3월_SNS 애플리케이션의 데이터 복호화 및 아티팩트 연구

3월_SNS애플리케이션의데이터복호화및아티팩트연구.pdf

2.02MB

 

요약
- 스마트폰이 대중화 되면서 현대인의 의사소통 수단에 SNS가 자리 잡음
- SNS는 다양한 보관증거 및 생성증거를 생성하므로 디지털 포렌식 수사관점에서 주요 분석 대상임
- SNS 애플리케이션은 데이터를 중앙 서버에 저장하거나 사용자의 편의성을 위해 스마트폰 내부에 저장하기도 함
- 이때 일부 애플리케이션은 개인정보 보호를 위해 암호화 기능을 제공하는데 이는 안티 포렌식으로 작용될 수 있음
- 따라서 암호화 방안에 관한 연구가 지속적으로 선행되어야 함
- 본 논문은 SQLCipher 모듈을 사용하여 SQLite 기반의 데이터베이스 암호화를 제공하는 두 종류의 애플리케이션을 분석하였음
- 각 데이터베이스를 복호화하여 주요 데이터를 식별하였음

 

서론
- 스마트폰 보유율이 상승하면서 SNS 애플리케이션 사용이 활성화됨
- SNS 애플리케이션은 다양한 보관증거 및 생성증거가 생성되므로 디지털 포렌식 수사관점에서 주요 분석 대상임
- 그러나 일부 SNS 애플리케이션은 데이터를 암호화하여 저장하기 때문에 이는 안티 포렌식으로 작용되기도 함
- 실제로 SNS 애플리케이션이 데이터 암호화로 인해 수사가 어렵다는 점을 악용하여 불법 행위를 하는 사례가 존재함
- 따라서 안티 포렌식 행위에 대한 대응 방안이 지속적으로 연구되어야 함
- 본 논문에서는 선행연구를 위해 L사, B사 애플리케이션을 분석해 보았음

 

L사 (데이터베이스 암호화 키를 안전하지 못한 방법으로 생성하는 경우)

- user.db 는 사용자 관련 데이터가 저장되어 있는 데이터베이스임

- android_id 와 고정된 string 값을 이용해 Passphrase(암호화키)를 생성하고 있음

- 생성된 Passphrase와 SQLCipher3 모듈로 데이터베이스를 암/복호화 함

- talk.db 는 채팅 관련 데이터 저장되어 있는 곳

- user.db 복호화 했을때 나오는 useridx(사용자의 고유 index)와 고정된 string 값 이용해 Passphrase 생성함

- 생성된 Passphrase와 SQLCipher3 모듈로 데이터베이스를 암/복호화 함

- 위 두가지 경우에서 문제는 고정된 string 값을 이용해서 Passphrase를 생성한다는 것임

- 고정된 값이 아닌 사용자 입력값을 기반으로 암호키를 생성해야 한다고 함

 

B사 (데이터베이스 암호화 키를 안전하게 보관하지 않는 경우)

- B사 애플리케이션은 관련 설정파일에 Passphrase를 평문 형태로 저장하고 있음

- 노출된 Passphrase와 SQLCipher3 모듈로 데이터베이스를 복호화 할 수 있음

- 얘는 암호화키를 저장한 파일을 암호화 해버리거나

- 암호화키를 직접적으로 저장하는 것이 아니라 해시값만 저장하는 등 평문으로 보관하지 말아야 한다

 

결론

- SNS 애플리케이션은 데이터를 중앙 서버에 보관하거나 암호화하여 디바이스 내부에 저장하기도 함

- 이 때 암호화 기술은 안티 포렌식으로 작용될 수 있음

- 복호화 연구가 선행되지 않는 한 디지털 포렌식 수사에 차질을 빚을 수 있으므로 선행연구가 필요함

- 본 논문에서 L사, B사 애플리케이션을 분석해 보았음

- 두 애플리케이션은 데이터베이스 암호화 키를 안전하지 못한 방법으로 생성하거나 안전하게 보관하지 않고 있음

- 이는 디지털 포렌식 수사관점에서는 증거 획득을 위한 부분이지만 개인정보 보호의 관점에서는 보완해야 할 요소임

- 보완 방법으로는 NIST의 권고 사항인 패스워드를 저장한 파일을 암호화 한다거나

- 패스워드를 직접적으로 저장하는 것이 아닌 해시값만 저장한다거나

- 고정된 암호키가 아닌 사용자의 입력값을 기반으로 암호키를 생성해야 하는 것 등이 존재함