성균관대학교 과학수사학과 동문회
과학수사학과 동문회
성균관대학교 · 디지털 & 바이오포렌식

연구/논문 실적

논문 등록
표시: 10건 30건 50건 총 51건
침해사고 대응을 위한 LangGraph 기반 보안 로그 분석 모델 설계
저자 박시현 연도 2025 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 김기범
LangGraph 보안 로그 분석 침해사고 대응 대규모 언어 모델(LLM) 사이버 위협 인텔리전스(CTI)
2026-04-01
영문 제목 Design of a LangGraph-based security log analysis model for incident response
초록

다양한 보안 솔루션의 도입과 운영 환경의 복잡성 증가로 인해, 하루 수십만 건에 달하는 이벤트 로그가 자동으로 수집되고 있다. 그러나 대부분은 단편적인 이벤트 단위로 축적되며, 분석은 여전히 정형화된 경고 알림이나 대시보드 시각화에 의존하는 경향이 강하다. 실제 보안 상태 점검이나 침해사고의 전개 경위를 파악하기 위해서는 로그 파일 자체를 직접 열람하고 의미를 해석해야 하지만, 로그의 양과 구조가 방대해 수작업 분석에 한계가 있으며, 인적 오류, 전문 인력 부족, 분석 편차 등의 문제가 제기되고 있다. 이러한 한계를 극복하기 위해, 보안 로그의 의미를 자동으로 해석하고 이벤트 간 관계를 기반으로 위협 흐름을 파악할 수 있는 분석 구조가 필요하다. 이에 본 연구는 LangGraph를 기반으로, LLM을 통한 자연어 질의 해석과 그래프 기반 관계 분석을 결합한 자동화 로그 분석 모델을 설계하였다. 해당 모델은 Neo4j, RAG, CTI, 프롬프트 엔지니어링을 통합하여, 조건 기반 탐색과 상태 전이 흐름을 통해 분석 맥락을 유기적으로 구성하고, 설명형 응답과 대응 권고를 생성할 수 있도록 구현하였다. CTI 연동은 외부 위협 정보를 자동으로 보강하며, 프롬프트는 질의 조건을 명확히 반영하고 응답의 일관성을 유지하도록 구성하였다. 제2장에서는 보안 기술 발전과 관련 이론을 정리하고, 기존 분석 체계의 구조적 한계를 검토하였다. 제3장에서는 로그 전처리, 상태 기반 전이 구조, 그래프 탐색 흐름, 프롬프트 설계로 구성된 분석 모델을 설계·구현하였고, 제4장에서는 SIEM 기반 AI Assistant와의 비교 및 전문가 평가를 통해 모델의 성능을 검증하였다. 실험 결과, 제안 모델은 기존 Assistant 대비 응답의 일관성, 설명력, 흐름 정렬, 조건 기반 필터링 등에서 향상된 성능을 보였고, CTI 연계를 통해 응답 품질도 개선되었다. 전문가 평가에서도 위협 탐지, 맥락 해석, 대응 우선순위 판단 측면에서 분석 지원 효과가 확인되었다. 이러한 결과는 본 모델이 실무 환경에서 반복 분석 작업을 줄이고 해석 편차를 완화하며, 포렌식 준비도로 활용하는 데 기여할 수 있음을 보여준다. 한편, LLM을 활용한 분석 구조는 정형적이고 복합적인 보안 로그에 적용될 때 조건 해석 오류, 환각 현상, 응답 일관성 저하 등의 기술적 한계를 드러냈다. 이에 따라 조건별 필터링, 프롬프트 설계, 근거 기반 응답 구조의 정교한 구성 필요성이 확인되었다. 향후 연구로는 이기종 로그 통합과 그래프 기반 상관관계 탐지 고도화, 포렌식 준비도 적용, RAG 기반 지식 보강 체계 확장, 최신 LLM 간 비교 실험을 통해 분석 정확성과 신뢰성을 지속적으로 확보해야 한다. 본 연구는 LLM을 활용한 분석 구조가 수작업 중심의 기존 로그 분석 방식의 한계를 보완하고, 보안 운영 환경에서 대응 효율성과 분석 일관성을 높이는 기반이 될 수 있음을 실험적으로 제시하였다. 제안한 모델이 실무 적용 가능성을 바탕으로 포렌식 준비도와 대응 체계를 강화하는 도구로 활용되기를 기대한다.

