KR102600770B1 - 공개출처정보와 스냅샷 사이의 링크 정보를 자동으로 생성하는 공개출처정보 포렌식 시스템 및 그 동작 방법 - Google Patents
공개출처정보와 스냅샷 사이의 링크 정보를 자동으로 생성하는 공개출처정보 포렌식 시스템 및 그 동작 방법 Download PDFInfo
- Publication number
- KR102600770B1 KR102600770B1 KR1020210161740A KR20210161740A KR102600770B1 KR 102600770 B1 KR102600770 B1 KR 102600770B1 KR 1020210161740 A KR1020210161740 A KR 1020210161740A KR 20210161740 A KR20210161740 A KR 20210161740A KR 102600770 B1 KR102600770 B1 KR 102600770B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- public source
- source information
- snapshot
- virtual machine
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000008859 change Effects 0.000 claims abstract description 6
- 230000008569 process Effects 0.000 claims description 28
- 239000000284 extract Substances 0.000 claims description 13
- 238000011835 investigation Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 6
- 230000003993 interaction Effects 0.000 description 3
- 238000011017 operating method Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000005055 memory storage Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011840 criminal investigation Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/50—Information retrieval; Database structures therefor; File system structures therefor of still image data
- G06F16/58—Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually
- G06F16/583—Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually using metadata automatically derived from the content
- G06F16/5846—Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually using metadata automatically derived from the content using extracted text
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/70—Information retrieval; Database structures therefor; File system structures therefor of video data
- G06F16/78—Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually
- G06F16/783—Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually using metadata automatically derived from the content
- G06F16/7844—Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually using metadata automatically derived from the content using original textual content or text extracted from visual content or transcript of audio data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45504—Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Library & Information Science (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
공개출처정보와 스냅샷 사이의 링크 정보를 자동으로 생성하는 공개출처정보 포렌식 시스템 및 그 동작 방법이 제공된다. 자동화된 공개출처정보 포렌식 시스템의 동작 방법은, 외부 네트워크 상의 공개 정보를 수집하는 자동화된 공개출처정보(OSINT) 포렌식 시스템의 동작 방법에 있어서, 상기 시스템에 의해, 가상 머신을 실행하는 단계, 상기 시스템에 의해, 상기 가상 머신 상에서 외부 네트워크 상의 공개 정보에 액세스하는 단계, 상기 시스템에 의해, 상기 공개 정보로부터 공개출처정보를 생성하는 단계, 상기 시스템에 의해, 상기 공개출처정보의 생성 과정에서 상기 가상 머신의 상태 변화에 대한 스냅샷을 생성하는 단계, 및 상기 공개출처정보와 상기 스냅샷 사이의 링크 정보를 생성하는 단계를 포함한다.
Description
본 발명은 공개출처정보와 스냅샷 사이의 링크 정보를 자동으로 생성하는 공개출처정보 포렌식 시스템 및 그 동작 방법에 관한 것으로, 더욱 구체적으로는 수사 과정에서 공개된 정보를 통해 취득할 수 있는 IP(Internet Protocol) 주소 및 도메인 등록 정보 또는, SNS(Social Network Service) 등의 공개출처정보와, 수집 과정에서 생성된 스냅샷(snaptshot) 사이의 링크 정보를 자동으로 생성함으로써 증거능력을 확보하고 수사 과정의 부담을 경감할 수 있는 포렌식 시스템 및 그 동작 방법에 관한 것이다.
인터넷과 네크워크 상에서 사이버 범죄에 대응하기 위해, 컴퓨터 또는 모바일 장치를 이용하여 디지털 자료에 대하여 행하여진 행위를 규명하고 법정 증거능력을 갖는 증거자료를 생성하는 절차 및 방법을 사이버 포렌식(cyber forensic)이라 한다. 전통적으로 사이버 포렌식은 수사당국이 범죄 수사에 필요한 범위 내에서 법원으로부터 압수수색 영장을 발급받아 웹 서버, 데이터베이스 서버 등으로부터 로그, 데이터베이스와 같은 증거자료를 확보하는 방식으로 수행되었다.
한편, 통상적으로는 외부로부터의 접근이 불가능하고 내부 자료 또는 데이터베이스에 대한 압수 수색을 요구하는 자료와는 달리, IP 주소, 도메인 등록 정보, SNS 게시글, 불법사이트 운영 정보, 가상화폐 블록체인 등과 같이 공개된 출처에서 얻을 수 있는 정보인 공개출처정보(Open Source Intelligence; OSINT)의 비중 및 그 중요성이 증가하고 있다.
이러한 공개출처정보는 수사기관 내부에서 수집, 가공 및 관리되는 특성 상 증거의 수집 및 저장 과정에서 무결성이 반드시 보장되어야 하고, 공개출처정보의 수집 과정을 그대로 재현할 수 있도록 전 과정이 스냅샷(snapshot)의 형태로 생성될 필요가 있다.
그런데, 수집된 공개출처정보와 무결성 정보의 추출, 분류 등은 수사관의 수작업에 의존하는 경우가 많아 급증하는 사이버 범죄에 대응하기 위한 수사능력에 큰 부담을 지우는 경우가 많다.
본 발명이 해결하고자 하는 기술적 과제는 수사 과정에서 공개된 정보를 통해 취득할 수 공개출처정보와, 공개출처정보의 수집 과정을 재현하기 위한 스냅샷을 연동시킬 수 있는 링크 정보를 생성함으로써 수사 과정에서 공개출처정보의 증거능력 향상에 도움을 주고 수사관의 수사 부담을 저감할 수 있는 자동화된 공개출처정보 포렌식 시스템 및 그 동작 방법을 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상술한 기술적 과제를 달성하기 위한 본 발명의 몇몇 실시예에 따른 자동화된 공개출처정보 포렌식 시스템의 동작 방법은, 외부 네트워크 상의 공개 정보를 수집하는 자동화된 공개출처정보(OSINT) 포렌식 시스템의 동작 방법에 있어서, 상기 시스템에 의해, 가상 머신을 실행하는 단계, 상기 시스템에 의해, 상기 가상 머신 상에서 외부 네트워크 상의 공개 정보에 액세스하는 단계, 상기 시스템에 의해, 상기 공개 정보로부터 공개출처정보를 생성하는 단계, 상기 시스템에 의해, 상기 공개출처정보의 생성 과정에서 상기 가상 머신의 상태 변화에 대한 스냅샷을 생성하는 단계, 및 상기 공개출처정보와 상기 스냅샷 사이의 링크 정보를 생성하는 단계를 포함한다.
