KR20150128328A - 증거 수집 도구 제공 방법, 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치 및 방법 - Google Patents

증거 수집 도구 제공 방법, 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치 및 방법 Download PDF

Info

Publication number
KR20150128328A
KR20150128328A KR1020140055554A KR20140055554A KR20150128328A KR 20150128328 A KR20150128328 A KR 20150128328A KR 1020140055554 A KR1020140055554 A KR 1020140055554A KR 20140055554 A KR20140055554 A KR 20140055554A KR 20150128328 A KR20150128328 A KR 20150128328A
Authority
KR
South Korea
Prior art keywords
evidence
domain separation
mobile device
unit
data
Prior art date
Application number
KR1020140055554A
Other languages
English (en)
Inventor
임경수
김건량
김정녀
문재찬
박수완
임재덕
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140055554A priority Critical patent/KR20150128328A/ko
Priority to US14/705,155 priority patent/US20150326618A1/en
Publication of KR20150128328A publication Critical patent/KR20150128328A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Technology Law (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

도메인 분리 기술이 적용된 모바일 기기의 보안 영역에 대하여 증거 수집이 가능하도록 하는 증거 수집 도구 제공 방법, 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치 및 방법을 제시한다. 제시된 도메인 분리 기반 모바일 기기에서 증거 자료 확보 방법은 도메인 분리 기반 모바일 기기의 사용자 식별 정보 및 시스템 특징 정보를 수집하는 단계, 사용자 식별 정보 및 기저장된 사용자 인증 키값을 서버에게로 전달하는 단계, 서버에서의 사용자 인증후 사용자 식별 정보를 근거로 생성된 보안키를 서버로부터 수신하는 단계, 시스템 특징 정보를 서버에게로 전송하는 단계, 서버에서 시스템 특징 정보를 바탕으로 선별된 도메인 분리 기반 모바일 기기에 적합한 증거 수집 도구를 수신하는 단계, 증거 수집 도구를 이용하여 도메인 분리 기반 모바일 기기에서 분석이 필요한 증거 자료를 수집하는 단계, 및 수집한 증거 자료를 보안키를 이용하여 암호화하는 단계를 포함한다.

