WO2014193058A1

WO2014193058A1 - 원격 디지털 포렌식 환경에서 보안 제공 장치 및 그 방법

Info

Publication number: WO2014193058A1
Application number: PCT/KR2013/010837
Authority: WO
Inventors: 강성구; 전민철; 조영준; 최재덕; 김신규; 서정택
Original assignee: 한국전자통신연구원
Priority date: 2013-05-30
Filing date: 2013-11-27
Publication date: 2014-12-04
Also published as: US9734346B2; KR101496318B1; US20160078240A1; KR20140140717A

Abstract

본 발명은 원격지에서 분석 대상이 되는 시스템으로부터 디지털 증거를 수집하고, 수집한 디지털 증거를 토대로 원격 디지털 포렌식 환경에서 보안성을 제공할 수 있도록 하는 장치 및 그 방법에 관한 것이다. 보안 제공 방법은 원격 디지털 포렌식 환경에서 보안 제공 장치가 증거 수집 에이전트로 증거 수집 대상 장치의 증거 수집 요청을 하는 단계, 증거 수집 요청에 대응하는 증거 데이터를 증거 수집 에이전트로부터 수집하는 단계, 증거 수집 에이전트로부터 수집한 증거 데이터의 서명값을 토대로 증거 데이터를 검증하는 단계, 검증된 증거 데이터를 토대로 증거 분석 데이터를 생성하는 단계, 증거 분석 데이터의 서명값을 토대로 증거 분석 데이터를 검증하는 단계 및 증거 분석 데이터를 검증한 결과를 토대로 증거 수집 대상 장치의 보안성을 제공하는 단계를 포함한다.

Description

원격 디지털 포렌식 환경에서 보안 제공 장치 및 그 방법

본 발명은 원격 디지털 포렌식 환경에서 보안 제공 장치 및 그 방법에 관한 것으로, 특히 원격지에서 분석 대상이 되는 시스템으로부터 디지털 증거를 수집하고, 수집한 디지털 증거를 토대로 원격 디지털 포렌식 환경에서 보안성을 제공할 수 있도록 하는 장치 및 그 방법에 관한 것이다.

본 발명은 2013년 5월 30일 출원된 한국특허출원 제10-2013-0061425호의 출원일의 이익을 주장하며, 그 내용 전부는 본 명세서에 포함된다.

디지털 포렌식은 컴퓨터, 휴대전화 등과 같은 디지털 기기 및 시스템에 존재하는 디지털 데이터를 수집 및 분석하여, 특정 사용자의 행위를 파악하거나 발생된 사건의 원인을 파악하는 디지털 수사과정을 의미한다.

이와 같은, 디지털 포렌식은 그 용어에서 찾아볼 수 있듯이 디지털 데이터를 다루게 되므로 디지털 데이터의 특성상 복제가 쉽고 원본과 사본의 구분이 어려워 디지털 데이터가 법적 효력을 가지기 위해 데이터 처리에 있어 적절한 통제를 통해 증거 데이터의 진정성, 무결성, 신뢰성, 원본성 등을 확보하여 증거가 될 수 있도록 처리 및 관리되어야 한다.

종래의 디지털 포렌식은 분석 대상 시스템의 증거 데이터 수집을 위해 전원을 분리하여 디스크와 같은 비휘발성 저장매체로부터 쓰기방지 기능을 통해 원본의 데이터를 보호한다. 또한, 종래의 디지털 포렌식은 증거사본을 생성하고, 생성한 증거사본을 증거 분석자에게 전달함으로써, 증거 분석자가 분석을 수행하도록 하는 방식을 사용하였다.

그러나, 최근 비휘발성 저장매체의 용량이 커지므로 증거수집비용이 증가하고, 특정 서비스를 지속적으로 제공해야 되는 시스템과 같이 서비스의 가용성이 중요해 지며, 비휘발성 증거 데이터 외에 휘발성 증거 데이터의 중요성이 높아짐에 따라, 종래의 디지털 포렌식과 같이 전원을 제거하고 증거를 수집 및 분석하는 행위가 제한되고 있다. 또한, 디지털 포렌식 대상이 될 수 있는 시스템들의 수가 점차 많아지고 있으며, 특정 사고의 경우 무엇보다 신속한 증거 수집 및 분석을 통한 대응의 필요성이 높아지고 있다.

예를 들어, 한국공개특허 제10-2009-0079568호 "증거 데이터 수집 장치 및 그 방법"은 저장매체 확보가 어려운 데이터에 대하여 증거 능력을 확보하도록 하는 증거 데이터 수집 장치 및 그 방법에 관하여 기재하고 있다.

이와 같이, 분석이 필요한 대상 시스템의 가용성을 보장하고, 휘발성 및 비휘발성 증거 데이터를 모두 수집할 수 있으며, 신속한 대응을 위해 분석 대상 시스템에 물리적으로 직접 연결하여 수집하지 않아도, 원격에서 증거 데이터를 수집하거나 분석할 수 있는 온라인 기반의 원격 디지털 포렌식의 요구가 증대되고 있다.

