초록 열기/닫기 버튼
최근 개인 정보 보호에 대한 관심이 높아짐에 따라 사진, 동영상, 문서 등의 파일을 별도의 저장소에 암호화하여 저장하고 사용자 인증을 통한 접근을 허용하는 애플리케이션들이 다수 등장하였다. 이는 ‘Vault App’ 또는 ‘Ghost App’ 라 불리며 데이터를 암호화하여 저장할 뿐 아니라 데이터 인식을 어렵게 하거나 특정 데이터를 제거하는 기능을 수행하기도 한다. 이러한 Vault App을 이용한 데이터 암호화는 포렌식 수사 과정에서 데이터 분석 수행에 어려움이 될 수 있다. 또한 실제 일부 사용자들은 이를 특정 범죄 행위와 관련한 증거를 은닉 또는 암호화하는 데 악용되고 있다. 이에 따라 Vault App을 통해 암호화된 데이터들은 포렌식 관점에서 유의미한 데이터가 포함될 가능성이 크므로 이에 대한 복호화 방안 연구가 필요하다. 따라서 본 논문에서는 보안 폴더 기능을 제공하는 Vault App 중 하나인 LockMyPix를 분석하고 해당 애플리케이션이 암호화하는 사진 및 동영상 데이터를 복구하는 방안을 제시한다. LockMyPix가 지정한 사진 또는 동영상을 저장하는 별도의 숨김 디렉토리 경로와 키 파일을 디버깅 분석을 통해 식별하고, 역공학 분석을 통해 PIN을 이용한 암호화 키 생성 및 데이터 파일 암호화 프로세스를 분석하였다. 또한, 분석한 암호화 프로세스를 바탕으로 키 파일과 원본-암호화 파일 쌍을 이용한 PIN 번호 추출 방안과 모든 암호화 파일 복호화 방법을 제안한다. 더불어 제안하는 복호화 방안의 한계를 시사하고 이를 개선하기 위한 향후 연구 방안을 제시한다.
In recent years, as interest in personal information protection has increased, a number of applications have emerged that encrypt and store files such as photos, videos, and documents in a separate storage and allow access through user authentication. This is called 'Vault App' or 'Ghost App' and it not only encrypts and stores data, but also makes it difficult to recognize data or removes certain data. Data encryption using such a Vault App may be difficult to perform data analysis during a forensic investigation. In addition, some users are actually using it to conceal or encrypt evidence related to certain criminal activities. Accordingly, the data encrypted through the Vault App is highly likely to contain meaningful data from a forensic point of view, so a study on a decryption method for this is needed. Therefore, in this paper, we analyze LockMyPix, one of the Vault Apps that provide a secure folder function, and propose a method to recover the photo and video data encrypted by the application. A separate hidden directory path and key file for storing photos or videos designated by LockMyPix were identified through debugging analysis, and the encryption key generation and data file encryption process using a PIN were analyzed through reverse engineering analysis. Also, based on the analyzed encryption process, we propose a PIN number extraction method using a key file and an original-encrypted file pair and a method for decrypting all encrypted files. In addition, this paper suggests the limitations of the proposed decoding method and future research plans to improve it.
키워드열기/닫기 버튼
Vault application, Vault application decryption, Android application decryption, Mobile forensics