Description

증거 수집 도구 제공 방법, 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치 및 방법{Method of providing digital evidence collecting tools, apparatus and method of collecting digital evidence of mobile devices based on domain isolation}
본 발명은 증거 수집 도구 제공 방법, 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치 및 방법에 관한 것으로, 보다 상세하게는 조사자가 수집 대상 모바일 기기의 보안 영역에서의 증거 수집을 수행하기 위하여 위탁 서버로부터 도메인 분리 기술별로 해당되는 증거 수집 도구를 설치하여 사용자의 민감 정보를 수집하여 증거 자료를 확보하는 장치 및 방법에 관한 것이다.
최근 스마트폰의 다양하고 편리한 기능은 휴대전화기 시장의 급속한 성장을 이루고 있지만, 악성코드와 같은 공격으로 인한 보안 사고 또한 증가하고 있다.
개방성을 지향하는 모바일 플랫폼에서는 스미싱과 같은 신종 공격으로 인해 보안 사고가 최근 크게 이슈가 되고 있는 상황이다. 이러한 취약성을 보완하기 위해 기존 스마트폰 운영체제와 별도로 도메인을 분리하여 금융거래나 사용자의 중요 정보는 별도의 보안 운영체제에서 처리하는 도메인 분리 기술이 대두되고 있다.
향후 이러한 도메인 분리 기술이 대중화될 경우, 일반적인 포렌식 조사 절차로는 스마트폰의 보안 영역에서 사건 조사에 필요한 증거 수집이 불가능할 수 있다. 따라서 도메인이 분리된 모바일 기기에서 보안 영역에 대한 증거 수집 방법이 요구되고 있다.
도메인 분리 기술은 일반 영역(General Domain)과 보안영역(Secure or Guest Domain)을 분리하여 사용자의 전화, 주소록, 사진과 같은 중요 정보나, 금융거래에 이용되는 모바일 뱅킹은 보안 영역에서 동작하도록 분리하여 사용할 수 있다.
이러한 도메인 분리 기술은 크게 하이퍼바이저 기반의 모바일 가상화 기술, 논리적 도메인 분리 기술, 및 하드웨어 칩셋 기반 도메인 분리 기술로 나눌 수 있다.
하이퍼바이저 기반의 모바일 가상화 기술은 하나의 물리적인 모바일 장비에서 생성된 여러 개의 가상 머신을 격리하고, 인증된 채널을 통해서만 각 가상 머신과의 통신이 가능하도록 함으로써 안전한 실행환경을 보장하는 기술이다. 여기서, 각 가상 머신에는 서로 다른 운영체제가 설치될 수 있다.
논리적 도메인 분리 기술은 애플리케이션의 접근제어 정책 및 실행 권한을 영역별로 격리하여 사용하고, 영역 간의 통신은 인증된 채널로만 최소한으로 허용한다. 또한, 도메인별로 실행 가능한 애플리케이션은 각 도메인별 애플리케이션 스토어에서 다운로드하여 사용할 수 있도록 한다.
하드웨어 칩셋 기반 도메인 분리 기술은 모바일 플랫폼의 프로세서 차원에서 지원하는 격리 기술로서, 프로세서의 동작모드를 일반 모드와 보안모드로 나눈다. 또한, 하드웨어 칩셋 기반 도메인 분리 기술은 칩셋에서 물리적으로 2개의 분리된 환경에서 보안 애플리케이션과 일반 사용자 애플리케이션을 별도로 운영할 수 있도록 하는 기술이다.
이처럼 각 도메인 분리 기술이 다양하기 때문에 격리된 보안 영역의 증거 수집을 위해서는 도메인 분리 기술 및 보안 영역에 설치된 운영체제별로 해당되는 증거 수집 도구가 필요하다.
이와 같이 도메인 분리 기술이 적용된 모바일 기기는 일반적으로 일반 영역과 보안 영역으로 격리되는 구조를 가진다. 또한, 도메인 분리 기술이 적용된 모바일 기기는 일반 영역에서의 증거 수집 기술로는 격리된 보안 영역에 접근이 제한되어 있으며 나아가 보안 영역의 운영 환경에 따라 증거 수집 자체가 불가능할 수 있다.
관련 선행기술로는, 수집된 디지털 증거 데이터에 대하여 시스템상에서 일괄적으로 분석을 행할 수 있는 환경을 제공하고, 이 시스템에 접속하는 자의 신원을 확인하고 분석 과정을 기록함으로써, 안전하고 신뢰도 높은 디지털 증거의 분석 작업 환경을 제공하기 위한 내용이, 대한민국공개특허 제2009-0064699호(증거 수사를 위한 디지털 포렌식 서버 및 그 방법)에 개시되었다.
본 발명은 상기한 종래의 문제점을 해결하기 위해 제안된 것으로, 도메인 분리 기술이 적용된 모바일 기기의 보안 영역에 대하여 증거 수집이 가능하도록 하는 증거 수집 도구 제공 방법, 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치 및 방법을 제공함에 그 목적이 있다.
상기와 같은 목적을 달성하기 위하여 본 발명의 바람직한 실시양태에 따른 증거 수집 도구 제공 방법은, 서버가, 도메인 분리 기반 모바일 기기로부터의 시스템 특징 정보를 근거로 상기 도메인 분리 기반 모바일 기기의 도메인 분리 기술을 판단하는 단계; 상기 서버가, 상기 판단하는 단계에서 상기 도메인 분리 기반 모바일 기기의 도메인 분리 기술이 하드웨어 칩셋 기반의 도메인 분리 기술, 논리적 도메인 분리 기술, 및 하이퍼바이저 기반의 모바일 가상화 기술 중에서 어느 하나이면 그에 상응하는 증거 수집 도구를 선정하는 단계; 및 상기 서버가, 상기 선정된 증거 수집 도구를 상기 도메인 분리 기반 모바일 기기에게로 전송하는 단계;를 포함한다.
이때, 상기 판단하는 단계는, 상기 시스템 특징 정보에 포함된 프로세서 칩셋 정보에 따라 동작 모드를 변경할 수 있는 버전과 상기 하드웨어 칩셋 기반의 도메인 분리 기술을 지원하는 모듈의 설치 여부로 상기 도메인 분리 기반 모바일 기기의 도메인 분리 기술이 상기 하드웨어 칩셋 기반의 도메인 분리 기술인지를 판단할 수 있다.
이때, 상기 선정하는 단계는 상기 판단하는 단계에서 상기 도메인 분리 기반 모바일 기기의 도메인 분리 기술이 하드웨어 칩셋 기반의 도메인 분리 기술이면 표준 API 기반의 증거 수집 도구를 선정할 수 있다.
이때, 상기 판단하는 단계는, 상기 시스템 특징 정보에 포함된 상기 논리적 도메인 분리 기술을 지원하는 제조사 및 모바일 기기의 종류의 정보 및 상기 논리적 도메인 분리 기술을 지원하는 설치 소프트웨어 정보로 상기 도메인 분리 기반 모바일 기기의 도메인 분리 기술이 상기 논리적 도메인 분리 기술인지를 판단할 수 있다.
이때, 상기 선정하는 단계는 상기 판단하는 단계에서 상기 도메인 분리 기반 모바일 기기의 도메인 분리 기술이 논리적 도메인 분리 기술인 경우 도메인별 앱스토어 수집이 가능한 증거 수집 도구를 선정할 수 있다.
이때, 상기 판단하는 단계는, 상기 시스템 특징 정보에 포함된 하이퍼바이저 실행을 위해 일반 영역에 설치가 필요한 커널 모듈 및 드라이버 정보를 바탕으로 상기 도메인 분리 기반 모바일 기기의 도메인 분리 기술이 상기 하이퍼바이저 기반의 모바일 가상화 기술인지를 판단할 수 있다.
이때, 상기 선정하는 단계는 상기 판단하는 단계에서 상기 도메인 분리 기반 모바일 기기의 도메인 분리 기술이 하이퍼바이저 기반의 모바일 가상화 기술인 경우 하이퍼바이저 기반의 증거 수집 도구를 선정할 수 있다.
이때, 상기 도메인 분리 기술을 판단하는 단계 이전에, 상기 도메인 분리 기반 모바일 기기의 사용자 인증을 수행하는 단계; 및 상기 사용자 인증 후에 상기 도메인 분리 기반 모바일 기기로부터의 사용자 식별 정보를 근거로 보안키를 생성하여 상기 도메인 분리 기반 모바일 기기에게로 전송하는 단계;를 추가로 포함하여도 된다.
그리고, 본 발명의 바람직한 실시양태에 따른 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치는, 도메인 분리 기반 모바일 기기의 시스템 특징 정보 및 사용자 식별 정보를 포함하는 단말 정보를 수집하는 단말 정보 수집부; 입력받은 증거 수집 도구를 이용하여 상기 도메인 분리 기반 모바일 기기에서 분석이 필요한 증거 자료를 수집하는 데이터 수집부; 상기 데이터 수집부에서 수집한 증거 자료를 입력받은 보안키를 이용하여 암호화하는 암호화부; 및 상기 사용자 식별 정보 및 기저장된 사용자 인증 키값을 서버에게로 전달하고 상기 서버에서의 사용자 인증후 상기 사용자 식별 정보를 근거로 생성된 보안키를 상기 서버로부터 수신하여 상기 암호화부에게로 전달하고, 상기 시스템 특징 정보를 상기 서버에게로 전송하고 상기 서버에서 상기 시스템 특징 정보를 바탕으로 선별된 상기 도메인 분리 기반 모바일 기기에 적합한 증거 수집 도구를 수신하여 상기 데이터 수집부에게로 전달하는 제어부;를 포함한다.
이때, 상기 시스템 특징 정보는 제조사, OS 플랫폼 및 버전, 프로세서 칩셋 종류, 커널 관련 정보, 설치 소프트웨어 정보를 포함할 수 있다.
이때, 상기 사용자 식별 정보는 사용자 인적 정보, 단말 제조번호를 포함할 수 있다.
이때, 상기 암호화부는 상기 데이터 수집부에서 수집한 증거 자료를 별도의 저장장치에 저장이 가능하면 상기 증거 자료를 암호화하여 상기 별도의 저장장치에 저장할 수 있다.
이때, 상기 암호화부는 상기 데이터 수집부에서 수집한 증거 자료를 별도의 저장장치에 저장이 불가능한 경우에는 상기 증거 자료를 암호화하여 상기 서버에게로 보낼 수 있다.
이때, 상기 증거 수집 도구는, 상기 도메인 분리 기반 모바일 기기의 분리된 보안 영역의 파일 시스템의 메타 정보를 분석하여 증거 자료로서 파일 레코드 및 메타 데이터를 획득하는 파일 시스템 분석부를 포함하는 수집부; 상기 증거 자료에 대한 메타 데이터를 생성하는 증거 메타 데이터 생성부를 포함하는 제어부; 및 상기 서버로부터 발급받은 상기 도메인 분리 기반 모바일 기기의 보안키를 바탕으로 상기 증거 자료를 암호화하는 데이터 암호부를 포함하는 전송부;를 포함할 수 있다.
이때, 상기 수집부는, 상기 파일 시스템의 메타 데이터를 바탕으로 파일의 데이터가 저장된 페이지 단위로 복사하여 원본 파일과 동일하게 수집하는 파일 복제부, 상기 도메인 분리 기반 모바일 기기의 각 영역에서 사용하는 메모리 분석이 필요함에 따라 메모리 덤프 기능을 제공하는 메모리 덤프부, 및 상기 파일 시스템 분석부의 결과를 바탕으로 삭제된 파일의 메타 데이터를 기반으로 삭제 파일을 복구하는 삭제 파일 복구부를 추가로 포함할 수 있다.
이때, 상기 제어부는, 증거 자료 수집 기능을 수행한 정보에 대해 로그를 생성하여 관리하는 로그 관리부, 및 수집한 파일과 원본의 암호학적 해쉬값을 계산하여 동일 여부를 판단하는 무결성 검증부를 추가로 포함할 수 있다.
이때, 상기 전송부는, 네트워크를 통해 상기 서버에 정보를 전송할 경우에 사용자 인증 및 세션 유지를 위한 관리 기능을 제공하는 인증 관리부를 추가로 포함할 수 있다.
그리고, 본 발명의 바람직한 실시양태에 따른 도메인 분리 기반 모바일 기기에서 증거 자료 확보 방법은, 단말 정보 수집부가, 도메인 분리 기반 모바일 기기의 사용자 식별 정보 및 시스템 특징 정보를 수집하는 단계; 제어부가, 상기 사용자 식별 정보 및 기저장된 사용자 인증 키값을 서버에게로 전달하는 단계; 상기 제어부가, 상기 서버에서의 사용자 인증후 상기 사용자 식별 정보를 근거로 생성된 보안키를 상기 서버로부터 수신하는 단계; 상기 제어부가, 상기 시스템 특징 정보를 상기 서버에게로 전송하는 단계; 상기 제어부가, 상기 서버에서 상기 시스템 특징 정보를 바탕으로 선별된 상기 도메인 분리 기반 모바일 기기에 적합한 증거 수집 도구를 수신하는 단계; 데이터 수집부가, 상기 증거 수집 도구를 이용하여 상기 도메인 분리 기반 모바일 기기에서 분석이 필요한 증거 자료를 수집하는 단계; 및 암호화부가, 상기 증거 자료를 수집하는 단계에서 수집한 증거 자료를 상기 보안키를 이용하여 암호화하는 단계;를 포함한다.