디지털 포렌식 기술을 활용하여 수집되는 증거 데이터는 시스템에 존재하는 모든 데이터를 다루게 되므로, 사용자의 프라이버시와 관련한 정보, 시스템 서비스 제공과 관련한 기밀 정보 등 시스템 사용자의 민감한 정보들이 될 수 있다. 또한, 디지털 포렌식 기술을 활용하여 수집되는 증거 데이터는 원격 디지털 포렌식 경우에 온라인 기반의 서비스가 이루어지므로 기존 IT환경이 가지고 있는 데이터 유출 및 변조, 정상적인 증거수집가로 위장, 증거 데이터 송?수신 부인, 증거 데이터의 목적 외에 사용(남용) 등의 보안위협에 그대로 노출될 수 있어 문제를 야기할 수 있다.

따라서, 보안 위협을 대응하고, 민감한 정보들의 처리를 통제할 수 있도록 수집되는 증거 데이터들의 기본적인 디지털 포렌식 요구사항을 충족하고, 더 나아가 증거 데이터의 접근을 통제함으로써 증거 데이터의 보안성을 제공할 수 있는 장치 및 방법이 요구된다.

본 발명의 목적은 특히 원격지에서 분석 대상이 되는 시스템으로부터 디지털 증거를 수집하고, 수집한 디지털 증거를 토대로 원격 디지털 포렌식 환경에서 보안성을 제공할 수 있는 장치 및 그 방법을 제공하는 것이다.

상기한 목적을 달성하기 위한 본 발명에 따른 원격 디지털 포렌식 환경에서 보안 제공 방법은

보안 제공 장치가 증거 수집 에이전트로 증거 수집 대상 장치의 증거 수집 요청을 하는 단계; 상기 증거 수집 요청에 대응하는 증거 데이터를 상기 증거 수집 에이전트로부터 수신하는 단계; 상기 증거 수집 에이전트로부터 수신한 상기 증거 데이터의 서명값을 토대로 상기 증거 데이터를 검증하는 단계; 검증된 증거 데이터를 토대로 증거 분석 데이터를 생성하는 단계; 상기 증거 분석 데이터의 서명값을 토대로 상기 증거 분석 데이터를 검증하는 단계; 및 상기 증거 분석 데이터를 검증한 결과를 토대로 상기 증거 수집 대상 장치의 보안성을 제공하는 단계를 포함한다.

이 때, 상기 증거 수집 요청을 하는 단계 이전에 상기 증거 수집 에이전트와 상호 인증을 수행하는 것을 특징으로 한다.

이 때, 상기 증거 분석 데이터를 생성하는 단계는 검증된 증거 데이터에 대응하는 증거 분석 토큰의 증거 분석 방법을 이용하여 상기 증거 분석 데이터를 생성하는 것을 특징으로 한다.

이 때, 상기 증거 분석 토큰은 상기 증거 데이터의 정보, 사전에 설정한 증거 분석 방법, 증거 분석 기간, 증거 데이터의 복호화 방법, 복호화 키를 포함하는 것을 특징으로 한다.

이 때, 상기 증거 데이터를 검증하는 단계는 상기 증거 수집 에이전트로부터 상기 증거 데이터와 같이 수신한 증거 수집 토큰을 검증하는 단계를 더 포함하는 것을 특징으로 한다.

이 때, 상기 증거 수집 토큰은 상기 증거 수집 대상 장치의 정보, 사전에 설정한 증거의 종류와 증거 수집 방법, 수집 허용 정보, 증거 수집 기간을 포함하는 것을 특징으로 한다.

또한, 본 발명의 일실시예에 따른 원격 디지털 포렌식 환경에서 보안 제공 장치는

증거 수집 에이전트로 증거 수집 대상 장치의 증거 수집 요청을 하고, 상기 증거 수집 요청에 대응하는 증거 데이터를 수집하는 증거 수집부; 상기 증거 수집 에이전트로부터 수신한 상기 증거 데이터의 서명값을 토대로 상기 증거 데이터를 검증하는 증거 관리부; 상기 증거 관리부에서 검증된 증거 데이터를 토대로 증거 분석 데이터를 생성하고, 상기 증거 분석 데이터의 서명값을 토대로 상기 증거 분석 데이터를 검증하는 증거 분석부; 및 상기 증거 분석부에서 상기 증거 분석 데이터를 검증한 결과를 토대로 상기 증거 수집 대상 장치의 보안성을 제공하는 증거 제어부를 포함한다.

이 때, 상기 증거 수집부에서 상기 증거 수집 에이전트로 증거 수집 요청을 하기 이전에, 상기 증거 수집부와 상기 증거 수집 에이전트 간의 상호인증을 수행하는 것을 특징으로 한다.

이 때, 상기 증거 분석부는 검증된 증거 데이터에 대응하는 증거 분석 토큰의 증거 분석 방법을 이용하여 상기 증거 분석 데이터를 생성하는 것을 특징으로 한다.