본 발명의 몇몇 실시예에서, 상기 공개출처정보와 상기 스냅샷 사이의 링크 정보를 생성하는 단계는, 상기 공개출처정보에 포함된 텍스트 정보를 추출하는 단계, 추출된 텍스트 정보의 키워드 정보를 생성하는 단계, 상기 키워드 정보에 기초하여 상기 스냅샷을 검색하는 단계, 및 상기 스냅샷의 검색 결과에 기초하여 상기 링크 정보를 생성하는 단계를 포함할 수 있다.
본 발명의 몇몇 실시예에서, 상기 공개출처정보는, 상기 가상 머신에 표시된 화면 정보를 통해 생성된 이미지 파일 및 상기 가상 머신 상에서 수행되는 일련의 작업의 실행 화면이 레코딩된 동영상 파일 중 적어도 어느 하나를 포함하고, 상기 공개출처정보에 포함된 텍스트 정보를 추출하는 단계는, 상기 이미지 파일 또는 동영상 파일에 포함된 문자를 인식하여 상기 텍스트 정보를 추출하는 단계를 포함할 수 있다.
본 발명의 몇몇 실시예에서, 상기 키워드 정보에 기초하여 상기 스냅샷을 검색하는 단계는, 이미 생성된 공개출처정보의 생성 시점의 하나 이상의 스냅샷을 검색하는 것을 포함할 수 있다.
본 발명의 몇몇 실시예에서, 상기 링크 정보는, 상기 공개출처정보가 생성되는 시점을 가리키는 상기 스냅샷 상의 인덱스를 포함할 수 있다.
상술한 기술적 과제를 달성하기 위한 본 발명의 몇몇 실시예에 따른 자동화된 공개출처정보 포렌식 시스템은, 가상 머신을 실행하는 가상머신 실행부, 가상 머신 상에서 사용자의 입력을 제공받는 인터페이스부, 상기 인터랙션에 기초하여 외부 네트워크 상의 공개 정보를 수집하여 공개출처정보를 생성하는 정보 수집부, 상기 사용자의 입력과, 상기 입력에 따른 상기 가상 머신의 상태 변화에 대한 스냅샷을 생성하는 스냅샷 생성부, 상기 공개출처정보와 상기 스냅샷 사이의 링크 정보를 생성하는 링크 정보 생성부 및 상기 정보 수집부로부터 수집된 공개출처정보와 상기 스냅샷를 저장하는 저장부를 포함한다.
본 발명의 몇몇 실시예에서, 상기 정보 수집부는, 상기 공개출처정보에 포함된 텍스트 정보를 추출하고, 추출된 텍스트 정보로부터 생성된 키워드 정보를 상기 스냅샷에서 검색하여 상기 링크 정보를 생성할 수 있다.
본 발명의 몇몇 실시예에서, 상기 링크 정보는, 상기 공개출처정보가 생성되는 시점을 가리키는 상기 스냅샷 상의 인덱스를 포함할 수 있다.
본 발명의 몇몇 실시예에서, 상기 공개출처정보는, 상기 가상 머신에 표시된 화면 정보를 통해 생성된 이미지 파일 및 상기 가상 머신 상에서 수행되는 일련의 작업의 실행 화면이 레코딩된 동영상 파일 중 적어도 어느 하나를 포함하고, 상기 정보 수집부는, 상기 이미지 파일 또는 동영상 파일에 포함된 문자를 인식하여 상기 텍스트 정보를 추출할 수 있다.
기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명의 실시예에 따른 자동화된 공개출처정보 포렌식 시스템 및 그 동작 방법은, 공개출처정보의 수집 시점에서의 가상 머신의 스냅샷을 생성하고, 공개출처정보가 생성될 때의 가상 머신의 동작을 재현할 수 있다. 이 때, 공개출처정보 포렌식 시스템은 공개출처정보에 포함된 텍스트 정보에 기초하여 해당 정보의 수집 시점의 스냅샷 또는 이미 생성된 스냅샷 내에서 해당 공개출처정보와 관련된 내용을 검색하고, 검색 결과에 기초하여 공개출처정보와 스냅샷 사이의 링크 정보를 생성할 수 있다.
따라서, 공개출처정보 포렌식 시스템은 스냅샷을 재현함으로써 공개출처정보의 수집 상황을 재현하고, 이를 통해 수집된 공개출처정보의 증거 재현 및 진정성을 확보하는 한편, 자동으로 생성된 링크 정보를 이용하여 공개출처정보와 스냅샷을 용이하게 관리할 수 있다.
본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 청구범위의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 몇몇 실시예에 따른 자동화된 공개출처정보 포렌식 시스템을 설명하기 위한 도면이다.
도 2는 본 발명의 몇몇 실시예에 따른 자동화된 공개출처정보 포렌식 시스템의 동작을 설명하기 위한 블록도이다.
도 3은 본 발명의 몇몇 실시예에 따른 자동화된 공개출처정보 포렌식 시스템에 의해 생성되는 공개출처정보, 스냅샷 및 링크 정보 사이의 관계에 대하여 설명하기 위한 도면이다.
도 4는 본 발명의 몇몇 실시예에 따른 자동화된 공개출처정보 포렌식 시스템의 동작을 설명하기 위한 순서도이다.
도 5는 정보 수집부에 의해 공개출처정보와 스냅샷 사이의 링크 정보의 생성 과정을 설명하기 위한 순서도이다.
도 2는 본 발명의 몇몇 실시예에 따른 자동화된 공개출처정보 포렌식 시스템의 동작을 설명하기 위한 블록도이다.
도 3은 본 발명의 몇몇 실시예에 따른 자동화된 공개출처정보 포렌식 시스템에 의해 생성되는 공개출처정보, 스냅샷 및 링크 정보 사이의 관계에 대하여 설명하기 위한 도면이다.
