사생활 보호 모드는 사용자의 개인 정보를 보호하는 기능을 제공하는반면, 피의자가 자신의 행적을 숨기기위해 안티포렌식 측면에서 활용하기도 한다. PC환경과 달리 모바일 환경에서 웹 브라우저의 사생활 모드를 활성화한 경우의 연구가 전무하기 때문에, 본 논문에서는 모바일 환경에서 Chrome, Samsung Internet, Whale, Firefox 4개의 브라우저에서 사생활 보호 모드에 대한 실험을 진행하였다. 결과적으로 모든 대상 브라우저에 대해 검색 키워드, 방문 페이지 내역, 다운로드 파일 경로를 추출할 수 있었다.
모든 프로그램은 실행되기 위해 RAM에 적재되어야 한다. 모바일 환경에서도 마찬가지로 프로그램이 실행되려면 메인 메모리에 적재되어야 하기 때문에, 용의자가 사생활 보호 모드를 사용하더라도 기기의 전원이 종료되기 전에 데이터를 추출하면 활동 기록을 추출할 수 있다. 반대로 모바일 기기의 전원이 종료된 후 입수된다면 분석이 불가능하다.
[메모리 포렌식을 이용한 분석 절차]
1. 분석 대상 모바일 기기의 메모리를 덤프한다.
2. 덤프한 데이터에서 검색어를 추출한다.
- 웹 브라우저는 URL에 공통으로 search라는 키워드를 포함, 뒤에 'q=' 혹은 'query=' 키워드 다음에 검색어가 등장
3. 방문한 웹 사이트를 추출한다.
- 'http://' 혹은 'https://' 단어로 시작함 -> 키워드 검색을 통해 접속 사이트 추출 가능. 키워드가 남지 않는 일부 사이트의 경우 접속 사이트에서 키워드 추출 후 이차적인 키워드 검색 과정 필요.
4. 다운로드 파일의 경우, 파일 저장 경로를 키워드로 덤프 파일을 검색한다.
- 웹 페이지에 다운로드가 가능한 파일이 존재할 경우 파일 이름을 키워드로 덤프 파일을 다시 검색함.
[실험 환경]
실험 기기 : Galaxy A7 (2018)
실험 대상 웹 브라우저 : Chrome, Samsung Internet, Whale, Firefox
실험 방식 : 브라우저에 '마약'이라는 단어를 검색, 일부 페이지를 방문 및 파일 다운로드
조사 도구 : Frida 12.6.23버전, fria-tools 4.1.0버전, frida server 12.8.5버전
fridump로 메모리를 덤프한 후 웹 아티팩트 추출 시도
-> 검색어, 방문 사이트 URL 확인 가능 (한국어의 경우 퍼센트인코딩)
파일 다운로드 후 파일을 삭제하더라도, 방문한 웹 사이트의 주소를 파악하고 다운로드한 흔적을 찾을 수 있다. 방문 사이트에서 게시된 파일명과 다운로드된 파일명을 비교하여 다운로드 여부가 확인이 가능하다.
모든 대상 브라우저에서 사생활 보호 모드를 활성화하더라도 웹 아티팩트를 추출할 수 있다. 해당 메모리 포렌식 방법은 사생활 보호 모드가 아닌 일반 모드에서도 동일하게 파일을 추출할 수 있다.
본 논문의 분석 방법은 모바일 기기를 전원이 종료되지 않은 상태로 압수되어야 한다는 한계점이 존재하기 때문에, 안드로이드 환경에서 적용 가능한 비할당영역의 분석을 통해 웹 아티팩트를 찾는 연구가 수행되어야 한다. 메모리 포렌식으로 얻은 파일 경로를 이용해 비할당 영역을 분석한다면 삭제된 파일의 복구 또한 수월할 것으로 여기고 있다.
모바일 환경에서 웹 브라우저 사생활 모드 활성화한 경우, 전원을 종료하지 않은 상태에서 압수한다면 사생활 보호 모드에서의 웹 아티팩트 추출도 가능하다는 내용의 논문을 살펴봤습니다. 조만간 비할당영역의 분석 방법에 대한 연구 논문을 가져오겠습니다.
'Digital Forensics > 논문리뷰' 카테고리의 다른 글
| [논문리뷰] 몰래카메라를 악용한 2차 범죄 대응을 위한 디지털포렌식 조사 방법론 (0) | 2024.12.12 |
|---|