이 때, 상기 증거 분석부는 상기 증거 데이터와 같이 수신한 증거 수집 토큰을 검증하는 것을 특징으로 한다.

본 발명에 따르면, 원격 디지털 포렌식 환경에서 보안 제공 장치 및 그 방법은 원격 디지털 포렌식 환경에서 대상 기기 및 대상 시스템으로부터 디지털 증거를 수집 및 분석 시 발생할 수 있는 보안 위협에 대응하고, 민감한 정보의 처리를 통제할 수 있도록, 수집되는 증거 데이터를 보호하고, 증거 데이터의 접근을 통제함으로써 보다 효과적으로 증거 데이터 및 분석 데이터의 보안성을 높일 수 있다.

도 1은 본 발명의 실시예에 따른 원격 디지털 포렌식 환경에서 보안 제공 장치를 개략적으로 나타내는 구성도이다.

도 2는 본 발명의 실시예에 따른 원격 디지털 포렌식 환경에서 보안 제공 방법을 나타내는 흐름도이다.

도 3은 본 발명의 실시예에 따른 원격 디지털 포렌식 환경에서 증거를 수집하는 과정을 나타내는 도면이다.

도 4는 본 발명의 실시예에 따른 원격 디지털 포렌식 환경에서 수집한 증거를 분석하는 과정을 나타내는 도면이다.

도 5는 본 발명의 실시예에 따른 토큰의 구성을 나타내는 도면이다.

도 6은 본 발명의 실시예에 따른 수집 증거 데이터의 구성을 나타내는 도면이다.

도 7은 본 발명의 실시예에 따른 제공 증거 데이터의 구성을 나타내는 도면이다.

도 8은 본 발명의 실시예에 따른 증거 분석 데이터의 구성을 나타내는 도면이다.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.

이하, 본 발명에 따른 바람직한 실시예 따른 원격지에서 분석 대상이 되는 시스템으로부터 디지털 증거를 수집하고, 수집한 디지털 증거를 토대로 원격 디지털 포렌식 환경에서 보안성을 제공할 수 있도록 하는 장치 및 그 방법에 대하여 첨부한 도면을 참조하여 상세하게 설명한다.

도 1을 참고하면, 본 발명의 실시예에 따른 원격 디지털 포렌식 환경에는 보안 제공 장치(100), 증거 수집 에이전트(200) 및 증거 수집 대상 장치(300)가 있다.

보안 제공 장치(100)는 증거 수집부(110), 증거 관리부(120), 증거 제어부(130) 및 증거 분석부(140)를 포함한다.

증거 수집부(110)는 증거 제어부(130)로부터 증거 수집 요청을 전달받고, 증거 수집 대상 장치(300)로부터 증거를 수집하기 위하여 증거 수집 에이전트(200)에 증거 수집 요청을 한다. 이때, 증거 제어부(130)로부터 증거 수집 요청뿐만 아니라 토큰을 전달받는다.

다음, 증거 수집부(110)는 증거 수집 요청에 대응하는 증거 데이터를 전달받고, 전달받은 증거 데이터의 서명값을 검증하여 정상적으로 수집되었을 경우 증거 데이터에 서명을 하여, 이를 증거 관리부(120)에 전달한다.

증거 관리부(120)는 증거 수집부(110)로부터 전달받은 증거 데이터에 대응하는 토큰을 검증하고, 검증한 결과를 토대로 증거 데이터를 증거 분석부(140)로 전달한다. 다음, 증거 관리부(120)는 증거 분석부(140)로부터 전달받은 증거 분석 데이터에 대응하는 토큰을 검증하고, 증거 분석 데이터를 검증 및 저장한다.

증거 제어부(130)는 증거 수집 대상 장치(300)를 통해 필요한 증거 종류와 증거 수집 방법을 결정하고, 결정한 것을 토대로 증거 수집 요청을 증거 수집부(110)로 전달한다. 이때, 증거 제어부(130)는 증거 수집 요청과 함께 토큰을 전달한다.

본 발명의 실시예에 따른 토큰은 증거 제어부(130)에 의해 작성된 대상 시스템 정보 즉, 증거 수집 대상 장치(300)의 정보, 사전에 결정한 증거 종류와 증거 수집 방법(예를 들어, 증거 포맷, 압축 방법, 무결성 방법, 암호화 방법 및 암호화 키 등), 수집 허용 정보, 증거 수집 기간 등을 포함한다.

증거 분석부(140)는 증거 관리부(120)로부터 전달받은 증거 데이터를 토대로 증거 분석 데이터를 생성하고, 생성한 증거 분석 데이터를 증거 관리부(120)로 전달한다.

증거 제어부(130)는 증거 관리부(120)를 통해 전달받은 증거 분석 데이터를 검증한 결과를 토대로 증거 수집 대상 장치(300)의 보안성을 제공할 수 있다.

증거 수집 에이전트(200)는 보안 제공 장치(100)와 증거 수집 대상 장치(300)의 중계자 역할을 수행한다.