도 4는 본 발명의 몇몇 실시예에 따른 자동화된 공개출처정보 포렌식 시스템의 동작을 설명하기 위한 순서도이다.
도 5는 정보 수집부에 의해 공개출처정보와 스냅샷 사이의 링크 정보의 생성 과정을 설명하기 위한 순서도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 도면에서 표시된 구성요소의 크기 및 상대적인 크기는 설명의 명료성을 위해 과장된 것일 수 있다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭하며, "및/또는"은 언급된 아이템들의 각각 및 하나 이상의 모든 조합을 포함한다.
소자(elements) 또는 층이 다른 소자 또는 층의 "위(on)" 또는 "상(on)"으로 지칭되는 것은 다른 소자 또는 층의 바로 위뿐만 아니라 중간에 다른 층 또는 다른 소자를 개재한 경우를 모두 포함한다. 반면, 소자가 "직접 위(directly on)" 또는 "바로 위"로 지칭되는 것은 중간에 다른 소자 또는 층을 개재하지 않은 것을 나타낸다.
공간적으로 상대적인 용어인 "아래(below)", "아래(beneath)", "하부(lower)", "위(above)", "상부(upper)" 등은 도면에 도시되어 있는 바와 같이 하나의 소자 또는 구성 요소들과 다른 소자 또는 구성 요소들과의 상관관계를 용이하게 기술하기 위해 사용될 수 있다. 공간적으로 상대적인 용어는 도면에 도시되어 있는 방향에 더하여 사용시 또는 동작시 소자의 서로 다른 방향을 포함하는 용어로 이해되어야 한다. 예를 들면, 도면에 도시되어 있는 소자를 뒤집을 경우, 다른 소자의 "아래(below)" 또는 "아래(beneath)"로 기술된 소자는 다른 소자의 "위(above)"에 놓여질 수 있다. 따라서, 예시적인 용어인 "아래"는 아래와 위의 방향을 모두 포함할 수 있다. 소자는 다른 방향으로도 배향될 수 있고, 이에 따라 공간적으로 상대적인 용어들은 배향에 따라 해석될 수 있다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.
비록 제1, 제2 등이 다양한 소자나 구성요소들을 서술하기 위해서 사용되나, 이들 소자나 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자나 구성요소를 다른 소자나 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자나 구성요소는 본 발명의 기술적 사상 내에서 제2 소자나 구성요소 일 수도 있음은 물론이다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
도 1은 본 발명의 몇몇 실시예에 따른 자동화된 공개출처정보 포렌식 시스템을 설명하기 위한 도면이다. 본 발명의 몇몇 실시예에 따른 공개출처정보 포렌식 시스템(100)은 프로세서, 메모리 등을 포함하며, 메모리에 저장된 명령어를 실행함으로써 이하에서 설명되는 공개출처정보 포렌식 방법을 수행할 수 있다.
도 1을 참조하면, 공개출처정보 포렌식 시스템(100)은 가상 머신(150)을 시스템(100) 내부에 생성하고 실행할 수 있다. 가상 머신(150)을 실행함으로써 공개출처정보 포렌식 시스템(100)은 사용자의 입력에 대응하여 가상 머신(150)이 수행하는 프로그램 실행, 데이터 입출력 등의 과정을 타임스탬프(timestamp)와 함께 정확히 재현할 수 있는 가상 머신의 스냅샷(220)을 획득할 수 있다. 스냅샷 (220)은 예를 들어, 공개출처정보(200) 수집 시 가상 머신(150)에 연결된 디스크의 저장 상태, 가상 머신(150)에 포함된 메모리에 저장된 내용 등을 포함할 수 있다. 상기 메모리 저장 내용은 가상 머신(150)의 화면 상에 출력된 내용을 포함할 수 있다. 후술하는 것과 같이, 스냅샷(220)에 포함된 메모리 저장 내용은 링크 정보(230)의 생성을 위해 검색될 수 있다.
따라서 공개출처정보 포렌식 시스템(100)은 가상 머신(150)의 상태 변화가 기록된 스냅샷을 이용하여 공개출처정보의 수집 시점의 사용자의 입력 및 이에 대응하여 수행된 가상 머신(150)의 동작을 정확히 재현할 수 있다.
공개출처정보 포렌식 시스템(100)이 외부 네트워크(10)와 접속된 가상 머신(150)을 통해 얻을 수 있는 공개출처정보(200)는 예를 들어 IP 주소, 도메인 등록 정보, SNS 게시글, 불법사이트 운영 정보, 가상화폐 블록체인 등과 같이 공개된 출처에서 얻을 수 있는 정보를 포함할 수 있다. 가상 머신(150)은 사용자의 인터랙션을 수신하여 공개출처정보를 캡처(capture), 레코딩(recording)하여 수집하거나, PDF(Portable Document Format)와 같은 보존용 전자 문서 형식을 이용하여 기록할 수 있다.
한편, 공개출처정보 포렌식 시스템(100)은 수집된 공개출처정보(200)로부터 키워드 정보를 추출할 수 있다. 공개출처정보(200)는 대부분 텍스트 정보 또는 텍스트 정보가 출력된 화면을 캡처하여 생성된 이미지 정보 또는 레코딩하여 생성된 동영상 파일을 포함한다. 이처럼, 공개출처정보(200)의 형태는 여러가지이나, 이에 포함된 정보의 내용은 주로 텍스트 정보에 의존한다. 따라서 공개출처정보 포렌식 시스템(100)은 수집된 공개출처정보(200)에 포함된 텍스트 정보를 추출하며, 추출된 텍스트 정보의 맥락(context)을 이해함으로써 키워드 정보를 생성할 수 있다. 이와 같은 키워드 정보는 공개출처정보(200)와 스냅샷(220) 사이를 연결하는 링크 정보(230)의 생성에 이용될 수 있다.
공개된 네트워크 상에 존재하는 방대한 양의 공개 정보 가운데 수사에 필요한 공개출처정보를 선택하여 수집하는 과정은 반복된 정보 검색을 동반하여 상당한 시간이 소요될 수 있다. 공개출처정보 포렌식 시스템(100)은 공개출처정보(200)와 스냅샷(220) 사이를 연결하는 링크 정보(230)를 생성함으로써 공개출처정보의 재현을 위한 스냅샷(220) 탐색을 용이하게 할 수 있다.
