KR102518107B1 - 공개출처정보 포렌식 시스템 및 그 동작 방법 - Google Patents

공개출처정보 포렌식 시스템 및 그 동작 방법 Download PDF

Info

Publication number
KR102518107B1
KR102518107B1 KR1020210121588A KR20210121588A KR102518107B1 KR 102518107 B1 KR102518107 B1 KR 102518107B1 KR 1020210121588 A KR1020210121588 A KR 1020210121588A KR 20210121588 A KR20210121588 A KR 20210121588A KR 102518107 B1 KR102518107 B1 KR 102518107B1
Authority
KR
South Korea
Prior art keywords
information
source information
virtual machine
forensic system
public
Prior art date
Application number
KR1020210121588A
Other languages
English (en)
Other versions
KR20230038913A (ko
Inventor
조호묵
류찬호
이정호
Original Assignee
한국과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술원 filed Critical 한국과학기술원
Priority to KR1020210121588A priority Critical patent/KR102518107B1/ko
Publication of KR20230038913A publication Critical patent/KR20230038913A/ko
Application granted granted Critical
Publication of KR102518107B1 publication Critical patent/KR102518107B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/16Program or content traceability, e.g. by watermarking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45504Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
    • G06F9/45508Runtime interpretation or emulation, e g. emulator loops, bytecode interpretation

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Quality & Reliability (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

공개출처정보 포렌식 시스템 및 그 동작 방법이 제공된다. 공개출처정보 포렌식 시스템의 동작 방법은, 외부 네트워크 상의 공개 정보를 수집하는 공개출처정보(OSINT) 포렌식 시스템의 동작 방법에 있어서, 상기 공개출처정보 포렌식 시스템에 의해, 가상 머신을 실행하는 단계, 상기 공개출처정보 포렌식 시스템에 의해, 상기 가상 머신 상에서 제공된 사용자의 입력에 기초하여 외부 네트워크 상의 공개 정보에 액세스하는 단계, 상기 공개출처정보 포렌식 시스템에 의해, 상기 공개 정보로부터 공개출처정보를 생성하고, 상기 공개출처정보의 무결성 정보를 생성하여 저장하는 단계, 및 상기 공개출처정보 포렌식 시스템에 의해, 상기 사용자의 입력과, 상기 입력에 따른 상기 가상 머신의 상태 변화에 대한 스냅샷을 생성하는 단계를 포함한다.