구체적으로, 증거 수집 에이전트(200)는 보안 제공 장치(100)의 증거 수집 요청에 따라 증거 수집 대상 장치(300)에 존재하는 증거 데이터를 보안 제공 장치(100)에 제공한다.

또한, 증거 수집 에이전트(200)는 보안 제공 장치(100)의 증거 수집 요청에 대응하는 토큰을 검증한다. 여기서, 토큰이 포함하는 암호화 키는 증거 수집 에이전트(200) 만이 열람할 수 있도록 사전에 협의된 키 값으로, 암호화 하거나 증거 수집 에이전트(200)의 공개키로 암호화하여 처리한다.

증거 수집 에이전트(200)는 토큰의 서명값을 이용하여 증거 제어부(130)에 해당하는 서명값인지 확인하고, 토큰의 수집 허용 정보가 인증한 증거 수집부(110)의 인증 허용 정보와 동일한지를 확인하며 증거 수집 기간이 유효한지 확인한다. 다음, 증거 수집 에이전트(200)는 포맷 처리, 압축 처리, 무결성 처리, 암호화 처리를 통해 증거 데이터를 생성한다. 증거 수집 에이전트(200)는 생성한 증거 데이터를 서명하여 증거 수집부(110)로 전달한다.

증거 수집 대상 장치(300)는 사고조사의 대상이 되는 장치에 해당하는 것으로, 사고 조사에 필요한 증거 데이터를 증거 수집 에이전트(200)를 통해 보안 제공 장치(100)로 전달하고, 이를 통해 보안 제공 장치(100)로부터 보안성을 제공받는다.

다음, 원격 디지털 포렌식 환경에서 보안 제공 방법을 도 2를 참조하여 상세하게 설명한다.

도 2를 참고하면, 원격 디지털 포렌식 환경에는 보안 제공 장치(100)는 증거 수집 요청을 증거 수집 에이전트(200)로 한다(S210). 이때, 보안 제공 장치(100)는 증거 수집 요청뿐만 아니라 토큰을 증거 수집 에이전트(200)로 전달한다.

증거 수집 에이전트(200)는 보안 제공 장치(100)와 증거 수집 대상 장치(300)의 중계자 역할을 수행한다. 즉, 증거 수집 에이전트(200)는 보안 제공 장치(100)로부터 증거 수집 요청을 전달받으면, 증거 수집 요청에 대응하는 증거 데이터를 증거 수집 대상 장치(300)로부터 전달받는다.

보안 제공 장치(100)는 S210 단계의 요청에 대응하는 증거 데이터를 수신한다(S220).

보안 제공 장치(100)는 S220 단계에서 수신한 증거 데이터를 증거 데이터에 대응하는 토큰을 이용하여 검증한다(S230).

보안 제공 장치(100)는 검증된 증거 데이터를 통해 증거 분석 데이터를 생성한다(S240).

보안 제공 장치(100)는 S240 단계에서 생성한 증거 분석 데이터를 증거 분석 데이터에 대응하는 토큰을 이용하여 검증한다(S250).

이와 같이, 본 발명의 실시예에 따른 원격 디지털 포렌식 환경에서 보안 제공 방법은 증거를 수집하는 과정 및 수집한 증거를 분석하는 과정으로 나눠서 설명할 수 있다.

다음, 원격 디지털 포렌식 환경에서 증거를 수집하는 과정 및 수집한 증거를 분석하는 과정을 도 3 및 도 4를 참조하여 상세하게 설명한다.

도 3을 참고하면, 원격 디지털 포렌식 환경에서 증거 수집 대상 장치(300)의 증거를 수집하기 위해서는 보안 제공 장치(100) 및 증거 수집 에이전트(200)가 필요하다. 여기서, 보안 제공 장치(100)는 증거 수집부(110), 증거 관리부(120) 및 증거 제어부(130)를 포함하며, 이에 한정되지 않는다.

먼저, 증거 제어부(130)는 증거 수집을 위하여 증거 수집부(110)와 상호 인증을 수행(S301)함으로써, 안전한 통신 채널을 보장할 수 있다.

증거 제어부(130)는 증거 제어부(130)에 의해 작성된 대상 시스템 정보 즉, 증거 수집 대상 장치(300)의 정보, 사전에 결정한 증거 종류와 증거 수집 방법(예를 들어, 증거 포맷, 압축 방법, 무결성 방법, 암호화 방법 및 암호화 키 등), 수집 허용 정보, 증거 수집 기간 등을 포함하는 증거 수집 토큰(이하 "토큰"라고도 함)을 발행한다(S302). 여기서, 증거 수집 토큰이 포함하는 암호화 키는 증거 수집 에이전트(200) 만이 열람할 수 있도록 사전에 협의된 키 값으로, 암호화 하거나 증거 수집 에이전트(200)의 공개키로 암호화하여 처리한다.

