[논문 리뷰] 삼성 스마트폰 맞춤형 서비스 애플리케이션을 이용한 디지털 포렌식 (2)

*본 글의 모든 내용, 그림, 표 출처는 논문 원문에 있습니다.

https://dcollection.korea.ac.kr/public_resource/pdf/000000270267_20240206235913.pdf

[출처] 윤호. (2023.02). 삼성 스마트폰 맞춤형 서비스 애플리케이션을 이용한 디지털 포렌식. 고려대학교 일반대학원 정보보안학과

https://cookusuniverse.tistory.com/131

[논문 리뷰] 삼성 스마트폰 맞춤형 서비스 애플리케이션을 이용한 디지털 포렌식 (1)

---

아티팩트 분석

수집 방식에 따른 비교

Smart Switch를 활용한 백업 방식과 제조사 직접 요청 방식으로 획득한 Life Log의 유형 및 로그 기록 기간에 대한 차이점 요약/정리

로그 파일 분석

Smart Switch 방식

-JSON 형태

-로그에 Timezone이 "Asia Seoul"로 기록되어 있음

-Unix Time 포맷의 시간과 UTC+9 기준 String 형태의 시간값이 같이 표기

위치 정보)

-위치 정보가 기록된 로그 파일명은 "logging_location_log"

시간대별 위도, 경도, 고도가 한 개의 Record로 기록되며 다수의 Record가 존재

WiFi 연결 이력)

-WiFi 연결 이력이 기록된 로그 파일명은 "logging_wifi_connection_log"

시간대별 연결한 WiFi의 SSID, MAC 주소 그리고 연결 상태("Connected" or "Disconnected") 기록

Bluetooth 연결 이력)

-Bluetooth 연결 이력이 기록된 로그 파일명은 "logging_all_bluetooth_log"

Record는 각각의 Bluetooth 장치를 MAC 주소로만 구분하여 연결 이력을 기록

MAC 주소에 대칭되는 장치명은 "logging_all_bluetooth_device_dictionary" 파일에서 확인 가능, 장치별 최초 및 가장 마지막 연결 시간을 별도로 기록

애플리케이션 사용 이력)

-애플리케이션 사용 이력이 기록된 로그 파일명은 "logging_app_usage"

-실행된 애플리케이션의 패키지명과 함수명이 기록되며 애플리케이션 실행 시작 및 끝마친 시간이 같이 기록됨

Samsung Internet 브라우저 사용 이력)

-"Samsung Internet 브라우저" 애플리케이션 사용 이력이 기록된 로그 파일명은 "logging_web_log"

Record는 방문한 사이트의 HTML <Title>, URL 그리고 방문 시간 기록

스마트폰 충전 이력)

-스마트폰 충전 이력이 기록된 로그 파일명은 "logging_charging_log"

-Record: "Connected"("1"(연결), "0"(연결해제)) 상태, "Plugged" 상태, "Level"(잔여 배터리) 기록

-아래에서 각 "place_id"에 대칭되는 장소("place_category")를 확인 가능

-여기서 장소란 "HOME", "WORK", "FREQUENTLY_VISITED" 등으로 표시

=> 두 로그 파일을 병행하여 살펴보면 어느 장소에서 핸드폰 충전을 하였는지 추정이 가능할 것으로 보임

MOTION 이력)

-사용자 시간대별 Motion 상태가 기록된 로그 파일명은 "logging_motion_log"

스마트폰 설정 변경 이력)

-사용자의 스마트폰 설정 변경 이력이 기록된 로그 파일명은 "logging_setting_change"

음악 재생 이력)

-음악 재생 이력이 기록된 로그 파일명은 "logging_music_playback_log"

Record는 시간대별 재생된 음악명, 앨범명, 그리고 음악을 재생한 애플리케이션의 패키지명이 기록됨

제조사 직접 요청 방식

-제조사 직접 요청 방식에 따라 획득한 Life Log는 1개의 단일 파일에 모든 유형의 로그가 기록된 순서에 따라 뒤섞여 존재함

-"맞춤형 서비스" 애플리케이션이 최초 활성화된 이래부터 모든 로그를 확인할 수 있다는 점에서 Life Log가 기록된 모든 기간에 대해 제약 없이 확인 가능

-복수의 스마트폰을 사용한 사용자인 경우에도 동일한 삼성 계정으로 로그인하였다면 복수의 스마트폰 사용 로그를 확인 가능

WiFi 및 Bluetooth 연결 이력과 연결한 장소)

-개략적인 장소 정보와 연결 지속 시간, 시간대별 연결된 WiFi or Bluetooth의 MAC 주소와 WiFi 이름 또는 Bluetooth 장치명 기록

애플리케이션 사용 이력)

-"type"이 "app_usage"인 값을 가짐 -> 실행한 애플리케이션의 시작 시간, 패키지명 그리고 실행 지속 시간을 millisecond 단위로 기록함

=> 실행한 애플리케이션의 시작 및 끝마친 시간을 유추할 수 있음

Samsung Internet 브라우저 애플리케이션 사용 이력)

-"type"이 "url"인 값을 가지고 있으며, 방문한 사이트의 HTML <title>, URL 그리고 방문 지속 시간을 millisecond 단위로 기록

결론

1. "맞춤형 서비스" 애플리케이션은 사용자 편의 기능을 제공하며, 선탑재되어 있고, 삭제할 수 없는 특징으로 사용자들의 높은 활용도가 기대됨

2. 기업 환경에서 임직원의 횡령, 배임, 기밀 유출 등 기업형 범죄가 매우 큰 파장을 일으키고 있는데, 이애 기업에서 업무용 스마트폰의 "맞춤형 서비스" 애플리케이션 사전 활성화를 통해 추가적인 비용과 인프라 구축 없이 Forensic Readiness를 도모할 수 있으며, Life Log를 바탕으로 기업 내 부정행위 조사 등에 다양하게 활용될 수 있을 것으로 기대됨