Description

공개출처정보 포렌식 시스템 및 그 동작 방법{OPEN-SOURCE INTELLIGENCE FORENSIC SYSTEM AND METHOD OF OPERATING THE SAME}
본 발명은 공개출처정보 포렌식 시스템 및 그 동작 방법에 관한 것으로, 더욱 구체적으로는 수사 과정에서 공개된 정보를 통해 취득할 수 있는 IP(Internet Protocol) 주소 및 도메인 등록 정보 또는, SNS(Social Network Service) 등으로부터의 정보인 공개출처정보를 해당 자료의 무결성 정보와 함께 수집함으로써 증거능력을 확보하기 위한 포렌식 시스템 및 그 동작 방법에 관한 것이다.
인터넷과 네크워크 상에서 사이버 범죄에 대응하기 위해, 컴퓨터 또는 모바일 장치를 이용하여 디지털 자료에 대하여 행하여진 행위를 규명하고 법정 증거능력을 갖는 증거자료를 생성하는 절차 및 방법을 사이버 포렌식(cyber forensic)이라 한다. 전통적으로 사이버 포렌식은 수사당국이 범죄 수사에 필요한 범위 내에서 법원으로부터 압수수색 영장을 발급받아 웹 서버, 데이터베이스 서버 등으로부터 로그, 데이터베이스와 같은 증거자료를 확보하는 방식으로 수행되었다.
한편, 통상적으로는 외부로부터의 접근이 불가능하고 내부 자료 또는 데이터베이스에 대한 압수 수색을 요구하는 자료와는 달리, IP 주소, 도메인 등록 정보, SNS 게시글, 불법사이트 운영 정보, 가상화폐 블록체인 등과 같이 공개된 출처에서 얻을 수 있는 정보인 공개출처정보(Open Source Intelligence; OSINT)의 비중 및 그 중요성이 증가하고 있다.
그런데 압수수색 과정에서 피압수자의 참관, 포렌식 표준 절차, 무결성 보증, 증거물 보관의 연속성 등이 준수되는 기존의 압수수색 절차와는 달리 공개출처정보의 취득은 수사기관 내부에서 수집, 가공 및 관리됨에 따라 증거능력의 유무 등에 대하여 다툼이 발생하여 사이버 범죄자 처벌에 애로사항을 겪는 경우가 발생할 수 있다.
본 발명이 해결하고자 하는 기술적 과제는 수사 과정에서 공개된 정보를 통해 취득할 수 있는 IP(Internet Protocol) 주소 및 도메인 등록 정보 또는, SNS(Social Network Service) 등의 공개출처정보를 해당 자료의 무결성 정보와 함께 수집함으로써 증거능력을 확보하기 위한 포렌식 시스템 및 그 동작 방법을 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상술한 기술적 과제를 달성하기 위한 본 발명의 몇몇 실시예에 따른 공개출처정보 포렌식 시스템의 동작 방법은, 외부 네트워크 상의 공개 정보를 수집하는 공개출처정보(OSINT) 포렌식 시스템의 동작 방법에 있어서, 상기 공개출처정보 포렌식 시스템에 의해, 가상 머신을 실행하는 단계, 상기 공개출처정보 포렌식 시스템에 의해, 상기 가상 머신 상에서 제공된 사용자의 입력에 기초하여 외부 네트워크 상의 공개 정보에 액세스하는 단계, 상기 공개출처정보 포렌식 시스템에 의해, 상기 공개 정보로부터 공개출처정보를 생성하고, 상기 공개출처정보의 무결성 정보를 생성하여 저장하는 단계, 및 상기 공개출처정보 포렌식 시스템에 의해, 상기 사용자의 입력과, 상기 입력에 따른 상기 가상 머신의 상태 변화에 대한 스냅샷을 생성하는 단계를 포함한다.
본 발명의 몇몇 실시예에서, 상기 공개출처정보 포렌식 시스템에 의해, 상기 스냅샷에 기초하여 상기 가상 머신 상에서 상기 공개출처정보의 수집 과정을 재현하는 단계를 더 포함할 수 있다.
본 발명의 몇몇 실시예에서, 상기 공개출처정보는, 상기 가상 머신에 표시된 화면 정보를 통해 생성된 이미지 파일, 상기 공개 정보가 게시된 출처 정보를 통해 생성된 문서 파일 및 상기 가상 머신 상에서 수행되는 일련의 작업의 실행 화면이 레코딩된 동영상 파일 중 적어도 어느 하나를 포함할 수 있다.
본 발명의 몇몇 실시예에서, 상기 문서 파일은, 상기 외부 네트워크의 웹사이트 소스 코드, IP 주소, 도메인 정보, 운영자 정보 중 적어도 어느 하나를 포함할 수 있다.
본 발명의 몇몇 실시예에서, 상기 무결성 정보는, 워터마크의 형태로 상기 공개출처정보에 삽입된 기준 시각 정보, 상기 공개출처정보에 기초하여 생성된 해시 정보, 및 상기 공개출처정보의 생성 시각에 관한 타임스탬프 정보 중 적어도 어느 하나를 포함할 수 있다.
상술한 기술적 과제를 달성하기 위한 본 발명의 몇몇 실시예에 따른 공개출처정보 포렌식 시스템은, 가상 머신을 실행하는 가상머신 실행부, 가상 머신 상에서 사용자의 입력을 제공받는 인터페이스부, 상기 인터랙션에 기초하여 외부 네트워크 상의 공개 정보를 수집하여 공개출처정보를 생성하고, 상기 공개출처정보의 무결성 정보를 생성하는 정보 수집부, 상기 사용자의 입력과, 상기 입력에 따른 상기 가상 머신의 상태 변화에 대한 스냅샷을 생성하는 스냅샷 생성부 및 상기 정보 수집부로부터 수집된 공개출처정보와 상기 스냅샷를 저장하는 저장부를 포함한다.
본 발명의 몇몇 실시예에서, 상기 가상머신 실행부는, 상기 스냅샷에 기초하여 상기 가상 머신 상에서 상기 공개출처정보의 수집 과정을 재현할 수 있따.
기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명의 실시예에 따른 공개출처정보 포렌식 시스템 및 그 동작 방법은, 공개출처정보와 공개출처정보의 무결성 정보를 함께 생성하여 저장함에 따라 수집된 공개출처정보의 신뢰성을 확보할 수 있으며, 향후 공개출처정보가 수사 및 재판 과정에서 한층 더 높은 증거능력을 가지며 이용될 수 있다.
또한, 공개출처정보 포렌식 시스템은 가상 머신의 스냅샷을 생성하고, 공개출처정보가 생성될 때의 가상 머신의 동작을 재현할 수 있다. 따라서, 공개출처정보 포렌식 시스템은 스냅샷을 재생함으로써 공개출처정보의 수집 상황을 재현하고, 이를 통해 수집된 공개출처정보의 증거 재현 및 진정성을 확보할 수 있으며, 공개출처정보의 무결성 정보와 함께 동일성이 유지된 공개출처정보의 신뢰성을 향상시킬 수 있다.
본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 청구범위의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 몇몇 실시예에 따른 공개출처정보 포렌식 시스템을 설명하기 위한 도면이다.
도 2는 본 발명의 몇몇 실시예에 따른 공개 출처정보 포렌식 시스템의 동작을 설명하기 위한 블록도이다.
도 3은 본 발명의 몇몇 실시예에 따른 공개 출처정보 포렌식 시스템의 동작을 설명하기 위한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 도면에서 표시된 구성요소의 크기 및 상대적인 크기는 설명의 명료성을 위해 과장된 것일 수 있다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭하며, "및/또는"은 언급된 아이템들의 각각 및 하나 이상의 모든 조합을 포함한다.
소자(elements) 또는 층이 다른 소자 또는 층의 "위(on)" 또는 "상(on)"으로 지칭되는 것은 다른 소자 또는 층의 바로 위뿐만 아니라 중간에 다른 층 또는 다른 소자를 개재한 경우를 모두 포함한다. 반면, 소자가 "직접 위(directly on)" 또는 "바로 위"로 지칭되는 것은 중간에 다른 소자 또는 층을 개재하지 않은 것을 나타낸다.
공간적으로 상대적인 용어인 "아래(below)", "아래(beneath)", "하부(lower)", "위(above)", "상부(upper)" 등은 도면에 도시되어 있는 바와 같이 하나의 소자 또는 구성 요소들과 다른 소자 또는 구성 요소들과의 상관관계를 용이하게 기술하기 위해 사용될 수 있다. 공간적으로 상대적인 용어는 도면에 도시되어 있는 방향에 더하여 사용시 또는 동작시 소자의 서로 다른 방향을 포함하는 용어로 이해되어야 한다. 예를 들면, 도면에 도시되어 있는 소자를 뒤집을 경우, 다른 소자의 "아래(below)" 또는 "아래(beneath)"로 기술된 소자는 다른 소자의 "위(above)"에 놓여질 수 있다. 따라서, 예시적인 용어인 "아래"는 아래와 위의 방향을 모두 포함할 수 있다. 소자는 다른 방향으로도 배향될 수 있고, 이에 따라 공간적으로 상대적인 용어들은 배향에 따라 해석될 수 있다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.
비록 제1, 제2 등이 다양한 소자나 구성요소들을 서술하기 위해서 사용되나, 이들 소자나 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자나 구성요소를 다른 소자나 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자나 구성요소는 본 발명의 기술적 사상 내에서 제2 소자나 구성요소 일 수도 있음은 물론이다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
도 1은 본 발명의 몇몇 실시예에 따른 공개출처정보 포렌식 시스템을 설명하기 위한 도면이다. 본 발명의 몇몇 실시예에 따른 공개출처정보 포렌식 시스템(100)은 프로세서, 메모리 등을 포함하며, 메모리에 저장된 명령어를 실행함으로써 이하에서 설명되는 공개출처정보 포렌식 방법을 수행할 수 있다.
도 1을 참조하면, 공개출처정보 포렌식 시스템(100)은 가상 머신(150)을 시스템(100) 내부에 생성하고 실행할 수 있다. 가상 머신(150)을 실행함으로써 공개출처정보 포렌식 시스템(100)은 사용자의 입력에 대응하여 가상 머신(150)이 수행하는 프로그램 실행, 데이터 입출력 등의 과정을 타임스탬프(timestamp)와 함께 정확히 재현할 수 있는 가상 머신의 스냅샷 정보(220)를 획득할 수 있다. 따라서 공개출처정보 포렌식 시스템(100)은 가상 머신(150)의 상태 변화가 기록된 스냅샷을 이용하여 공개출처정보의 수집 시점의 사용자의 입력 및 이에 대응하여 수행된 가상 머신(150)의 동작을 정확히 재현할 수 있다
공개출처정보 포렌식 시스템(100)이 외부 네트워크(10)와 접속된 가상 머신(150)을 통해 얻을 수 있는 공개출처정보(200)는 예를 들어 IP 주소, 도메인 등록 정보, SNS 게시글, 불법사이트 운영 정보, 가상화폐 블록체인 등과 같이 공개된 출처에서 얻을 수 있는 정보를 포함할 수 있다. 가상 머신(150)은 사용자의 인터랙션을 수신하여 공개출처정보를 캡처(capture), 레코딩(recording)하여 수집하거나, PDF(Portable Document Format)와 같은 보존용 전자 문서 형식을 이용하여 기록할 수 있다.
또한, 가상 머신(150)은 수집된 공개출처정보의 무결성 정보(210)를 공개출처정보(200)와 함께 수집할 수 있다. 공개출처정보의 무결성 정보(210)는 공개출처정보(200)의 수집 시점의 동기 시간 정보, 공개출처정보(200)의 해시(hash) 값 정보, 워터마크 정보, 공개출처정보의 출처 정보 등을 포함할 수 있다. 공개출처정보의 무결성 정보(210)는 수집된 공개출처정보(200)와 함께 저장부(160)에 저장될 수 있다.
도 2를 참조하면, 본 발명의 몇몇 실시예에 따른 공개출처정보 포렌식 시스템(100)은 가상머신 실행부(110), 인터페이스부(120), 정보 수집부(130), 스냅샷 생성부(140) 및 저장부(160)를 포함할 수 있다.
도 2에 도시된 포렌식 시스템(100)을 이루는 구성 요소들은 하드웨어 및 소프트웨어 구성 요소를 포함할 수 있으며, 이러한 구성요소는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다. 또한 각각의 구성 요소들은 개별적인 특정한 하드웨어로 구현될 필요가 있는 경우를 제외하고는, 적어도 하나의 모듈이나 칩으로 일체화되어 적어도 하나의 프로세서로 구현될 수 있다.
가상 머신 실행부(110)는 공개출처정보를 수집하기 위한 가상 머신을 실행할 수 있다. 가상 머신 실행부(110)는 공개출처정보 포렌식 시스템(100)에서 운영되는 윈도우와 같은 호스트 운영 체제 상에서 게스트 운영 체제 및 게스트 운영 체제 상에서 실행되는 복수의 프로그램을 실행할 수 있다.
가상 머신 실행부(110)는 예를 들어, Vmware, VirtualBox, Parallels Desktop, Windows Virtual PC 등의 다양한 가상 머신 소프트웨어를 실행하도록 지원할 수 있으나 이에 제한되는 것은 아니다. 가상 머신 실행부(110)가 실행하는 가상 머신은 공개출처정보 포렌식 시스템(100)에서 기동되는 운영 체제 상에서 별도의 게스트 운영 체제를 실행하며, 사용자의 입력 및 입력에 대응하는 가상 머신(150)의 동작을 타임스탬프 정보에 따라 재현할 수 있는 스냅샷 정보(220)를 생성할 수 있으면 충분하다.
인터페이스부(120)는 공개출처정보 포렌식 시스템(100)에 대한 사용자 입력 수신, 공개출처정보 포렌식 시스템(100)과 외부 장치 사이의 통신을 통한 데이터 입출력 등을 수행할 수 있다.
인터페이스부(120)는 수신된 사용자의 입력을 가상 머신 실행부(110)에 의해 실행되는 가상 머신에 대한 입력으로 제공할 수 있다. 상술한 것과 같이, 인터페이스부(120)로부터 수신된 사용자의 입력은 수신 시점의 타임스탬프 정보와 함께 스냅샷 정보에 포함될 수 있다.
인터페이스부(120)는 공개출처정보 포렌식 시스템(100)이 외부 네트워크(10)와 통신할 수 있도록 상호 연결을 수립하고, 외부 네트워크(10) 상의 공개 정보를 다운로드할 수 있다.
정보 수집부(130)는 외부 네트워크(10) 상에서 공개된 정보를 수집하여 공개출처정보를 생성할 수 있다. 사용자가 가상 머신(150) 상에서 실행한 웹브라우저를 통해 외부 네트워크(10)에 접속하고, 외부 네트워크(10) 상의 공개된 정보가 웹브라우저를 통해 렌더링되어 가상 머신(150)의 화면 상에 표시되면, 정보 수집부(130)는 사용자의 입력을 제공받아 가상 머신(150) 상에서 스크린 캡처, 브라우저 화면 캡처 등을 수행하여 이미지 파일을 생성하거나 웹사이트 소스 코드, IP 주소, 도메인 정보, 운영자 정보 또는 PDF를 추출하여 문서 파일을 생성할 수 있다.