한편, 공개출처정보 포렌식 시스템(100)은 수집된 공개출처정보의 무결성 정보(210)를 공개출처정보(200)와 함께 수집할 수 있다. 공개출처정보의 무결성 정보(210)는 공개출처정보(200)의 수집 시점의 동기 시간 정보, 공개출처정보(200)의 해시(hash) 값 정보, 워터마크 정보, 공개출처정보의 출처 정보 등을 포함할 수 있다. 공개출처정보의 무결성 정보(210)는 수집된 공개출처정보(200)와 함께 저장부(160)에 저장될 수 있다.
도 2는 본 발명의 몇몇 실시예에 따른 자동화된 공개출처정보 포렌식 시스템의 동작을 설명하기 위한 블록도이다.
도 2를 참조하면, 본 발명의 몇몇 실시예에 따른 공개출처정보 포렌식 시스템(100)은 가상머신 실행부(110), 인터페이스부(120), 정보 수집부(130), 스냅샷 생성부(140) 및 저장부(160) 및 링크 정보 생성부(170)를 포함할 수 있다.
도 2에 도시된 포렌식 시스템(100)을 이루는 구성 요소들은 하드웨어 및 소프트웨어 구성 요소를 포함할 수 있으며, 이러한 구성요소는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다. 또한 각각의 구성 요소들은 개별적인 특정한 하드웨어로 구현될 필요가 있는 경우를 제외하고는, 적어도 하나의 모듈이나 칩으로 일체화되어 적어도 하나의 프로세서로 구현될 수 있다.
가상 머신 실행부(110)는 공개출처정보를 수집하기 위한 가상 머신을 실행할 수 있다. 가상 머신 실행부(110)는 공개출처정보 포렌식 시스템(100)에서 운영되는 윈도우와 같은 호스트 운영 체제 상에서 게스트 운영 체제 및 게스트 운영 체제 상에서 실행되는 복수의 프로그램을 실행할 수 있다.
가상 머신 실행부(110)는 예를 들어, Vmware, VirtualBox, Parallels Desktop, Windows Virtual PC 등의 다양한 가상 머신 소프트웨어를 실행하도록 지원할 수 있으나 이에 제한되는 것은 아니다. 가상 머신 실행부(110)가 실행하는 가상 머신은 공개출처정보 포렌식 시스템(100)에서 기동되는 운영 체제 상에서 별도의 게스트 운영 체제를 실행하며, 사용자의 입력 및 입력에 대응하는 가상 머신(150)의 동작을 타임스탬프 정보에 따라 재현할 수 있는 스냅샷 (220)을 생성할 수 있으면 충분하다.
인터페이스부(120)는 공개출처정보 포렌식 시스템(100)에 대한 사용자 입력 수신, 공개출처정보 포렌식 시스템(100)과 외부 장치 사이의 통신을 통한 데이터 입출력 등을 수행할 수 있다.
인터페이스부(120)는 수신된 사용자의 입력을 가상 머신 실행부(110)에 의해 실행되는 가상 머신에 대한 입력으로 제공할 수 있다. 상술한 것과 같이, 인터페이스부(120)로부터 수신된 사용자의 입력은 수신 시점의 타임스탬프 정보와 함께 스냅샷 정보에 포함될 수 있다.
인터페이스부(120)는 공개출처정보 포렌식 시스템(100)이 외부 네트워크(10)와 통신할 수 있도록 상호 연결을 수립하고, 외부 네트워크(10) 상의 공개 정보를 다운로드할 수 있다.
정보 수집부(130)는 외부 네트워크(10) 상에서 공개된 정보를 수집하여 공개출처정보를 생성할 수 있다. 사용자가 가상 머신(150) 상에서 실행한 웹브라우저를 통해 외부 네트워크(10)에 접속하고, 외부 네트워크(10) 상의 공개된 정보가 웹브라우저를 통해 렌더링되어 가상 머신(150)의 화면 상에 표시되면, 정보 수집부(130)는 사용자의 입력을 제공받아 가상 머신(150) 상에서 스크린 캡처, 브라우저 화면 캡처 등을 수행하여 이미지 파일을 생성하거나 웹사이트 소스 코드, IP 주소, 도메인 정보, 운영자 정보 또는 PDF를 추출하여 문서 파일을 생성할 수 있다.
또는, 정보 수집부(130)는 사용자가 가상 머신(150) 상의 화면 레코딩 도구를 실행하여 가상 머신(150) 상에서 수행되는 일련의 작업의 실행 화면을 레코딩함으로써 동영상 파일 형태의 공개출처정보를 생성할 수 있다.
정보 수집부(130)는 생성된 공개출처정보(200)에 기초하여 키워드 정보를 생성할 수 있다. 정보 수집부(130)에 의한 키워드 정보의 생성과 관련한 자세한 설명은 후술한다.
생성된 키워드 정보는 공개출처정보(200)와 스냅샷(220)을 연결하기 위한 링크 정보(230)의 생성에 사용될 수 있다.
도 3은 본 발명의 몇몇 실시예에 따른 공개출처정보 포렌식 시스템(100)에 의해 생성되는 공개출처정보, 스냅샷 및 링크 정보 사이의 관계에 대하여 설명하기 위한 도면이다.
도 3을 참조하면, 수집된 공개출처정보(200)는 제1 내지 제5 정보(201~205)를 포함하고, 스냅샷(220) 또한 제1 내지 제5 정보(201~205)를 수집하는 과정을 그대로 재현하기 위한 제1 내지 제5 스냅샷(221~225)을 포함할 수 있다. 또한, 공개출처정보(200)와 스냅샷(220)을 연결하기 위한 제1 내지 제5 링크 정보(231~235)가 생성될 수 있다.
공개출처정보(200)를 수집하기 위한 수사 과정은, 복수의 단계로 분할되어 수행될 수 있다. 예를 들어, 수사관은 용의자의 제1 행위를 입증하기 위한 제1 정보(201)를 수집하는 단계, 제2 행위를 입증하기 위한 제2 정보(202)를 수집하는 단계 등을 시계열 순에 따라 수행할 수 있다.
