신수민, 최용철, 김소람, 김종성.(2021).협업 툴 아티팩트 분석 및 삭제된 데이터 복구 연구.디지털포렌식연구,15(2),99-123.
[원문보기]
선정 이유
협업 툴을 요즘 개인적으로 혹은 기업 자체적으로 많이 사용하기 때문에 사건이 발생했을 시 많은 증거들이 남아있을 가능성이 높다고 생각했기 때문에 협업 툴 내부의 아티팩트들은 어떤 것이 있고, 어디에 있으며 어떻게 활용될 수 있는지 궁금했기 때문
요약
협업 툴이 기존의 대면 업무를 대체하는 수단으로 자리잡고 있다
데이터가 혼재되어 저장되므로 활용의 어려움을 겪는다
이 논문이 한 것
사용량이 많은 협업 툴인 잔디와 네이버 웍스를 안드로이드 환경에서 분석 후
-> 주요 아티팩트를 식별하고 의미를 파악 / 삭제된 메시지에 대한 복구 가능 여부 확인 / 채팅방 재구성을 통해 포렌식적 활용 방안을 제시
서론
협업 툴의 사용량 증가 -> 데이터의 위치 파악 및 의미 파악은 디지털 포렌식 수사 관점에서 효율적인 활용이 가능
관련 연구
1. 애플리케이션에 대한 아티팩트 분석
- Farid Daryabar 등 : Android와 ios 환경에서 많이 사용하는 클라우드 스토리지 애플리케이션(onedrive, box, googledrive, dropbox)에 대해 계정 정보, 파일 다운로드, 업로드, 삭제 및 고융와 관련된 데이터 분석 진행
- 박은후 등 : 윈도우즈와 안드로이드 환경에서 WeChat 메신저를 대상으로 저장된 데이터의 차이점을 비교하며 아티팩트 분석 결과를 제시
- Ming Sang Chang 등 : 윈도우즈 환경에서 LINE 메신저를 사용한 후 저장된 데이터의 위치를 파악하고 주요 데이터 식별
- Erhan Akbal 등 : Android 환경에서 음성 메시지 및 화상 통화 기능을 제공하는 메신저인 BiP Messenger에 대해 주요 데이터를 선별
- Vinayak Agrawal 등 : Android 환경에서 Google Allo 메신저의 아티팩트 분석 (두 개의 XML 파일과 한 개의 DB파일에서 설정 정보, 연결된 Google 계정의 이메일, 핸드폰 번호, 대화 내역 등과 같은 주요 데이터를 획득함)
- 신수민 등 : 팀 협업용으로 사용되는 Slack과 Discord 메신저에 대해 아티팩트 분석결과를 정리하고, 가상의 시나리오를 통해 활용 방안을 제시
=> 증가하는 사용량에 비해 인스턴트 메신저 및 SNS 애플리케이션과 비교하면 협업 툴에 대한 분석결과는 미비
본 논문은 기존에 연구되지 않은 협업 툴인 잔디와 네이버 웍스를 대상으로 아티팩트 분석과 삭제된 데이터의 복구 가능성을 확인.
아티팩트 분석 부분은 논문에 표로 잘 정리되어 있어 생략함
다양한 세부 data가 다 다른 곳에 저장
+ 삭제된 메시지 복구 가능성 확인
1. 잔디
잔디는 메시지를 삭제해도 데이터 베이스 파일에 남아있고 sqlite의 secure delete 옵션을 사용하지 않아 데이터가 제로화되지 않으므로 삭제된 메시지를 복구할 수 있다. 삭제된 메시지 존재 여부는 message_link 테이블과 message_text_content 테이블의 데이터 개수를 비교함으로써 알 수 있다.
실제 데이터는 Message_id 컬럼과 testMessage_id 컬럼을 매칭하여 확인할 수 있다. message_text_content 테이블의 데이터 중 message_link 테이블의 데이터와 매칭할 수 없는 경우 삭제된 데이터 임을 확인할 수 있다.
2. 네이버 웍스
네이버 웍스도 메시지를 삭제해도 데이터 베이스 파일에 남아있고 복구할 수 있다. (잔디와 동일)
삭제된 메시지는 chat_message 테이블의 status 컬럼을 확인함으로써 알 수 있다.
status 컬럼에 DELETED가 저장되면 메시지가 삭제되었음을 의미한다.
결론
재택근무 및 원격 수업의 일상화를 통해 사용량이 증가하는 협업 툴은 사용자 행위 기반으로 생성된 데이터가 애플리케이션 내에 저장된다. 하지만 협업 툴은 사용량에 비해 분석결과가 미비하므로 혼재된 데이터 중 포렌식적 활용 가치가 있는 주요 데이터를 선정하여 체계적으로 분석하는 선행연구가 필요하다.
협업 툴은 모바일 뿐만 아니라 PC환경에서도 많이 활용되므로 PC환경에서의 아티팩트 분석 및 삭제 메시지 복구에 관한 선행연구가 필요하다.(향후 연구)
+ 개인적) 현재 사용 중인 협업 툴인 MS teams도 궁금하다.
'Forensics > 논문리뷰' 카테고리의 다른 글
INTERNET OF THINGS FORENSICS - CHALLENGES AND A CASE STUDY (0) | 2022.09.02 |
---|---|
A Survey on the Internet of Things (IoT) Forensics Challenges, Approaches, and Open Issues (0) | 2022.07.26 |
현장용 모바일포렌식 도구를 이용한 몰래카메라 범죄 증거 확보에 관한 연구 (0) | 2022.07.19 |
클라우드 스토리지 내 디지털 증거 획득의 적법성 검토 (0) | 2022.07.13 |
IoT 기기 플래시 메모리의 Ext4 파일 시스템을 위한 디지털 포렌식 절차 (0) | 2022.07.13 |
댓글