또는, 정보 수집부(130)는 사용자가 가상 머신(150) 상의 화면 레코딩 도구를 실행하여 가상 머신(150) 상에서 수행되는 일련의 작업의 실행 화면을 레코딩함으로써 동영상 파일 형태의 공개출처정보를 생성할 수 있다.
도 3은 본 발명의 몇몇 실시예에 따른 공개출처정보 포렌식 시스템(100)에 의해 생성되는 공개출처정보 및 무결성 정보를 설명하기 위한 도면이다.
도 3을 참조하면, 정보 수집부(130)는 공개출처정보(131)를 생성하는 것과 함께, 생성된 공개출처정보(131)의 무결성 정보(132)를 생성할 수 있다. 여기서 무결성 정보(132)는 NTP(Network Time Protocol) 등을 이용하여 신뢰할 수 있는 출처로부터 동기화한 기준 시각 정보를 이미지, 문서, 동영상 파일에 워터마크의 형태로 삽입하는 것을 포함할 수 있다. 즉, 가상 머신(150)의 실행 화면의 일정 영역에 기준 시각 정보를 디스플레이되면 공개출처정보(131)가 생성될 때 화면에 함께 표시된 시각 정보 형태의 무결성 정보(132)가 공개출처정보(131)에 함께 기록될 수 있다.
또는, 무결성 정보(132)는 생성된 공개출처정보에 포함된 파일로부터 생성된 해시 정보를 포함할 수 있다. 정보 수집부(130)는 예를 들어 SHA-1, SHA-2 등의 잘 알려진 해시 생성 알고리즘을 이용하여 공개출처정보(131)로부터 무결성 정보(132)를 생성할 수 있다.
정보 수집부(130)는 공개출처정보(131)의 생성 시각에 관한 타임스탬프 정보를 무결성 정보(132)로서 생성할 수 있다. 타임스탬프 정보는 앞서의 생성 시각으로 생성된 워터마크와는 달리, 타임스탬프 정보는 시각적(visual)으로 인지될 수 없도록 공개출처정보(131) 내에 생성되는 생성 시각 정보를 의미한다.
이와 같이, 정보 수집부(130)가 공개출처정보(131)와 공개출처정보의 무결성 정보(132)를 함께 생성하여 저장함에 따라 수집된 공개출처정보의 신뢰성을 확보할 수 있으며, 향후 공개출처정보가 수사 및 재판 과정에서 한층 더 높은 증거능력을 가지며 이용될 수 있다.
본 발명의 몇몇 실시예에서, 정보 수집부(130)는 공개출처정보(131)에 대한 이중의 무결성 확보를 위해 공개출처정보(131) 및 무결성 정보(132)의 2차 무결성 정보(133)를 생성할 수 있다. 2차 무결성 정보는 공개출처정보와 무결성 정보(133)로부터 생성된 해시 값을 포함할 수 있다. 예를 들어 정보 수집부(130)는 2차 무결성 정보(133)를 공개출처정보(131)와 무결성 정보(132)이 병합된 스트링으로부터 SHA-2, SHA-3 등의 잘 알려진 해시 생성 알고리즘을 이용하여 해시 값을 생성할 수 있다.
정보 수집부(130)는 가상 머신(150)를 통해 생성된 공개출처정보 및 공개출처정보의 무결성 정보를 저장부(160) 내 일반 스토리지 영역(161) 및 가상 스토리지 영역(162) 내에 동시에 저장할 수 있다. 일반 스토리지 영역(161)은 공개출처정보 포렌식 시스템(100)에 의하여 일반적으로 액세스될 수 있는 영역을 의미하며, 가상 스토리지 영역(162)은 가상 머신(150)에 할당됨으로써 가상 머신(150) 상에서 실행되는 프로그램에 의하여 액세스될 수 있는 영역을 의미한다.
공개출처정보 포렌식 시스템(100)은 수집되어 저장부(160) 내에 기록된 공개출처정보와, 공개출처정보의 무결성 정보 및 스냅샷의 전체 또는 일부를 공개출처정보 포렌식 시스템(100)과 연결된 외부 스토리지 디바이스로 복사할 수 있다. 외부 스토리지 디바이스는 공개출처정보 포렌식 시스템(100)에 온라인으로 접속된 네트워크 스토리지, 오프라인으로 접속된 스토리지 디스크 등을 포함할 수 있다.
스냅샷 생성부(140)는 가상 머신(150) 상에서 사용자 입력 및 제공된 입력의 결과로 발생하는 일련의 이벤트의 스냅샷 정보(220)를 생성할 수 있다. 스냅샷 정보(220)는 가상 머신(150) 상에서 정보 수집부(130)를 통해 공개출처정보가 생성될 때 사용자로부터 제공받은 입력, 해당 입력에 대하여 가상 머신(150)의 시스템 상태 및 데이터를 포함할 수 있다.
생성된 스냅샷(220)을 통해 가상머신 실행부(110)는 공개출처정보가 생성될 때의 가상 머신(150)의 동작을 재현할 수 있다. 즉, 공개출처정보 포렌식 시스템(100) 상에서 실행되는 가상 머신(150) 또는 공개출처정보 포렌식 시스템(100)이 아닌 다른 시스템에서 실행되는 가상 머신(150)과 동일한 가상 환경은 스냅샷(220)을 재생함으로써 공개출처정보의 수집 상황을 재현할 수 있다. 이를 통해 수집된 공개출처정보의 증거 재현 및 진정성을 확보할 수 있으며, 공개출처정보의 무결성 정보와 함께 동일성이 유지된 공개출처정보의 신뢰성을 향상시킬 수 있다.