가상 머신(150)은, 각각의 정보를 수집하는 단계를 가상 머신(150) 상에서 그대로 재현하기 위한 스냅샷(220)을 생성한다. 이 때, 스냅샷(220)은 가상 머신(150)에 제공된 사용자의 입력 및 그에 따른 가상 머신(150)의 상태 변화의 시계열적인 정보를 그대로 포함한다. 그런데 공개출처정보(200)를 수집하는 과정은 반복된 정보 검색을 동반하여 상당한 시간이 소요되며, 그 과정에서 생성된 스냅샷(220)의 시간적인 길이 또한 상당할 수 있다.
따라서, 본 발명의 공개출처정보 포렌식 시스템(100)은 공개출처정보(200)의 수집 과정을 스냅샷(220)에 일종의 인덱스로 표시하기 위한 링크 정보(230)를 생성할 수 있다. 링크 정보(230)는 생성된 스냅샷(220)에 특정한 시점을 가리키는 인덱스로 기능할 수 있다. 링크 정보(230)는 공개출처정보(200)로부터 추출된 키워드 정보에 기초하여 생성될 수 있다.
도 4는 본 발명의 몇몇 실시예에 따른 자동화된 공개출처정보 포렌식 시스템의 동작을 설명하기 위한 순서도이다.
도 4를 참조하면 본 발명의 몇몇 실시예에 따른 공개출처정보 포렌식 시스템의 동작 방법은, 가상 머신을 실행하는 단계(S110), 가상 머신 상에서 사용자의 인터랙션에 기초하여 공개출처정보에 액세스하는 단계(S120), 공개 정보로부터 공개출처정보를 수집하는 단계(S130) 및 사용자 입력 및 입력에 따른 가상 머신(150)의 상태 변화에 따른 스냅샷을 생성하는 단계(S140)를 포함할 수 있다.
먼저, 가상 머신을 실행하는 단계(S110)가 수행된다. 공개출처정보 포렌식 시스템(100)에 설치된 가상 머신 소프트웨어의 기동 버튼을 선택함으로써 가상 머신(150)이 실행되고, 가상 머신(150) 내의 시스템의 동작 준비가 완료될 수 있다. 이 때 가상 머신(150)의 표시 화면 상에는 공개출처정보의 생성 시각을 워터마크로써 표시하기 위한 생성 시각 정보가 함께 표시될 수 있다.
이어서, 가상 머신(150) 상에서 사용자의 입력에 기초하여 외부 네트워크(10) 상의 공개 정보에 액세스하는 단계(S120)가 수행된다. 공개출처정보 포렌식 시스템(100)은 가상 머신(150) 상에서 실행되는 웹브라우저, 터미널, 터미널 프로그램 등을 통해 외부 네트워크(10) 상에 존재하는 공개 정보에 접근할 수 있다. 가상 머신 실행부(110)는 인터페이스부(120)가 외부 네트워크(10)에 접속하여 공개 정보를 다운로드받으면, 이를 렌더링하여 가상 머신(150) 상의 화면으로 표시할 수 있다.
다음으로, 공개 정보로부터 공개출처정보를 수집하는 단계(S130)가 수행된다. 정보 수집부(130)는 사용자의 입력을 제공받아 가상 머신(150) 상에서 스크린 캡처, 브라우저 화면 캡처 등을 수행하여 이미지 파일을 생성하거나 웹사이트 소스 코드, IP 주소, 도메인 정보, 운영자 정보 또는 PDF를 추출하여 문서 파일을 생성할 수 있으며, 사용자가 가상 머신(150) 상의 화면 레코딩 도구를 실행하여 가상 머신(150) 상에서 수행되는 일련의 작업의 실행 화면을 레코딩함으로써 동영상 파일 형태의 공개출처정보를 생성할 수 있다.
이어서, 공개출처정보의 무결성 정보를 생성하여 저장하는 단계(S140)가 수행된다.
정보 수집부(130)는 생성된 공개출처정보(200)의 무결성 정보(210)를 생성하여 저장부(160)에 저장할 수 있다. 여기서 공개출처정보(200)의 무결성 정보(210)는 NTP(Network Time Protocol) 등을 이용하여 신뢰할 수 있는 출처로부터 동기화한 기준 시각 정보를 이미지, 문서, 동영상 파일에 워터마크의 형태로 삽입하는 것을 포함할 수 있다. 즉, 가상 머신(150)의 실행 화면의 일정 영역에 기준 시각 정보를 디스플레이되면 공개출처정보(200)가 생성될 때 화면에 함께 표시된 시각 정보 형태의 무결성 정보(210)가 공개출처정보(200)에 함께 기록될 수 있다.
또는, 무결성 정보(210)는 생성된 공개출처정보에 포함된 파일로부터 생성된 해시 정보를 포함할 수 있다. 정보 수집부(130)는 예를 들어 SHA-1, SHA-2 등의 잘 알려진 해시 생성 알고리즘을 이용하여 공개출처정보(200)로부터 무결성 정보(210)를 생성할 수 있다.
정보 수집부(130)는 공개출처정보(200)의 생성 시각에 관한 타임스탬프 정보를 무결성 정보(210)로서 생성할 수 있다. 타임스탬프 정보는 앞서의 생성 시각으로 생성된 워터마크와는 달리, 타임스탬프 정보는 시각적(visual)으로 인지될 수 없도록 공개출처정보(200) 내에 생성되는 생성 시각 정보를 의미한다.
이와 같이, 정보 수집부(130)가 공개출처정보(200)와 공개출처정보의 무결성 정보(210)를 함께 생성하여 저장함에 따라 수집된 공개출처정보의 신뢰성을 확보할 수 있으며, 향후 공개출처정보가 수사 및 재판 과정에서 한층 더 높은 증거능력을 가지며 이용될 수 있다.