증거 제어부(130)는 증거 수집 대상 장치(300)를 통해 필요한 증거 종류와 증거 수집 방법을 결정하고, 결정한 것을 토대로 증거 수집 요청을 증거 수집부(110)로 전달한다(S303). 이때, 증거 제어부(130)는 S302 단계에서 발행한 증거 수집 토큰을 증거 수집부(110)로 전달한다.

증거 수집부(110)는 증거 수집을 위하여 증거 수집 에이전트(200)와 상호 인증을 수행(S304)함으로써, 안전한 통신 채널을 보장할 수 있다.

증거 수집부(110)는 S303 단계에서 수신한 증거 수집 요청을 증거 수집 에이전트(200)에 전달한다(S305). 이때, 증거 수집부(110)는 S302 단계에서 발행한 증거 수집 토큰도 함께 증거 수집 에이전트(200)에 전달한다.

증거 수집 에이전트(200)는 증거 수집 요청에 대응하는 토큰을 검증한다(S306). 여기서, 토큰이 포함하는 암호화 키는 증거 수집 에이전트(200) 만이 열람할 수 있도록 사전에 협의된 키 값으로, 암호화 하거나 증거 수집 에이전트(200)의 공개키로 암호화하여 처리한다. 또한, 증거 수집 에이전트(200)는 토큰의 서명값을 이용하여 증거 제어부(130)에 해당하는 서명값인지 확인하고, 토큰의 수집 허용 정보가 인증한 증거 수집부(110)의 인증 허용 정보와 동일한지를 확인하며 증거 수집 기간이 유효한지 확인한다.

다음, 증거 수집 에이전트(200)는 포맷 처리, 압축 처리, 무결성 처리, 암호화 처리를 통해 증거 데이터를 생성한다(S307). 증거 수집 에이전트(200)는 생성한 증거 데이터를 서명하여 증거 수집부(110)로 전달한다(S308).

증거 수집부(110)는 증거 수집 요청(S305)에 대응하는 증거 데이터를 전달받고, 전달받은 증거 데이터의 서명값을 검증하여 정상적으로 수집되었을 경우 증거 데이터에 서명을 한다(S309).

증거 관리부(120)는 증거 수집부(110)에서 수집한 증거 데이터 관리를 위하여, 증거 수집부(110)와 상호 인증을 수행(S310)함으로써, 안전한 통신 채널을 보장할 수 있다.

증거 수집부(110)는 S310 단계와 같이 상호 인증이 완료되면, S309 단계에서 서명한 증거 데이터를 증거 관리부(120)로 전달한다(S311). 이때, 증거 수집부(110)는 서명한 증거 데이터뿐만 아니라 S303 단계에서 증거 제어부(130)로부터 전달받은 토큰을 전달한다.

증거 관리부(120)는 증거 수집부(110)로부터 전달받은 증거 데이터에 대응하는 토큰의 서명값을 이용하여 증거 제어부(130)에서 발행한 토큰의 서명값인지를 확인함으로써 토큰을 검증하고, 토큰의 수집 허용 정보가 인증한 증거 수집부(110)의 인증 허용 정보와 동일한지를 확인함으로써, 증거 데이터를 검증한다(S312). 또한, 증거 관리부(120)는 검증한 증거 데이터를 저장하고, 저장이 완료된 것을 증거 수집부(110)로 통보한다(S313).

그러면, 증거 수집부(110)는 저장 완료 통보에 대응하게 증거 수집이 완료 된 것을 증거 제어부(130)로 통보한다(S314).

도 4를 참고하면, 원격 디지털 포렌식 환경에서 증거 수집 대상 장치(300)에서 수집한 증거를 분석하기 위해서는 증거 수집부(110), 증거 관리부(120) 및 증거 분석부(140)라 필요하다.

먼저, 증거 제어부(130)는 수집한 증거 데이터 중에서 분석이 필요한 증거 데이터와 이에 해당하는 증거 분석 방법을 결정하고, 증거 분석을 수행할 증거 분석부(140)를 지정한다.

증거 제어부(130)는 증거 분석을 위하여 앞에서 지정한 증거 분석부(140)와 상호 인증을 수행(S401)함으로써, 안전한 통신 채널을 보장할 수 있다.

증거 제어부(130)는 증거 제어부(130)에 의해 작성된 증거 데이터 정보, 사전에 결정한 증거 분석 방법(예를 들어, 분석 데이터 포맷, 압축 방법, 무결성 방법, 암호화 방법 및 암호화 키), 증거 분석부(140)의 분석 허용 정보, 증거 분석 기간, 증거 데이터 복화화 방법 및 복호화 키 등의 정보를 포함하는 증거 분석 토큰(이하 "토큰"라고도 함)을 발행한다(S402). 여기서, 토큰이 포함하는 암호화 키와 복호화 키는 증거 분석부(140)만이 열람할 수 있도록 사전에 협의된 값으로, 암호화하거나 증거 분석부(140)의 공개키로 암호화하여 처리한다.

증거 제어부(130)는 증거 분석부(140)에 증거 분석 지시를 한다(S403). 또한, 증거 제어부(130)는 S402 단계에서 발행한 증거 분석 토큰도 함께 증거 분석부(140)에 전달한다.