이는 공개출처정보 포렌식 시스템(100)이 가상 머신(150)을 실행하고, 가상 머신(150) 상에서 공개출처정보의 수집과 무결성 정보의 생성을 수행하는 이유와 관련된다. 즉, 공개출처정보 포렌식 시스템(100)은 공개출처정보 수집의 전 과정을 용이하게 재현할 수 있도록 가상 머신(150)을 실행하고, 사용자의 입력을 가상 머신(150) 상에서 제공받아 일련의 정보수집 과정을 실행함으로써 가상 머신(150)의 동작과 관련된 스냅샷을 생성하고, 스냅샷을 통해 그 과정을 재현할 수 있어 공개출처정보 및 정보의 수집 과정의 신뢰성이 향상되는 것이다.
도 4는 본 발명의 몇몇 실시예에 따른 공개출처정보 포렌식 시스템의 동작을 설명하기 위한 도면이다.
도 4를 참조하면 본 발명의 몇몇 실시예에 따른 공개출처정보 포렌식 시스템의 동작 방법은, 가상 머신을 실행하는 단계(S110), 가상 머신 상에서 사용자의 인터랙션에 기초하여 공개출처정보에 액세스하는 단계(S120), 공개출처정보를 수집하고, 공개출처정보의 무결성 정보를 생성하여 저장부(160)에 저장하는 단계(S120) 및 사용자 입력 및 입력에 따른 가상 머신(150)의 상태 변화에 따른 스냅샷을 생성하는 단계(S130)를 포함할 수 있다.
먼저, 가상 머신을 실행하는 단계(S110)가 수행된다. 공개출처정보 포렌식 시스템(100)에 설치된 가상 머신 소프트웨어의 기동 버튼을 선택함으로써 가상 머신(150)이 실행되고, 가상 머신(150) 내의 시스템의 동작 준비가 완료될 수 있다. 이 때 가상 머신(150)의 표시 화면 상에는 공개출처정보의 생성 시각을 워터마크로써 표시하기 위한 생성 시각 정보가 함께 표시될 수 있다.
이어서, 가상 머신(150) 상에서 사용자의 입력에 기초하여 외부 네트워크(10) 상의 공개 정보에 액세스하는 단계(S120)가 수행된다. 공개출처정보 포렌식 시스템(100)은 가상 머신(150) 상에서 실행되는 웹브라우저, 터미널, 터미널 프로그램 등을 통해 외부 네트워크(10) 상에 존재하는 공개 정보에 접근할 수 있다. 가상 머신 실행부(110)는 인터페이스부(120)가 외부 네트워크(10)에 접속하여 공개 정보를 다운로드받으면, 이를 렌더링하여 가상 머신(150) 상의 화면으로 표시할 수 있다.
다음으로, 공개출처정보를 수집하고, 공개출처정보의 무결성 정보를 생성하여 저장하는 단계(S130)가 수행된다. 정보 수집부(130)는 사용자의 입력을 제공받아 가상 머신(150) 상에서 스크린 캡처, 브라우저 화면 캡처 등을 수행하여 이미지 파일을 생성하거나 웹사이트 소스 코드, IP 주소, 도메인 정보, 운영자 정보 또는 PDF를 추출하여 문서 파일을 생성할 수 있으며, 사용자가 가상 머신(150) 상의 화면 레코딩 도구를 실행하여 가상 머신(150) 상에서 수행되는 일련의 작업의 실행 화면을 레코딩함으로써 동영상 파일 형태의 공개출처정보를 생성할 수 있다.
또한, 정보 수집부(130)는 공개출처정보(131)를 생성하는 것과 함께, 생성된 공개출처정보(131)의 무결성 정보(132)를 생성하여 저장부(160)에 저장할 수 있다. 여기서 공개출처정보(131)의 무결성 정보(132)는 예를 들어 워터마크의 형태로 공개출처정보에 삽입된 기준 시각 정보, 공개출처정보(131)에 포함된 파일로부터 생성된 해시 정보, 또는 공개출처정보(131)의 생성 시각에 관한 타임스탬프 정보 등을 포함할 수 있다.
마지막으로, 사용자 입력 및 입력에 따른 가상 머신의 상태 변화에 대한 스냅샷을 생성하는 단계(S140)가 수행된다.
스냅샷 생성부(140)는 가상 머신(150) 상에서 사용자 입력 및 제공된 입력의 결과로 발생하는 일련의 이벤트의 스냅샷(220)을 생성할 수 있다. 스냅샷(220)은 가상 머신(150) 상에서 정보 수집부(130)를 통해 공개출처정보가 생성될 때 사용자로부터 제공받은 입력, 해당 입력에 대하여 가상 머신(150)의 시스템 상태 및 데이터를 포함할 수 있다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 장치에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 하드디스크, ROM, RAM, CD-ROM, 하드 디스크, 자기 테이프, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
100: 공개출처정보 포렌식 시스템 110: 가상 머신 실행부
120: 인터페이스부 130: 정보 수집부
140: 스냅샷 생성부 150: 가상 머신
160: 저장부 200: 공개출처정보
210: 무결성 정보 220: 스냅샷