이러한 구성의 본 발명에 따르면, 기기의 시스템 특징 정보와 사용자 식별 정보를 바탕으로 도메인 분리 기술을 분석하여 증거 수집 도구를 서버로부터 다운로드하여 조사가 가능하도록 하는 이점을 제공할 수 있다.
또한, 수집한 증거 데이터는 모바일 기기의 정보로부터 생성한 암호화 키를 바탕으로 보안성을 강화하여 악의적인 노출 방지 피해를 예방할 수 있다.
또한, 수집한 증거 자료가 모바일 기기에 연결 가능한 저장 매체를 통한 보관이 불가능할 경우 서버에 위탁하는 이점을 제공할 수 있다.
도 1은 본 발명의 실시예에 따른 도메인 분리 기반 모바일 기기에서 증거 자료 확보의 개요도이다.
도 2는 본 발명의 실시예에 따른 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치의 구성도를 나타낸다.
도 3은 본 발명의 실시예에 적용되는 증거 수집 도구의 구성도이다.
도 4는 본 발명의 실시예에 따른 도메인 분리 기반 모바일 기기에서 증거 자료 확보 방법을 설명하는 플로우차트이다.
도 5는 도 4에 도시된 도메인 분리 기술 판단 및 수집 도구 선정 단계를 보다 상세히 설명하는 플로우차트이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 실시예에 따른 도메인 분리 기반 모바일 기기에서 증거 자료 확보의 개요도이다. 도 1에서, 참조부호 7은 서버를 지칭하고, 서버(7)는 인증센터 서버(2)와 증거 관리 서버(3) 및 증거 수집 도구 서버(4)를 포함하는 것으로 한다.
조사 대상 모바일 기기(1)를 확보한 조사자는 해당 기기(1)를 분석하여 해당 기기(1)에 대한 다양한 정보를 수집한다(①). 여기서, 다양한 정보는 시스템 특징 정보 및 사용자 식별 정보를 포함한다. 여기서, 시스템 특징 정보는 해당 기기(1)의 기종, 운영체제 정보, 시스템 정보, 도메인 분리 기술 종류를 포함할 수 있다. 사용자 식별 정보는 사용자의 이름, 전화번호, 제조번호와 같은 고유 정보를 의미할 수 있다.
이어, 조사자는 사용자 식별 정보와 조사자의 인증 키값을 서버(7)내의 인증센터 서버(2)에 전달한다(②).
그에 따라, 인증센터 서버(2)는 조사자 인증 후, 해당 기기(1)의 사용자 식별 정보를 바탕으로 생성한 보안 키를 해당 기기(1)에게로 발송한다(③).
조사자는 발송된 보안 키를 바탕으로 향후 수집한 증거 자료의 안전한 보관을 위한 암호화에 이용한다.
조사자는 조사 대상 모바일 기기(1)의 시스템 특징 정보를 서버(7)내의 증거 관리 서버(3)에 발송한다(④).
증거 관리 서버(3)는 해당 기기(1)의 시스템 특징 정보를 바탕으로 증거 수집 도구 서버(4)에 질의하여(⑤), 해당 기기(1)에 적합한 증거 수집 도구를 생성하여 전송한다(⑥, ⑦).
그에 따라, 조사자는 수신한 증거 수집 도구를 이용하여 데이터를 수집하고(⑧, ⑨), 수집한 자료를 초기 인증 단계에서 수신한 생성 키(즉, 보안 키)를 통해 암호화한다.
이와 같이 암호화한 수집 데이터는 별도의 증거 보관 저장 장치(5)(예컨대, USB)에 저장하거나 증거 관리 서버(3)에 네트워크로 전달하여 보관한다(⑩).
상술한 도 1에서는 조사자가 해당 기기(1)를 분석하여 해당 기기(1)에 대한 시스템 특징 정보 및 사용자 식별 정보를 수집하고, 사용자 식별 정보와 조사자의 인증 키값을 서버(7)에게로 보내고, 서버(7)로부터의 증거 수집 도구를 이용하여 데이터를 수집한다고 하였으나, 이는 어디까지 편의상 그리 한 것일 뿐 조사자가 아니라 해당 도메인 분리 기반 모바일 기기(1)의 내부 구성(도 2 참조)에 의해 충분히 행해질 수 있다.
도 2는 본 발명의 실시예에 따른 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치의 구성도를 나타낸다. 도 2에 도시된 증거 자료 확보 장치는 도메인 분리 기반 모바일 기기(1)에 설치될 수 있다.
증거 자료 확보 장치는 단말 정보 수집부(10), 제어부(20), 데이터 수집부(30), 및 암호화부(40)를 포함한다.
단말 정보 수집부(10)는 해당 도메인 분리 기반 모바일 기기(1)의 단말 정보(즉, 시스템 특징 정보, 사용자 식별 정보)를 수집한다. 단말 정보 수집부(10)는 수집한 단말 정보를 제어부(20)에게로 보낸다.
제어부(20)는 단말 정보 수집부(10)로부터의 단말 정보(즉, 시스템 특징 정보, 사용자 식별 정보)를 일시 저장한 후, 사용자 식별 정보 및 기저장된 해당 도메인 분리 기반 모바일 기기(1)의 사용자(조사자)의 인증 키값을 서버(7)의 인증센터 서버(2)에 전달한다. 이 경우, 인증센터 서버(2)는 사용자 인증후 해당 도메인 분리 기반 모바일 기기(1)의 사용자 식별 정보를 바탕으로 보안키(즉, 암호화키)를 생성하여 해당 도메인 분리 기반 모바일 기기(1)에게로 전송한다. 제어부(20)는 보안키를 수신하여 저장하고 추후 암호화부(40)가 암호화를 수행할 때 제공한다.
