성균관대학교 과학수사학과 동문회
과학수사학과 동문회
성균관대학교 · 디지털 & 바이오포렌식

연구/논문 실적

논문 등록
표시: 10건 30건 50건 총 51건
군사안보범죄 온라인 수색 도입방안 = Measures for Introducing the Equipment Interference for the Military Security Crimes
저자 서준환 연도 2026 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 김기범
국가 안보 군사안보범죄 디지털 증거 온라인 수색 압수수색
2026-04-01
초록

최근 IT기술의 발달로 국가 안보를 위협하는 군사기밀 유출 등의 군사안보범죄가 첨단화되고 있어 기존 수사 방법으로 수사하는 것이 한계에 도달하였다. 특히, 암호화 통신 기술과 안티포렌식 행위가 확산됨에 따라 수사기관이 군사안보범죄와 같은 대형 범죄에서 디지털 증거를 확보하는 것에 많은 어려움을 겪고 있다. 특히, 군사안보범죄는 타국과의 연계성, 계획성, 조직성, 그리고 군 작전 환경의 특수성 등으로 인해 더욱이 기존의 수사 방법만으로는 해결에 어려움을 겪고 있다. 본 연구는 이러한 기존의 수사 방법의 단점을 보완하고, 첨단화되어 가는 국가 안보 위협인 군사안보범죄에 대응하기 위해 '온라인 수색'을 도입하는 방안을 제안한다. 온라인 수색은 피처분자 모르게 다양한 수단을 통해 비밀리에 정보저장매체 등에 접근해 범죄 혐의와 관련된 데이터를 탐색 및 수집하는 수사 방법이다. 이미 미국, 영국, 독일, 프랑스 등 해외 여러 국가들에서는 법제화되어 EncroChat 사건, Sky ECC 사건, ANOM 사건, Patriotische Union 사건 등에서 첨단 IT기술을 활용한 범죄에 대응할 수 있는 유용한 수단이라는 것이 증명되었다. 다만 온라인 수색은 사생활의 비밀 등 헌법상 기본권을 침해할 수 있는 수사 방법이기 때문에 본 연구에서는 권한 남용을 방지하기 위한 강력하고 다층적인 통제 방안을 도입의 전제 조건으로 제시한다. 첫째, 적용 대상을 군형법의 적용을 받는 '군인, 군무원 및 준군인'으로 엄격히 한정한다. 이는 군사안보범죄 발생 시 대상자들이 범죄의 주요 역할을 담당하며, 군 조직의 일원이라는 특성상 국가 안보라는 공익을 위해 기본권이 민간인보다 넓게 제한될 수 있기 때문이다. 둘째, 대상 범죄를 ① 첩보·간첩 및 기밀유출 ② 테러 및 조직적 반국가 범죄 ③ 사이버 군사안보범죄 등 국가 안보에 치명적 위협이 되는 중대범죄로 한정하고, 다른 수사 방법이 없는 경우에만 최후의 수단으로 사용하는 보충성의 원칙을 적용한다. 셋째, 사법부의 사전 통제를 강화하기 위해 '이중허가제'를 도입한다. 인터넷 패킷 감청의 사례처럼 1단계에서 데이터 수집에 대한 포괄적 허가를 받고, 2단계에서 수집된 데이터 중 혐의와 관련된 정보만 선별하여 증거로 사용하기 위한 별도의 허가를 받도록 하는 이중의 사법 심사를 거치게 한다. 넷째, 사후 통제를 위해 국방부가 매년 온라인 수색 집행 현황을 집계하여 국회에 의무적으로 보고하고, 관련 통계를 대외에 공개하여 투명성을 확보하도록 한다. 결론적으로, 암호화 기술 등의 IT기술의 발전이 군사 안보의 중대한 위협이 된 이상, 온라인 수색제도의 도입은 더 이상 미룰 수 없는 과제이다. 본 논문에서 제안한 바와 같이, 적용 대상과 범죄를 엄격히 제한하고 이중허가제 등 강력한 제동 장치를 함께 마련한다면, 국가 안보 수호라는 공익과 국민의 기본권 보장이라는 헌법적 가치를 조화시킬 수 있을 것이다.

등록자: 시스템 관리자 · 2026-04-01 05:47
친밀 관계 폭력 피해자를 위한 디지털증거 프레임워크 연구 = A Digital Evidence Framework for Intimate Partner Violence Victims
저자 조경숙 연도 2026 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 정두원
피해자 지원 기술 증거수집 기술 디지털증거 안전관리 유출방지 기술 친밀한 관계에서의 폭력
2026-04-01
초록

친밀한 관계에서의 폭력(Intimate Partner Violence, 이하 IPV)은 현재 또는 과거의 배우자, 연인 등 친밀한 파트너에 의한 신체적·정서적 폭력을 의미한다. IPV 피해자는 가해자와의 물리적·관계적 근접성으로 인해 폭력 상황에서 벗어나는 것뿐 아니라, 피해 현장에서 증거를 안전하게 수집하고 보존하는 데에도 심각한 제약을 받는다. 특히 사진, 영상, 음성 기록 등과 같은 디지털 증거는 가해자에게 발각될 위험이 매우 크다. 피해자와 가해자 간의 관계적 특성상 가해자가 피해자의 디지털 환경에 접근하거나 이를 통제하는 경우가 빈번하기 때문이다. 이러한 현실을 반영하여 해외에서는 다양한 피해자 지원 서비스가 개발되었다. 그러나 가해자의 감시가 심한 환경에서 효과적으로 작동하지 않거나 사용이 제한적이라는 한계를 지닌다. 이에 본 연구에서는 가해자의 감시 하에서도 피해자가 디지털 증거를 은밀하게 수집하고 저장할 수 있도록 지원하는 기술적 대안으로서 DEF-IPV(Digital Evidence Framework for victims of IPV)를 제안한다. 본 연구는 디지털증거 프레임워크가 갖추어야 할 핵심 요건 파악을 위해 IPV 피해 전문가를 대상으로 전문가 인터뷰를 수행하였으며, 인터뷰 결과를 바탕으로 비가시성(Invisibility), 유출방지(Anti-Leakage), 일관성(Consistency)을 피해자 지원 디지털증거 프레임워크가 지녀야 할 주요 요건으로 도출하였다. 그리고 이러한 요건을 충족하기 위하여 위장형 어플리케이션과 스테가노그래피 기법을 결합한 프레임워크를 설계하였다. 이 프레임워크는 증거 그 자체뿐 아니라 증거를 수집하는 행위 또한 탐지되지 않도록 구성된 것이 특징이다. 또한, 제안된 개념을 기술적으로 검증하기 위해 절차 기반의 프로세스 모델을 수립하고, 기술 실현 가능성을 검토하기 위한 프로토타입을 구현하였다. 구현한 프로토타입을 토대로 기존 선행 서비스와의 비교 평가와 사용성 평가를 수행하였다. 본 연구는 고위험 환경에서의 실시간 대응과 피해자 중심 지원 시스템에 관한 후속 연구의 기반을 마련한다는 점에서 의의를 지닌다. 향후 디지털포렌식 분야에서 피해자 중심의 기술 지원 방안에 관한 연구가 활성화되기를 기대한다.

등록자: 시스템 관리자 · 2026-04-01 05:47
디지털 포렌식에서 엔드포인트 보안 솔루션 로그 활용방안
저자 우창인 연도 2025 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 김기범
엔드포인트 보안 솔루션 보안 솔루션 안티 포렌식 로그 분석 디지털 포렌식
2026-04-01
영문 제목 Strategic application of endpoint security solution logs in digital forensics
초록

디지털 포렌식 수사에서는 수사 시간의 효율성이 중요한 만큼 조사 대상에 대한 시스템 정보를 사전에 철저히 파악하고, 데이터가 저장된 위치와 접근 경로를 계획하는 것이 필수적이다. 기업의 IT 환경이 복잡해지고 보안 요구가 증가함에 따라 수사관들은 다양한 보안 솔루션 로그와 포렌식 도구를 효과적으로 결합해 데이터를 수집하고 분석할 필요가 있다. 기존의 디지털 포렌식 도구들은 아티팩트 기반으로 분석하는데 기업들이 데이터 삭제, 은닉 등 안티 포렌식 기술을 사용하면서 증거 수집은 한계에 봉착하고 있다. 단말기 포맷, 하드디스크 교체, 데이터 삭제는 조사를 방해하고, 안티포렌식 수법들은 데이터 확보를 차단한다. 최근 기업들은 정보 자산 보호와 내부 데이터 유출 방지를 위해 엔드포인트 보안 솔루션을 도입하고, 엔드포인트 솔루션 로그에는 사용자 단말기 정보, 프로그램 설치, 문서 열람·삭제·수정 행위, 프린트 출력·복사·스캔, 매체 정보 등의 기록이 로그에 남아 있어, 삭제된 데이터를 직접 복구하지 못하더라도 사용자의 행위를 확인할 수 있다. 본 논문에서는 엔드포인트 보안 솔루션마다 저장 되어 있는 로그들을 확인함으로써 디바이스 중심의 디지털 포렌식의 한계를 극복하는 것을 목표로 한다. 2장에서는 디지털 포렌식 개념과 현황, 엔드포인트 보안 솔루션 도입배경과 저장되는 로그의 종류를 식별하고, 해당 로그가 디지털 포렌식 과정에서 제공할 수 있는 정보를 조사하였다. 제3장에서는 네트워크 접근 제어 솔루션, 디지털저작권관리 솔루션, 기업콘텐츠관리 솔루션, 디지털 복합기 보안 솔루션을 대상으로 1) 단말기 은닉 확인, 2) 포맷·은닉 상태에서 프로그램 설치/삭제 확인, 3) 포맷·은닉 상태에서 문서 열람/수정/이동 로그 확인, 4) 포맷·은닉 상태에서 문서 출력/복사/스캔/송신 로그 확인, 5) 파일명 변경과정 및 전달경로 추적, 6) 기업콘텐츠관리 파일 생성/열람/수정/삭제/이동 확인, 7) 매체 제어를 통한 문서 반출 행위 확인, 8) 네트워크를 통한 파일 전송 행위 확인, 9) 인터넷 접근 행위 확인 9개의 시나리오 대상으로 사고 시나리오별로 어떤 이벤트가 기록되는지를 실험하였다. 제4장에서는 도출된 보안 솔루션 로그를 중심으로, 기존 포렌식 절차모델의 한계점을 보완하기 위해 새로운 엔드포인트 보안 솔루션 절차모델과 현장에서 활용할 수 있는 엔드포인트 가이드라인을 제시하였다. 본 연구에서는 엔드포인트 보안 솔루션 로그가 남기는 데이터 유형과 한계를 비교하고, 보안 솔루션만이 제공할 수 있는 로그 정보가 포렌식 수사에서 새로운 증거로 활용될 수 있는지 분석하였다. 이를 바탕으로 신속한 사고 대응 및 증거 수집이 가능할 것이다. 엔드포인트 보안 솔루션 중 한 개를 선정하여 실험을 진행했기 때문에, 본 연구를 바탕으로 다양한 제조사에서 남기는 로그의 종류와 특성을 파악하기 위한 추가 연구가 필요하다. 제조사마다 수집하고 있는 로그가 다르고 더 많은 정보를 수집할 수 있는 엔드포인트 보안 솔루션이 있을 것이다. 따라서, 각 제조사마다 생성되는 로그를 비교 분석함으로써, 특정 솔루션에 종속되지 않고 폭넓은 포렌식 활용 방안을 마련할 수 있을 것이다.

등록자: 시스템 관리자 · 2026-04-01 05:47
감사원의 디지털포렌식 통제방안
저자 박채아 연도 2025 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 김기범
감사 포렌식 감사원법 공공감사 디지털포렌식 행정조사
2026-04-01
영문 제목 Control measures for digital forensics by the board of audit and inspection
초록

오늘날 정보통신기술의 발전은 공공부문의 감사 환경에도 변화를 가져오고 있다. 감사 대상 기관의 업무들이 디지털화되면서 감사 수행 시 디지털 자료의 수집과 분석은 필수 절차가 되고 있다. 그러나 피감사자의 절차적 권리 보장을 위한 법적 논의는 부족하고 감사원의 자료 제출 요구와 포렌식 분석은 수집 범위의 확대와 피감사자의 권익 침해 측면에서 문제가 제기되고 있다. 본 연구에서는 감사원의 디지털포렌식 실태와 법적 근거를 분석하고 적합한 통제방안을 제안하였다. 제2장에서는 감사원의 내부 규정을 분석하고 형사소송법에 기반한 수사기관의 디지털포렌식 절차의 집행 기준을 비교·검토하였다. 제3장에서는 미국 감사원(GAO)과 영국 감사원(NAO)의 감사 자료 수집과 관련된 법적 근거를 분석하여 시사점을 도출하였다. 제4장에서는 감사원에서 디지털포렌식의 정당성을 확보하고 피감사자의 권리를 보호하기 위한 통제방안을 제시하였다. 디지털 자료 수집 시 피감사자에 대한 사전 고지와 동의 절차의 법제화, 수집·분석 단계에서 변호인 조력권과 이의 제기 절차 보장, 자료 제출 거부에 대한 정당한 사유 판단 기준의 명확화, 감사 목적에 부합하는 선별 수집 원칙 확립, 수집 자료의 목적 외 활용 제한 및 폐기 절차 강화, 감사보고서 초안 사전 공유 도입, 외부 감시기구 설치 등의 통제방안을 제안했다. 또한 고발 또는 수사 참고 자료 송부 시 감사위원회 의결 절차 도입과 내부 훈령의 공개 및 법적 효력 강화를 통해 제도의 투명성과 정당성을 확보하고자 하였다. 감사원의 권한 행사를 견제하여 감사 포렌식의 수용성과 정당성을 제고하고자 한 것이다. 본 연구는 감사원의 디지털포렌식에 대한 법적 근거와 집행 방식의 문제점을 분석하고 법적 통제방안을 논의하였다는 점에서 학문적 의의를 지닌다. 본 논문이 감사원의 디지털포렌식이 감사목적을 달성하는데 필요 최소한으로 통제되어 피감사자의 권리보호에 기여하기를 바란다.

등록자: 시스템 관리자 · 2026-04-01 05:47
CUBRID 데이터베이스에서 안티포렌식 탐지방안
저자 박소현 연도 2025 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 김기범
CUBRID 데이터베이스포렌식 안티포렌식 디지털포렌식 Database 보안
2026-04-01
영문 제목 Approaches to detect anti-forensic activities in the CUBRID database environment
초록

CUBRID는 ‘큐브(Cube)’와 ‘브릿지(Bridge)’의 합성어로, 데이터를 안정적으로 저장하고 효율적으로 연결한다는 의미를 담고 있는 국산 관계형 데이터베이스 관리 시스템(RDBMS)이다. CUBRID는 타 데이터베이스에 비해 낮은 비용으로 기술 지원을 받을 수 있어 비용 절감 효과가 크며, 장애 발생 시 한국어로 신속한 기술 지원이 가능하다. CUBRID의 수요는 다양한 장점으로 더욱 증가할 것으로 예상된다. 그러나 현재까지 CUBRID 데이터베이스를 대상으로 한 포렌식 연구는 거의 이루어지지 않았다. 본 논문은 CUBRID 환경에서 발생할 수 있는 안티포렌식 행위를 분석하고, 효과적으로 대응할 방안을 제시하였다. 제2장에서는 CUBRID 데이터베이스의 기본 구조와 운영하는 데 필요한 시스템 환경 및 운영체제를 분석하였다. CUBRID에 익숙하지 않은 디지털포렌식 분석관들이 실무 환경에서 마주칠 수 있는 기술적 장벽과 이해의 어려움을 줄이기 위한 사전 대응 차원에서 수행되었다. CUBRID와 안티포렌식에 관한 선행 연구를 검토하여 연구 수준을 파악하였다. 제3장에서는 CUBRID 11.4 및 10.2 버전을 레드햇 계열과 데비안 계열 운영체제에서 실험하였다. 실험을 통해 데이터베이스 사용자 계정 은닉, 명령어 실행은닉, HA 환경에서 데이터 은닉, 타임스탬프 변조, 자폭형 레코드를 활용한 민감 데이터 은닉 등 다섯 가지 안티포렌식 행위가 각 환경에서 어떻게 나타나는지 살펴보았다. 이를 통해 시스템 환경과 관계없이 공통으로 적용되는 안티포렌식 기법들의 특성을 확인하고, 각 행위에 대한 안티포렌식 분석 가능성을 점검하였다. 제4장에서는 실험 결과를 종합적으로 분석하여 운영체제 종류나 CUBRID 버전의 차이에 따라 안티포렌식 행위에 뚜렷한 차이가 나타나지 않음을 확인하였다. 즉, 동일한 안티포렌식 기법들이 다양한 시스템 환경에서도 일관되게 적용될 수 있음을 발견하였다. 나아가 CUBRID를 기반으로 범용적 활용이 가능한 안티포렌식 탐지 절차를 제안함으로써, 실무 현장에서 직접 적용할 수 있도록 하였다. 마지막으로 제5장에서는 연구 결과를 정리하고, 의의와 향후 연구 방향을 제시하였다. 본 연구를 통해 CUBRID 데이터베이스 포렌식에 대한 인식을 제고하고, 다양한 안티포렌식 기법에 대해 구체적으로 분석하였다. 플랫폼과 관계없이 적용할 수 있는 포렌식 기법의 가능성도 확인하였다. 다만, 새로운 공격 기법에 대한 대응에는 한계가 있었고, 실험 시나리오가 현실의 다양한 환경을 충분히 반영하지 못했다. 향후, 법적·제도적 환경을 정비하여 포렌식 도구와 기법의 안정적인 활용과 발전을 촉진해야 한다. 이러한 통합적인 지원 체계가 구축될 때, 다양한 포렌식 기법과 도구가 신속하게 발전하고 국내 환경에 적합한 증거 분석 체계가 마련되어 디지털 범죄 대응 역량이 크게 강화될 수 있을 것이다. CUBRID를 포함한 다양한 플랫폼에서 안티포렌식에 대한 실시간 대응 능력과 보안 정확성이 향상되기를 기대한다.

등록자: 시스템 관리자 · 2026-04-01 05:47
철도사고 포렌식 현황 및 발전방안
저자 박승준 연도 2025 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 김기범
철도사고 디지털포렌식 철도운행 데이터 자율주행 철도안전 관리
2026-04-01
영문 제목 Digital forensics in railway accidents : Current status and future directions
초록

현대 철도는 효율적이고 안전한 대량 교통수단으로 자리 잡았지만, 철도사고는 여전히 막대한 인명 및 재산 피해를 초래하며 철도 시스템의 안전 관리에 큰 도전 과제로 남아있다. 특히 디지털 기술이 발전함에 따라 철도사고 원인을 분석하고 예방하는 데 디지털포렌식의 중요성이 커지고 있지만, 현재 철도사고 대응 체계에서는 충분히 활용되지 못하고 있다. 디지털포렌식의 도입 및 활용 방안을 연구하는 것은 21세기 철도 선진화를 앞 둔 시점에서 중요한 과제이다. 본 연구는 철도사고 대응 체계에서 디지털포렌식을 효과적으로 적용할 수 있는 방안을 탐구하는 것을 목적으로 하며 철도사고의 원인을 신속하고 정확히 규명하며, 재발 방지를 위한 체계적 대응 방안을 제시한다. 연구는 철도사고 대응의 현황과 문제점을 분석하고 사례 연구를 통해 디지털포렌식의 적용 가능성을 탐구하며 효과적인 대응 방안을 제안하는 방식으로 진행되었다. 제2장에서는 철도사고의 개념과 유형을 정의하고 철도사고 대응 체계의 현황과 문제점을 분석하여 디지털포렌식이 철도사고 대응 체계에 필수적인 요소임을 도출하였다. 제3장에서는 주요 철도사고 사례를 분석하여 디지털포렌식이 실제로 사고 원인 규명에 어떻게 기여할 수 있는지 논의하였고 사고 기록 데이터 분석을 통해 사고의 원인을 규명하고 도출된 시사점을 확인하였다. 제4장에서는 철도사고 디지털포렌식 대응 방안을 시뮬레이션 환경 구축, 데이터 통합 분석 시스템 도입, 디지털포렌식 기반 사고 대응 모델 개발 등의 내용을 통해 효과적이고 실질적으로 제시하였다. 연구를 통해 디지털포렌식을 활용한 철도사고 분석이 철도 안전성을 획기적으로 향상시킬 수 있음을 입증하였다. 특히 철도와 자율주행차 사고 분석 간의 본질적 유사성을 고려할 때, 이 연구는 자율주행차 사고 분석 연구에도 중요한 기초를 제공할 수 있다. 철도사고 예방과 대응 체계 강화에 실질적으로 기여하며 디지털포렌식의 철도 및 자율주행차 사고 분석 응용 가능성을 제사한 최초의 연구로 평가될 수 있다. 하지만 본 연구는 철도사고 디지털포렌식의 기술적·법적 문제를 중점적으로 다루었기에 경제적 요인이나 사회적 수용성에 대한 분석은 포함하지 못하였다. 또한 사례 연구가 국내 사고에 국한되어 국제적 비교 연구가 부족하다는 한계가 있다. 향후 연구에서는 철도사고 디지털포렌식의 국제적 비교와 자율주행차 사고 분석으로의 확장을 다룰 필요가 있고 디지털포렌식 데이터의 실시간 분석 기술과 사고 예방을 위한 인공지능 기반 위험 분석 시스템 도입 가능성 탐구 또한 필요하다.

등록자: 시스템 관리자 · 2026-04-01 05:47
산업제어시스템의 EWS에서 PLC 소프트웨어 아티팩트 분석
저자 신지호 연도 2025 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 김기범
디지털포렌식 아티팩트 분석 엔지니어링 워크스테이션 산업제어시스템 PLC 소프트웨어
2026-04-01
영문 제목 Forensic analysis of PLC software artifacts in the EWS of industrial control systems
초록

산업제어시스템(Industrial Control Systems, ICS) 내에서 엔지니어링 워크스테이션(Engineering Workstation, EWS)은 프로그래머블 로직 컨트롤러(Programmable Logic Controller, PLC) 소프트웨어의 개발·관리·배포를 담당한다. 에어갭(Air Gap)을 이용한 물리적 격리에도 불구하고, 지능형 지속 위협(Advanced Persistent Threat, APT)과 내부자 위협이 EWS를 경유해 PLC를 오작동·손상시키는 사례가 보고되면서, EWS의 보안 중요성이 부각되고 있다. 그럼에도 지금까지의 연구는 주로 PLC 펌웨어나 네트워크 트래픽을 분석하는 데 집중하였고, EWS 내부의 프로젝트 파일·계정 정보·로그·임시 폴더 등 PLC 소프트웨어 아티팩트를 종합적으로 다룬 연구는 부족한 실정이다. 본 연구는 EWS에서 운용되는 PLC 소프트웨어(Automation Builder, CODESYS, GXworks2, GXworks3, Sysmac Studio) 5종을 선정하고, 생성·관리하는 프로젝트 메타데이터, 제어 로직, 사용자 계정 정보 등 핵심 아티팩트를 분석하였다. 또한, 악의적인 로직 변조나 비인가 계정 변경이 발생했을 때 자동으로 수집·분석할 수 있는 포렌식 도구를 설계·구현하였다. 제2장에서는 ICS의 개념과 보안 위협 양상, 퍼듀 모델 기반 OT·IT 계층 구조와 에어갭 한계를 살펴보고, PLC 소프트웨어 보안 위협을 정리하였다. ICS 디지털포렌식 분야의 선행연구를 검토하고, EWS 기반 소프트웨어 아티팩트 분석의 미흡함을 확인하였다. 제3장에서는 글로벌 시장에서 널리 사용되는 PLC 소프트웨어 5종을 대상으로 파일 구조를 파악하고, 임시 폴더, 프로젝트 파일, 계정 데이터, 로그 등에서 어떤 증거들이 어떻게 생성·보관되는지를 분석하였다. 소프트웨어마다 프로젝트 파일 형식(ZIP, CFBF, DB 등), 그래픽 기반 제어 로직(LD, FBD, SFC) 또는 텍스트 기반(ST) 로직의 저장 방식, 사용자 계정 정보의 암호화 기법이 달라 침해사고 이후 증거 수집 시 유의해야 할 사항들을 정리하였다. 제4장에서는 시뮬레이션 시나리오(프로젝트 파괴, 계정 비밀번호 변경, 악성 로직 삽입 등)를 통해 구현된 포렌식 도구의 유효성을 검증하고, 소프트웨어가 정상 구동되지 않아도 침해사고 흔적(감염된 제어 로직, 사용자 계정 정보)을 재구성할 수 있음을 입증하였다. 나아가 제조사별 소프트웨어 차이에 대응할 수 있는 범용성을 확보해 ICS 운영자가 다양한 공격 시나리오에 신속히 대응할 기반을 마련했다. EWS 내 PLC 소프트웨어 보안 사각지대를 조명하고, 프로젝트·계정·로그·임시 폴더 등 핵심 아티팩트를 자동으로 분석해 ICS 디지털포렌식 역량을 높였다는 점에 의의가 있다. 그래픽 기반 로직(FBD, SFC 등)의 재구성은 기술적 난도가 높고, 소프트웨어 버전별 사용자 계정 암호화 기법이 다르므로 후속 연구가 필요하다. 또한, 실시간·휘발성 메모리 포렌식과 네트워크 트래픽 분석을 결합해 에어갭 우회나 내부자 위협 상황에서도 신속한 대응이 가능하도록 연구 범위를 확장할 필요가 있다. 후속 연구 결과가 산업 현장에 적용되고, 장비 오작동·파괴를 노리는 고도화된 공격으로부터 ICS 환경의 안정성과 신뢰성을 한층 강화할 수 있기를 기대한다.

등록자: 시스템 관리자 · 2026-04-01 05:47
iCloud 동기화 아티팩트 분석 및 절차 연구
저자 현주연 연도 2025 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 김기범
iCloud 동기화 iCloud 포렌식 클라우드 포렌식 디지털 포렌식
2026-04-01
영문 제목 A study on the analysis and procedures of iCloud synchronization artifacts
초록