Claims (10)

  1. 외부 네트워크 상의 공개 정보를 수집하는 공개출처정보(OSINT) 포렌식 시스템의 동작 방법에 있어서,
    상기 공개출처정보 포렌식 시스템에 의해, 가상 머신을 실행하는 단계;
    상기 공개출처정보 포렌식 시스템에 의해, 상기 가상 머신 상에서 제공된 사용자의 입력에 기초하여 외부 네트워크 상의 공개 정보에 액세스하는 단계;
    상기 공개출처정보 포렌식 시스템에 의해, 상기 공개 정보로부터 공개출처정보를 생성하고, 상기 공개출처정보의 무결성 정보를 생성하여 저장하는 단계; 및
    상기 공개출처정보 포렌식 시스템에 의해, 상기 사용자의 입력과, 상기 입력에 따른 상기 가상 머신의 상태 변화에 대한 스냅샷을 생성하는 단계를 포함하는,
    공개출처정보 포렌식 시스템의 동작 방법.
  2. 제 1항에 있어서,
    상기 공개출처정보 포렌식 시스템에 의해, 상기 스냅샷에 기초하여 상기 가상 머신 상에서 상기 공개출처정보의 수집 과정을 재현하는 단계를 더 포함하는,
    공개출처정보 포렌식 시스템의 동작 방법.
  3. 제 1항에 있어서,
    상기 공개출처정보는,
    상기 가상 머신에 표시된 화면 정보를 통해 생성된 이미지 파일, 상기 공개 정보가 게시된 출처 정보를 통해 생성된 문서 파일 및 상기 가상 머신 상에서 수행되는 일련의 작업의 실행 화면이 레코딩된 동영상 파일 중 적어도 어느 하나를 포함하는,
    공개출처정보 포렌식 시스템의 동작 방법.
  4. 제 3항에 있어서,
    상기 문서 파일은, 상기 외부 네트워크의 웹사이트 소스 코드, IP 주소, 도메인 정보, 운영자 정보 중 적어도 어느 하나를 포함하는,
    공개출처정보 포렌식 시스템의 동작 방법.
  5. 제 1항에 있어서,
    상기 무결성 정보는,
    워터마크의 형태로 상기 공개출처정보에 삽입된 기준 시각 정보, 상기 공개출처정보에 기초하여 생성된 해시 정보, 및 상기 공개출처정보의 생성 시각에 관한 타임스탬프 정보 중 적어도 어느 하나를 포함하는,
    공개출처정보 포렌식 시스템의 동작 방법.
  6. 가상 머신을 실행하는 가상머신 실행부;
    가상 머신 상에서 사용자의 입력을 제공받는 인터페이스부;
    상기 사용자의 입력에 기초하여 외부 네트워크 상의 공개 정보를 수집하여 공개출처정보를 생성하고, 상기 공개출처정보의 무결성 정보를 생성하는 정보 수집부;
    상기 사용자의 입력과, 상기 입력에 따른 상기 가상 머신의 상태 변화에 대한 스냅샷을 생성하는 스냅샷 생성부; 및
    상기 정보 수집부로부터 수집된 공개출처정보와 상기 스냅샷를 저장하는 저장부를 포함하는,
    공개출처정보 포렌식 시스템.
  7. 제 6항에 있어서,
    상기 가상머신 실행부는, 상기 스냅샷에 기초하여 상기 가상 머신 상에서 상기 공개출처정보의 수집 과정을 재현하는,
    공개출처정보 포렌식 시스템.
  8. 제 6항에 있어서,
    상기 공개출처정보는,
    상기 가상 머신에 표시된 화면 정보를 통해 생성된 이미지 파일, 상기 공개 정보가 게시된 출처 정보를 통해 생성된 문서 파일 및 상기 가상 머신 상에서 수행되는 일련의 작업의 실행 화면이 레코딩된 동영상 파일 중 적어도 어느 하나를 포함하는,
    공개출처정보 포렌식 시스템.
  9. 제 8항에 있어서,
    상기 문서 파일은, 상기 외부 네트워크의 웹사이트 소스 코드, IP 주소, 도메인 정보, 운영자 정보 중 적어도 어느 하나를 포함하는,
    공개출처정보 포렌식 시스템.
  10. 제 6항에 있어서,
    상기 무결성 정보는,
    워터마크의 형태로 상기 공개출처정보에 삽입된 기준 시각 정보, 상기 공개출처정보에 기초하여 생성된 해시 정보, 및 상기 공개출처정보의 생성 시각에 관한 타임스탬프 정보 중 적어도 어느 하나를 포함하는,
    공개출처정보 포렌식 시스템.
KR1020210121588A 2021-09-13 2021-09-13 공개출처정보 포렌식 시스템 및 그 동작 방법 KR102518107B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210121588A KR102518107B1 (ko) 2021-09-13 2021-09-13 공개출처정보 포렌식 시스템 및 그 동작 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210121588A KR102518107B1 (ko) 2021-09-13 2021-09-13 공개출처정보 포렌식 시스템 및 그 동작 방법