증거 분석부(140)는 S403 단계의 증거 분석 지시에 따라 증거 분석을 위하여 증거 관리부(120)와 상호 인증을 수행(S404)함으로써, 안전한 통신 채널을 보장할 수 있다.

증거 분석부(140)는 S403 단계의 증거 분석 지시를 수행하는데 필요한 증거 데이터를 증거 관리부(120)에 요청한다(S405). 이때, 증거 분석부(140)는 증거 분석 지시를 수신하면서 전달받은 증거 분석 토큰도 함께 증거 관리부(120)에 전달한다.

증거 관리부(120)는 증거 데이터 요청과 함께 받은 증거 분석 토큰을 검증한다(S406). 증거 관리부(120)는 증거 분석 토큰을 검증한 결과를 토대로 증거 데이터를 증거 분석부(140)로 전달한다(S407). 이때, 증거 분석부(140)는 증거 데이터뿐만 아니라 증거 분석 토큰도 함께 증거 분석부(140)로 전달한다.

증거 분석부(140)는 토큰의 증거 데이터 복호화 방법 및 복호화 키를 통해 전달받은 증거 데이터를 분석하고, 토큰의 증거 분석 방법을 이용하여 증거 분석 데이터를 생성한다(S408).

증거 분석부(140)는 S408 단계에서 생성한 증거 분석 데이터를 증거 관리부(120)로 전송한다(S409). 이때, 증거 분석부(140)는 증거 분석 데이터뿐만 아니라 증거 분석 토큰도 함께 전송한다.

증거 관리부(120)는 전달받은 증거 분석 데이터와 함께 전달받은 증거 분석 토큰의 서명값을 이용하여 증거 제어부(130)에 해당하는 서명값인지 확인함으로써 토큰을 검증한다(S410). 또한, 증거 관리부(120)는 증거 분석 토큰의 분석 허용 정보가 인증한 증거 분석부(140)의 분석 허용 정보와 동일한지를 확인함으로써, 분석 데이터를 검증 및 저장한다(S411).

증거 관리부(120)는 S411 단계에서 분석 데이터가 저장되었음을 증거 분석부(140)로 전달한다(S412). 그러면, 증거 분석부(140)는 증거 분석이 완료되었음을 증거 제어부(130)로 통보한다(S413).

다음, 토큰의 구성을 도 5를 참조하여 상세하게 설명한다.

도 5를 참고하면, 토큰은 토큰을 식별하기 위하여 다른 토큰과 중복되지 않는 "일련번호", 토큰을 발행한 주체(예를 들어, 증거 제어부(130))의 "발행자 식별정보"와 토큰을 수신하여 검증하는 주체(예를 들어, 증거 수집 에이전트(200) 및 증거 관리부(120))의 식별정보에 해당하는 "수신 대상 식별정보", 토큰을 발급 받아 활용할 주체(예를 들어, 증거 수집부(110) 및 증거 분석부(140))의 식별정보에 해당하는 "요청자 식별정보"를 포함한다.

발행자 식별정보는 토큰을 수신한 증거 수집 에이전트(200) 도는 증거 관리부(120)가 사전에 인증된 증거 제어부(130)에 의해 생성된 토큰인지 검증하는 과정에서 사용되는 정보이다.

수신 대상 식별정보는 토큰을 수신한 증거 수집 에이전트(200) 또는 증거 관리부(120) 자신의 식별정보와 비교하여 토큰이 자신에 의해 처리되는 토큰인지 유효성을 검증하는 과정에서 사용되는 정보이다

요청자 식별정보는 토큰을 전달한 증거 수집부(110) 또는 증거 분석부(140)의 식별정보와 비교하여 해당 사용자에 의해 전달될 수 있는 토큰인지 유효성을 검증하는 과정에서 사용되는 정보이다.

본 발명의 실시예에 따른 토큰에서는 발행자 식별정보, 수신 대상 식별정보 및 요청자 식별 정보를 통해 토큰이 누구에 의해 발행되었는지, 누구에 의해 활용될 것인지, 누구에게 수신될 것인지 통큰에 명시된 사용자만이 활용될 수 있도록 제한한다.

또한, 본 발명의 실시예에 따른 토큰에서는 토큰 자체의 유효성을 판단하기 위하여 토큰을 발행한 "유효 개시시간"과 "유효 만기시간"을 포함하여 토큰이 활용될 수 있는 기간을 명시한다. 이와 같은 토큰을 수신하여 유효성을 검증하는 증거 수집 에이전트(200) 또는 증거 관리부(120)는 토큰이 유효한 기간(유효 개시시간부터 유효 만기시간까지에 해당.)에 있는지 판단하여 증거 처리를 수행할 지 여부를 결정한다.

또한, 토큰은 토큰의 용도를 제한하기 위하여 "수집" 또는 "분석"으로 표시하며, 토큰이 발행된 근거를 표시하기 위하여 증거 수집 및 분석 대상이 되는 사건의 식별정보인 "사건 식별정보"를 포함한다.

본 발명의 실시예에 따른 토큰에서는 증거 수집 에이전트(200)에 의해 생성되는 증거 데이터 또는 증거 분석부(140)에 의해 생성되는 증거 분석 데이터의 처리과정을 위하여 "데이터 압축 관련 정보(사용 알고리즘)"및 " 데이터 암호화 관련 정보 (암호화, 해시, 서명 알고리즘)"을 포함한다.

본 발명의 실시예에 따른 토큰의 용도가 수집일 경우에는 수집된 증거 데이터를 암호화하기 위한 "증거 데이터 암호화 키" 만을 포함하며, 토큰의 용도가 분석일 경우에는 증거 분석 데이터를 암호화하기 위한 "증거 데이터 암호화 키"와 증거 관리부(120)로부터 제공 받을 암호화된 증거 데이터를 복호화 할 수 있는 "분석 데이터 암호화 키"를 포함한다.

암/복호화에 사용되는 키는 수신대상과 공유한 비밀키 또는 수신대상 공개키로 암호화하여 포함한다. 수집된 증거 데이터와 증거 분석 데이터의 경우 사용자의 사생활 정보 등 정보 노출에 민감한 정보들이 포함될 수 있으므로, 내/외부 위협원들로부터 정보 노출을 방지하기 암호화를 수행하며, 암호화에 사용되는 키 값의 경우 수집된 증거 데이터와 증거 분석 데이터를 생성하는 주체(예를 들어, 증거 수집 에이전트(200)와 증거 분석부(140))와 증거 제어부(130)만이 알 수 있는 값으로 하며, 키 전달 시 생성하는 주체만이 알 수 있도록 미리 협상된 키 값 또는 주체의 공개키로 전달 되는 키를 암호화하여 전달한다. 증거 제어부(130)는 암호화 처리가 된 수집된 증거 데이터와 증거 분석 데이터의 키를 알고 있으므로, 해당 데이터를 분석, 열람 등의 목적으로 필요로 하는 주체가 있을 경우 해당 주체를 인증하여 복호화 할 수 있는 키를 제공하여 요청한 주체만이 데이터를 복호화할 수 있도록 제한할 수 있다.

마지막으로, 토큰 자체의 무결성을 보장하고 증거 제어부(130)에 의해 발행된 토큰임을 부인방지하기 위해 토큰의 "해시 정보(해시 알고리즘, 해시 값)"와 해시 값에 증거 제어부(130)가 서명한 "발행자 서명 정보(서명 알고리즘, 서명 값)"를 포함한다.

다음, 증거 수집 에이전트(200)에 의해 생성된 증거 데이터 즉, 증거 수집부(110)에서 수집한 증거 데이터(이하 "수집 증거 데이터"라고도 함)를 도 6을 참조하여 상세하게 설명한다.

도 6을 참고하면, 수집 증거 데이터는 파일 시그네이쳐, 증거 데이터 구조의 버전, 수집한 증거 데이터의 타입, 증거 데이터의 사이즈 정보를 포함한다. 또한, 수집 증거 데이터는 증거 데이터의 무결성과 생성 부인방지를 위하여, 해시 정보 예를 들어, 해시 알고리즘, 해시 값을 포함하며, 증거 수집부(110)에 의해 증거 관리부(120)에 전달 되기 전 수신 부인 방지를 위해 생성자와 요청자의 서명 정보(예를 들어, 서명 알고리즘, 서명값)를 포함한다.

다음, 증거 관리부(120)에 의해 제공되는 증거 데이터(이하 "제공 증거 데이터"라고도 함)를 도 7을 참조하여 상세하게 설명한다.

도 7을 참고하면, 제공 증거 데이터는 증거 분석부(140)가 증거 데이터 요청 시 활용되는 토큰 정보, 증거 데이터의 생성과 관련된 사건 식별 정보, 증거 데이터 식별 정보 등을 포함하며, 제공될 증거 데이터 자체를 포함한다. 또한, 수집 증거 데이터는 제공 증거 데이터의 무결성과 부인방지를 위하여 제공 증거 데이터의 해시 정보와 증거 데이터 생성자의 서명정보를 포함한다.

다음, 증거 분석부(140)에 의해 생성되는 증거 분석 데이터를 도 8을 참조하여 상세하게 설명한다.

도 8을 참고하면, 증거 분석 데이터는 분석에 활용되는 토큰 정보(예를 들어, 토큰 일련번호), 증거 분석 데이터를 제공한 제공자의 식별정보, 증거 분석 데이터 생성과 관련된 사건 식별번호, 증거 분석 데이터 식별 번호 등을 포함한다. 또한, 증거 분석 데이터는 제공될 증거 분석 데이터 자체를 포함하며, 증거 분석 데이터의 무결성과 부인방지를 위하여 증거 분석 데이터의 해시 정보와 분석자의 서명 정모를 포함한다.

