[논문 리뷰] 삼성 스마트폰 맞춤형 서비스 애플리케이션을 이용한 디지털 포렌식 (1)

*본 글의 모든 내용, 그림, 표 출처는 논문 원문에 있습니다.

https://dcollection.korea.ac.kr/public_resource/pdf/000000270267_20240206235913.pdf

[출처] 윤호. (2023.02). 삼성 스마트폰 맞춤형 서비스 애플리케이션을 이용한 디지털 포렌식. 고려대학교 일반대학원 정보보안학과

 

---

문제점)

1. 모든 애플리케이션이 스마트폰 내부에 아티팩트를 남기지 않음

2. 스마트폰 저장 용량의 증가로 인한 분석의 어려움과 디지털 포렌식 분석 소프트웨어에 대한 높은 의존도

3. 점차 강화되는 스마트폰 자체 보안으로 인한 수집의 어려움

-> 제조사 백업 프로그램과 제조사 직접 요청 방식을 통해 스마트폰 내부와 삼성 클라우드에 저장된 제조사 제공 애플리케이션 데이터를 각각 수집하여 연구

---

삼성 스마트폰 맞춤형 서비스 애플리케이션 개요

"if-then" : 스마트폰 사용자의 환경이 특정 조건(if)을 만족하면 스마트폰이 스스로 특정 기능을 수행(then)하는 것

-> 사용자는 스마트폰의 능동적인 제안을 수락 및 거절을 반복하는 과정을 통해 스마트폰 사용자 맞춤화가 진행됨

-인공지능화된 방식으로 사용자 맞춤화된 스마트폰으로 탈바꿈하기 위해 제조사는 인공지능 역할을 수행하는 애플리케이션과 특정 기능만을 수행하는 애플리케이션을 구분

(= default 상태의 "빅스비 루틴" 애플리케이션은 단순히 사용자로부터 입력 받은 "if-then" 기능만을 수행하며, "맞춤형 서비스" 애플리케이션은 사용자가 의식하지 못하는 Background 환경에서 사용자 스마트폰 사용 패턴만을 기록 및 분석함)

수동적인 성격의 애플리케이션이 "맞춤형 서비스"와 연동되어 능동적인 성격의 애플리케이션으로 바뀌는 대표적인 애플리케이션

아티팩트 생성 조건 확인

(최초 설정 과정에서 구글 계정 연동으로 새롭게 삼성 계정을 가입하여 진행한 경우)

1. "삼성 계정 로그인 여부"는 사용자가 삼성 계정으로 로그인을 완료한 경우와 아니한 경우

2. 로그인을 시도한 삼성 계정 자체의 "맞춤형 서비스"에 대한 Service Agreement를 요청하는 단계

3. "스마트폰 자체의 '맞춤형 서비스' 애플리케이션에 대한 권한 허용 여부"를 묻는 단계

*과거에 "맞춤형 서비스"에 동의했던 이력이 있는 계정으로 다시 로그인하면 현재에도 동의한 것으로 간주하며 마지막 단계로 넘어감

아티팩트 수집

Smart Switch를 활용한 수집

"맞춤형 서비스" 애플리케이션이 최신 스마트폰 기종에 본격적으로 도입됨에 따라서, "맞춤형 서비스" 애플리케이션이 수집한 Life Log도 Smart Switch로 백업할 수 있는 항목으로 추가됨

백업 파일은 백업 경로의 "RUNESTONE" 폴더에 "RUNESTONE.zip" 이름의 압축파일로 백업됨

유형별 Life Log가 기록된 파일들이 압축된 형태

개별 로그 파일들은 별도 확장자가 존재하지 않으며, 암호화된 로그 파일(원본)과 복호화가 진행된 로그 파일

*로그는 JSON(JavaScript Object Notation) 구조이다.

획득 가능한 데이터 유형

Smart Switch로 백업한 로그 파일을 복호화하여 분석한 결과 총 9개 유형의 로그를 확인 가능

제조사 직접 요청 방식의 수집

-"맞춤형 서비스" 애플리케이션이 실시간으로 수집한 Life Log는 스마트폰 내부 저장소 이외에 삼성 클라우드에도 저장됨

제조사의 :"SAMSUNG Privacy" 사이트에서 다운로드 요청을 하는 방법

스마트폰에서 "설정-개인정보 보호-(삼성)맞춤형 서비스-내 데이터 다운로드"에서 다운로드 가능

-디지털 포렌식 수사 관점에서, "SAMSUNG Privacy" 사이트 또는 스마트폰의 "설정"에서 직접 요청하는 방법 모두 각기 다른 두 단계를 거쳐 진행됨.

-공통사항으로는 사용자 삼성 계정 정보(아이디 및 비밀번호)와 스마트폰 잠금해제가 선행되어야 함.

획득 가능한 데이터 유형

과거에 다운로드를 요청한 이력이 없이 최초로 다운로드를 요청한 경우에 전체 수집 기간에 대한 Life Log를 확인할 수 있었지만, 요청 2회차부터는 요청한 시점 기준 최고 30일에 대한 Life Log만을 확인할 수 있었음

맞춤형 서비스 애플리케이션 APK 파일 분석

-"맞춤형 서비스" 애플리케이션의 동작 방식과 로그 생성 원리를 분석하기 위해 APK 파일을 추출하여 정적 분석 진행

Smart Switch 백업 완료시 백업된 애플리케이션 목록을 보여주는 "SmartSwitchBackup.json" 파일에서 "맞춤형 서비스" 애플리케이션의 패키지명이 "com.samsung.android.rubin.app"임을 확인

분석에 활용된 "맞춤형 서비스" 애플리케이션 버전은 3.2.00.11이며, 정적 분석과 APK 추출에 활용된 도구는 위와 같음

-"com/samsung/android/rubin/inferenceengine/contextanalytics/database" 하위 경로에 존재하는 함수를 본 결과 "맞춤형 서비스" 애플리케이션이 사용자 Life Log를 3단계로 구분해서 처리한다는 것을 확인 가능

1) 사용자로부터 수집한 Raw 형태의 Life Log를 기록하는 "Loggers"

2) "Loggers"에서 수집한 Raw 데이터를 바탕으로 다양한 사용자 행위를 해석한 결과를 기록하는 "Analytics"

3) "Analytics"에서 해석한 결과를 바탕으로 사용자를 모니터링한 결과를 기록하는 "Monitoring"

*각 단계별 결과는 데이터베이스에 저장하며, 스마트폰 파일시스템상 "com.samsung.android.rubin.app/databases" 경로에 저장됨

각 데이터베이스 파일이 암호화되어 있음을 알 수 있음