한편, 제어부(20)는 해당 도메인 분리 기반 모바일 기기(1)의 시스템 특징 정보를 서버(7)의 증거 관리 서버(3)에게로 전달한다. 이 경우, 서버(7)의 증거 관리 서버(3)는 수신한 시스템 특징 정보를 바탕으로 증거 수집 도구 서버(4)에 질의하고, 증거 수집 도구 서버(4)는 해당 도메인 분리 기반 모바일 기기(1)에 적합한 증거 수집 도구를 생성하여 증거 관리 서버(3)에게 보낸다. 그 결과, 증거 관리 서버(3)는 수신한 증거 수집 도구를 해당 도메인 분리 기반 모바일 기기(1)에게로 전송한다.
또한, 제어부(20)는 수신한 해당 도메인 분리 기반 모바일 기기(1)에 적합한 증거 수집 도구를 데이터 수집부(30)에게로 보낸다.
데이터 수집부(30)는 수신한 증거 수집 도구를 이용하여 해당 도메인 분리 기반 모바일 기기(1)에서 분석이 필요한 증거 자료(즉, 파일 및 관련 데이터)를 수집할 수 있다. 데이터 수집부(30)는 수집한 증거 자료를 암호화부(40)에게로 보낸다.
암호화부(40)는 수신한 증거 자료를 제어부(20)로부터의 보안키(즉, 암호화키)를 이용하여 암호화하여 별도의 저장장치(5) 또는 서버(7)의 증거 관리 서버(3)에게로 보낼 수 있다. 여기서, 암호화부(40)는 수집한 증거 자료를 해당 도메인 분리 기반 모바일 기기(1)에서 별도의 저장장치(5)에 저장이 가능한 경우에는 암호화를 수행한 후에 별도의 저장장치(5)에 저장한다. 반대로, 암호화부(40)는 수집한 증거 자료를 해당 도메인 분리 기반 모바일 기기(1)에서 별도의 저장장치(5)에 저장이 불가능한 경우에는 암호화를 수행한 후에 서버(7)의 증거 관리 서버(3)에게로 보낸다.
도 3은 본 발명의 실시예에 적용되는 증거 수집 도구의 구성도이다.
도 3에 도시된 증거 수집 도구는 수집부(50), 제어부(60), 및 전송부(70)를 포함한다.
수집부(50)는 파일 시스템 분석부(51), 파일 복제부(52), 메모리 덤프부(53), 및 삭제 파일 복구부(54)를 포함한다. 파일 시스템 분석부(51)와 파일 복제부(52)와 메모리 덤프부(53) 및 삭제 파일 복구부(54)는 각각 모듈 형태로 구성될 수 있다. 파일 시스템 분석부(51)는 해당 도메인 분리 기반 모바일 기기(1)의 분리된 보안 영역의 파일 시스템의 메타 정보를 분석하여 증거 자료로서 파일 레코드 및 메타 데이터를 획득한다. 파일 복제부(52)는 단순 파일 복사로는 무결성을 훼손할 수 있으므로, 파일 시스템의 메타 데이터를 바탕으로 파일의 데이터가 저장된 페이지 단위로 복사하여 원본 파일과 동일하게 수집한다. 메모리 덤프부(53)는 해당 도메인 분리 기반 모바일 기기(1)의 각 영역에서 사용하는 메모리 분석이 필요한 경우 이를 수집할 수 있도록 메모리 덤프 기능을 제공한다. 삭제 파일 복구부(54)는 파일 시스템 분석부(51)의 결과를 바탕으로 삭제된 파일의 메타 데이터를 기반으로 삭제 파일을 복구한다.
제어부(60)는 증거 메타 데이터 생성부(61), 로그 관리부(62), 및 무결성 검증부(63)를 포함한다. 증거 메타 데이터 생성부(61)와 로그 관리부(62) 및 무결성 검증부(63)는 각각 모듈 형태로 구성될 수 있다. 증거 메타 데이터 생성부(61)는 수집한 증거 자료에 대한 메타 데이터를 생성한다. 즉, 증거 메타 데이터 생성부(21)는 수집한 증거 파일의 경로, 크기, 시간 정보와 같이 중요한 메타 데이터를 생성하여 관리한다. 로그 관리부(62)는 증거 수집 기능을 수행한 정보에 대해 로그를 생성하여 관리한다. 무결성 검증부(63)는 수집한 파일과 원본의 암호학적 해쉬값을 계산하여 동일 여부를 판단할 수 있는 기능을 제공한다.
전송부(70)는 데이터 암호부(71) 및 인증 관리부(72)를 포함한다. 데이터 암호부(71) 및 인증 관리부(72)는 각각 모듈 형태로 구성될 수 있다. 데이터 암호부(71)는 인증센터 서버(2)에서 발급받은 단말 고유의 암호화 키를 바탕으로 수집한 증거 자료(증거 데이터, 증거 파일 등)를 암호화하는 기능을 수행한다. 인증 관리부(72)는 네트워크를 통해 원격지의 증거 관리 서버(3)에 전송할 경우에 조사자 인증 및 세션 유지를 위한 관리 기능을 제공한다.
도 4는 본 발명의 실시예에 따른 도메인 분리 기반 모바일 기기에서 증거 자료 확보 방법을 설명하는 플로우차트이다.
먼저, 조사 대상이 되는 도메인 분리 기반 모바일 기기(1)의 단말 정보 수집부(10)는 해당 도메인 분리 기반 모바일 기기(1)를 분석하여 사용자 식별 정보(예컨대, 사용자 인적 정보(이름, 전화번호, 통신사), 단말 제조번호(일련번호) 등)를 수집한다(S10). 단말 정보 수집부(10)는 수집한 사용자 식별 정보를 제어부(20)에게로 보내진다.
이어, 제어부(20)는 사용자(조사자) 인증 및 기기 등록을 위해, 수신한 사용자 식별 정보 및 해당 도메인 분리 기반 모바일 기기(1)의 사용자(조사자)의 인증키값(기저장된 정보임)을 네트워크(도시 생략)를 통해 서버(7)의 인증센터 서버(2)에게로 보낸다(S20).
그에 따라, 서버(7)의 인증센터 서버(2)는 조사자 인증 후, 해당 기기의 사용자 식별 정보를 바탕으로 생성한 보안키(즉, 암호화키)를 네트워크(도시 생략)를 통해 해당 도메인 분리 기반 모바일 기기(1)에게로 발송한다. 이 경우. 해당 도메인 분리 기반 모바일 기기(1)의 제어부(20)는 보안키를 수신하고 저장한다.
이후, 단말 정보 수집부(10)는 제어부(20)의 제어에 의해 해당 도메인 분리 기반 모바일 기기(1)의 시스템 특징 정보(예컨대, 제조사, OS 플랫폼 및 버전, 프로세서 칩셋 종류, 커널 관련 정보, 설치 소프트웨어 정보 등)를 수집한다(S30). 단말 정보 수집부(10)는 수집된 시스템 특징 정보를 제어부(20)에게로 보내진다.
그리고 나서, 제어부(20)는 수신한 시스템 특징 정보를 네트워크(도시 생략)를 통해 서버(7)의 증거 관리 서버(3)에게로 전송한다(S40).