정보 수집부(130)는 가상 머신(150)를 통해 생성된 공개출처정보 및 공개출처정보의 무결성 정보를 저장부(160) 내 일반 스토리지 영역(171) 및 가상 스토리지 영역(172) 내에 동시에 저장할 수 있다. 일반 스토리지 영역(171)은 공개출처정보 포렌식 시스템(100)에 의하여 일반적으로 액세스될 수 있는 영역을 의미하며, 가상 스토리지 영역(172)은 가상 머신(150)에 할당됨으로써 가상 머신(150) 상에서 실행되는 프로그램에 의하여 액세스될 수 있는 영역을 의미한다.
공개출처정보 포렌식 시스템(100)은 수집되어 저장부(160) 내에 기록된 공개출처정보와, 공개출처정보의 무결성 정보 및 스냅샷의 전체 또는 일부를 공개출처정보 포렌식 시스템(100)과 연결된 외부 스토리지 디바이스로 복사할 수 있다. 외부 스토리지 디바이스는 공개출처정보 포렌식 시스템(100)에 온라인으로 접속된 네트워크 스토리지, 오프라인으로 접속된 스토리지 디스크 등을 포함할 수 있다.
이어서, 공개출처정보의 생성 과정에서 가상 머신의 상태 변화에 대한 스냅샷을 생성하는 단계 (S150)가 수행된다.
스냅샷 생성부(140)는 가상 머신(150) 상에서 사용자 입력 및 제공된 입력의 결과로 발생하는 일련의 이벤트의 스냅샷(220)을 생성할 수 있다. 스냅샷(220)은 가상 머신(150) 상에서 정보 수집부(130)를 통해 공개출처정보가 생성될 때 사용자로부터 제공받은 입력, 해당 입력에 대하여 가상 머신(150)의 시스템 상태 및 데이터를 포함할 수 있다.
생성된 스냅샷(220)을 통해 가상머신 실행부(110)는 공개출처정보가 생성될 때의 가상 머신(150)의 동작을 재현할 수 있다. 즉, 공개출처정보 포렌식 시스템(100) 상에서 실행되는 가상 머신(150) 또는 공개출처정보 포렌식 시스템(100)이 아닌 다른 시스템에서 실행되는 가상 머신(150)과 동일한 가상 환경은 스냅샷(220)을 재생함으로써 공개출처정보의 수집 상황을 재현할 수 있다. 이를 통해 수집된 공개출처정보의 증거 재현 및 진정성을 확보할 수 있으며, 공개출처정보의 무결성 정보와 함께 동일성이 유지된 공개출처정보의 신뢰성을 향상시킬 수 있다.
이는 공개출처정보 포렌식 시스템(100)이 가상 머신(150)을 실행하고, 가상 머신(150) 상에서 공개출처정보의 수집과 무결성 정보의 생성을 수행하는 이유와 관련된다. 즉, 공개출처정보 포렌식 시스템(100)은 공개출처정보 수집의 전 과정을 용이하게 재현할 수 있도록 가상 머신(150)을 실행하고, 사용자의 입력을 가상 머신(150) 상에서 제공받아 일련의 정보수집 과정을 실행함으로써 가상 머신(150)의 동작과 관련된 스냅샷을 생성하고, 스냅샷을 통해 그 과정을 재현할 수 있어 공개출처정보 및 정보의 수집 과정의 신뢰성이 향상되는 것이다.
마지막으로, 공개출처정보와 스냅샷 사이의 링크 정보를 생성하는 단계(S160)가 수행된다. 링크 정보의 생성과 관련하여, 도 5를 이용하여 더욱 자세하게 설명한다.
도 5는 정보 수집부(130)에 의해 공개출처정보(200)와 스냅샷(220) 사이의 링크 정보의 생성 과정을 설명하기 위한 순서도이다.
도 5를 참조하면, 정보 수집부(130)에 의한 링크 정보의 생성은 공개출처정보에 포함된 텍스트 정보를 추출하는 단계(S201), 추출된 텍스트 정보의 키워드 정보를 생성하는 단계(S202), 키워드 정보에 기초하여 스냅샷을 검색하고, 검색된 스냅샷의 시점과 연결되는 링크 정보를 생성하는 단계(S203)를 포함할 수 있다.
먼저, 정보 수집부(130)는 생성된 공개출처정보로부터 수집된 공개출처정보(200)에 포함된 텍스트 정보를 추출할 수 있다(S201). 예를 들어 공개출처정보가 PDF 파일 형식으로 구성된 경우, 정보 수집부(130)는 해당 PDF 파일에 포함된 텍스트 정보를 추출할 수 있다. 또는, 공개출처정보가 가상 머신(150)에 출력된 화면을 캡처하여 생성된 경우, 정보 수집부(130)는 캡처를 통해 생성된 이미지 파일에 포함된 문자를 인식하여 텍스트 정보를 추출할 수 있다. 마지막으로, 공개출처정보가 가상 머신(150)에 출력된 화면을 레코딩하여 생성된 동영상 파일인 경우, 정보 수집부(130)는 동영상 파일에 포함된 문자를 인식하여 텍스트 정보를 추출할 수 있다.
정보 수집부(130)는 추출된 텍스트 정보로부터 키워드 정보를 추출할 수 있다. 정보 수집부(130)는 키워드 정보를 추출하기 위해 복수의 문장 등으로 구성된 텍스트 정보를 자연어 처리 알고리즘과 기계 학습 알고리즘을 이용함으로써 복수 개의 구 또는 절로 분리하여 분석할 수 있다.
또한, 이 과정에서, 정보 수집부(130)는 추출된 텍스트 정보의 맥락(context)을 이해함으로써 키워드 정보를 추출할 수 있다. 키워드 정보를 추출하는 과정에서, 정보 수집부(130)는 사용자에 의해 입력된 수사 관련 문구를 이용할 수도 있다. 상기 수사 관련 단어는 예를 들어 용의자 및 피해자의 이름(또는 인터넷 상의 닉네임), 발생한 범죄 행위와 이로 인해 발생한 피해 상황 등을 포함할 수 있다. 또는, 공개출처정보(200)가 수집된 출처가 가상화폐 블록체인인 경우, 용의자 및 피해자의 지갑 주소, 범죄에 사용된 가상화폐의 트랜잭션(transaction) ID 등을 포함할 수 있다.
