연구/논문 실적
논문 등록초록
디지털 시대의 발전으로 인하여 개인의 스마트폰 보유율이 지속적으로 증가하고 있고, 스마트폰 이용률이 증가함에 따라 범죄에 사용된 모바일 기기 증거 분석율 역시 증가하고 있다. 특히 디지털 포렌식에 대한 인식이 높아지면서 수사망을 피하기 위한 안티 포렌식 방법도 다양해지고 있다. 그러나 모바일 포렌식은 모바일 기기 특성상 지속적으로 새로운 기기와 OS가 등장하고 있고, 애플리케이션들의 업데이트도 실시간으로 진행되고 있어 도구에 의존하여 수집 및 분석을 하고 있는 것이 현실이다. 국내 수사기관에서 모바일 기기 수집 시 전원을 차단한 후 현장에서 모바일 포렌식 수집 도구를 이용하여 데이터를 수집한다. 이렇게 수집된 데이터는 비휘발성 데이터로 스마트폰에 저장된 것을 대부분 확인할 수 있다. 그러나 시스템 전원을 차단하는 순간 휘발성 증거들이 소멸된다는 단점이 있다. 본 논문에서는 모바일 기기에서 휘발성 메모리를 분석하는 방법과 절차에 대하여 연구하였다. 첫 번째로, 카카오톡의 ‘나에게서만 삭제’ 기능으로 메시지를 삭제할 경우 상용 도구에서도 카카오톡 DB 내 메시지가 0으로 덮어써지기 때문에 복구가 불가능하다. 그러나 휘발성 메모리 상에서는 비활성 영역에 저장되는 것처럼 DB 형태로 저장되는 것이 아니므로 삭제되기 전 메시지를 확인할 수 있었다. 두 번째로, 대화 내용을 기기에 저장할 때 암호화하여 저장하는 메신저 앱에 대하여 상용 도구에서는 이를 복호화하여 보여준다. 그러나 주기적으로 변경되는 암호화 키 업데이트로 인하여 상용 도구 사에서 키 업데이트를 적용하는 기간 동안 복호화가 불가능하다는 문제가 있다. 휘발성 메모리에는 이 복호화된 메시지가 저장되기 때문에 상용 도구에서 복호화를 하지 못하더라도 휘발성 메모리 내부에서 평문의 대화 내용을 확인할 수 있다. 세 번째로, 모바일 기기 압수 전 사용하던 앱을 삭제할 경우 상용 도구에서 분석하려면 미리 삭제한 앱을 알고 있어야하는데, 자주 사용하지 않는 앱을 범죄에 사용하고 삭제를 한다면 분석이 필요하다는 것을 알기 어렵다. 휘발성 메모리 상의 다른 앱에 삭제된 앱에 대한 기록이 남아있을 수 있으며, 삭제된 앱을 알게 되면 상용 도구에서 비활성 영역을 분석하기도 용이하다. 네 번째로, 안티 포렌식 앱인 데이터 완전삭제 앱은 실행할 경우 비활성 영역의 데이터가 삭제되므로 상용 도구에서는 복구가 불가능하다. 그러나 휘발성 데이터에서는 삭제한 내용이 그대로 남아 있었다. 위와 같은 이유로 모바일 증거 수집 시 휘발성 메모리 분석이 반드시 필요하다. 따라서 본 논문에서는 휘발성 메모리 분석과 모바일 증거 수집 절차의 개선방안을 제안하였다. 또한, 모바일 기기 특성 상 수집 및 분석 자동화 도구가 필수적이므로 휘발성 메모리 분석 도구 개발의 필요성도 주장하였다. 현재 수사기관의 모바일 증거 수집 절차에 포함되지 않던 휘발성 메모리를 수집 및 분석하여 모바일 기기 증거 획득의 범위를 넓히고, 그동안 증명하기 어려웠던 행위들을 증명함으로서 모바일 기기 수사 기법이 고도화 되어 범죄 수사 발전에도 도움이 되기를 기대한다.