클라우드 서비스는 다양한 기기 간 실시간 데이터 동기화를 통해 사용자 편의성과 효율성을 높이고 있다. 특히 iCloud는 Apple 기기를 중심으로 사진과 파일 등의 데이터를 자동으로 동기화하며, Windows 환경에서도 기능을 지원해 높은 범용성과 확장성을 갖춘다. 그러나 iCloud의 실시간 동기화 구조는 디지털 포렌식 관점에서 증거 확보에 어려움을 초래한다. 사용자가 데이터를 수정하거나 삭제하면 그 내용이 클라우드 서버와 연동된 기기에 즉시 반영되므로, 사건 발생 당시의 원본 데이터를 보존하는 데 한계가 있다. 운영체제별로 동기화 처리 방식, 저장 경로, 메타데이터 구성에 차이가 있어, 기기별 특성을 고려한 분석 절차도 미흡하다. 이에 본 연구는 동일한 iCloud 계정을 기반으로 macOS, Windows, iOS 환경에서 로그인, 파일 업로드, 삭제 등의 사용자 행위를 수행하고, 이 과정에서 생성되는 아티팩트와 메타데이터의 구조 및 변화 양상을 비교·분석하였다. 제2장에서는 iCloud의 동작 원리와 macOS, Windows, iOS 간 동기화 처리 방식, 사용자 접근 경로의 차이를 정리하고, 기존 연구의 한계를 분석하였다. 제3장에서는 로그인, 파일 업로드 및 삭제 등 사용자 행위 수행 과정에서 생성된 아티팩트를 수집하여 운영체제별 데이터베이스 구조와 메타데이터 특성을 비교·분석하였다. 분석 결과, 운영체제별로 생성되는 iCloud 관련 아티팩트의 저장 위치와 구조는 상이하였으나, 공통적으로 사용자 계정 정보, 사진 및 파일 동기화 상태, 삭제 시점, 출처 기기 등을 식별할 수 있었다. macOS와 iOS 환경에서는 Photos.sqlite, server.db, client.db 등의 구조화된 데이터베이스를 통해 사진과 파일의 생성 시점, 열람 이력, 삭제 여부 등을 확인할 수 있었고, Windows에서는 iCloud 전용 데이터베이스 및 로그 파일 분석을 통해 사용자 행위 흐름을 재구성할 수 있었다. 또한 파일 공유 여부와 사진의 생성 기기 정보를 통해 다중 기기 사용 정황 및 추가 공유 행위까지 추적할 수 있음을 확인하였다. 제4장에서는 이러한 결과를 바탕으로 클라우드 동기화의 구조적 특성을 반영한 기기별 분석 절차를 제시함으로써, 실제 수사 과정에서의 활용성을 제고하였다. 본 연구는 기존의 기능 단위 또는 단일 운영체제 중심의 클라우드 포렌식 연구를 확장하여, 운영체제 전반을 아우르는 통합적 분석 프레임워크를 제안하였다. 또한 수사 실무에서 활용할 수 있는 분석 흐름도를 구체적으로 제시함으로써 실제 적용 가능성도 확보하였다. 다만 본 연구는 로컬 아티팩트 분석에 중점을 두었기에, 네트워크 트래픽, 동기화 해제 시점의 아티팩트 변화 등은 포함하지 못했다. 향후에는 iCloud 사용 중 발생하는 패킷 분석, 동기화 해제 및 로그아웃 시나리오 분석 등을 포함한 포괄적인 후속 연구가 필요하다. 본 연구가 클라우드 기반 디지털 포렌식의 발전에 기초 자료로 활용되기를 기대한다.

등록자: 시스템 관리자 · 2026-04-01 05:47
파일 관리자 애플리케이션의 Vault와 네트워크 스토리지 분석
저자 신동준 연도 2025 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 김기범
파일 관리자 앱 안티포렌식 미디어 은닉 비밀번호 복구 네트워크 스토리지
2026-04-01
영문 제목 Analysis of vault and network storage in file manager applications
초록

스마트폰의 보급 확산과 컴퓨팅 기술의 발달로 인해, 미디어 은닉 앱과 네트워크 스토리지 기능을 범죄 수단으로 사용하는 사례가 등장하고 있다. 개인정보를 보호하기 위한 목적과 편리한 파일 관리를 목적으로 개발되었지만, 안티포렌식과 디지털성범죄에 악용되면서 사회문제가 되고 있다. 특히, 파일 관리자 앱은 일반적인 파일 관리 도구로 인식되어 수사 과정에서 간과될 가능성이 있다. 하지만 미디어 은닉 기능과 네트워크 스토리지 기능이 제공되고 있고, 안티포렌식 수단으로 악용될 수 있다. 은닉 기능이 안티포렌식에 악용되면 수사기관은 증거 수집에 어려움을 겪게 된다. 이러한 문제로 인해 미디어 은닉 앱과 네트워크 스토리지에 대한 연구가 진행되고 있지만 파일 관리자 앱을 대상으로 한 연구는 부족하다. 따라서 본 연구는 파일 관리자 앱 18개를 선정하여 미디어 은닉 기능과 네트워크 스토리지 기능을 분석하고, 원본 데이터 획득 방안과 기능 분석 절차를 제시한다. 제2장에서 파일 관리자 앱의 현황과 기능에 대해 살펴보고 미디어 은닉 앱 관련 선행연구를 조사하였다. 제3장에서는 파일 관리자 앱의 미디어 은닉 기능을 상세 분석하고 원본 파일을 획득하는 방안을 연구하였다. 암호화된 데이터를 복호화하는 방법과 암호키를 복구하는 방법을 제시하였다. 복호화를 위해 비밀번호 복구가 필요하면 비밀번호 전수조사를 수행하였고, 예상 복구 시간을 측정하였다. 제4장에서는 파일 관리자 앱의 네트워크 스토리지 기능을 분석하여 FTP 접속 정보와 네트워크 아티팩트가 있는지 살펴보았다. FTP 접속 정보가 저장되는 구조를 분석하고, 복호화 과정과 네트워크 아티팩트 유무를 파악하였다. 제5장에서는 미디어 은닉 기능과 네트워크 스토리지 기능을 효율적으로 분석할 수 있는 절차를 제시하였다. 분석 과정에서 도출한 공통 요소들을 정리하고, 해당 요소들을 절차로 구현하여 제안하였다. 해당 연구는 다양한 암호화 알고리즘을 식별하고 복호화 방안을 제시하여 앱 분석 연구에 기여하였으며, 악용 사례가 발생하였을 경우 증거를 확보하는데 도움이 될 수 있다. 또한 파일 관리자 앱뿐만 아니라 유사한 기능에 대해서도 분석할 수 있는 기초가 될 것으로 기대된다. 하지만 출시되어 있는 파일 관리자 앱이 많아 전부 살펴보지 못했으며, 제한된 상황을 가정하여 진행했기 때문에 다루지 못한 기능들이 존재한다. FTP 외에도 다양한 프로토콜 기능과 클라우드 스토리지 API에 대한 연구가 필요하고, 향후 더욱 다양한 기능을 탑재한 파일 관리자 앱이 출시될 가능성이 높은 만큼 추가 기능들에 대한 연구가 지속되어야 한다. 본 연구에서 제시한 복호화 알고리즘과 기능 분석 절차가 증거 수집과 수사 과정에서 활용될 수 있기를 기대한다.

등록자: 시스템 관리자 · 2026-04-01 05:47
손상된 OOXML 파일에서의 데이터 추출 고도화 방안 연구
저자 김지윤 연도 2025 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 정두원
디지털 포렌식 OOXML PK ZIP 데이터 추출 손상 파일
2026-04-01
영문 제목 Research on advanced methods for data extraction from corrupted OOXML files
초록

시대의 발전에 따라 디지털 자료의 중요성이 증가하고 있으며, 이에 따른 디지털 포렌식 수사의 필요성도 더욱 부각되고 있다. 그러나 디지털 증거의 수집 및 분석 과정에서는 정보 저장매체의 손상이나 안티포렌식 기법 등에 의해 손상된 파일의 데이터를 식별할 수 없는 문제가 발생하며, 이는 증거 확보를 저해하는 주요 요인으로 작용한다. 또한, 기존 복구 도구들은 구조적 손상에 효과적으로 대응하지 못하는 기술적 한계를 지니고 있어 실질적인 복구에 어려움이 존재한다. 이에, 손상으로 인해 일반적인 응용프로그램을 통해 열람이 불가능한 MS Office 문서(.docx, .xlsx, .pptx)를 대상으로, 해당 포맷의 구조적 특성을 활용한 잔여 데이터 추출 기법을 제안한다. Microsoft Office 2007 이후 도입된 OOXML(Office Open XML) 형식은 ZIP 아카이브 기반 구조로, 개별 구성 요소(Part)를 분산 저장하고 있어 문서의 일부가 손상되더라도 특정 Part에 직접 접근할 수 있는 가능성을 제공한다. 본 연구는 이러한 구조적 특성에 기반하여 OOXML 포맷을 분석하고, 기존 복구 도구의 한계를 극복할 수 있는 새로운 접근 방식을 제시함으로써, 실험 결과 기존 도구가 복구하지 못했던 구조 손상 파일에서 90% 이상의 데이터 복원 성공률을 보였다. 이를 통해 디지털 포렌식 분야에서 실질적인 증거 수집의 질적 향상에 기여하고자 한다.

등록자: 시스템 관리자 · 2026-04-01 05:47