이와 같이, 본 발명의 실시예에 따른 원격 디지털 포렌식 환경에서 보안 제공 장치 및 그 방법은 원격 디지털 포렌식 환경에서 대상 기기 및 대상 시스템으로부터 디지털 증거를 수집 및 분석 시 발생할 수 있는 보안 위협에 대응하고, 민감한 정보의 처리를 통제할 수 있도록, 수집되는 증거 데이터를 보호하고, 증거 데이터의 접근을 통제함으로써 보다 효과적으로 증거 데이터 및 분석 데이터의 보안성을 높일 수 있다.

이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.

Claims

원격 디지털 포렌식 환경에서 보안 제공 장치가 증거 수집 에이전트로 증거 수집 대상 장치의 증거 수집 요청을 하는 단계;

상기 증거 수집 요청에 대응하는 증거 데이터를 상기 증거 수집 에이전트로부터 수집하는 단계;

상기 증거 수집 에이전트로부터 수집한 상기 증거 데이터의 서명값을 토대로 상기 증거 데이터를 검증하는 단계;

검증된 증거 데이터를 토대로 증거 분석 데이터를 생성하는 단계;

상기 증거 분석 데이터의 서명값을 토대로 상기 증거 분석 데이터를 검증하는 단계; 및

상기 증거 분석 데이터를 검증한 결과를 토대로 상기 증거 수집 대상 장치의 보안성을 제공하는 단계

를 포함하는 보안 제공 방법.
청구항 1에 있어서,

상기 증거 수집 요청을 하는 단계 이전에

상기 증거 수집 에이전트와 상호 인증을 수행하는 것을 특징으로 하는 보안 제공 방법.
청구항 1에 있어서,

상기 증거 분석 데이터를 생성하는 단계는

검증된 증거 데이터에 대응하는 증거 분석 토큰의 증거 분석 방법을 이용하여 상기 증거 분석 데이터를 생성하는 것을 특징으로 하는 보안 제공 방법.
청구항 3에 있어서,

상기 증거 분석 토큰은

상기 증거 데이터의 정보, 사전에 설정한 증거 분석 방법, 증거 분석 기간, 증거 데이터의 복호화 방법, 복호화 키를 포함하는 것을 특징으로 하는 보안 제공 방법.
청구항 1에 있어서,

상기 증거 데이터를 검증하는 단계는

상기 증거 수집 에이전트로부터 상기 증거 데이터와 같이 수신한 증거 수집 토큰을 검증하는 단계를 더 포함하는 것을 특징으로 하는 보안 제공 방법.
청구항 5에 있어서,

상기 증거 수집 토큰은

상기 증거 수집 대상 장치의 정보, 사전에 설정한 증거의 종류와 증거 수집 방법, 수집 허용 정보, 증거 수집 기간을 포함하는 것을 특징으로 하는 보안 제공 방법.
원격 디지털 포렌식 환경에서 증거 수집 에이전트로 증거 수집 대상 장치의 증거 수집 요청을 하고, 상기 증거 수집 요청에 대응하는 증거 데이터를 수집하는 증거 수집부;

상기 증거 수집 에이전트로부터 수집한 상기 증거 데이터의 서명값을 토대로 상기 증거 데이터를 검증하는 증거 관리부;

상기 증거 관리부에서 검증된 증거 데이터를 토대로 증거 분석 데이터를 생성하고, 상기 증거 분석 데이터의 서명값을 토대로 상기 증거 분석 데이터를 검증하는 증거 분석부; 및

상기 증거 분석부에서 상기 증거 분석 데이터를 검증한 결과를 토대로 상기 증거 수집 대상 장치의 보안성을 제공하는 증거 제어부

를 포함하는 보안 제공 장치.
청구항 7에 있어서,

상기 증거 수집부에서 상기 증거 수집 에이전트로 증거 수집 요청을 하기 이전에, 상기 증거 수집부와 상기 증거 수집 에이전트 간의 상호인증을 수행하는 것을 특징으로 하는 보안 제공 장치.
청구항 7에 있어서,

상기 증거 분석부는

검증된 증거 데이터에 대응하는 증거 분석 토큰의 증거 분석 방법을 이용하여 상기 증거 분석 데이터를 생성하는 것을 특징으로 하는 보안 제공 장치.
청구항 9에 있어서,

상기 증거 분석 토큰은

상기 증거 데이터의 정보, 사전에 설정한 증거 분석 방법, 증거 분석 기간, 증거 데이터의 복호화 방법, 복호화 키를 포함하는 것을 특징으로 하는 보안 제공 장치.
청구항 7에 있어서,

상기 증거 분석부는

상기 증거 데이터와 같이 수신한 증거 수집 토큰을 검증하는 것을 특징으로 하는 보안 제공 장치.
청구항 11에 있어서,

상기 증거 수집 토큰은

상기 증거 수집 대상 장치의 정보, 사전에 설정한 증거의 종류와 증거 수집 방법, 수집 허용 정보, 증거 수집 기간을 포함하는 것을 특징으로 하는 보안 제공 장치.