본문 바로가기
포렌식

모바일 포렌식이란?

by elenakim97 2024. 11. 11.

모바일 포렌식

스마트폰, 태블릿PC 등의 모바일 기기에서 범죄의 단서나 증거를 찾아내는 과학 수사 기법.

특히 일상생활에서 제일 많이 사용하는 모바일 기기인 스마트폰은 단순히 전화 기능을 넘어, 우리가 원하는 거의 모든 행위를 할 수 있다. 따라서 스마트폰은 모바일 포렌식에서 가장 중요한 디지털 기기 중 하나이며, 스마트폰 내부의 데이터가 피의자의 위법 행위를 증명하는 결정적인 디지털 증거로 작용하는 경우도 증가하고 있다.

 

https://www.salvationdata.com/knowledge/why-are-mobile-forensic-tools-so-important/

 

 

모바일 포렌식 획득 데이터

 
📲 기본 어플리케이션
 
어플리케이션 데이터
연락처 이름, 전화번호, 주소, 이메일 주소 등
통화 목록 통화 상대, 날짜, 시간 등
문자 메시지 보낸(받은) 사람, 시간, 내용 등
이메일 보낸(받은) 사람, 시간, 내용, 첨부 파일 등
캘린더 날짜, 장소, 초대한 사람 등
웹 히스토리 방문URL, 검색어, 아이디, 패스워드 등
GPS 위치 정보
문서 파일 -
사진, 비디오 -
IMEI 국제 모바일 기기 식별 코드, 휴대전화마다 부여되는 고유 번호
IMSI 국제 이동국 식별 번호, USIM마다 부여되는 고유 번호
MAC(Media Access Control) 주소  

 

📲 사용자 설치 어플리케이션

 

어플리케이션 데이터
카카오톡, iMessage, Twitter DM 등 친구 목록, 문자 메시지 등
클라우드 서비스(iCloud, Dropbox 등) 문서 파일, 사진, 비디오, 오디오, 백업 등
금융 어플리케이션 아이디, 패스워드, 인증서, 보안카드 등
내비게이션 GPS 데이터

 


모바일 포렌식 절차

 

1) 국제 절차

“Guidelines on Cell Phone Forensics” (NIST, 2006)

 

Preservation
현장 보존
  • 범죄 현장에서 스마트폰 발견 시 사진을 찍어 현장 보존
  • 스마트폰이 켜져 있는 경우 화면 사진도 캡처
Acquisition
증거 확보
  • 기기 상태 변경을 방지하기 위해 네트워크 차단
  • 기기 전원이 켜져 있다면 전원을 공급해 활성 데이터 보존
Examination and Analysis
데이터 수집 및 분석
  • 수집된 데이터가 법적 효력을 갖기 위한 사항들* 고려
  • 스마트폰의 운영체제와 메모리 특성에 따른 분석 방법 선택
Reporting
보고서 작성
  • 사건 정보, 증거 획득 과정, 분석 결과 등 작성
✅ 법적 효력을 갖기 위한 사항들

1. 증거인멸의 우려가 있는가?
2. 스마트폰의 데이터를 수정하는가?
3. 스마트폰이 네트워크에 연결되어 있는가?
4. 수사의 범위는 어디까지 인가?
5.  수사의 권한이 있는가


2) 국내 절차

“이동 전화 포렌식 가이드라인” (한국정보통신기술협회, 2007)
 
사전 준비 데이터 수집 도구에 대한 준비 및 조사관에 대한 교육
초기 대응 이동 전화의 상태에 따라 대응 방법 상이
(전원 ON/OFF, 파손 또는 침수로 인한 비정상 상태)
증거 수집 이동 전화에서 디지털 증거 추출
데이터 변조가 발생해서는 안됨
이동 전화 포장, 운송 및 보관 전용 운송 용기에 담아 봉인하고, 안전한 장소에서 보관
조사 및 분석 과학적인 방법으로 디지털 증거를 살펴 법정에 제출할 수 있는 상태로 만듦
보고서 작성 쉽게 이해할 수 있는 용어로 정확하고 간결하게 작성

 


데이터 수집 방법

 

1) 물리적 수집 방법

`Chip off`

  • 모바일 기기의 메인보드에 부착되어 있는 플래시메모리를 물리적으로 분리한 후,
    하드웨어 리더기 장비로 데이터를 이미징
  • 칩오프를 통해 메인보드에서 분리된 플래시메모리는 복원이 어려우므로 주로 파손된 기기 대상으로 사용
https://m.blog.naver.com/sjhmc9695/221520864840

 

 ` JTAG(Joint Test Action Group) `

  • 모바일 장비의 메인보드에 위치한 PCB 보드에 존재하는 JTAG 핀과 하드웨어 디버깅 장비를 연결하여
    플래시메모리 수집
  • 안드로이드와 iOS 모바일 기기 모두 사용할 수 있지만, 2010년도 중반 이후 출시된 모바일 기기는 해당 포트가 없음

https://m.blog.naver.com/sjhmc9695/221520864840

 

 

2) 논리적 수집 방법

논리적 수집 방법은 USB 인터페이스를 이용하여 스마트폰의 플래시 메모리 파일 시스템으로부터 스마트폰에 저장된 파일과 디렉토리를 수집하는 방법이다.

논리적 수집 방법은 속도는 빠르지만 삭제된 데이터의 복구가 어렵다.

 

안드로이드 OS 데이터 추출 iOS 데이터 추출
  • 안드로이드 디바이스로부터 데이터를 추출하기 위해서는 슈퍼유저 권한을 획득해야 하는데, 이를 ‘루팅’이라고 함
  • Odin3와 루팅된 커널 파일이 있으면 루팅 가능하며, ADB(Android Debug Bridge) 명령어 이용
  • iTunes의 백업 기능을 이용해 내부 데이터를 복원할 수 있으나, 시스템 파일 및 삭제 데이터는 복구 불가능
  • 해시값으로 표시된 파일이 실제 애플리케이션 데이터 파일이며, 3개의 plist 파일에는 디바이스, 백업, 설정, 버전 정보 등이 포함


모바일 포렌식 도구 개발 방향

  • 편의성 조사관에게 쉽게 이해할 수 있는 형태로 데이터를 표현하는가?
  • 포괄성 조사자가 유/무죄를 입증하기 위해 모든 데이터를 표현할 수 있는가?
  • 정확성 도구의 결과가 실증가능하고 알려진 에러율 범위내에서 동작하는가?
  • 일관성 같은 명령과 입력 데이터가 주어졌을 때 도구가 항상 같은 결과를 도출하는가?
  • 검증가능성 보고서와 결과물의 정확성을 확신할 수 있는가?

 

💡 참고

  • 이동 전화 포렌식 가이드라인 (한국정보통신기술협회, 2007)
  • 스마트폰 포렌식 기술 동향 (한국전자통신연구원 전자통신동향분석 제28권 제3호, 2013)
  • 모바일 포렌식 동향 (한국정보보호학회 정보보호학회지 제26권 제5호, 2016)
  • 포렌식 도구 기반 스마트폰 디지털 증거 수집 및 분석 절차 (안재혁, 아주대학교 석사학위 논문, 2020)
  • 모바일 포렌식 연구 및 조사의 동향과 발전방향 (한국인터넷진흥원 KISA Report 10월호_5, 2021)
  • 모바일 포렌식 증거분석 (국립과학수사연구원 NFS홍보관 과학수사이야기)
  • 저장매체 이미징 (FORENSIC-PROOF)
  • https://m.blog.naver.com/sjhmc9695/221520864840
저작자표시 비영리 변경금지

댓글

티스토리툴바