다시 뛰는 공정도시 서울!

문서번호 정보통신보안담당관-21345 결재일자 2018.10.29. 공개여부 대시민공개 방침번호 시 민 ★수습사무관 정보통신기획팀장 정보통신보안담당관 윤승용 권순복 10/29 김완집 협조 모바일 포렌식 동향 분석 보고 2018.10. 정보통신보안담당관 (정보통신기획팀) 모바일 포렌식 동향 분석 보고 모바일 포렌식 세미나에서 파악한 기술 동향을 분석하여 서울시의 정보시스템에 대한 위험을 감소시키고 정보보호 정책 수립에 도움이 되고자 함 ？？ 출장개요 ○ 출장일시 : 2018. 10. 24.(수) 09:00 ~ 18:00 ○ 출 장 자 : 전산사무관 윤승용 ○ 출장장소 : JW메리어트호텔 서울(서울 서초구) ○ 출장내용 - HancomGMD Tech Day 2018 세미나 참석 - 최신 모바일 포렌식 기술 및 적용 사례 습득 - 민관학 포렌식 전문가 간 모바일 포렌식 현안 및 발전 방향 교류 ？？ 세미나 일정 시 간 세 션 발 표 자 09:50~10:00 ○ 대표이사 환영사 김현수 대표 10:00~10:20 ○ Keynote 이경수 전무 10:20~12:00 ○ 모바일 포렌식 획득 기술 ○ 디지털 포렌식 신기술1 김성곤 수석, 김바울 선임 이용우 수석 12:00~13:00 ○ 오찬 및 포렌식 전문가 교류 13:00~14:50 ○ 모바일 포렌식 분석 기술 ○ 디지털 포렌식 신기술2 이창하 이사, 장재민 사원 정종웅 과장, 석진우 수석 15:20~17:10 ○ 해외 디지털 포렌식 기술 ○ 모바일 포렌식 분석 사례 Matt Service/BlueLightsDigital Eric Zhu/PingHang Technology 강승희 책임 ？？ 세미나 내용 ○ Keynote - Beyond Mobile, 모바일 포렌식 진화는 어디까지? (이경수 전무) ？ 애플와치, AI스피커, 스마트TV, 스마트밴드, 드론, 자동차 등 ICBM(사물인터넷, 클라우드, 빅데이터, 모바일) 기술을 활용한 장치의 기록이 사건의 중요한 증거로 작용하는 시대가 도래 ？ 사건과 관련된 장치들의 정보를 융합하고 증거들의 상관관계를 분석하여 적절히 시각화하는 것이 필요함 ○ 모바일 포렌식 획득 기술 - Android 폰 보안 우회 (김성곤 수석) ？ (보안 기술) 안드로이드 폰 보안 기술은 암호화 미적용 → FDE(Full Device Encryption) → FBE(File Based Encryption) 순서로 발전 ？ (싱가포르 인터폴 사례) 암호화 미적용시에는 Custom Recovery, Bootloader 우회, Chip Off 방식으로 물리 이미지 획득 가능 ？ (영국 WMCTU 사례) FDE 적용 시(버전 5.0 이상)에는 디스크 전체가 하나의 키로 암호화되어 있으므로 무작위 대입으로 물리 이미지 획득 가능 ？ (화웨이폰 사례) FBE 적용 시(버전 7.0 이상)에는 디스크 내 각 파일명이 스크린락과 연계된 서로 다른 키로 암호화되어 있으므로 루트쉘을 획득하여 복호화 후 파일 복사 필요 (물리 이미징 시 복구 불가) - AI 스피커 포렌식, 드론 포렌식, 자동차 포렌식 사례 (김성곤 수석) ？ (AI 스피커) SK NUGU, 카카오미니, KT 기가지니 등 국내 AI 스피커는 음성 입력을 장치 내에서 텍스트 후보군으로 변환 후, 이를 클라우드로 보내어 그 응답을 TTS로 출력하는 구조로, 사용자 입력 정보는 거의 남아 있지 않으나 네트워크 로그, 기기 응답 기록 등이 남아 있는 경우가 있음 ？ (드론) Interpol Drone Expert Form 2018에서 공유된 위협/도구/증거로써의 드론 사례와 DJI, Parrot, PixHawk사 드론에서의 비행 기록 추출 방법 공유 ？ (자동차) 자동차 내 AVN(Audio/Video/Navigation) 분석을 통해 로그 등 추출이 가능하나 현재 단계에서 사용가능한 정보는 많지 않음 ○ 디지털 포렌식 신기술1 - 소셜 네트워크 시각화를 활용한 다수 폰들 간의 관계 분석 (김바울 선임) ？ (관계 분석) 관계 네트워크 내 중요한 역할을 하는 노드들을 발견하기 위해 중심성 측정, 커뮤니티 발견, 정보 확산 분석을 실시함 ？ (관계 분석 사례) 미국 9·11 테러 네트워크, 최순실 게이트 네트워크 등 사례에서 관계 네트워크 분석을 통해 주요 인물을 발견할 수 있음 ？ (실제 적용) 알려진 주요 인물들 소유 폰의 전화·메시지·카카오톡 등 통신 내역을 관계 분석하면 숨겨진 용의자나 공모관계를 파악할 수 있음 - 모바일 기기와 연관된 클라우드 포렌식 (이용우 수석) ？ (클라우드 포렌식) 용의자로부터 압수한 클라우드 계정을 이용하여 SDK, REST API, Web Capture 방식을 통해 네이버 클라우드, 바이두, 구글 위치기록 등을 증거로써 획득 가능함 ○ 모바일 포렌식 분석 기술 - 최신 메신저 앱 데이터 저장 구조의 이해와 분석 (이창하 이사) ？ (메신저 앱 동향) LITE 버전의 메신저·SNS 앱이 주류가 되어 가고 있고, 전송·저장하는 방식이 XML·JSON 등 텍스트 기반에서 이진 직렬화로 변화 ？ (이진 직렬화) 이진 직렬화에는 Binary Property List, Apache Thrift, Protocol Buffers, FlatBuffers, MessagePack 등의 기술이 활용되고 있으며, 앱 분석 시 IDL 탐색, 역공학 디코더 분석, 개발자 직관·경험 등을 통해 데이터 저장 구조 파악 - 플래시 메모리에 최적화된 파일시스템 F2FS 분석 (장재민 사원) ？ (플래시 메모리 특징) 스마트폰 등에 사용되는 플래시 메모리는 읽기·쓰기 속도가 빠르다는 장점이 있으나, 덮어쓰기가 지원되지 않고 블록 단위로 데이터를 지워야 하며 셀마다 기록 횟수가 제한되어 있다는 단점 존재 ？ (파일시스템) HDD에서는 EXT, XFS 등 FFS 계열 파일 시스템을 활용하나, 플래시 메모리에서는 순차쓰기로 덮어쓰기를 최소화한 LFS가 이용되고 있고, LFS의 Wandering Tree Problem을 해결하고자 다중 헤드를 도입한 F2FS(Flash-Friendly File System)가 개발됨 ○ 디지털 포렌식 신기술2 - LIVE 획득과 OCR/촬영, 미러링, 화면 녹화를 활용한 증거 무결성 확보 (정종웅 과장) ？ (증거 무결성) 모바일 기기의 증거 선별 획득과 활성 시스템 증거 획득에 있어서 증거 무결성·연계 보관성 확보가 현장에서 쉽게 이뤄지기 어려움 ？ (도구 지원) 카메라를 설치한 증거 획득 시스템에서 증거 획득 전과정을 촬영하고, 파일 획득이 어려운 증거를 스마트폰 화면 촬영으로 확보하며, OCR로 촬영 이미지를 텍스트로 저장하는 기능을 MD-LIVE 3.0에서 지원예정 - 새로워진 획득 사용자 인터페이스와 다양한 장치에서의 데이터 획득 (정종웅 과장) ？ (UI/UX 개선) 복수 장치에서 효율적으로 증거를 획득하고, 복수 분석가 체제에서의 증거 분석 프로세스 개선에 도움이 되도록 UI/UX를 개선함 - 다양한 CCTV, DVR 비디오 영상 재생과 복구 방법 (석진우 수석) ？ (증거 수집) DVR로부터 CCTV 영상 증거 획득하는 방법으로는 재생 영상 촬영, 파일 내보내기 기능, 하드디스크 압수, DVR 압수 방법이 존재 ？ (영상 포렌식) DVR 영상의 경우 파일 헤더가 없어, 코덱을 맞춰 영상 파일 복구 후, 프레임을 복원하여 영상 증거를 획득 ○ 해외 디지털 포렌식 기술 - 영국 드론 사건·사고 사례와 드론 포렌식 절차 (Matt Service/BlueLightsDigital社) ？ (드론 범죄 사례) 밀수, 방사성 물질 수송, 암살 시도, 탈취, 폭탄 투하, 자폭 공격, 도촬, 무선 인터넷 크래킹, 교도소 밀반입 등 드론 범죄 및 공격용 드론 제작 훈련 과정 사례 공유 ？ (드론 공격 대응) 다양한 환경에서 드론 탐지·추적·격추·교란, 조종사 추적 등 드론 공격 대응 훈련 - 중국 최신 디지털 포렌식 기술 동향 (Eric Zhu/PingHang Technology社) ？ (시장) 중국 내 디지털 포렌식 시장은 모바일이 절반을 차지하고 있고, 경쟁이 격렬하여 제품·서비스 품질뿐만 아니라 디자인 측면에서도 시장 공략 ？ (기술) 클라우드 기반 분산 증거 분석 시스템을 통해 원격지(현장)에서 증거를 수집하여 증거를 자동으로 분석한 후 그 결과를 웹기반으로 리포팅하고 있으며, 영상·음성 분석 기술로 용의자에 대한 범죄 프로파일링이 가능 ○ 모바일 포렌식 분석 사례 - SKT,KT,LGU+통신3사의 투넘버 서비스와 듀얼 앱 분석 (강승희 책임) ？ (투넘버 서비스) 통신 3사에서는 두 개의 번호를 사용할 수 있는 부가서비스(KT-투폰, SKT-넘버플러스II, LGU+-통화도우미)를 제공 중이나 단말 지원이 제한적이고 통화·SMS·MMS 수신·발신 단말 동작이 다름 ？ (분석 범위) 투넘버 서비스를 사용할 경우, 기본계정뿐만 아니라 보조공간 및 듀얼 계정에 대해서도 분석할 필요가 있음 - 조작된 메시지와 가짜 통화기록을 찾아라 (강승희 책임) ？ (조작 앱) 톡 에이 등 앱을 활용하면 메시지·통화기록 조작, 통화 수신·발신·부재중 설정, 메시지 읽음·안 읽음 설정, 통화 중 배경 음원 설정 가능 ？ (조작 흔적) SMS 테이블의 비고 열에 앱 정보가 나타나므로 SMS 조작 여부를 알 수 있으나, MESSAGES 테이블이나 CALLS 테이블에는 특이 정보가 나타나지 않아 조작 여부를 알 수 없음 - 삭제와 복구 사이, 모바일 메신저별 분석 노하우 (강승희 책임) ？ (카카오톡 삭제 기능) 카카오톡에 5분 내에 자신이 전송한 메시지를 삭제할 수 있는 기능이 추가되었는데, 자신에게서만 메시지를 삭제하는 기능과 보낸 메시지를 대화상대 모두에게 ‘삭제된 메시지입니다’ 메시지로 대체하는 기능으로 구분 ？ (삭제 기능 분석) 자신에게서만 메시지를 삭제한 경우 DB 상에서 메시지본문이 삭제되나, 대화상대 모두에게서 삭제한 경우 DB 상에 메시지 본문은 그대로 남아 있고 ‘삭제된 메시지입니다’ 메시지가 추가됨

16395146

20210924183806

본청

정보통신보안담당관-21345

D0000034765890