정보 수집부(130)는 제공된 수사 관련 문구와 텍스트 정보를 구성하는 단어 사이의 유사도를 비교하고, 높은 유사도를 갖는 구 또는 절에 포함된 단어를 키워드 정보로 선택하여 추출할 수 있다.
이어서, 키워드 정보에 기초하여 스냅샷을 검색하고, 검색된 스냅샷의 시점과 연결되는 링크 정보를 생성하는 단계(S203)가 수행될 수 있다.
링크 정보 생성부(170)는 추출된 키워드 정보를 검색어로 하여 저장부(160)에 저장된 스냅샷(220)을 검색할 수 있다. 이는, 공개출처정보(200)의 수집 과정에서 해당 키워드 정보가 화면 또는 브라우저 등에 출력된 시점의 스냅샷(220)을 검색하기 위한 과정이다.
링크 정보 생성부(170)는 저장부(160)에 저장된 복수의 스냅샷 가운데 검색된 키워드 정보를 포함하는 스냅샷을 선택할 수 있다. 이어서 링크 정보 생성부(170)는 특정한 공개출처정보(예를 들어, 제1 정보(201))가 화면에 표시된 시점의 제1 스냅샷(221)을 가리키는 제1 링크 정보(231)를 생성할 수 있다.
또한, 링크 정보 생성부(170)는 하나의 공개출처정보(201)에 대하여 복수의 스냅샷을 연결하는 링크 정보를 생성할 수 있다. 예를 들어, 제2 정보(202)의 수집 및 이에 대응하는 제2 스냅샷(222)의 생성 시, 제2 스냅샷(222)에 제1 정보(201)의 키워드 정보와 관련된 내용을 포함하는 경우, 링크 정보 생성부(170)는 검색을 통해 제2 스냅샷(222)과 제1 정보(201)를 연결하는 링크 정보를 생성할 수도 있다. 이는 제2 정보(202) 또는 제2 스냅샷(222)의 생성 시점에 제1 정보(201)와 관련된 키워드를 포함하나 제1 정보(201)와 관련된 공개출처정보가 수집되지 않은 경우를 의미한다. 따라서 누락된 공개출처정보의 수집이 상기 과정을 통해 발견될 수 있다.
이와 같이, 본 발명의 공개출처정보 포렌식 시스템(100)은 수집된 공개출처정보(200)를 분석하고, 공개출처정보(200)와 스냅샷(220)을 연결하는 링크 정보(230)를 생성할 수 있다. 이를 통해 복수의 스냅샷 가운데 특정한 공개출처정보의 생성 시점에 생성된 스냅샷이 어떤 것인지에 관하여 링크 정보를 통하여 용이하게 관리할 수 있다.
또한, 공개출처정보 포렌식 시스템(100)은 이미 저장된 다른 스냅샷 가운데 공개출처정보(200)로부터 추출된 키워드 정보에 대응되는 스냅샷을 검색함으로써, 앞선 수사 과정에서 공개출처정보의 수집이 누락된 경우를 발견하고, 이를 보충할 수 있는 기회를 부여할 수 있다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 장치에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 하드디스크, ROM, RAM, CD-ROM, 하드 디스크, 자기 테이프, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
100: 공개출처정보 포렌식 시스템 110: 가상 머신 실행부
120: 인터페이스부 130: 정보 수집부
140: 스냅샷 생성부 150: 가상 머신
160: 저장부 170: 링크 정보 생성부
120: 인터페이스부 130: 정보 수집부
140: 스냅샷 생성부 150: 가상 머신
160: 저장부 170: 링크 정보 생성부
Claims (10)
- 외부 네트워크 상의 공개 정보를 수집하는 자동화된 공개출처정보(OSINT) 포렌식 시스템의 동작 방법에 있어서,
상기 시스템에 의해, 가상 머신을 실행하는 단계;
상기 시스템에 의해, 상기 가상 머신 상에서 외부 네트워크 상의 공개 정보에 액세스하는 단계;
상기 시스템에 의해, 상기 공개 정보로부터 공개출처정보를 생성하는 단계;
상기 시스템에 의해, 상기 공개출처정보의 생성 과정에서 상기 가상 머신의 상태 변화에 대한 스냅샷을 생성하는 단계; 및
상기 공개출처정보와 상기 스냅샷 사이의 링크 정보를 생성하는 단계를 포함하고,
상기 공개출처정보와 상기 스냅샷 사이의 링크 정보를 생성하는 단계는,
상기 공개출처정보에 포함된 텍스트 정보를 추출하는 단계와, 추출된 텍스트 정보의 키워드 정보를 생성하는 단계와, 상기 키워드 정보에 기초하여 상기 스냅샷을 검색하는 단계, 및 상기 스냅샷의 검색 결과에 기초하여 상기 링크 정보를 생성하는 단계를 포함하는, 자동화된 공개출처정보 포렌식 시스템의 동작 방법. - 삭제
- 제 1항에 있어서,
상기 공개출처정보는,
상기 가상 머신에 표시된 화면 정보를 통해 생성된 이미지 파일 및 상기 가상 머신 상에서 수행되는 일련의 작업의 실행 화면이 레코딩된 동영상 파일 중 적어도 어느 하나를 포함하고,
상기 공개출처정보에 포함된 텍스트 정보를 추출하는 단계는,
상기 이미지 파일 또는 동영상 파일에 포함된 문자를 인식하여 상기 텍스트 정보를 추출하는 단계를 포함하는, 자동화된 공개출처정보 포렌식 시스템의 동작 방법. - 제 1항에 있어서,
상기 키워드 정보에 기초하여 상기 스냅샷을 검색하는 단계는,
이미 생성된 공개출처정보의 생성 시점의 하나 이상의 스냅샷을 검색하는 것을 포함하는, 자동화된 공개출처정보 포렌식 시스템의 동작 방법. - 제 1항에 있어서,
상기 링크 정보는, 상기 공개출처정보가 생성되는 시점을 가리키는 상기 스냅샷 상의 인덱스를 포함하는, 자동화된 공개출처정보 포렌식 시스템의 동작 방법. - 가상 머신을 실행하는 가상머신 실행부;
가상 머신 상에서 사용자의 입력을 제공받는 인터페이스부;
상기 입력에 기초하여 외부 네트워크 상의 공개 정보를 수집하여 공개출처정보를 생성하는 정보 수집부;
상기 사용자의 입력과, 상기 입력에 따른 상기 가상 머신의 상태 변화에 대한 스냅샷을 생성하는 스냅샷 생성부;
상기 공개출처정보와 상기 스냅샷 사이의 링크 정보를 생성하는 링크 정보 생성부; 및
상기 정보 수집부로부터 수집된 공개출처정보와 상기 스냅샷를 저장하는 저장부를 포함하고,
상기 정보 수집부는,
상기 공개출처정보에 포함된 텍스트 정보를 추출하고, 추출된 텍스트 정보로부터 생성된 키워드 정보를 상기 스냅샷에서 검색하여 상기 링크 정보를 생성하는, 자동화된 공개출처정보 포렌식 시스템. - 삭제
- 제 6항에 있어서,
상기 링크 정보는, 상기 공개출처정보가 생성되는 시점을 가리키는 상기 스냅샷 상의 인덱스를 포함하는, 자동화된 공개출처정보 포렌식 시스템. - 제 6항에 있어서,
상기 공개출처정보는,
상기 가상 머신에 표시된 화면 정보를 통해 생성된 이미지 파일 및 상기 가상 머신 상에서 수행되는 일련의 작업의 실행 화면이 레코딩된 동영상 파일 중 적어도 어느 하나를 포함하고,
상기 정보 수집부는,
상기 이미지 파일 또는 동영상 파일에 포함된 문자를 인식하여 상기 텍스트 정보를 추출하는, 자동화된 공개출처정보 포렌식 시스템. - 제 6항에 있어서,
상기 링크 정보 생성부는,
이미 생성된 공개출처정보의 생성 시점의 하나 이상의 스냅샷을 검색하는,