그에 따라, 서버(7)의 증거 관리 서버(3)는 수신한 시스템 특징 정보를 바탕으로 분석을 시작한다(S50). 여기서, 분석이라 함은 시스템 특징 정보를 바탕으로 해당 도메인 분리 기반 모바일 기기(1)에 적용 가능한 도메인 분리 기술을 판별하고 실제 적용 여부를 판단하여 적합한 증거 수집 도구를 선별하는 것을 의미한다. 예를 들어, 하드웨어 칩셋 기반의 도메인 분리 기술의 경우, 프로세서 칩셋에 따라 동작 모드를 변경할 수 있는 버전과 하드웨어 칩셋 기반의 도메인 분리 기술을 지원하는 모듈의 설치 여부로 분석(판단)할 수 있다. 예를 들어, 논리적 도메인 분리 기술의 경우에는 논리적 도메인 분리 기술을 지원하는 제조사 및 모바일 기기의 종류가 한정되어 있고, 논리적 도메인 분리 기술을 지원하는 설치 소프트웨어 정보로 분석(확인)할 수 있다. 예를 들어, 하이퍼바이저 기반의 모바일 가상화 기술의 경우에는 하이퍼바이저 실행을 위해 일반 영역에 설치가 필요한 커널 모듈 및 드라이버 정보를 바탕으로 분석(판단)할 수 있다.
분석 결과, 해당 도메인 분리 기반 모바일 기기(1)에 적용 가능한 도메인 분리 기술 판별 및 적합한 증거 수집 도구 선별을 할 수 없는 경우(S50에서 "No")에는 기존 증거 수집 방법을 수행한다(S60).
반대로, 분석 결과, 해당 도메인 분리 기반 모바일 기기(1)에 적용 가능한 도메인 분리 기술 판별 및 적합한 증거 수집 도구 선별을 한 경우(S50에서 "Yes")에는 서버(7)의 증거 관리 서버(3)는 선별한 증거 수집 도구를 네트워크(도시 생략)를 통해 해당 도메인 분리 기반 모바일 기기(1)에게로 보낸다(S70).
그에 따라, 해당 도메인 분리 기반 모바일 기기(1)의 제어부(20)는 수신한 증거 수집 도구를 데이터 수집부(30)에게로 전달한다.
데이터 수집부(30)는 증거 수집 도구를 활용하여 분석이 필요한 파일 및 관련 데이터를 수집한다(S80). 여기서, 데이터 수집부(30)는 수집한 데이터를 암호화부(40)에게로 전달한다.
이후, 수집한 데이터가 해당 도메인 분리 기반 모바일 기기(1)에서 별도의 저장 장치(5)에 저장이 가능할 경우에는(S90에서 "Yes"), 암호화부(40)는 제어부(20)로부터 보안키(즉, 암호화키)를 제공받아 그 보안키를 통해 데이터를 암호화한 후 별도의 저장 장치(5)에 보관한다(S100).
반대로, 수집한 데이터가 해당 도메인 분리 기반 모바일 기기(1)에서 별도의 저장 장치(5)에 저장이 불가능할 경우에는(S90에서 "No"), 암호화부(40)는 제어부(20)로부터 보안키(즉, 암호화키)를 제공받아 그 보안키를 통해 데이터를 암호화한 후에 네트워크(도시 생략)를 통해 서버(7)의 증거 관리 서버(3)에게 전송한다(S110).
그에 따라, 서버(7)의 증거 관리 서버(3)는 수신한 수집 데이터를 저장한다(S120).
도 5는 도 4에 도시된 도메인 분리 기술 판단 및 수집 도구 선정 단계(S50)를 보다 상세히 설명하는 플로우차트이다. 서버(7)의 증거 관리 서버(3)는 수신한 시스템 특징 정보를 바탕으로 조사 대상 모바일 기기(1)에 적용된 도메인 분리 기술을 판별하고 증거 수집 도구를 선별하여, 해당 조사 대상 모바일 기기(1)에게 이를 전송하는 기능을 제공한다.
상술한 도메인 분리 기술 판단 및 수집 도구 선정 단계(S50)에서, 최초의 도메인 분리 입력 정보 확인 단계(S51)는 시스템 특징 정보 중에서 도메인 분리 기술 종류를 확인하여 해당 도메인 분리 기반 모바일 기기(1)의 도메인 분리 기술을 판단한다. 여기서, 해당 도메인 분리 기반 모바일 기기(1)의 도메인 분리 기술 판단 방식은 앞서 도 4의 설명에 기재된 내용을 따를 수 있다.
그 판단 결과, 예를 들어 해당 도메인 분리 기반 모바일 기기(1)의 도메인 분리 기술이 하드웨어 칩셋 기반의 도메인 분리 기술인 경우, 표준 API 기반의 증거 수집 도구를 선정한다(S52, S53). 여기서, 하드웨어 칩셋 기반 도메인 분리 기술의 경우 표준 API를 지원하며, 이를 통해 보안 영역의 파일 접근 및 수집이 가능하다.
한편, S51에서의 판단 결과, 예를 들어 해당 도메인 분리 기반 모바일 기기(1)의 도메인 분리 기술이 논리적 도메인 분리 기술인 경우, 도메인별 앱스토어 수집이 가능한 증거 수집 도구를 선정한다(S54, S55). 여기서, 논리적 도메인 분리 환경의 경우, 보안 영역에서만 실행 가능한 앱 스토어를 제공하므로, 이를 활용하여 해당 도메인 분리 기반 모바일 기기만이 접근 가능한 증거 수집 도구를 다운로드받아 파일 접근 및 수집이 가능하다.
한편, S51에서의 판단 결과, 예를 들어 해당 도메인 분리 기반 모바일 기기(1)의 도메인 분리 기술이 하이퍼바이저 기반의 모바일 가상화 기술인 경우, 하이퍼바이저 기반의 증거 수집 도구를 선정한다(S56, S57). 여기서, 하이퍼바이저 기반의 증거 수집 도구는 하이퍼바이저 별로 수집할 수 있는 방법이 다양하므로, 하이퍼바이저 종류에 따른 도메인 통신 드라이버를 활용하여 보안영역의 파일 접근 및 수집이 가능하다.
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
10 : 단말 정보 수집부 20, 60 : 제어부
30 : 데이터 수집부 40 : 암호화부
50 : 수집부 51 : 파일 시스템 분석부
52 : 파일 복제부 53 : 메모리 덤프부
54 : 삭제 파일 복구부 61 : 증거 메타 데이터 생성부
62 : 로그 관리부 63 : 무결성 검증부
70 : 전송부 71 : 데이터 암호부
72 : 인증 관리부

Claims (20)

  1. 서버가, 도메인 분리 기반 모바일 기기로부터의 시스템 특징 정보를 근거로 상기 도메인 분리 기반 모바일 기기의 도메인 분리 기술을 판단하는 단계;
    상기 서버가, 상기 판단하는 단계에서 상기 도메인 분리 기반 모바일 기기의 도메인 분리 기술이 하드웨어 칩셋 기반의 도메인 분리 기술, 논리적 도메인 분리 기술, 및 하이퍼바이저 기반의 모바일 가상화 기술중에서 어느 하나이면 그에 상응하는 증거 수집 도구를 선정하는 단계; 및
    상기 서버가, 상기 선정된 증거 수집 도구를 상기 도메인 분리 기반 모바일 기기에게로 전송하는 단계;를 포함하는 것을 특징으로 하는 증거 수집 도구 제공 방법.
  2. 청구항 1에 있어서,
    상기 판단하는 단계는, 상기 시스템 특징 정보에 포함된 프로세서 칩셋 정보에 따라 동작 모드를 변경할 수 있는 버전과 상기 하드웨어 칩셋 기반의 도메인 분리 기술을 지원하는 모듈의 설치 여부로 상기 도메인 분리 기반 모바일 기기의 도메인 분리 기술이 상기 하드웨어 칩셋 기반의 도메인 분리 기술인지를 판단하는 것을 특징으로 하는 증거 수집 도구 제공 방법.
  3. 청구항 1에 있어서,
    상기 선정하는 단계는 상기 판단하는 단계에서 상기 도메인 분리 기반 모바일 기기의 도메인 분리 기술이 하드웨어 칩셋 기반의 도메인 분리 기술이면 표준 API 기반의 증거 수집 도구를 선정하는 것을 특징으로 하는 증거 수집 도구 제공 방법.
  4. 청구항 1에 있어서,
    상기 판단하는 단계는, 상기 시스템 특징 정보에 포함된 상기 논리적 도메인 분리 기술을 지원하는 제조사 및 모바일 기기의 종류의 정보 및 상기 논리적 도메인 분리 기술을 지원하는 설치 소프트웨어 정보로 상기 도메인 분리 기반 모바일 기기의 도메인 분리 기술이 상기 논리적 도메인 분리 기술인지를 판단하는 것을 특징으로 하는 증거 수집 도구 제공 방법.
  5. 청구항 1에 있어서,
    상기 선정하는 단계는 상기 판단하는 단계에서 상기 도메인 분리 기반 모바일 기기의 도메인 분리 기술이 논리적 도메인 분리 기술인 경우 도메인별 앱스토어 수집이 가능한 증거 수집 도구를 선정하는 것을 특징으로 하는 증거 수집 도구 제공 방법.
  6. 청구항 1에 있어서,
    상기 판단하는 단계는, 상기 시스템 특징 정보에 포함된 하이퍼바이저 실행을 위해 일반 영역에 설치가 필요한 커널 모듈 및 드라이버 정보를 바탕으로 상기 도메인 분리 기반 모바일 기기의 도메인 분리 기술이 상기 하이퍼바이저 기반의 모바일 가상화 기술인지를 판단하는 것을 특징으로 하는 증거 수집 도구 제공 방법.
  7. 청구항 1에 있어서,
    상기 선정하는 단계는 상기 판단하는 단계에서 상기 도메인 분리 기반 모바일 기기의 도메인 분리 기술이 하이퍼바이저 기반의 모바일 가상화 기술인 경우 하이퍼바이저 기반의 증거 수집 도구를 선정하는 것을 특징으로 하는 증거 수집 도구 제공 방법.
  8. 청구항 1에 있어서,
    상기 도메인 분리 기술을 판단하는 단계 이전에,
    상기 도메인 분리 기반 모바일 기기의 사용자 인증을 수행하는 단계; 및
    상기 사용자 인증 후에 상기 도메인 분리 기반 모바일 기기로부터의 사용자 식별 정보를 근거로 보안키를 생성하여 상기 도메인 분리 기반 모바일 기기에게로 전송하는 단계;를 추가로 포함하는 것을 특징으로 하는 증거 수집 도구 제공 방법.
  9. 도메인 분리 기반 모바일 기기의 시스템 특징 정보 및 사용자 식별 정보를 포함하는 단말 정보를 수집하는 단말 정보 수집부;
    입력받은 증거 수집 도구를 이용하여 상기 도메인 분리 기반 모바일 기기에서 분석이 필요한 증거 자료를 수집하는 데이터 수집부;
    상기 데이터 수집부에서 수집한 증거 자료를 입력받은 보안키를 이용하여 암호화하는 암호화부; 및
    상기 사용자 식별 정보 및 기저장된 사용자 인증 키값을 서버에게로 전달하고 상기 서버에서의 사용자 인증후 상기 사용자 식별 정보를 근거로 생성된 보안키를 상기 서버로부터 수신하여 상기 암호화부에게로 전달하고, 상기 시스템 특징 정보를 상기 서버에게로 전송하고 상기 서버에서 상기 시스템 특징 정보를 바탕으로 선별된 상기 도메인 분리 기반 모바일 기기에 적합한 증거 수집 도구를 수신하여 상기 데이터 수집부에게로 전달하는 제어부;를 포함하는 것을 특징으로 하는 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치.
  10. 청구항 9에 있어서,
    상기 시스템 특징 정보는 제조사, OS 플랫폼 및 버전, 프로세서 칩셋 종류, 커널 관련 정보, 설치 소프트웨어 정보를 포함하는 것을 특징으로 하는 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치.
  11. 청구항 9에 있어서,
    상기 사용자 식별 정보는 사용자 인적 정보, 단말 제조번호를 포함하는 것을 특징으로 하는 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치.
  12. 청구항 9에 있어서,
    상기 암호화부는 상기 데이터 수집부에서 수집한 증거 자료를 별도의 저장장치에 저장이 가능하면 상기 증거 자료를 암호화하여 상기 별도의 저장장치에 저장하는 것을 특징으로 하는 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치.
  13. 청구항 9에 있어서,
    상기 암호화부는 상기 데이터 수집부에서 수집한 증거 자료를 별도의 저장장치에 저장이 불가능한 경우에는 상기 증거 자료를 암호화하여 상기 서버에게로 보내는 것을 특징으로 하는 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치.
  14. 청구항 9에 있어서,
    상기 증거 수집 도구는,
    상기 도메인 분리 기반 모바일 기기의 분리된 보안 영역의 파일 시스템의 메타 정보를 분석하여 증거 자료로서 파일 레코드 및 메타 데이터를 획득하는 파일 시스템 분석부를 포함하는 수집부;
    상기 증거 자료에 대한 메타 데이터를 생성하는 증거 메타 데이터 생성부를 포함하는 제어부; 및
    상기 서버로부터 발급받은 상기 도메인 분리 기반 모바일 기기의 보안키를 바탕으로 상기 증거 자료를 암호화하는 데이터 암호부를 포함하는 전송부;를 포함하는 것을 특징으로 하는 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치.
  15. 청구항 14에 있어서,
    상기 수집부는, 상기 파일 시스템의 메타 데이터를 바탕으로 파일의 데이터가 저장된 페이지 단위로 복사하여 원본 파일과 동일하게 수집하는 파일 복제부, 상기 도메인 분리 기반 모바일 기기의 각 영역에서 사용하는 메모리 분석이 필요함에 따라 메모리 덤프 기능을 제공하는 메모리 덤프부, 및 상기 파일 시스템 분석부의 결과를 바탕으로 삭제된 파일의 메타 데이터를 기반으로 삭제 파일을 복구하는 삭제 파일 복구부를 추가로 포함하는 것을 특징으로 하는 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치.
  16. 청구항 14에 있어서,
    상기 제어부는, 증거 자료 수집 기능을 수행한 정보에 대해 로그를 생성하여 관리하는 로그 관리부, 및 수집한 파일과 원본의 암호학적 해쉬값을 계산하여 동일 여부를 판단하는 무결성 검증부를 추가로 포함하는 것을 특징으로 하는 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치.
  17. 청구항 14에 있어서,
    상기 전송부는, 네트워크를 통해 상기 서버에 정보를 전송할 경우에 사용자 인증 및 세션 유지를 위한 관리 기능을 제공하는 인증 관리부를 추가로 포함하는 것을 특징으로 하는 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치.
  18. 단말 정보 수집부가, 도메인 분리 기반 모바일 기기의 사용자 식별 정보 및 시스템 특징 정보를 수집하는 단계;
    제어부가, 상기 사용자 식별 정보 및 기저장된 사용자 인증 키값을 서버에게로 전달하는 단계;
    상기 제어부가, 상기 서버에서의 사용자 인증후 상기 사용자 식별 정보를 근거로 생성된 보안키를 상기 서버로부터 수신하는 단계;
    상기 제어부가, 상기 시스템 특징 정보를 상기 서버에게로 전송하는 단계;
    상기 제어부가, 상기 서버에서 상기 시스템 특징 정보를 바탕으로 선별된 상기 도메인 분리 기반 모바일 기기에 적합한 증거 수집 도구를 수신하는 단계;
    데이터 수집부가, 상기 증거 수집 도구를 이용하여 상기 도메인 분리 기반 모바일 기기에서 분석이 필요한 증거 자료를 수집하는 단계; 및
    암호화부가, 상기 증거 자료를 수집하는 단계에서 수집한 증거 자료를 상기 보안키를 이용하여 암호화하는 단계;를 포함하는 것을 특징으로 하는 도메인 분리 기반 모바일 기기에서 증거 자료 확보 방법.
  19. 청구항 18에 있어서,
    상기 암호화하는 단계는 상기 증거 자료를 수집하는 단계에서 수집한 증거 자료를 별도의 저장장치에 저장이 가능하면 상기 증거 자료를 암호화하여 상기 별도의 저장장치에 저장하는 것을 특징으로 하는 도메인 분리 기반 모바일 기기에서 증거 자료 확보 방법.
  20. 청구항 18에 있어서,
    상기 암호화하는 단계는 상기 증거 자료를 수집하는 단계에서 수집한 증거 자료를 별도의 저장장치에 저장이 불가능한 경우에는 상기 증거 자료를 암호화하여 상기 서버에게로 보내는 것을 특징으로 하는 도메인 분리 기반 모바일 기기에서 증거 자료 확보 방법.
KR1020140055554A 2014-05-09 2014-05-09 증거 수집 도구 제공 방법, 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치 및 방법 KR20150128328A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020140055554A KR20150128328A (ko) 2014-05-09 2014-05-09 증거 수집 도구 제공 방법, 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치 및 방법
US14/705,155 US20150326618A1 (en) 2014-05-09 2015-05-06 Method of providing evidence collection tool, and apparatus and method for collecting digital evidence in domain separation-based mobile device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140055554A KR20150128328A (ko) 2014-05-09 2014-05-09 증거 수집 도구 제공 방법, 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20150128328A true KR20150128328A (ko) 2015-11-18

