모바일 포렌식 개요

https://youtu.be/qpadWn-HfN0?si=CyE61FGUJJ6Yvwvm

모바일 포렌식

  • 모바일 기기(안드로이드, iOS 등)를 조사하는 디지털 포렌식
  • 모바일 기기에 저장되어 있는 통화 기록, 문자 메시지, 위치정보, 앱 사용 기록 등의 데이터 추출 및 분석
구분 피처폰 스마트폰
운영체제 Symbian, Android(최신 기종) Android, iOS, Windows Mobile, Blackberry OS 등
주요 데이터 통화 기록, 문자 메시지, 사진, 연락처, 일정 등 통화 기록, 문자 메시지, 사진, 연락처, 일정 이메일, 위치 정보, 애플리케이션 사용 기록 등

 

 

모바일 포렌식의 특징

  • 사용자가 모바일 기기를 사용하면서 생성된 데이터가 시간 정보와 함께 저장됨
    • 프라이버시 관련 데이터가 많이 존재 (사용자가 독점적으로 사용하는 기기이기 때문)
    • 사용자 행위 분석(전화, 메신저, 웹 브라우저 검색, 사진 촬영 등)에 용이
  • 데이터 수집 및 분석을 위해 해결해야 할 이슈가 많음
    • 민감 정보를 다루기 때문
    • 하드웨어/소프트웨어 암호화, 안티 포렌식 기법 (공장 초기화, 와이핑, 안전한 삭제 등)
  • 기종별로 저장되는 데이터의 위치와 종류가 다름
    • 제조사, 하드웨어, 기능의 다양성 + 짧은 제품 개발 주기 → 다수의 모델
    • 같은 제조사여도 칩셋의 종류에 따라 데이터의 종류나 위치가 다를 수 있음
    • 모델별 저장되는 데이터 종류와 저장 위치를 식별할 필요 있음
  • 데이터 동기화, "기기" 중심 → "계정" 중심 서비스 제공
    • 클라우드 저장소, 메신저 (클라우드에 있는 한 계정에서 다양한 디지털 기기의 데이터 한꺼번에 수집하는 상황도 추후 발생하게 될 것)
    • IoT 시대, "구심점"
      • 스마트폰으로 연결, 매개체 역할

 

모바일 데이터 종류

  • 시스템 정보
    • 기기 모델 및 버전 정보
    • 네트워크 연결 정보
    • 다운로드 및 설치된 앱 목록
    • 사용자 계정 정보
  • 사용자 데이터
    • 연락처
    • 통화 기록
    • 문자 메시지 기록
  • 텍스트 포맷
    • 텍스트 형태로 저장된 데이터
    • *.log, *.xml, *.cfg 등 다양한 형태의 포맷(확장자)으로 데이터가 존재함
    • 주요 데이터: 기기 정보, 시스템 로그, 애플리케이션 설정 정보 등
  • 데이터베이스
    • SQLite 등의 데이터베이스 파일로 저장된 데이터
    • 대부분의 애플리케이션 사용기록이 데이터베이스로 기록됨
  • 멀티미디어
    • 사진, 동영상, 문서 

 

모바일 저장장치

  • 플래시 메모리(Flash Memory)
    • 모바일 디바이스 데이터 저장을 위해 플래시 메모리 사용
    • 종류
      • eMMC(embedded MultiMedia Card) → 저가형 모델 
      • UFS(Universal Flash Storage) → 플래그쉽 모델 (최근 출시되는 스마트폰은 대부분 이걸 사용)
    • eMMC vs UFS
      • UFS 2.1 기준 eMMC와 비교하여 약 2배 빠른 속도와 낮은 소비 전력

 

모바일 운영체제

  • 안드로이드(Android)
    • 구글(Google)에서 개발한 임베디드 운영체제
      • 리눅스(Linux) 커널에서 동작하며, C/C++ 라이브러리가 포함되어 있음
    • 개방형 플랫폼으로 다양한 기기에서 구동 가능
      • 스마트폰, 태블릿 PC, 스마트 워치, 네비게이션, 스마트 TV, AI 스피커 등
  • iOS
    • 애플(Apple)에서 개발한 유닉스 기반의 모바일 운영체제
    • 애플의 여러 제품에 사용되었지만 현재는 iPhone만 사용
      • iPad: 2019년에 iPadOS로 분리
      • Apple TV: 2015년에 tvOS로 분리

 

모바일 데이터 수집

수집에 필요한 절차들

  • 통신 차단
    • 포렌식 조사를 하기 위해 압수한 경우에는 통신 차단을 해야 함
      • 모바일 기기는 무선 네트워크에 연결되어 원격으로 증거물 훼손 및 조작 가능
    • 차단 방법
      1. 전파 차단 장비 활용
        • Faraday Bag을 이용하여 통신 차
      2. 비행기 모드 (Airplane Mode)
        • 통신을 차단하는 내장된 기능을 사용하는 방식
        • 데이터 수집 시 주로 사용되는 통신 차단 방법
  • 침수 대응
    • 스마트폰이 침수되면 전원을 켜지 않는 것이 중요
    • 습기 제거
      • Paraben사의 Save-A-Phone
      • 가방에 소금과 같이 두어 습기 제거
      • 실리카겔
    • 3~5일 건조 후 전원 공급 → 데이터 수집 및 분석 수행

 

 

'SWUFORCE > 모바일 포렌식' 카테고리의 다른 글

[모바일 포렌식] 모바일 포렌식 입문  (9) 2024.10.08
[고려대 정보보호대학원] 모바일 포렌식 분석  (1) 2024.10.01
[고려대 정보보호대학원] 모바일 포렌식 수집: 아이폰  (0) 2024.10.01
[고려대 정보보호대학원] 모바일 포렌식 수집: 안드로이드Ⅱ  (0) 2024.10.01
[고려대 정보보호대학원] 모바일 포렌식 수집: 안드로이드Ⅰ  (2) 2024.10.01

+ Recent posts

티스토리툴바