13VS1600, Development of Digital Forensic Technologies for Real-Time Analysis,
Un Sung Kyong
Abstract
핵심기술 ◦ 휴대형 및 온라인 포렌식 기술 ◦ 대용량 데이터 포렌식 검색 및 인덱싱 기술 ◦ 조각 패스워드 해독 기술 ◦ 디지털 증거 시각화 기술 ◦ 내용 기반 민감 정보 분석 및 기밀 정보 스크리닝 기술
최종목표 IT 및 법률 환경 변화에 따른 새로운 포렌식 패러다임에 부함하는 실시간 분석 지원형 디지털 포렌식 핵심 기술 개발
개발내용 및 결과 ◦ 온사이트 분석용 디지털 포렌식 기술 - 사용자 행위 중심 PC 사용기록 수집 및 분석 기술 개발 - 스마트폰 데이터 수집 분석 기술 개발 - 온라인 포렌식 데이터 수집 및 분석 기술 개발 ◦ 대용량 데이터 포렌식 연관 분석 기술 - 고속 포렌식 검색 기술 개발 - 포렌식 인덱스 고속 생성 기술 개발 - 포렌식 문서 파일 필터 기술 개발 - 디지털 증거 시각화 분석 기술 개발 ◦ 안티포렌식 대응 기술 - 고속 패스워드 해독 기술 개발 - SSD 저장매체 데이터 복구 기술 개발 ◦ e-Discovery 지원 기술 개발 ◦ 디지털 포렌식 미래 기술 연구
기술개발 배경 ◦ 현장에서 디지털 포렌식 수행의 요구사항 증가 - 컴퓨터 하드디스크 이미지 획득을 통한 포렌식 랩에서의 증거 데이터의 분석은 현장에서의 실시간 분석을 필요로 하는 향후의 수사방식에 적합하지 않음 - 사건 현장에 보존되어 있는 컴퓨터 등으로부터 휘발성 정보뿐만 아니라 잠재적인 증거 데이터들을 포함하고 있는 비휘발성 정보들을 신속하여 분석을 할 수 있는 기술 확보가 매우 중요시 됨 ◦ 다양한 매체로 디지털 포렌식 수사 범위 확대 - USB 등의 저장장치를 대상으로 한 증거 수집 분석 뿐 아니라 웹메일, 웹하드, 블로그 등 온라인 데이터로부터의 증거 수집에 대한 요구가 증가되고 있음 - 온라인 데이터에 대한 무결성을 제공하는 온라인 데이터 포렌식 기술이 요구됨 ◦ 디지털 포렌식 대상 데이터 및 스토리지의 양적 확대 - 스토리지의 규모가 증가하고 특정 필요에 의해 정보들을 저장,백업 및 보관해야 하는 경우가 늘어나면서 대용량 데이터에 대한 포렌식 분석 기술이 필요하게 됨 - 대용량 스토리지 내의 증거 데이터를 신속하게 분석하고 검색하는 기술, 특히 실시간 검색을 위한 인덱스 생성 속도를 향상시키는 기술과 연관 데이터를 분석하여 이를 표현하는 포렌식 증거 데이터 시각화 기술이 필요함 ◦ 안티포렌식 기술의 대중화 및 보편화로 인한 디지털 포렌식 수행의 어려움 증가 - 인터넷의 대중화에 따라 안티포렌식 기술이 접목된 다양한 툴들을 일반인들이 손쉽게 접할 수 있게 되면서 이의 활용에 따른 수사 방해 기술이 점차로 지능화 및 고도화되는 추세임 - 갈수록 복잡해지는 패스워드에 대한 해독 기술은 지금까지의 전수 조사에서 탈피하여 일부 알려진 문자를 이용한 조각패스워드를 검색하는 등 계속 진화해야 할 필요성이 있음 - 컴퓨터 디스크의 이미지로부터 조각난 파일의 단편들을 검출하여 원래의 파일을 복원할 수 있는 파일 카빙 기술에 대해서도 효율성과 성능을 높일 수 있는 방안의 연구가 시급함 ◦ 민간부문으로의 디지털 포렌식 응용 분야 확대 추세 - e-Discovery 등 각종 법·제도를 통해 디지털 포렌식의 영역이 민사 소송 등으로 확대되면서 방대한 기업 정보에 대한 수집,관리 및 분석을 자동화하여 변호사나 시스템 관리자 등이 쉽게 활용할 수 있도록 하는 분석 도구 구현을 위한 e-Discovery 지원 포렌식 기술이 중요해짐
핵심개발 기술의 의의 ◦ 기존 포렌식 툴의 느린 검색속도를 개선하고,대용량 데이터에 대한 검색을 가능하게 하기 위해 병렬 시스템을 이용한 비트와이즈(Bitwise) 검색 및 하둡 분산 플랫폼을 기반으로한 인덱스 검색 제공 ◦ 멀티 PUG 프로세서 및 병렬처리 조각 패스워드 해독 기술을 적용한 웹기반 고속 패스워드 해독 ◦ 서버 기반으로 업데이트가 빈번한 스마트폰 OS 및 APP에 대한 적시 데이터 수집 및 분석 ◦ 활성데이터 포렌식, 스마트폰 포렌식, SNS 포렌식에 다양한 분석 모델링을 적용한 데이터 시각화로 직관적인 분석 가능 ◦ 최근 사용 빈도가 점차 높아지고 있는 SSD 저장매체의 데이터 수집 및 복구 ◦ 현장에서 디스크를 이미징해서 원격 디스크 이미징 서버로 전송하고,서버에 보관된 다중 디스크 이미지를 동시 분석 및 리뷰가 가능하로록 하는 e-Discovery 지원도구 제공
적용분야 ◦ 검찰, 경찰과 같은 사법조직 기관의 디지털 포렌식 과학 수사 분야 ◦ 육·해·공군 사이버 수사대,국방부와 같은 공공기관의 감사 분야 ◦ 디지털 증거 확보가 필요한 법률서비스 시장
Copyright Policy
ETRI KSP Copyright Policy