등록자: 시스템 관리자 · 2026-04-01 05:47
스마트폰 갤러리에서 편집된 미디어 파일의 원본 복원에 관한 연구
저자 박재현 연도 2025 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 김기범
디지털포렌식 위변조 탐지 메타데이터 분석 원본 복구
2026-04-01
영문 제목 Forensic study on the restoration of original media files edited in smartphone gallery
초록

스마트폰의 대중화는 정보 접근성, 업무 효율성, 생산성을 크게 증가시켰다. 하지만, 보이스 피싱, 불법촬영물과 같은 사이버범죄의 빈도 증가와 기밀유출에 사용되어 기업과 조직에 영향을 미치는 등 사회적인 문제를 동반하였다. 일부 기업들은 기밀유출 방지를 위해 임원들의 스마트폰 사용을 제한하거나, 통제 구역 내에서의 스마트폰 사용을 전면 금지하는 경우가 증가하고 있다. 본 연구는 스마트폰에서 사진과 동영상을 편집하고 증거인멸을 목적으로 삭제하였을 때 삭제된 파일의 원본을 복구하는 방법을 제시한다. 연구 범위는 JPG, PNG 형식의 사진 파일과 MP4 형식의 동영상 파일로 한정한다. 삼성 디바이스 7대를 이용하여 사진과 동영상 파일을 편집하고 E-mail, SNS, 클라우드 서비스로 유형화하여 파일을 전송하고 삭제한다. 사진과 동영상 파일의 편집 유무를 확인하기 위해 원본과 편집 파일의 메타데이터를 비교하여 편집되었을 때 발생하는 메타데이터의 변화를 확인한다. 편집 파일에서만 확인되는 메타데이터를 분석하여 갤러리에서 원본 복원 기능을 수행할 때 영향을 미치는 값을 식별한다. 식별된 값을 이용하여 삭제된 파일의 원본 복구를 실험한다. 사진과 동영상 파일 모두 파일 경로가 저장된 정보를 이용하여 복구를 수행했을 때 원본을 획득한다. 파일 전송 방법에 관계없이 전송 시에 파일의 메타데이터에 변형이 발생하지 않는다면 원본 복구가 가능하다. 다만, 전송 유형에 따라 파일을 전송할 때 파일에 압축 등의 과정이 수행되는 경우가 유사하였다. E-mail은 전송 시 원본을 유지하지만 파일의 크기가 제한적이다. SNS는 대부분의 경우 파일의 손실이 발생하여 원본 복구가 불가능하다. 클라우드 서비스는 별도로 전송 방법을 설정한 경우를 제외하고 항상 원본을 전송하며 파일의 크기에 제약을 받지 않는다. 루팅을 수행하지 않고 별도의 기기를 필요로 하지 않아 스마트폰 기반 디지털 증거 확보가 원활하도록 하여 수사의 효율성을 높이는데 기여할 수 있다. 향후에는 다양한 디바이스와 파일 형식에 대한 추가 연구를 통해 광범위한 위변조 탐지와 증거 확보 기술을 개발할 수 있을 것으로 기대한다.

등록자: 시스템 관리자 · 2026-04-01 05:47
생성형 AI 이미지의 메타구조 분석 기반 서비스 식별 기법 연구
저자 김수현 연도 2025 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 김기범
생성형 AI 이미지 AI 멀티미디어포렌식 디지털포렌식
2026-04-01
영문 제목 A study on service identification techniques based on metastructure analysis of AI-generated omages
초록

최근 생성형 AI 기술을 활용한 콘텐츠가 급증하면서 저작권 침해, 가짜뉴스, 아동 성착취물, 딥페이크 등의 범죄가 사회적 문제가 되고 있다. 생성형 AI를 이용하여 새로운 콘텐츠를 생성하였을 때 학습데이터에 대한 저작권 침해가 논란이 된다. 가짜뉴스나 딥페이크가 허위 사실인지를 빠르게 판단하지 못하면 불필요한 논란이 확산된다. 아동 성착취물 역시 실제 아동을 촬영한 것인지 가짜 이미지인지 구별하는 것은 수사 현장에서 중요하다. 따라서 생성형 AI로 만들어진 이미지와 관련된 법적 분쟁을 해소하고 책임 주체를 명확하기 위해서는 생성형 AI 서비스로 만들어졌는지 식별할 수 있는 기술이 필요하다. 본 연구는 디지털포렌식 관점에서 JPEG 및 PNG 파일의 메타구조를 분석하고, 파일 구조 및 Hex 데이터 기반 특징을 추출하여, 해당 이미지가 생성형 AI로 생성된 것인지(이진 분류), 어떤 서비스에서 생성되었는지(다중 분류)를 식별하는 방법을 제시하였다. Text-to-Image 생성형 AI 11종(ChatGPT, Stable Diffusion, Adobe Firefly, Canva, Leonardo AI, NightCafe, Freepik, Recraft, Prome AI, Bing Image Creator, Google Imagen)을 대상으로 서비스별로 100개의 이미지 데이터셋을 수집한 후, JPEG 및 PNG 파일의 메타구조—파일 구조, 구조 값, Hex 데이터 패턴 등—를 분석하여 서비스별 특성을 도출하였다. JPEG는 파일 구조 및 Standard JPEG Table Quality를 활용해 서비스 식별이 가능하였으나, 일부 서비스 간 유사한 구조를 가지고 있어 완전한 식별에 한계가 있었다. 반면 PNG는 C2PA 표준과 XMP 메타데이터를 통해 생성형 AI 여부 및 서비스명을 확인할 수 있었다. 식별의 한계를 극복하기 위해 JPEG 및 PNG 파일의 구조적 특성과 공통된 Hex 데이터 패턴을 기반으로 지도 학습한 결과, 식별 목적에 따라 데이터셋 구성과 알고리즘 선택이 달라졌다. JPEG 이미지의 이진 분류(생성 여부 식별)에는 초기 구조 정보를 포함한 데이터셋에 XGBoost나 Random Forest와 같은 트리 기반 모델을 적용하는 것이, 평균 98.96%의 높은 정확도와 안정적인 학습 패턴을 보여 가장 효과적이었다. 반면, JPEG 이미지의 다중 분류(생성 서비스 식별)에는 구조 순서 및 구조 값만을 포함한 데이터셋과 트리 기반 모델 조합이 효율적이었다. PNG는 포맷 자체의 메타구조가 강력한 분류 신호로 작용하여, 이진 분류와 다중 분류 모두에서 모든 모델이 정확도 100%를 기록하였다. 그러나 통계적 안정성과 일반화 성능 측면에서는 XGBoost, Random Forest, Decision Tree 등의 트리 기반 모델이 상대적으로 우수하여, 신뢰도 높은 분류 성능을 확보할 수 있었다. 본 연구는 다양한 생성형 AI 서비스를 대상으로, 이미지의 시각 정보가 아닌 메타구조 기반 분석을 통해 시각적 변형에 강인한 식별 기법을 제시하였고, JPEG 및 PNG의 구조적 정보를 활용해 높은 신뢰도의 생성형 AI 이미지 식별 가능성을 입증하였다. 다만 공개 데이터셋 편중, PNG 샘플 수 부족, 학습된 서비스에 한정된 다중 분류, 그리고 동일한 인코딩 방식으로 인한 구조 중복 등의 한계가 있었다. 향후 현장 활용 시 이진 분류 후 다중 분류를 수행하는 2단계 분류 체계가 필요하고, 구조 유사성 문제 극복, 편집·합성된 콘텐츠까지 식별할 수 있는 분석 기법에 대한 연구가 필요하다. 본 연구가 수사 현장에서 생성형 AI 이미지의 출처를 식별해야 하는 데 기여하기를 기대한다.

등록자: 시스템 관리자 · 2026-04-01 05:47
iOS 기반 음성 녹음 파일 위변조 분석 연구
저자 나보미 연도 2025 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 김기범
음성 녹음 파일 M4A 파일 위변조 디지털포렌식 증거능력
2026-04-01
영문 제목 Forgery analysis methods for audio files on iOS
초록

디지털 기술의 발전으로 음성을 녹음하는 일이 쉬워짐에 따라 법정에서 디지털 증거로서 음성 파일을 제출하는 일이 증가하였다. 디지털 증거는 접근이 쉽고 위변조에 취약하여 디지털 증거의 증거능력 인정요건인 무결성, 동일성, 신뢰성을 입증하는 데 어려움이 발생할 수 있다. 증거능력 인정 여부는 유무죄 결정 등 결과에 중대한 영향을 끼칠 수 있으므로 명확하고 객관적인 기준을 통해 판단되어야 한다. 본 연구는 음성 녹음 파일의 증거능력 입증을 위하여 음성 녹음 파일 위변조 여부 식별 방안을 제시하였다. iOS 17.6.1 기반의 스마트폰 음성 메모 애플리케이션으로 생성된 M4A 파일을 대상으로 3가지 위변조 행위(삭제, 다듬기, 대치)를 수행하여 원본과 위변조 파일 간 비교를 수행하였다. 위변조 행위는 구간을 처음, 중간, 끝으로 구분하여 진행되었다. 기기 설정 시간을 변경한 파일에 대해서도 원본과의 비교를 실시하여 결과를 살펴보았다. 그 결과 파일 구조, Time Scale, Bit Rate, MAC Time(Creation Time&Modification Time, Duration), ----\data 값, udta\date 값에서 음성 녹음 파일의 위변조를 확인할 수 있는 특정 값을 도출할 수 있었다. Time Scale과 Bit Rate는 대치하거나 중간 구간을 삭제한 파일에서 각각 ‘44,100’, ‘256,000bps’로 나타나 원본과 상이한 값을 보였다. 다듬기하거나 처음, 끝 구간을 삭제하면 ‘48,000’, ‘64,000bps’로 원본과 같은 값이 나타났다. 대치하거나 중간 구간을 삭제하면 저장 시 인코딩되는 시간이 소요되어 도출된 결과라고 보여진다. 위변조된 파일에서는 date 값이 Creation Time과 달랐고 MAC Time 분석 시 Creation Time과 Modification Time 간 차이가 Duration과 달랐다. 위변조된 파일은 data 값의 문자열이 \free 박스의 가장 하위에서 나타났다. 위변조되거나 정지된 구간의 길이를 추정하는 추가 실험을 진행하였다. 음성 메모에서 파일명을 변경하지 않고 진행하였는데, 파일 구조에서 \free 박스가 사라지고 udta\meta\ilst 하위에 ‘----’구조가 하나 더 생성된다는 것을 확인하였다. 결과적으로 udta\date 값과 MAC Time 분석을 통해 위변조 혹은 정지 구간의 최대 길이를 추정할 수 있었다. 마지막으로 M4A 파일 입력 시 자동으로 위변조 여부를 판단하는 코드를 구현하여 검증하였다. 검증 데이터셋을 별도로 생성하였고, 그 결과 파일의 위변조 여부와 근거(구조, 속성 값 등), 파일명 변경 여부를 95.45%의 정확도로 탐지할 수 있다는 것을 입증할 수 있었다. 본 연구는 범죄 수사 및 법정 분쟁에서 음성 녹음 파일을 디지털 증거로 채택할 시 신뢰성을 제고할 수 있는 기법을 제시하였다는 점에서 의의가 있다. 음성 녹음 파일의 위변조 여부를 신속하게 판별하고 입증하는 데 기여할 수 있을 것으로 보인다. 다만 운영체제, 애플리케이션, 형식 등에서 한계가 존재하기에 향후 다양한 스마트폰 운영체제, 파일 포맷, 위변조 행위를 포함하여 광범위하게 분석할 필요가 있다. 향후 연구에서는 인공지능을 활용하여 분석 방안의 활용도를 높일 수도 있다. 본 연구가 수사, 감정, 법정을 포함한 다양한 분야에서 디지털 증거의 신뢰성을 높이고 공정한 의사결정에 기여하기를 소망한다.

등록자: 시스템 관리자 · 2026-04-01 05:47
로컬 아티팩트 기반 크로스체인 브릿지 서비스 탐지 방안
저자 하지영 연도 2025 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 김기범
크로스체인 브릿지 아티팩트 분석 자금세탁 가상자산 추적 디지털포렌식
2026-04-01
영문 제목 Detection methods for cross-chain bridge services based on local artifacts
초록

가상자산 시장이 활발해짐에 따라 증가하는 가상자산 범죄에 다양한 범죄 추적 회피 기술이 사용되고 있다. 주로 사용했던 믹서가 제재를 받음에 따라 크로스체인 브릿지를 이용하여 블록체인 네트워크를 이동함으로써 추적을 회피하는 경우가 증가하고 있다. 본 연구는 실제 해킹된 크로스체인 브릿지나 자금세탁을 위해 사용되었던 사례를 기반으로 크로스체인 브릿지 5종을 선정하여 구글 크롬, 마이크로소프트 엣지 브라우저에서 직접 서비스를 이용하여 자금을 이동하는 실험을 진행하였다. 웹 로컬 아티팩트를 기반으로 크로스체인 브릿지 사용 여부를 탐지할 수 있는 정보를 분석하고자 하였다. 제1장에서는 크로스체인 브릿지 연구의 필요성을 제시하고, 제2장에서는 크로스체인 브릿지 구동 방식, 실험에 사용될 크로스체인 브릿지 유형을 살펴보고, 관련 문헌 연구를 진행하였다. 제3장에서는 실제 사례를 기반으로 선정한 5종의 크로스체인 브릿지를 실험 대상으로 실제로 자금을 이동하였다. 이더리움 기반 웹 브라우저 확장 프로그램인 메타마스크 지갑을 연동하여 이더리움 네트워크와 크로스체인 브릿지 자체 블록체인 네트워크 간 자금을 주고 받는 거래를 수행하고, 실험 PC에서 로컬 아티팩트를 획득하였다. 분석한 로컬 아티팩트를 기반으로 크로스체인 브릿지 서비스를 탐지할 수 있는지 연구하였다. 크로스체인 브릿지에 연동된 지갑 주소, 송수신 체인, 크로스체인 브릿지 사용 여부 등에 관한 흔적을 분석하였다. 제4장에서는 로컬 아티팩트 분석 결과를 기반으로 실제 수사에서 활용할 수 있도록 크로스체인 브릿지 서비스 탐지 도구를 개발하고, 크로스체인 브릿지 서비스 탐지 도구 관련 절차를 마련하였다. 아티팩트 분석 결과 공통적으로 사용 흔적을 찾을 수 있는 파일을 기준으로 도구를 개발하였고, 실험 대상인 5종에 한정하여 시그니처 기반으로 개발되었다. 본 연구는 블록체인 네트워크 이동으로 수사 시 단절될 수 있는 트랜잭션 흐름을 이어갈 수 있도록 로컬 아티팩트에서 크로스체인 브릿지 사용 흔적을 발견하였다. 그러나, 많은 크로스체인 브릿지 탐지에 적용하기 어렵다는 한계를 가지고 있다. 또한, 크로스체인 브릿지는 웹 사이트에 접속하여 사용하는 형태로 PC에서 설치하여 사용하는 프로그램에 비해 적은 아티팩트 흔적이 남을 수 있어 정보가 부족하여 정확한 탐지가 어렵다는 한계가 있다. 향후, 본 연구를 토대로 다양한 종류의 크로스체인 브릿지 연구가 지속되어야 한다. Liquidity Pool 구동 방식의 크로스체인 브릿지에 대한 추가 연구와 Firefox, Opera, Safari 등 다양한 종류의 브라우저에서 실험할 필요가 있다. 비트코인, 테더 등 실험에서 사용하지 않았던 다른 가상자산을 이용한 자금 이동에 대한 연구도 함께 수반되어야 한다. 앞으로 가상자산 추적을 회피하기 위한 기술을 분석할 수 있는 연구가 다양해지기를 기대한다.

등록자: 시스템 관리자 · 2026-04-01 05:47
AI 기반 16진수 OCR (HEX-OCR) 기술을 활용한 에어갭 환경에서의 데이터 복원
저자 Shin, Sumin 연도 2025 출처 성균관대학교 일반대학원 박사학위논문 학위 박사 지도교수 김기범
AI driven forensic Data restoration Digital forensics Air-Gap HEX-OCR
2026-04-01
영문 제목 AI-driven HEX-OCR for data restoration in air-gapped environments
초록

본 논문은 물리적으로 분리된 에어갭 환경의 시스템에서 16진수 OCR (HEX-OCR)을 통해 데이터를 획득·복원하는 기법을 제안한다. 산업·군사·금융 등 고도의 보안이 요구되는 환경에서는 기밀 정보 및 지적재산권 보호를 위해 인터넷 및 외부 네트워크로부터 완전히 분리된 시스템인 에어갭 환경을 구축·운영해 왔다. 그러나 내부 시스템의 취약성을 공략하여 은밀한 채널로 데이터를 유출하는 위협 벡터는 지속적으로 연구되고 있으며, 에어갭 환경 역시 예외가 아니다. 에어갭 환경의 데이터 유출에 관한 기존 연구들은 LED 불빛이나 스피커 음향, CPU 팬 소음 등을 활용하여 최소한의 대역폭으로 정보를 전송하는 방식을 시도하였다. 하지만, 이러한 연구들은 대체로 전송 속도가 매우 느리고, 내부 시스템에 악성코드를 사전에 설치해야 한다는 한계를 가지고 있다. 따라서, 본 연구에서는 대상 시스템 내에 기본 명령을 통해 파일 내용을 16진수 헥사값으로 PC 모니터 화면에 출력 후 카메라로 촬영하여 복원하는 기법을 제안한다. 제안 기법의 주요 특징은 다음과 같다. 첫째, 별도의 사용자 권한 상승이나 악성코드 설치가 불필요하며, 운영체제에서 제공하는 기본 명령으로 실행이 가능하다. 둘째, 영상 촬영을 활용하므로 네트워크 연결이 이루어지지 않은 에어갭 환경에서도 적용할 수 있다. 셋째, 전송 속도는 kbps 수준으로 기존 LED 기반 방식보다 더 빠르며, OCR 성능 및 카메라 사양에 따라 가변적으로 최적화가 가능하다. 넷째, AI 기반 문자 분류 기법을 도입하여 데이터 확보를 위한 문자 인식의 정확성을 개선하였다. 본 논문의 기여점은 다음과 같다. ① 대상 시스템 내에 어떠한 추가 코드 설치 없이도 한줄 명령으로 파일 내용을 화면에 현출할 수 있는 기법을 제안한 점, ② PC 모니터와 외부 카메라를 연계하여 영상 신호만으로 16진수 기반의 데이터를 복원할 수 있음을 검증한 점, ③ 촬영한 동영상에서 효율적인 대표 프레임 선별 로직과 AI 기반 문자 인식 및 복원 방법론을 설계·적용하였다는 점이다. 실험 결과, 약 200바이트 크기의 파일을 약 1초당 6바이트(=48비트) 속도로 전송할 수 있었으며, 약 80cm 거리에서 핸드폰 카메라를 통해 99% 이상의 복원율을 달성하였다. 해당 기법은 물리적 분리를 기반으로 한 보안 시스템의 허점을 극명하게 드러내며, 에어갭 환경 보호를 위한 보안 대책(스크립트 기록 유지 설정을 통한 파워쉘 실행 흔적 추적 및 금지 정책 적용, MDM 도입 및 주기적 반도체(카메라 렌즈) 탐지활동, 특수 제작 보호필름·스티커 부착(촬영 저하 패턴 반영), 비가시성 워터마크 도입, 보안성을 고려한 사무환경 설계/적용, 공급망 보안, 물리적 보안, 접근통제 및 시설 전환)의 필요성을 강조한다.

등록자: 시스템 관리자 · 2026-04-01 05:47
안드로이드의 Sysdump 포렌식에 관한 연구
저자 진승택 연도 2024 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 김기범
모바일포렌식 안드로이드 Sysdump 시스템 로그 보안 폴더
2026-04-01
영문 제목 A study on the digital forensics of Sysdump on Android system
초록

현대 사회에서 스마트폰은 일상생활에서 개인과 긴밀하게 연결된 필수적인 도구로 자리 잡았다. 스마트폰은 범죄 수사에서 증거 가치가 계속 높아지고 있다. 조작이 간단하기 때문에 증거 은닉 및 인멸을 쉽게 할 수 있다. 모바일포렌식은 스마트폰 특수성으로 현장에서 사건 관련 정보를 확인하기에는 시간적·기술적으로 한계가 있어 복제 또는 원본을 압수하여 사무실에서 분석한다. 특정 증거의 존재나 증거 인멸, 은닉 행위를 수사기관 사무실에서 정밀 분석 후에 확인하게 된다. 이러한 절차로 인해서 증거 인멸, 은닉 등의 안티 포렌식 행위를 압수·수색이 끝나고 수사기관의 사무실에서 확인하게 된다. 현장에서 확인할 수 있다면, 다른 증거에 대한 추가 수색 및 다른 방안을 모색할 수 있지만, 현장에서 스마트폰을 복제 또는 원본을 봉인해서 반출하게 되면 이러한 기회조차 놓치게 된다. Sysdump는 안드로이드 시스템의 기능으로 Dumpstate 로그를 비롯하여 사용자가 일반적으로 접근할 수 없는 다양한 로그와 스마트폰에 저장된 사진, 영상, 문서 파일들의 목록과 정보를 Media DB Dump로 추출할 수 있는 기능이 있다. 안드로이드 시스템의 로그는 사용자의 활동을 자세히 기록하고 있으며, Media DB는 사용자 영역과 보안 폴더 영역에 저장된 모든 파일 목록을 확인할 수 있어 포렌식적으로 중요하다. 제2장에서는 모바일포렌식 개념을 살펴, 상용 포렌식 도구에서 사용 중인 기법에 대해서 조사하였다. 현장에서 수사기관의 대응 방법과 이유에 대해서 알기 위해서이다. 그리고 제3장에서는 Galaxy S24 Ultra(안드로이드 14), Galaxy Wide 5(안드로이드 13), Galaxy S10 5G(안드로이드 12)를 대상으로 Sysdump 데이터를 분석하였다. 기기 정보, 사용자 영역, 보안 폴더 영역으로 나눴고, 세부적으로 49개 항목으로 분류하였다. 분석 결과를 바탕으로 증거 은닉, 인멸, 불법 촬영 등의 상황 활용하는 것을 제시하였다. 제4장에서 Sysdump 데이터를 쉽게 분석할 수 있도록 수집, 분석 도구를 제작하였다. 스마트폰 조작하여 기기에 데이터를 생성함으로 증거 능력에 문제가 발생할 수 있어, 이를 보완하기 위한 Sysdump 데이터 분석을 위한 새로운 모바일포렌식 절차를 제시하였다. 따라서, 본 연구에서는 안드로이드의 Sysdump 데이터를 분석하여 도구를 제작하였다. 또한 증거 능력을 위해 포렌식 절차를 제안함으로써 현장에서 어플리케이션 및 파일 삭제 내역, 기기 초기화 등의 증거 인멸, 불법 촬영 등의 사용자 행위와 사용자 및 보안 폴더 영역에 은닉된 파일 목록을 신속하게 분석할 수 있을 것이라 기대한다. Sysdump 데이터는 시간적, 기술적 문제로 인해 현장에서 스마트폰을 분석하지 못하는 문제를 해결할 수 있을 것이다. 즉, 현장에서 분석하여 신속하게 범죄 혐의 확인, 증거 은닉, 인멸 행위 등에 대응할 수 있을 것으로 기대한다.

등록자: 시스템 관리자 · 2026-04-01 05:47
윈도우포렌식 도구의 선별압수 기능 평가모델 설계에 관한 연구
저자 김선호 연도 2024 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 김기범
디지털증거 윈도우포렌식 선별압수 평가모델 설계 디지털포렌식 도구
2026-04-01
영문 제목 A study on the design of evaluation criteria for the selective seizure function of Windows forensic tools
초록

형사소송법은 디지털증거의 압수수색 시 영장에 명시된 저장매체에 접근해 탐색 및 수색 과정 중 사건과 관련 있는 디지털데이터를 선별해 압수하도록 규정하고 있다. 디지털증거는 매체 독립성, 비가시성, 대용량성, 초국경성 등의 특성을 가지고 있어 증거능력의 인정요건에 대한 문제가 발생한다. 또한, 현장에서의 압수수색은 절차를 엄격히 준수해야 하므로, 피압수자의 협조 정도, 현장의 여건, 시간, 장소, 인력 규모, 수사 상황, 그리고 무관한 정보가 포함된 압수 등과 같은 실무적 문제들로 인하여 수사현장에서 많은 차질이 빚어지고 있다. 형사소송법과 수사기관의 예규 및 훈령 등에 따르면 압수절차를 준수하지 못하면 위법수집증거가 되어 재판에서 증거로 사용하지 못한다. 선별압수를 집행하는 과정에서 발생할 수 있는 증거의 법적 효력에 관한 문제들을 해결하기 위해서는 기술적, 법률적인 보완 방안의 마련이 필요하다. 본 연구의 제2장에서는 디지털증거의 개념, 압수수색 절차, 선별압수와 관련된 법제 및 판례를 연구하고 선행연구에 대해서 조사하였다. 제3장에서는 선별압수 기능에 필요한 윈도우 분석 항목을 조사하여 기능의 평가모델 설계, 평가도구 선정, 평가기준에 따른 데이터셋을 개발하였다. 제4장에서는 개발된 데이터셋을 활용 하여 VMware가상환경 활성시스템에서 실험을 실시하였고, 실험결과를 바탕으로 선별압수 기능의 활용방안를 연구하였으며 한계점도 살펴보았다. 제5장에서는 선별압수 기능 평가모델 설계에 관한 연구의 결론를 서술하였다. 본 연구는 현장 선별압수 과정에서 디지털데이터를 정확하게 분석하고 수집하기 위해 분석기능과 도구의 발전에 기여할 수 있다. 하지만 대부분 분석도구들은 선별압수 기능에 최적화되어 있지 않는 한계가 있다. 사이버범죄의 증가와 디지털기술의 발전에 따라 디지털포렌식 도구의 개선과 발전은 중요한 과제이다. 디지털포렌식 도구들은 범죄 수사, 보안 사고대응, 데이터복구, 안티 포렌식 등에서 핵심적인 수단과 역활를 수행한다. 향후에는 디지털포렌식 도구의 발전과 법적, 기술적 한계 사이에서 균형을 찾는 연구가 계속되길 기대한다.

등록자: 시스템 관리자 · 2026-04-01 05:47
ADB 이용 안드로이드 앱 제어 기반 아티팩트 획득 모델 연구
저자 김수영 연도 2024 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 김기범
모바일 포렌식 디지털 포렌식 아티팩트 ADB 에뮬레이터
2026-04-01
영문 제목 A study on artifact acquisition model based on Android application control using ADB
초록

수사기관은 주로 모바일포렌식 프로그램을 이용해 안드로이드 앱을 분석하지만, 상용도구는 모든 앱의 서비스를 제공하지 않는다. 일부 앱은 상용도구 이외의 기법으로 포렌식이 필요하고, 앱의 출시나 업데이트에 따라 기존의 방법으로 분석이 불가능할 수 있다. 본 연구는 안드로이드 앱을 자동으로 제어해서 아티팩트를 쌓아 분석하는 ‘아티팩트 획득 모델’을 제안한다. 신규로 출시한 앱, 업데이트가 빈번하게 진행되는 앱, APK 파일로 배포되는 앱, 보이스피싱에서 사용된 악성앱 등 총 10개 앱을 대상으로 실험을 진행하였다. 안드로이드 앱 아티팩트와 관련하여 국내외 논문과 보고서를 살펴보고, 모델을 설계·구축해 아티팩트 획득 실험을 진행하였다. 제2장은 안드로이드 앱 아티팩트의 개념과 개발·분석 도구, 화면 구성 요소를 살펴보고, 문헌 연구를 통해 동향을 파악하였다. 제3장은 에뮬레이터 탐색과 제어 등을 내용으로 하는 ‘아티팩트 획득 모델’을 구현하고, Better, Threads, Youtube, TikTok 등 총 10개 앱을 대상으로 아티팩트 획득 실험을 진행하였다. 그 결과 5~6개의 앱은 제어 행위에 따른 전체 아티팩트를 탐지하였지만, 나머지는 ABI 버전, Service 설계, 암호화 등으로 일부 행위만을 도출하였다. 제4장은 ‘아티팩트 획득 모델’의 발전 방향을 탐색하였고, 구체적으로 앱 제어 시나리오를 통한 자동화 구현, 보고서의 아티팩트 데이터 서술, 기본 설정 시간 단축, 스마트폰 등 분석 대상의 확대가 있다. 모델은 상용도구의 동적 아티팩트 탐지 도구, 수사 과정의 포렌식 보조 수단, 연구 목적의 앱 데이터 획득·분석 방안 등으로 활용될 수 있다. ‘아티팩트 획득 모델’은 자동 제어를 통해 사람의 노동력을 줄이고, 작업 시간의 효율성과 앱 데이터 선별의 정확성을 높일 수 있었다. GMD SOFT와 Cellebrite 제품으로 동일한 앱을 대상으로 분석해 성능을 평가하였고, APK 배포나 보이스피싱 악성앱은 모델의 기법만이 아티팩트를 탐지할 수 있었다. 그러나 모델은 사람이 앱을 제어하는 방식의 완전 자동화가 불가능하였고, 보고서를 통한 분석 기능이 제한적이었다. 운영체제 부팅 등으로 작업이 지체되었고, 화면이 표출되지 않는 앱은 부분적인 실험이 진행되었다. 모바일포렌식의 선행 연구나 상용도구는 특정 앱을 선정하여 아티팩트를 분석한다. 사용자는 선호에 따라 다양한 앱을 이용하고 있기 때문에 새로운 유형의 앱 포렌식에 대한 대비가 필요하다. ‘아티팩트 획득 모델’을 상용도구 없이 다양한 유형의 앱을 선제적으로 대응할 기법으로 제안한다. 향후에도 앱의 동적 아티팩트를 자동으로 쌓아 분석하는 기법의 연구가 계속되기를 고대한다.

등록자: 시스템 관리자 · 2026-04-01 05:47
전자증거개시 도입 및 발전방안 연구
저자 차지은 연도 2024 출처 성균관대학교 일반대학원 석사학위논문 학위 석사 지도교수 김기범
민사소송 전자증거개시 e-Discovery 디지털포렌식 리걸테크(legal-tech)
2026-04-01
영문 제목 A study on the introduction and development of e-discovery system in Korea
초록

전자증거개시는 본안 전 증거조사결과를 토대로 조정과 화해를 통해 분쟁을 조기에 해결할 수 있는 미국의 민사소송 제도이다. 전자증거개시는 전자화된 증거를 당사자가 수집하고 증빙함으로써 국내 리걸테크(legal-tech) 산업의 커다란 반향을 불러일으키고 있다. 국내에도 LG나 삼성 등의 특허소송으로 인해 전자증거개시를 도입해야 한다는 논의가 잇따르고 있다. 제2장에서 국내 법제와 함께 민사소송법상 전자증거개시 도입 추진 시 문제점을 다룬다. 제3장에서는 미국의 민사소송규칙(FRCP)과 연방증거규칙(FRE)을 살펴보면서 민사소송절차와 판례를 분석하고 시사점을 도출한다. 제4장에서는 전문가의 인식조사를 통해 포렌식 전문가에게는 디지털포렌식 도구의 실태와 전자증거개시의 현장 현황, 법률 전문가에게는 전자 증거수집 절차와 국내 도입 추진 시 문제점을 질문한다. 마지막으로 제5장에서는 전자증거수집을 도입하기 위한 발전 방향으로 민사소송법에 전자증거개시 도입 추진, 전자증거개시 전문가 교육 강화, 전자증거개시 제도 및 인프라 구축을 제시한다. 구체적으로 민사소송법에서 전자증거개시의 문서제출명령의 대상을 ‘문서’에서 ‘종이, 전자문서 등 모든 자료’로 확대해야 한다. 증거보전제도 신설이 필요하다. 추가 조항으로 증거가 전자적 형태일 경우 메타데이터를 포함하는 조항을 추가하거나 법원의 허가를 받고 사본을 생성하여 제출하는 법안도 고려해야 한다. 문서제출의무 위반과 제재에 대한 법적 근거 마련이 필요하다. 문서제출 불이행에 대한 제재로 과태료를 부과하거나 소송비용을 일부 부담하게 하는 방법도 고려해야 할 것이다. 포렌식 전문가와 변호사, 법관을 대상으로 맞춤형 전자증거개시 교육 제도가 필요하다. 포렌식 전문가에게는 역량교육을 받게 하거나 전문가협회에서 자격증을 발급하는 등의 운영도 방법이다. 법학전문대학원에서 전자정보에 관한 교육을 미래 변호사에게 제공하거나 대한변호사협회 등에서 사전에 변호사 행동 강령에 관한 지침을 교육하는 등의 조치를 취할 수 있다. 법원에서는 전자증거개시에 대한 법관의 전문성을 지원하는 제도를 마련해야 할 것이다. 국내 전자증거개시 산업 인프라 발전을 위해 분석 도구의 국산화가 필요하다. 도구의 인증 의무화를 마련하여 도구의 신뢰성을 확보하고 법무법인/회계법인 등에서 디지털포렌식 공인시험기관 인정 의무화하는 제도를 구축하여 국산 도구의 신뢰성과 산업발전을 이끌어야 한다. 본 논문은 한정된 인원으로 인식조사를 진행한 점, 전자증거개시 현장에 관한 사전조사가 많지 않아 질문구성에 어려움이 있던 점, 비례성 원칙에 관한 구체적인 법률 대안을 제시 못 한 점 등에서 한계를 가지고 있다. 향후 본 논문의 연구를 기반으로 우리나라에 전자증거개시 제도가 도입될 수 있기를 기대한다.

등록자: 시스템 관리자 · 2026-04-01 05:47