자동화된 공개출처정보 포렌식 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210161740A KR102600770B1 (ko) | 2021-11-22 | 2021-11-22 | 공개출처정보와 스냅샷 사이의 링크 정보를 자동으로 생성하는 공개출처정보 포렌식 시스템 및 그 동작 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210161740A KR102600770B1 (ko) | 2021-11-22 | 2021-11-22 | 공개출처정보와 스냅샷 사이의 링크 정보를 자동으로 생성하는 공개출처정보 포렌식 시스템 및 그 동작 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20230075286A KR20230075286A (ko) | 2023-05-31 |
| KR102600770B1 true KR102600770B1 (ko) | 2023-11-13 |
Family
ID=86544163
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210161740A KR102600770B1 (ko) | 2021-11-22 | 2021-11-22 | 공개출처정보와 스냅샷 사이의 링크 정보를 자동으로 생성하는 공개출처정보 포렌식 시스템 및 그 동작 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102600770B1 (ko) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101916676B1 (ko) * | 2017-11-27 | 2018-11-08 | 한국인터넷진흥원 | 사이버 위협 인텔리전스 데이터를 수집하는 방법 및 그 시스템 |
| KR102131496B1 (ko) * | 2018-05-25 | 2020-07-08 | 한국과학기술원 | 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법 |
-
2021
- 2021-11-22 KR KR1020210161740A patent/KR102600770B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101916676B1 (ko) * | 2017-11-27 | 2018-11-08 | 한국인터넷진흥원 | 사이버 위협 인텔리전스 데이터를 수집하는 방법 및 그 시스템 |
| KR102131496B1 (ko) * | 2018-05-25 | 2020-07-08 | 한국과학기술원 | 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법 |
Non-Patent Citations (1)
| Title |
|---|
| 이완희 외 2인, ‘인터넷 시대의 정보활동: OSINT의 이해와 적용 사례 분석’, 한국경호경비학회 제34호, 2013. |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20230075286A (ko) | 2023-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10482134B2 (en) | Document management techniques to account for user-specific patterns in document metadata | |
| Raghavan | Digital forensic research: current state of the art | |
| Adedayo | Big data and digital forensics | |
| US8219588B2 (en) | Methods for searching forensic data | |
| US20050038814A1 (en) | Method, apparatus, and program for cross-linking information sources using multiple modalities | |
| KR100932537B1 (ko) | 이미지 필터를 이용한 포렌식 증거 분석 시스템 및 방법 | |
| US20140082001A1 (en) | Digital forensic audit system for analyzing user's behaviors | |
| JP2007012013A (ja) | 映像データ管理装置及び方法及びプログラム | |
| US10321167B1 (en) | Method and system for determining media file identifiers and likelihood of media file relationships | |
| CN104156669A (zh) | 一种计算机信息取证系统 | |
| KR102600770B1 (ko) | 공개출처정보와 스냅샷 사이의 링크 정보를 자동으로 생성하는 공개출처정보 포렌식 시스템 및 그 동작 방법 | |
| KR100916310B1 (ko) | 오디오 신호처리 기반의 음악 및 동영상간의 교차 추천 시스템 및 방법 | |
| US20150178346A1 (en) | Using biometric data to identify data consolidation issues | |
| TW201435627A (zh) | 搜索優化系統及方法 | |
| Cantrell et al. | Implementing the automated phases of the partially-automated digital triage process model | |
| KR102518107B1 (ko) | 공개출처정보 포렌식 시스템 및 그 동작 방법 | |
| Shayau et al. | Digital forensics investigation reduction model (DIFReM) framework for Windows 10 OS | |
| CN107741956B (zh) | 一种基于web容器配置文件的日志搜索方法 | |
| Decusatis et al. | Methodology for an open digital forensics model based on CAINE | |
| CN117540176B (zh) | 一种基于固态硬盘的数据恢复分析方法及系统 | |
| Carranza et al. | Software validation and daubert standard compliance of an open digital forensics model | |
| van der Meer et al. | Investigation and Automating Extraction of Thumbnails Produced by Image viewers | |
| Cassidy | Automating case reports for the analysis of digital evidence | |
| Hashim et al. | An architecture for the forensic analysis of Windows system artifacts | |
| Forte et al. | PTK: An Alternative Advanced Interface for the Sleuth Kit |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |