앱을 읽으면 사용자의 라이프스타일이 보인다

[Tech Report] 앱을 읽으면 사용자의 라이프스타일이 보인다

• 
  
  AhnLab
  
  
  
• 2012-12-04

아이폰 백업 파일 포렌식_2부

 

월간 안 2012년 11월 호부터 2회에 걸쳐 아이폰 백업 파일 포렌식에 대해 살펴보고 있다. 11월 호에서는 스마트폰 백업 파일이 어떤 경로에 존재하고, 어떠한 정보를 갖고 있으며, 특히 포렌식 측면에서 가치 있는 데이터는 무엇인지 알아봤다. 이번 호에서는 스마트폰 사용자들이 주로 이용하는 앱 유형에 따른 포렌식 분석 방법을 알아보자.

 

<연재목차> 1부_아이폰 백업 파일의 흔적을 찾아라(2012년 11월 호) 2부_앱을 읽으면 사용자의 라이프스타일이 보인다 (이번 호)

시장조사 전문기관 닐슨 미디어 리서치(Nielsen Media Research)의 조사에 따르면 전 세계 스마트폰 사용자는 평균 41개의 스마트폰 앱을 사용하고 있는 것으로 나타났다. 주로 사용하는 앱은 SNS(소셜 네트워크 서비스), 동영상 서비스, 메일 등이었다.

 

또한 우리나라 스마트폰 사용자들이 가장 많이 사용하는 앱은 메신저 앱으로 조사됐다. 이 외에도 실제 스마트폰 사용자들이 자주 이용하는 기능을 꼽으라면 카메라, 음악 및 동영상 재생, 그리고 웹 브라우저나 GPS 기반의 앱 등이 있을 것이다.

 

이 글에서는 메신저 앱(Messenger App), GPS 앱을 중심으로 앱 유형에 따른 포렌식 분석 방법과 취약한 앱을 활용한 포렌식 분석 방법 등에 대해 살펴본다.

 

메신저 앱(Messenger App)

1. 마이피플(MyPeople)

마이피플은 사용자와 상대방이 대화를 나누었던 내용을 전부 기록한다. 대화 내용은 Sqlite 파일로 저장된다. 대화했던 내용과 시간 정보가 기록되어 있어 사용자 행위 분석에 활용할 수 있다.

 

[그림 1] Sqlite 파일로 저장된 메신저 대화 내용

 

2. 카카오톡(KaKao Talk)

카카오톡도 마이피플(MyPeople)과 마찬가지로 대화한 내용을 Sqlite 파일로 저장한다. 또한 마지막 대화 내용과 대화 내용 시간(MAC Absolute Time)도 저장하고 있다. 이러한 대화 내용과 시간 정보는 사용자 행위 분석에 유용하다.  

 

[그림 2] Sqlite 파일로 저장된 대화 내용과 대화 시간

GPS 앱

1. MotionX

GPS를 기록하는 앱들은 대부분 텍스트(text)형태로 GPS를 기록한다. 이러한 기록은 구글 어스(Google Earth)나 구글 맵(Google Map) API를 사용하여 트랙킹(tracking) 할 수 있다. 

 

[그림 3] 텍스트로 저장된 GPS 기록

2. 패스(Path)

패스(Path)는 폐쇄형 소셜 네트워크 서비스다. 이 앱은 앱 자체의 상태 정보와 사용자 정보를 로깅(logging)한다. 특히 'Path.sqlite'라는 파일은 포스팅한 내용의 GPS와 시간 정보, 대화 내용 등을 기록하기 때문에 사용자의 개인 정보를 확보하는 데 매우 유용하다.

 

[그림 4] 패스(Path) 앱에 로깅된 정보

 

 

[그림 5] Path.sqlite 파일에 기록된 정보

 

3. 네이버 지도(Naver Map)

네이버 지도는 사용자가 장소를 검색했던 시간과 GPS 기록을 전부 저장하고 있다. 만약 특정 사용자의 스마트폰을 분석할 경우, 해당 앱을 통해 사용자가 이동한 기록을 전부 확인할 수 있으므로, 사용자의 행동 범위를 추적할 수 있다.

 

 

[그림 6] 네이버 지도(Naver Map) 앱에 저장된 정보

 

GPS 정보 분석

스마트폰 안에는 다양한 GPS 기록이 저장되어 있다. 다양하게 분포되어 있는 GPS 정보를 하나로 모아서 살펴봄으로써 분석가는 굉장히 중요한 정보를 얻을 수 있다. GPS 분석을 위해 사용하는 도구는 구글 어스(Google Earth)가 있다.

 

구글 어스 확장자인 KML(Keyhole Markup Language) 파일을 사용하면 전체 이동 경로 및 장소를 지도에 표시할 수 있다. 구글 개발자 페이지 KML(https://developers.google.com/kml/documentation/)에서 자세한 내용을 참고할 수 있다.

 

[그림 7] 구글 어스(Google Earth)를 통한 GPS 분석

취약한 앱과 관련 포렌식

1. 비밀번호를 저장하는 앱

앱을 사용할 때 비밀번호를 입력해야만 동작하는 앱이 있다. 사용자가 비밀번호를 입력하면 앱이 실행되고 필요한 정보를 이용할 수 있다. 문제는 간혹 비밀번호를 평문(clear text)으로 저장하거나 손쉽게 디코딩 할 수 있는 형태로 저장하는 앱이 있다는 것이다.

 

이러한 앱은 'base64'로 인코딩하거나 조금만 수고(?)하면 단순한 알고리즘을 이용해 쉽게 디코딩 할 수 있다. 보안의 관점에서 본다면 취약한 방법으로 비밀번호를 저장하고 있어 우려되지만 포렌식 관점에서 본다면 용의자의 비밀번호를 쉽게 풀어내는 데 도움이 된다.

 

[그림 8] 앱이 저장하고 있는 비밀번호

 

[그림 9]  앱이 저장하고 있는 비밀번호 2

 

 

2. 사용자 정보

사용자의 정보는 스마트폰의 곳곳에 존재한다. 기본 설정 파일에도 존재하며, 앱이 남기는 파일도 다양한 사용자 정보를 포함하고 있다. 그 중에서도 다이어리 앱이나 메모 앱은 특히 더 많은 정보를 저장하고 있다.

 

아마도 이러한 앱에는 비밀번호를 적용하여 사용할 것이다. 그러나 백업 파일에는 권한에 따른 별 다른 영향 없이 분석가가 원하는 내역을 확인할 수 있는 경우가 종종 있다. 작성된 내용은 작성 당시의 시간 정보도 포함하고 있어 사용자에 대한 행위 분석이 가능하다. 물론, 모든 앱이 보안에 취약한 것은 아니다.

 

[그림 10] 다이어리 앱에 저장된 내용

 

[그림 11] 다이어리 앱에 저장된 작성 시간 정보

 

용돈 기입장이나 가계부 앱을 이용하는 사용자라면 백업 파일에 용돈이나 월급을 사용한 내역이 저장되어 있을 수도 있다. 이러한 내역은 XML이나 sqlite 파일로 저장되며 돈을 언제, 얼마나 사용했는지에 대한 정보를 제공해준다. 

 

[그림 12] 가계부 앱에 저장되는 사용자 정보

 

도서나 PDF 리더 등은 사용자가 가장 최근에 무엇을 보거나 읽었는지에 대한 내용을 저장한다. 해당 기록을 바탕으로 사용자가 최근에 읽었던 서적이 무엇인지, 또 어떠한 문서에 관심을 두고 있는지 등에 대한 정보를 확인할 수 있다.

 

[그림 13] 문서 리더 앱에 저장된 사용자 정보

사진 파일 분석

스마트폰으로 사진을 찍으면 사진 자체뿐만 아니라 상당히 많은 정보가 저장된다. 그 중에서도 포렌식 측면에서 중요한 데이터는 GPS 정보와 GMT 기록 시간, 그리고 수정과 생성 시간 등이다.

 

GMT 기록시간은 GMT 시간이 아닌 현지 시간(Local Time)으로 저장되며, 파일 수정 시간은 GMT 시간으로 기록된다. 또한 사진으로 남은 JPEG 파일은 사진을 찍은 단말기의 이름과 업체명을 저장하고 있다. 이러한 정보를 해석하기 위해 사용하는 도구들과 관련 웹사이트는 각각 다음과 같다.

 

1. 포토미(Photome)

- http://www.photome.de/download_en.html

 

[그림 14] 사진 뷰어 및 편집 프로그램 포토미(Photome)

 

2. Exiftool

- http://www.sno.phy.queensu.ca/~phil/exiftool/install.html

 

[그림 15] 디지털 사진 정보 편집 프로그램 Exiftool

 

아이폰 백업 파일 분석 결과와 사용자 권고 사항

 

지금까지 살펴본 바를 통해 아이폰 백업 파일을 로컬에 남기는 경우, 다양한 사용자 정보를 로컬 PC에 생성하는 것과 같다는 것을 알았다. 만약 해당 PC를 이미징하게 되면 ▲사용자가 어떤 App을 사용했는지 ▲비밀번호는 어떤 것을 쓰는지 ▲언제, 어디를 갔으며 ▲돈을 얼마를 썼는지 ▲누구와 언제 통화를 했는지 ▲누구와 메신저 채팅을 통해 어떤 대화를 했는지 등의 정보를 쉽게 획득할 수 있다.

이러한 정보를 로컬 PC에 남기지 않으려면 기본 설정으로 제공되는 아이클라우드(iCloud)를 사용하는 것이 좋다. 만일 네트워크 정책 등에 의해 아이클라우드를 사용할 수 없는 경우라면 백업 경로에 남아있는 아이폰 백업 파일을 주기적으로 삭제하는 것이 바람직하다. 특히 파일을 삭제하더라도 일부 복구가 가능하므로 PC에서 파일을 삭제할 때는 파일 완전 삭제 프로그램(Wiping)을 사용하는 것이 좋다.

또한 아이폰은 비밀번호를 기록하고 있는 파일이 존재할 수 있다. 비밀번호를 사용하도록 하는 앱은 가급적 이용하지 않을 것을 권한다. 반드시 이러한 앱을 사용해야만 하는 경우라면 해당 앱을 사용한 후 삭제하는 등의 방법도 생각해볼 수 있겠다.@

 

• 
  
  
  
  
  
  
  
  
• 
  A-FIRST 소재현 연구원
  

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.

기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com