The materials provided on this website are subject to copyrights owned by ETRI and protected by the Copyright Act. Any reproduction, modification, or distribution, in whole or in part, requires the prior explicit approval of ETRI. However, under Article 24.2 of the Copyright Act, the materials may be freely used provided the user complies with the following terms:
The materials to be used must have attached a Korea Open Government License (KOGL) Type 4 symbol, which is similar to CC-BY-NC-ND (Creative Commons Attribution Non-Commercial No Derivatives License). Users are free to use the materials only for non-commercial purposes, provided that original works are properly cited and that no alterations, modifications, or changes to such works is made. This website may contain materials for which ETRI does not hold full copyright or for which ETRI shares copyright in conjunction with other third parties. Without explicit permission, any use of such materials without KOGL indication is strictly prohibited and will constitute an infringement of the copyright of ETRI or of the relevant copyright holders.
J. Kim et. al, "Trends in Lightweight Kernel for Many core Based High-Performance Computing", Electronics and Telecommunications Trends. Vol. 32, No. 4, 2017, KOGL Type 4: Source Indication + Commercial Use Prohibition + Change Prohibition
J. Sim et.al, “the Fourth Industrial Revolution and ICT – IDX Strategy for leading the Fourth Industrial Revolution”, ETRI Insight, 2017, KOGL Type 4: Source Indication + Commercial Use Prohibition + Change Prohibition
If you have any questions or concerns about these terms of use, or if you would like to request permission to use any material on this website, please feel free to contact us
KOGL Type 4:(Source Indication + Commercial Use Prohibition+Change Prohibition)
Contact ETRI, Research Information Service Section
Privacy Policy
ETRI KSP Privacy Policy
ETRI does not collect personal information from external users who access our Knowledge Sharing Platform (KSP). Unathorized automated collection of researcher information from our platform without ETRI's consent is strictly prohibited.
[Researcher Information Disclosure] ETRI publicly shares specific researcher information related to research outcomes, including the researcher's name, department, work email, and work phone number.
※ ETRI does not share employee photographs with external users without the explicit consent of the researcher. If a researcher provides consent, their photograph may be displayed on the KSP.