Publications (2)

Publication Number Publication Date
KR20230038913A KR20230038913A (ko) 2023-03-21
KR102518107B1 true KR102518107B1 (ko) 2023-04-05

Family

ID=85801301

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210121588A KR102518107B1 (ko) 2021-09-13 2021-09-13 공개출처정보 포렌식 시스템 및 그 동작 방법

Country Status (1)

Country Link
KR (1) KR102518107B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101916676B1 (ko) 2017-11-27 2018-11-08 한국인터넷진흥원 사이버 위협 인텔리전스 데이터를 수집하는 방법 및 그 시스템
KR102131496B1 (ko) 2018-05-25 2020-07-08 한국과학기술원 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102162995B1 (ko) * 2018-11-16 2020-10-07 주식회사 베일리테크 가상 및 리얼 머신 기반의 악성코드 탐지 시스템 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101916676B1 (ko) 2017-11-27 2018-11-08 한국인터넷진흥원 사이버 위협 인텔리전스 데이터를 수집하는 방법 및 그 시스템
KR102131496B1 (ko) 2018-05-25 2020-07-08 한국과학기술원 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Darren Quick 외 1인, 'Digital forensic intelligence: Data subsets and Open Source Intelligence (DFINT+OSINT): A timely and cohesive mix', Future Generation Computer Systems 78, 2018.01.30.

Also Published As

Publication number Publication date
KR20230038913A (ko) 2023-03-21

Similar Documents

Publication Publication Date Title
Kent et al. Guide to integrating forensic techniques into incident
Rafique et al. Exploring static and live digital forensics: Methods, practices and tools
US9129058B2 (en) Application monitoring through continuous record and replay
CN112148571B (zh) 一种网页操作过程记录与回放的方法及装置
US20120222110A1 (en) Data leakage protection in cloud applications
US10652255B2 (en) Forensic analysis
Dweikat et al. Digital Forensic Tools Used in Analyzing Cybercrime
Shaaban et al. Practical windows forensics
CN116450885A (zh) 一种Windows事件日志文件的数据重构方法
US12105809B2 (en) Non-intrusive method of detecting security flaws of a computer program
KR102518107B1 (ko) 공개출처정보 포렌식 시스템 및 그 동작 방법
Kent et al. Sp 800-86. guide to integrating forensic techniques into incident response
KR102294926B1 (ko) 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템
Nemayire et al. A 2018 Samsung Smart TV Data Acquisition Method Analysis
CN115238314B (zh) 网盘文件显示方法、装置、网盘及存储介质
Grance et al. Guide to computer and network data analysis: Applying forensic techniques to incident response
CN111241547A (zh) 一种越权漏洞的检测方法、装置及系统
KR102600770B1 (ko) 공개출처정보와 스냅샷 사이의 링크 정보를 자동으로 생성하는 공개출처정보 포렌식 시스템 및 그 동작 방법
JP2007200047A (ja) アクセスログ表示システムおよび方法
KR20210104525A (ko) 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템
Ahmed et al. Analysis of cloud digital evidence
US20240070037A1 (en) Multi-Computer System for Maintaining Application Programming Interface Stability with Shared Computing Infrastructure
Schroader et al. Alternate data storage forensics
Davidsson et al. Docker forensics: Investigation and data recovery on containers
Carranza et al. Software validation and daubert standard compliance of an open digital forensics model