Family

ID=54368866

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140055554A KR20150128328A (ko) 2014-05-09 2014-05-09 증거 수집 도구 제공 방법, 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치 및 방법

Country Status (2)

Country Link
US (1) US20150326618A1 (ko)
KR (1) KR20150128328A (ko)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9971879B2 (en) * 2016-05-26 2018-05-15 Adobe Systems Incorporated Secure recording and rendering of encrypted multimedia content
CN106878265B (zh) * 2016-12-21 2020-09-18 重庆华龙艾迪信息技术有限公司 一种数据处理方法及装置
US11055366B2 (en) * 2018-06-04 2021-07-06 Genetec Inc. Electronic evidence transfer
US11531627B2 (en) 2019-03-08 2022-12-20 International Business Machines Corporation Secure storage isolation
US11487906B2 (en) 2019-03-08 2022-11-01 International Business Machines Corporation Storage sharing between a secure domain and a non-secure entity
US11640361B2 (en) 2019-03-08 2023-05-02 International Business Machines Corporation Sharing secure memory across multiple security domains
CN110414274B (zh) * 2019-07-01 2022-03-18 北京联合信任技术服务有限公司 电子证据保全方法及系统
CN110351369A (zh) * 2019-07-12 2019-10-18 北京联合信任技术服务有限公司 电子证据保全方法及系统
US11847204B2 (en) * 2019-08-12 2023-12-19 Magnet Forensics Inc. Systems and methods for cloud-based management of digital forensic evidence
CN114979751A (zh) * 2022-04-29 2022-08-30 深圳法政信息技术有限公司 一种手机录屏采集证据系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1929367B (zh) * 2005-09-10 2010-08-25 腾讯科技(深圳)有限公司 一种游戏数据传输方法及系统
US8149126B2 (en) * 2007-02-02 2012-04-03 Hartford Fire Insurance Company Lift monitoring system and method
US8531523B2 (en) * 2009-12-08 2013-09-10 Trueposition, Inc. Multi-sensor location and identification
WO2011097294A1 (en) * 2010-02-02 2011-08-11 Legal Digital Services Digital forensic acquisition kit and methods of use thereof
US9355247B1 (en) * 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis

Also Published As

Publication number Publication date
US20150326618A1 (en) 2015-11-12

Similar Documents

Publication Publication Date Title
KR20150128328A (ko) 증거 수집 도구 제공 방법, 도메인 분리 기반 모바일 기기에서 증거 자료 확보 장치 및 방법
WO2019210794A1 (en) Device and method for data security with trusted execution environment
JP5369502B2 (ja) 機器、管理装置、機器管理システム、及びプログラム
CN102624699B (zh) 一种保护数据的方法和系统
CN202795383U (zh) 一种保护数据的设备和系统
CN101971186A (zh) 信息泄露防止装置和方法及其程序
CN113168480A (zh) 基于环境因子的可信执行
US9734346B2 (en) Device and method for providing security in remote digital forensic environment
CN109547215B (zh) 一种基于移动终端指纹的文档信息保护方法
WO2008001823A1 (fr) procédé de gestion de données informatiques, programme et support d'enregistrement
WO2021016205A1 (en) Computer file security using extended metadata
US9137219B1 (en) Methods and systems for securely managing multimedia data captured by mobile computing devices
JP2008005408A (ja) 記録データ処理装置
CN104104650A (zh) 数据文件访问方法及终端设备
JP5601840B2 (ja) ネットワークへの情報流出防止装置
CN101694683A (zh) 一种防止木马通过移动存储器摆渡窃取文件的方法
CN108287988B (zh) 用于移动终端文件的安全管理系统及方法
KR20130079004A (ko) 스마트폰에서 파일 시스템 가상화를 이용한 모바일 정보 보호 시스템 및 가상 보안 환경 제공 방법
JP2007188445A (ja) 情報漏えい防止システム及び情報漏えい防止方法
JP5972471B2 (ja) データ処理装置及びデータ処理方法及びプログラム
CN115935390A (zh) 一种基于属性的安全沙盒内文件动态访问控制和加密方法
CN106650492B (zh) 一种基于安全目录的多设备文件保护方法和装置
US20220150241A1 (en) Permissions for backup-related operations
US11088832B2 (en) Secure logging of data storage device events
CN103942502B (zh) 摆渡式安全数据交换方法与装置

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid