사용한다.
덧붙여, 명세서 전체에서, 어떤 부분이 다른 부분과 ‘연결’ 되어 있다고 할 때, 이는 ‘직접적으로 연결’ 되어 있는 경우뿐만 아니라, 그 중간에 다른 소자를 사이에 두고 ‘간접적으로 연결’ 되어 있는 경우도 포함한다. 또한, 어떤 구성요소를 ‘포함’ 한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있다는 것을 의미한다.
도 1은 종래의 스마트 디바이스의 모바일 포렌식 시스템을 도시한 도면이다. 종래에 스마트 디바이스에 대하여 모바일 포렌식을 수행하기 위해서는, 스마트 디바이스를 용의자로부터 직접 수집하여 모바일 포렌식을 수행하여야 하는데, 스마트 디바이스를 모바일 포렌식 전문 업체에 맡기거나 모바일 포렌식 장비를 구매하여 모바일 포렌식을 처리할 수 있으며, 도 1에 도시된 바와 같이 컴퓨터 등에 모바일 포렌식 프로그램을 설치하여 수사관 등이 직접 모바일 포렌식을 처리할 수도 있다. 그러나 이와 같은 종래의 방식을 이용하여 모바일 포렌식을 수행하기 위해서는, 증거 자료인 스마트 디바이스를 용의자에게 받아야 하므로, 급박한 수사 상황에서 원격지에 있는 용의자의 스마트 디바이스를 신속하게 분석할 수 없는 한계가 있다.
도 2는 전술한 바와 같은 한계를 극복할 수 있는, 본 발명의 일실시예에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법을 구현하기 위한 시스템의 구성을 도시한 도면이다. 도 2에 도시된 바와 같이, 본 발명의 일실시예에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법을 구현하기 위한 시스템은, 스마트 디바이스(100) 및 모바일 포렌식 장치(200)를 포함하여 구성될 수 있으며, 사용자 단말(300)을 더 포함하여 구성될 수 있다.
즉, 본 발명은, 스마트 디바이스(100)가 저장된 분석 대상 파일로 덤프 파일을 생성하여 네트워크를 통해 모바일 포렌식 장치(200)에 전송하면, 모바일 포렌식 장치(200)가 덤프 파일을 분석하여 분석 정보를 추출함으로써, 수사관이나 수사 기관 등에서 추출된 분석 정보를 이용해 수사에 필요한 각종 정보를 쉽게 획득할 수 있다. 또한, 모바일 포렌식 장치(200)가 추출한 분석 정보를 이용하여 사용자의 행위 등을 시뮬레이션하고 시각화하여 출력함으로써, 수사관이 스마트 디바이스(100)의 사용자 행위나 위치 등을 직관적으로 조사할 수 있다. 특히, 최근에는 스마트 디바이스(100)가 일상생활과 밀접한 관련이 있어 풍부한 정보를 저장하고 있으므로, 스마트 디바이스(100)에 대한 분석을 통해 사용자의 행위를 시뮬레이션함으로써, 복잡한 자료 수집이 불필요하고 보다 효율적으로 시간의 흐름에 따른 사용자의 행위를 조사할 수 있다.
한편, 본 발명의 다른 실시예에 따르면, 사용자 단말(300)에 스마트 디바이스(100)를 USB 등으로 연결하고, 사용자 단말(300)을 통해 스마트 디바이스(100)에 저장된 분석 대상 파일을 추출하여 덤프 파일을 생성하고, 사용자 단말(300)이 네트워크를 통해 덤프 파일을 모바일 포렌식 장치(200)에 전송하는 방식으로 구현될 수도 있다. 본 발명의 다른 실시예에서도, 모바일 포렌식을 수행하는 주체는 모바일 포렌식 장치(200)가 되고, 사용자 단말(300)은 스마트 디바이스(100)에서 분석 대상 파일을 추출하여 모바일 포렌식 장치(200)에 전송하는 역할을 하게 되므로, 사용자가 직접 모바일 포렌식 장치(200) 등을 구비하거나 사용자 단말(300)에 모바일 포렌식 프로그램을 설치할 필요가 없으며, 네트워크를 통해 원격지에 있는 스마트 디바이스(100)에 대한 모바일 포렌식을 처리할 수 있다.
이하에서는, 본 발명의 일실시예에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법을 구현하기 위한 시스템의 각 구성요소에 대하여 상세히 설명하도록 한다.
스마트 디바이스(100)는, 본 발명의 일실시예에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법에 의해 분석되는 분석 대상 기기일 수 있다. 최근에는 스마트 디바이스(100)의 사용이 보편화되고 사용자가 스마트 디바이스(100)를 소지하고 다니면서, 메시지의 송수신이나 통화를 하는 것 이외에도 웹서핑이나 채팅, 게임을 하는 등으로 기능이 다양화되었다. 종래에는 일반 퍼스널 컴퓨터나 디스크를 대상으로 하는 디지털 포렌식이 일반적이었으나, 이와 같이 스마트 디바이스(100)가 사용자의 행위에 대한 포괄적인 정보를 포함하게 되면서, 스마트 디바이스(100)에 대한 모바일 포렌식이 중요해졌다. 뿐만 아니라, 대부분의 스마트 디바이스(100)에서 GPS 기능이나 이동통신망을 통해 스마트 디바이스(100)의 위치 파악이 가능하므로, 스마트 디바이스(100)에 대한 모바일 포렌식을 통해 사용자의 위치 파악을 할 수 있어, 수사에 많은 도움이 될 수 있다.
본 발명의 일실시예에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법에서는, 인터넷, 인트라넷, 유무선 통신망, 이동통신망 등을 포함하는 네트워크에 의한 통신을 이용하여, 수사관이나 수사 기관 등에서 신속하고 편리하게 모바일 포렌식을 처리하고, 스마트 디바이스(100)를 이용하여 사용자의 다양한 행위와 사용자 위치 등에 대한 분석을 할 수 있다.
도 3은 본 발명의 일실시예에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법을 통해 모바일 포렌식을 수행할 수 있는 스마트 디바이스(100)를 도시한 도면이다. 도 3에 도시된 바와 같이, 본 발명의 일실시예에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법을 통해 모바일 포렌식을 수행할 수 있는 스마트 디바이스(100)는, 스마트폰, 스마트 노트, 태블릿 PC, 스마트 카메라 등의 모바일 스마트 기기일 수 있다. 다만, 본 발명에 의해 모바일 포렌식을 수행할 수 있는 스마트 디바이스(100)가, 나열한 바와 같은 단말기의 형태에 한정되는 것은 아니고, 다양한 기능을 하는 스마트 디바이스(100)로서 모바일 포렌식을 통한 분석이 필요한 기기라면, 구체적인 단말기의 형태에 관계없이 본 발명의 스마트 디바이스(100)의 역할을 얼마든지 할 수 있다. 또한, 본 발명의 스마트 디바이스(100)는 현재 이용되고 있거나 장래에 이용 가능하게 될 모든 종류의 스마트 디바이스(100)를 포함할 수 있다.
모바일 포렌식 장치(200)는, 네트워크를 통해 스마트 디바이스(100)로부터 덤프 파일을 전송받아 분석하여 분석 정보를 추출하는 장치일 수 있다. 모바일 포렌식 장치(200)는 스마트 디바이스(100)로부터 네트워크를 통해 수신한 덤프 파일을 분석하여 스마트 디바이스(100) 사용자의 행위, 위치 등 필요한 분석 정보를 추출할 수 있다. 또한, 분석 정보를 이용하여 시뮬레이션을 수행하고 시뮬레이션 결과를 시각화하여 출력함으로써, 수사관이나 수사 기관에서 분석 정보를 쉽게 활용하도록 할 수 있다.
사용자 단말(300)은, 스마트 디바이스(100)로부터 분석 대상 파일을 추출하여 덤프 파일을 생성하고, 네트워크를 통해 모바일 포렌식 장치(200)에 덤프 파일을 전송하는 클라이언트 단말기일 수 있다. 수사관 또는 수사 기관에서는 사용자 단말(300)에 덤프 파일 추출을 위한 애플리케이션 프로그램 등을 설치 및 실행하고, USB 등의 시리얼 통신으로 스마트 디바이스(100)를 사용자 단말(300)에 연결하여 분석 대상 파일을 추출할 수 있다. 또한, 모바일 포렌식 장치(200)로부터 네트워크를 통해 분석 정보를 수신하여 수사관 또는 수사 기관 등에서 쉽게 확인 가능하도록 출력할 수도 있다.
도 4는 본 발명의 일실시예에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법의 흐름을 도시한 도면이다. 도 4에 도시된 바와 같이, 본 발명의 일실시예에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법은, 스마트 디바이스(100)에 저장된 분석 대상 파일로 덤프 파일을 생성하는 단계(S100), 덤프 파일을 네트워크를 통해 모바일 포렌식 장치(200)에 전송하는 단계(S200) 및 덤프 파일을 분석하여 분석 정보를 추출하는 단계(S300)를 포함하여 구현될 수 있으며, 분석 정보를 이용하여 사용자의 행위를 시뮬레이션하는 단계(S400) 및 시뮬레이션 결과를 시각화하여 출력하거나 사용자 단말(300)에 전송하는 단계(S500)를 더 포함하여 구현될 수 있다.
이때, 단계 S100 및 단계 S200은 스마트 디바이스(100) 또는 스마트 디바이스(100)와 연결된 사용자 단말(300)에 의해 처리될 수 있다. 특히, 스마트 디바이스(100)는, 본 발명의 일실시예에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법을 구현하기 위한 애플리케이션 프로그램을 설치 및 실행할 수 있다. 즉, 필요에 따라서는 분석 대상 기기인 스마트 디바이스(100)에 단계 S100 내지 단계 S300의 구현을 위한 애플리케이션 프로그램을 설치하고 실행함으로써, 애플리케이션 프로그램을 통해 스마트 디바이스(100)에 저장된 분석 대상 파일로 덤프 파일을 생성하고, 스마트 디바이스(100) 자체의 통신 기능을 이용하여 모바일 포렌식 장치(200)에 덤프 파일을 전송할 수도 있다. 이와 같은 애플리케이션 프로그램을 이용하면, 사용자 단말(300)과 같은 부수적인 장치 없이도 스마트 디바이스(100)만을 이용하여 모바일 포렌식을 수행할 수 있다.
이하에서는, 본 발명의 일실시예에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법의 각 단계에 대하여 상세히 설명하도록 한다.
단계 S100에서는, 스마트 디바이스(100) 또는 스마트 디바이스(100)와 연결된 사용자 단말(300)이, 스마트 디바이스(100)에 저장된 분석 대상 파일로 덤프 파일을 생성할 수 있다. 분석 대상 파일은, 시각 정보, 좌표 정보, 파일 시스템 정보, 파일 로그 정보, 통화 로그 정보, 데이터 로그 정보 및 모바일 웹 히스토리 정보 중 적어도 하나 이상을 포함하는 파일로서, 수사에 필요한 각종 정보를 포함하는 파일일 수 있다. 특히, 분석 대상 파일은 대표적으로 db 확장자를 가진 파일일 수 있으며, 분석 대상 파일 및 이와 관련된 관련 파일 전체를 덤프 하여 덤프 파일을 생성할 수 있다.
파일 덤프는 프로그램의 오류 수정이나 데이터의 검사를 위해 기억 장치나 파일 내용의 전체 또는 일부를 행 인쇄기에 출력(copy)하는 것을 의미하는 것으로서, 분석 대상 파일을 덤프 하여 덤프 파일을 생성함으로써, 분석 대상 파일을 모바일 포렌식 장치(200)로 용이하게 전달할 수 있다. 특히, 본 발명에서는, 사용자 단말(300)이 스마트 디바이스(100)로부터 분석 대상 파일을 추출하고 덤프 파일을 생성할 수 있으나, 실시예에 따라서는 스마트 디바이스(100)에 설치된 애플리케이션 프로그램을 실행하여 스마트 디바이스(100)에서 덤프 파일을 생성할 수도 있다. 이와 같이 애플리케이션 프로그램을 이용함으로써, 사용자가 포렌식과 관련된 전문적인 지식이 없더라도 단계 S100을 용이하게 처리할 수 있다.
한편, 단계 S100에서 분석 대상 파일로 덤프 파일을 생성하기 위해서는, 스마트 디바이스(100)의 관리자 권한을 획득하여야 하므로, 단계 S100의 처리 이전에 관리자 권한을 획득하는 루팅(rooting) 과정을 처리할 수 있다. 즉, 사용자 단말(300)이 스마트 디바이스(100)에 USB 등 시리얼 통신을 이용해 접속하고 관리자 권한을 획득하거나, 스마트 디바이스(100)에 설치된 애플리케이션 프로그램을 실행하고 관리자 권한을 획득함으로써, 일반적으로 접근 불가능한 분석 대상 파일에 접근하거나 덤프 파일을 생성하여 단계 S100을 처리할 수 있다.
또한, 단계 S100에서는, 생성한 덤프 파일의 가상 디스크 이미지를 생성할 수 있다. 즉, 생성한 덤프 파일을 파일 상태로 전송하는 것이 아니라, 덤프 파일을 하드 디스크나 CD-ROM 드라이브처럼 사용할 수 있도록, 가상 디스크 이미지로 생성할 수 있다.
단계 S200에서는, 스마트 디바이스(100) 또는 스마트 디바이스(100)와 연결된 사용자 단말(300)이, 단계 S100에서 생성한 덤프 파일을 네트워크를 통해 모바일 포렌식 장치(200)에 전송할 수 있다. 즉, 단계 S100에서 생성한 덤프 파일을 네트워크를 통해 모바일 포렌식 장치(200)에 전송함으로써, 원격으로 스마트 디바이스(100)에 대한 모바일 포렌식의 수행을 의뢰할 수 있다.
이때, 단계 S200에서는, 생성한 가상 디스크 이미지를 네트워크를 통해 모바일 포렌식 장치(200)에 전송할 수 있다. 즉, 덤프 파일을 그 자체로 전송하는 것이 아니라 가상 디스크 이미지로 변환하여 전송함으로써, 원격지의 모바일 포렌식 장치(200)가 직접 스마트 디바이스(100)를 통신 케이블로 연결하여 분석 대상 파일을 추출하는 것과 동일한 방식으로 덤프 파일의 인식이 가능하도록 할 수 있다.
또한, 단계 S200에서는 덤프 파일을 암호화하여 전송할 수 있다. 덤프 파일은 증거 자료인 스마트 디바이스(100)의 각종 정보를 포함하고 있는데, 본 발명의 단계 S200에서는 네트워크를 통해 덤프 파일을 전송하기 때문에, 수사와 관련된 각종 정보가 유출될 위험이 있다. 따라서 본 발명의 단계 S200에서는, 덤프 파일을 암호화하여 전송함으로써 보안을 강화할 수 있다.
단계 S300에서는, 모바일 포렌식 장치(200)가, 덤프 파일을 분석하여 분석 정보를 추출할 수 있다. 즉, 단계 S200에서 스마트 디바이스(100) 또는 스마트 디바이스(100)와 연결된 사용자 단말(300)이 전송한 덤프 파일을 수신한 모바일 포렌식 장치(200)는, 덤프 파일을 분석하여 모바일 포렌식 수행 결과인 분석 정보를 추출할 수 있다.
분석 정보는, 스마트 디바이스(100)를 이용한 행위를 파악할 수 있는 행위 정보나 스마트 디바이스(100)의 위치 정보 등일 수 있다. 행위 정보는, 특정 시각의 메시지의 전송과 수신, 전화 발신과 수신, 사진 촬영, 애플리케이션 프로그램의 설치와 실행, 및 웹사이트 방문과 검색 중 적어도 하나 이상을 포함할 수 있다. 예를 들어, 사용자가 메시지 자체는 삭제했더라도 메시지의 전송과 수신에 대한 로그 정보는 스마트 디바이스(100)에 남아있을 수 있으므로, 모바일 포렌식 장치(200)는 로그 정보의 분석을 통해 특정 시각에 메시지를 전송 또는 수신한 사용자의 행위에 대한 정보를 생성할 수 있다. 그 밖에도, 최근에는 채팅 애플리케이션 프로그램을 이용한 커뮤니케이션도 활성화되어 있으므로, 채팅 대화 내용 자체를 알 수 없더라도, 채팅 애플리케이션 프로그램의 실행 및 그 시각 정보를 통해, 사용자의 행위를 파악할 수 있다. 또한, 위치 정보는, 덤프 파일을 분석하여 로그 정보에 포함된 시각 정보와 좌표 정보를 추출하고, 특정 시각에 스마트 디바이스(100)의 좌표 정보를 이용해 사용자 위치를 유추할 수 있다.
한편, 단계 S300에서는, 모바일 포렌식 장치(200)가 전송받은 덤프 파일로부터 분석 정보를 추출하고, 분석 정보를 텍스트 형태의 문서로 제공할 수 있다. 즉, 단계 S300에서는, 모바일 포렌식 장치(200)가 분석 정보를 텍스트 형태로 출력하여 수사관 등이 확인 가능하도록 할 수 있으며, 텍스트 형태로 문서화하여 사용자 단말(300)에 전송함으로써, 사용자 단말(300)을 통해 수사관 등이 확인 가능하도록 할 수도 있다. 분석 정보의 문서는, 시간에 따른 행위 정보, 시간에 따른 위치 정보, 통화 내역, 문자 메시지, 메신저 대화 내용 등 텍스트 형태로 분석 가능한 데이터를 포함할 수 있다.
단계 S400에서는, 모바일 포렌식 장치(200)가, 추출한 분석 정보를 이용하여 사용자의 행위를 시뮬레이션할 수 있다. 즉, 모바일 포렌식 장치(200)는 단계 S300에서 추출한 분석 정보를 이용하여 시간의 흐름에 따라 사용자가 어떠한 행위를 하는지, 또는 어디에서 어디로 이동하였는지 등을 시뮬레이션할 수 있다.
모바일 포렌식 장치(200)가 단계 S300에서 추출한 분석 정보를 단순히 출력하거나, 모바일 포렌식 장치(200)가 분석 정보를 사용자 단말(300)에 전송함으로써 모바일 포렌식 수행 결과를 수사관 또는 수사 기관 등에서 확인할 수 있다. 그러나 분석 정보를 나열한 것만으로는 사용자 행위의 흐름을 신속하고 정확하게 파악하기 어렵고, 행위 정보를 시간의 흐름에 따라 나열하더라도 나날이 대용량화, 다기능화되고 있는 스마트 디바이스(100)의 수많은 데이터를 빠르게 검토하는 데에는 한계가 있을 수 있다. 따라서 단계 S400을 처리함으로써 시뮬레이션을 통해 수사관 등이 신속하고 용이하게 스마트 디바이스(100)의 수많은 데이터에 대한 직관적인 검토가 가능하도록 할 수 있다.
단계 S500에서는, 모바일 포렌식 장치(200)가, 시뮬레이션 결과를 시각화하여 출력하거나 사용자 단말(300)에 전송할 수 있다. 즉, 모바일 포렌식 장치(200) 또는 사용자 단말(300)을 통해, 수사관 등이 단계 S400의 시뮬레이션 결과를 시각적으로 확인하도록 할 수 있다. 단계 S400에서는, 시간의 흐름에 따른 시뮬레이션 결과를 출력하므로 시간에 따라 시각화된 정보가 변경될 수 있으며, 미리 정해진 속도의 시간의 흐름에 따라 시뮬레이션 결과를 출력할 수 있다.
도 5는 본 발명의 일실시예에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법에서, 단계 S200 및 단계 S300 사이에 처리될 수 있는 단계들의 흐름을 도시한 도면이다. 도 5에 도시된 바와 같이, 본 발명의 일실시예에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법은, 비용의 청구를 위한 결제 프로세스를 처리하는 단계(S210) 또는 확인 메시지를 전송하는 단계(S220) 중 적어도 하나 이상을 더 포함하여 구현될 수 있다.
단계 S210에서는, 모바일 포렌식 장치(200)가 비용의 청구를 위한 결제 프로세스를 처리할 수 있다. 이때, 단계 S210은 스마트 디바이스(100) 또는 사용자 단말(300)과 모바일 포렌식 장치(200) 사이의 통신을 통해 처리될 수 있으며, 신용카드, 계좌이체, 휴대폰 결제, 포인트, 상품권 등 일반적인 온라인 결제 또는 모바일 결제에서 사용하는 결제 프로세스와 동일하게 처리될 수 있다. 단계 S210을 더 포함함으로써, 본 발명의 일실시예에 따른 네트워크 통신에 기반을 둔 모바일 포렌식 방법에서는, 네트워크를 통해 신속하고 편리하게 모바일 포렌식 수행비용을 청구하고 결제할 수 있기 때문에, 모바일 포렌식 업체와 포렌식을 의뢰하는 고객 간 신뢰를 형성하고 편의를 도모할 수 있다.
단계 S220에서는, 모바일 포렌식 장치(200)가 덤프 파일의 수신을 확인하는 확인 메시지를 전송할 수 있다. 즉, 단계 S200에서 덤프 파일이 모바일 포렌식 장치(200)에 전송되면, 덤프 파일이 안전하게 수신되어 모바일 포렌식을 수행한다는 내용의 확인 메시지를 스마트 디바이스(100) 또는 사용자 단말(300)에 전송하여 출력할 수 있다. 이때, 확인 메시지는, 모바일 포렌식에 소요되는 예상 시간 정보를 포함하여 수사관 또는 수사 기관의 편의를 향상시킬 수 있다. 단계 S220에서는, 수사관 등이 미리 지정한 사용자 단말(300)로 SMS(Short Message Service), MMS(Multi Message Service), 이메일 등을 전송하여 확인 메시지를 전송받을 수 있으며, 스마트 디바이스(100)에 설치된 애플리케이션 프로그램을 통해 푸시 메시지로 확인 메시지를 출력할 수도 있다.
이상 설명한 본 발명은 본 발명이 속한 기술분야에서 통상의 지식을 가진 자에 의하여 다양한 변형이나 응용이 가능하며, 본 발명에 따른 기술적 사상의 범위는 아래의 특허청구범위에 의하여 정해져야 할 것이다.
100: 스마트 디바이스 200: 모바일 포렌식 장치
300: 사용자 단말
S100: 스마트 디바이스에 저장된 분석 대상 파일로 덤프 파일을 생성하는 단계
S200: 덤프 파일을 네트워크를 통해 모바일 포렌식 장치에 전송하는 단계
S210: 비용의 청구를 위한 결제 프로세스를 처리하는 단계
S220: 확인 메시지를 전송하는 단계
S300: 덤프 파일을 분석하여 분석 정보를 추출하는 단계
S400: 분석 정보를 이용하여 사용자의 행위를 시뮬레이션하는 단계
S500: 시뮬레이션 결과를 시각화하여 출력하거나 사용자 단말에 전송하는 단계

Claims (8)

  1. 스마트 디바이스의 모바일 포렌식 방법으로서,
    (1) 상기 스마트 디바이스에 저장된 분석 대상 파일로 덤프(dump) 파일을 생성하는 단계;
    (2) 상기 생성한 덤프 파일을 네트워크를 통해 모바일 포렌식 장치에 전송하는 단계; 및
    (3) 상기 모바일 포렌식 장치가, 상기 덤프 파일을 분석하여 분석 정보를 추출하는 단계를 포함하되,
    상기 단계 (3) 이전에는,
    상기 모바일 포렌식 장치가, 비용의 청구를 위한 결제 프로세스를 처리하는 단계를 더 포함하는 것을 특징으로 하는, 네트워크 통신에 기반을 둔 모바일 포렌식 방법.
  2. 제1항에 있어서, 상기 단계 (1) 및 단계 (2)는,
    상기 스마트 디바이스 또는 상기 스마트 디바이스와 연결된 사용자 단말에 의해 처리되는 것을 특징으로 하는, 네트워크 통신에 기반을 둔 모바일 포렌식 방법.
  3. 제1항에 있어서,
    상기 단계 (1)에서는, 상기 생성한 덤프 파일의 가상 디스크 이미지를 생성하며,
    상기 단계 (2)에서는, 상기 생성한 가상 디스크 이미지를 네트워크를 통해 상기 모바일 포렌식 장치에 전송하는 것을 특징으로 하는, 네트워크 통신에 기반을 둔 모바일 포렌식 방법.
  4. 삭제
  5. 제1항에 있어서, 상기 단계 (2)와 단계 (3) 사이에는,
    상기 모바일 포렌식 장치가, 상기 덤프 파일의 수신이 완료되면 확인 메시지를 전송하는 단계를 더 포함하는 것을 특징으로 하는, 네트워크 통신에 기반을 둔 모바일 포렌식 방법.
  6. 제1항에 있어서, 상기 단계 (3) 이후에는,
    (4) 상기 모바일 포렌식 장치가, 상기 추출한 분석 정보를 이용하여 사용자의 행위를 시뮬레이션 하는 단계를 더 포함하는 것을 특징으로 하는, 네트워크 통신에 기반을 둔 모바일 포렌식 방법.
  7. 제6항에 있어서, 상기 단계 (4) 이후에는,
    상기 모바일 포렌식 장치가, 상기 시뮬레이션 결과를 시각화하여 출력하거나 사용자 단말에 전송하는 단계를 더 포함하는 것을 특징으로 하는, 네트워크 통신에 기반을 둔 모바일 포렌식 방법.
  8. 제1항에 있어서, 상기 분석 대상 파일은,
    시각 정보, 좌표 정보, 파일 시스템 정보, 파일 로그 정보, 통화 로그 정보, 데이터 로그 정보 및 모바일 웹 히스토리 정보 중 적어도 하나 이상을 포함하는 파일인 것을 특징으로 하는, 네트워크 통신에 기반을 둔 모바일 포렌식 방법.
KR1020130112202A 2013-09-17 2013-09-17 네트워크 통신에 기반을 둔 모바일 포렌식 방법 KR101392624B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130112202A KR101392624B1 (ko) 2013-09-17 2013-09-17 네트워크 통신에 기반을 둔 모바일 포렌식 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130112202A KR101392624B1 (ko) 2013-09-17 2013-09-17 네트워크 통신에 기반을 둔 모바일 포렌식 방법

Publications (1)

Publication Number Publication Date
KR101392624B1 true KR101392624B1 (ko) 2014-05-07

Family

ID=50893395

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130112202A KR101392624B1 (ko) 2013-09-17 2013-09-17 네트워크 통신에 기반을 둔 모바일 포렌식 방법

Country Status (1)

Country Link
KR (1) KR101392624B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101812328B1 (ko) * 2016-03-29 2018-01-25 대한민국 모바일 기기에서 데이터 무결성을 보장하는 부분 데이터 획득 장치 및 방법
KR102079124B1 (ko) 2018-08-29 2020-02-19 나성훈 모바일 디바이스에 대한 디지털 포렌식 방법
KR102079119B1 (ko) 2018-08-29 2020-04-07 나성훈 스마트기기에 대한 데이터 복구 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101812328B1 (ko) * 2016-03-29 2018-01-25 대한민국 모바일 기기에서 데이터 무결성을 보장하는 부분 데이터 획득 장치 및 방법
KR102079124B1 (ko) 2018-08-29 2020-02-19 나성훈 모바일 디바이스에 대한 디지털 포렌식 방법
KR102079119B1 (ko) 2018-08-29 2020-04-07 나성훈 스마트기기에 대한 데이터 복구 방법

Similar Documents

Publication Publication Date Title
CN110535865B (zh) 信息处理方法、装置、测试终端、测试平台及存储介质
Andriotis et al. Forensic analysis of wireless networking evidence of android smartphones
Cahyani et al. The role of mobile forensics in terrorism investigations involving the use of cloud storage service and communication apps
KR20120100146A (ko) 스마트폰 어플리케이션을 이용한 사용자 행동분석 시스템 및 방법
US20230342872A1 (en) System and method for collecting forensic data via a mobile device
Tso et al. iPhone social networking for evidence investigations using iTunes forensics
KR101785481B1 (ko) 스크래핑 서비스 제공 방법, 그를 위한 서버 장치 및 시스템
KR101517834B1 (ko) 네트워크 통신에 기반을 둔 스마트 디바이스의 데이터 복구 방법
KR101392624B1 (ko) 네트워크 통신에 기반을 둔 모바일 포렌식 방법
US10775751B2 (en) Automatic generation of regular expression based on log line data
Azhar et al. Forensic analysis of secure ephemeral messaging applications on android platforms
CN117375817A (zh) 即时通信数据的端到端加密方法、装置、电子设备及介质
CN111045934A (zh) 页面分析方法、装置、客户端、存储介质及电子设备
CN109600257A (zh) 工具的部署方法、装置和存储介质
CN115552401A (zh) 一种快应用检测方法、装置、设备及存储介质
Zhu Mobile Cloud Computing: implications to smartphone forensic procedures and methodologies
JP5851311B2 (ja) アプリケーション検査装置
CN105141586A (zh) 一种对用户进行验证的方法和***
KR20110129573A (ko) 모바일 디바이스에서 포렌식 정보를 자동으로 추출하는 시스템 및 방법
JP2013130980A (ja) マルチパートmimeデータで送信されるデータの画像化置換方法による標的型メール攻撃の対策方法
KR20150069182A (ko) 서버를 이용한 모바일 포렌식 무결성입증 및 증거관리 방법
CN112817816B (zh) 埋点处理方法、装置、计算机设备和存储介质
CN114428737A (zh) 基于微服务体系的通信方法、装置、设备及存储介质
KR101456467B1 (ko) 패킷변조를 이용한 접속기록 생성 시스템
CN112749078A (zh) 一种埋点测试方法和装置

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170529

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180417

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190305

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20200305

Year of fee payment: 7