정의 및 설명[편집]

최근 디지털 이미지(digital image)를 생성하는 카메라 기능은 일반적인 디지털 카메라 뿐만 아니라 스마트폰, 태블릿과 같은 사용자와 밀접한 임베디드 기기에 기본적으로 탑재되고 있고 있다. 이러한 기기들은 이미지 센서에 입력된 빛에 관한 데이터를 다양한 방식으로 인코딩해서 이미지 파일의 형태로 저장할 수 있다. 특히 사용자에 의해서 생성된 이미지 데이터는 개인의 사생활과 매우 밀접할 수 있기 때문에 디지털 포렌식 관점에서 매우 중요한 증거 자료로 활용되기도 한다. 아래표는

그래픽	확장자	구분	제조사	설명
Vector	.ai	Adobe Illustrator File	Adobe Systems	Adobe사의 Adobe Illustrator 파일 벡터 기반의 이미지 드로잉 파일이기 때문에 이미지의 질을 저하시키지 않고 확대할 수 있으며 주로 그래픽 전문가들에 의해 사용된다.
	.eps	Encapsulated PostScript File	Adobe Systems	Post Script 언어에서 사용되는 그래픽 파일 포맷이다. 바이너리나 ASCII로 저장될 수 있다. 손실률이 낮고 용량이 적어서 전자 출판에 널리 사용되며 다른 OS의 전송에도 자주 사용된다.
	.ps	PostScript File	Adobe Systems	Post Script의 2D 벡터 그래픽 , 비트맵 , 텍스트를 포함한 파일 별다른 응용프로그램 없이 PostScript Printer로 직접 출력할 수 있다. 스크립트이기 때문에 사람이 읽을 수 있으며 장치에 독립적일 수 있다. 최근에는 PDF에 밀려 사라지는 추세이다.
	.svg	Scalable Vector Graphics File	W3C	W3C에서 발표한 2D 벡터 그래픽 포맷 웹에서 벡터 표준 포맷으로 사용하기 위해 개발되었다. XML기반으로 되어 있어 SVG 전문 그래픽 편집 프로그램 뿐만 아니라 문서 편집기로도 편집이 가능하다.
Raster	.bmp	Bitmap Image File	Microsoft	압축하지 않은 래스터 이미지 포맷이다. BMP파일은 다양한 레벨의 색상 수를 지정하여 색 정보를 나타낸다. 압축을 하지 않기 때문에 상대적으로 용량이 클 수 있다. 별도의 압축과정을 통해 상당 용량을 압축할 수 있다.
	.dds	DirectDraw Surface	Microsoft	Microsoft DirectX에서 사용되는 Raster Image이다. 텍스처 매핑과 입방체 환경지도를 저장하는데 쓰이며 PS3와 XBOX360과 같은 게임기기의 압축된 데이터를 저장하는데 유용하다.
	.gif	Graphical Interchange Format File	Compu Serve	GIF는 작은 이미지와 텍스쳐를 포함한 웹 그래픽의 기본 포맷이다. 무손실 압축 포맷이며 256 색의 Index Color를 이용한다. 애니메이션으로 저장할 수 있으며 거의 모든 웹 브라우져에서 재생 가능하다.
	.jpg	JPEG Image	Joint Photographic Experts Group	JPEG(Joint Photographic Experts Group)에서 만든 손실압축 포맷이다. 24bit 색의 디지털 사진에 주로 사용된다. 이미지의 압축으로 용량이 줄기 때문에 웹 그래픽에 기본적으로 많이 사용된다. 단, JPEG의 큰 압축률을 이용한 압축은 이미지의 질을 저하시킨다. 또한 RGB 데이터를 YCbCr 데이터로 변환하기 때문에 JPEG 저장시 화질을 100%로 지정해도 원본과 차이를 갖게 된다.
	.png	Portable Network Graphic	W3C(World Wide Web Consortium)	Portable Network Graphic의 이미지 저장 파일이다. GIF파일의 저작권 문제를 해결하기 위해 개발되었으며 GIF와 비슷하지만 저작권 제한이 없다. 무손실 압축을 하기 때문에 JPEG보다 더 나은 화질을 보인다. 주로 웹 페이지에서 많이 사용된다. 다만, PNG는 GIF와 다르게 애니메이션을 지원하지 않는다. 대신 APNG, MNG 포맷을 이용하여 애니메이션을 사용할 수 있다.
	.psd	Adobe Photoshop Document	Adobe Systems	Adobe 사의 Photoshop 기본 이미지 파일이다. 마스크, 색 공간, ICC 프로파일, 투명도, 문자열 등 대부분의 옵션 지원을 포함하여 이미지를 저장할 수 있다.
	.pspimage	PaintShop Pro Image	Corel	Corel PaintShop Pro의 이미지를 저장하는 그래픽 파일이다. Raster와 Vector를 저장할 수 있으며 레이어, 투명도, 필터등 다양한 효과를 저장할 수 있다. 일반적으로 보정 사진을 저장할 뿐만 아니라 다른 Raster 이미지 파일 형식으로 이미지를 저장하는데 사용되기도 한다.
	.tga	Targa Graphic	Avid Technology	트루비전에서 만든 Raster Graphic 포맷이다. 8, 16, 24, 32bit로 이루어진 픽셀 값으로 저장되어 있다. 3D 비디오 게임에 자주 사용된다.
	.thm	Thumbnail Image File		작은 아이콘 크기의 이미지로 큰 이미지의 '미리보기'에 사용된다. 주로 웹이나 클립 아트 갤러리에 사용된다.
	.tiff	Tagged Image File Format	Microsoft&앨더스(Aldus)	Raster와 Vector 값 모두를 저장할 수 있는 그래픽 포맷이다. 1~24bit의 색상 수를 지원하는 고품질 그래픽을 사용할 수 있다. 압축(무손실) 포맷 또는 JPEG같은 손실 압축을 지원한다. LZW무손실 압축을 사용할 경우 TIFF 파일 사이즈를 줄이지만 이미지의 질을 저하하지 않는다. TIFF는 고품질 칼라 이미지를 저장하기 위한 표준 포맷으로 개발되었다.
3D	.3dm	Rhino 3D Model	Robert McNeel & Associates	CAD, CAM, CAE 기타 컴퓨터 그래픽 소프트웨어에서 3D 이미지 저장이나 3D 형상 변환에 사용되는 3D 오픈소스 모델이다.
	.3ds	3D Studio Scene	Autodesk	3D 이미지 포맷은 Autodesk 3D Studio에 사용된다. Mesh data, material 속성, 비트맵 참조등 다양한 정보를 포함하며 애니메이션 데이터도 포함된다.
	.max	3ds Max Scene File	Autodesk	3DS MAX, 3D 모델링, 애니메이션, 렌더링 프로그램에서 사용되는 3D 파일이다. 선, 텍스처, 광원효과등 다양한 모델을 포함하고 있어 게임, 영화, TV등 전문 그래픽에 사용할 용도로 사용된다.
	.obj	Wavefront 3D Object File	Wavefront Technologies	3D 좌표, 텍스처 맵, 객체 정보를 담은 3D 정보로 된 객체이다. 다양한 프로그램에서 이용되는 표준 3D 이미지 포맷이다.

기술 현황[편집]

이미지 파일 내부 구조 분석[편집]

대표적인 이미지 파일 포맷^[1] 으로는 JPEG/JFIF, JPEG2000, PNG, BMP, GIF 등이 있다. 대부분의 이미지 파일 포맷은 앞부분에 해당 파일에 대한 메타데이터(metadata)를 관리하고 있으며, 뒷부분에 실제 이미지 데이터를 저장한다. 이미지 파일의 메타데이터는 파일 포맷 자체적으로 관리하기도 하며, Exif(Exchangeable image file format)와 같은 공통 포맷을 사용하여 저장하기도 한다. 현재 널리 사용되는 이미지 파일에 대해서는 내부 구조가 대부분 공개되어 있으며, 구조 분석을 위한 자동화된 도구도 존재하는 상황이다. 그러나 이미지 파일을 생성하는 기기에 따라서 엔디안(Endian)을 바꿔서 저장하는 등의 변형이 일어날 수 있는데, 이러한 상황에서도 활용이 가능한 도구를 개발할 필요가 있다.

JPEG 파일 내의 메타데이터 (Exif) 확인(도구 : JPEGsnoop, http://www.impulseadventure.com/photo)

특히 이미지 파일의 메타데이터는 개인의 정보를 알 수 있는 중요한 데이터이기 때문에 찍은 시간, 위치 정보 등의 다양한 형태의 이미지 메타데이터를 효과적으로 추출하고, 통합적으로 분석할 수 있는 체계를 마련할 필요가 있다.

이미지 데이터 블록(파편) 분류[편집]

단편화된 이미지 데이터를 효과적으로 복구하기 위해서는 이미지 파일에 포함되는 블록을 분류하는 기술이 필요하다. 이미지 데이터 블록을 분류하는 작업은 단편화된 이미지 파일에 대한 재구성 알고리즘의 효율성을 위해서 매우 중요하기 때문에 이와 관련하여 지속적인 연구가 필요한 상황이다. 그러나 현재까지 효과적으로 이미지 데이터 블록을 분류하는 알고리즘은 제시되지 않고 있다. 최근 사용되는 대부분의 이미지 파일은 데이터 저장의 효율성을 위해 압축 알고리즘을 적용하기 때문에 단순한 바이트 빈도 또는 분포를 측정하는 방법으로는 효과적인 분류를 할 수 없다. 엔트로피(Entropy) 계산을 통해서 난수성이 높은 블록을 이미지 블록의 후보군으로 판단할 수 있지만, 이 방법은 이미지 블록 이외의 난수성이 높은 데이터와의 구분을 할 수 없기 때문에 오탐율이 높다. 따라서 이미지 데이터에 적용되는 인코딩 알고리즘의 특성에 따른 분류 기법에 대한 연구가 필요하다.

삭제된 이미지 파일(데이터) 복구[편집]

이미지 데이터 전체가 연속적으로 저장되어 있는 경우에는 파일 시그니처를 탐지하는 방법으로 효과적인 복구가 가능하지만, 데이터가 단편화된 경우에는 보다 지능적인 알고리즘이 요구된다. 단편화된 데이터에 대한 복구 기법은 이미지와 같은 멀티미디어 데이터에 대해서 주로 연구되어왔다. Bifragment gap carving ^[2] 은 파일이 두 개의 조각으로 단편화된 경우에 대한 카빙 기법이다. 이 연구에서는 임의의 HDD를 대상으로 파일 단편화에 대한 통계를 낸 결과 두 개의 조각으로 단편화가 일어난 경우가 대부분을 차지한다는 결과를 바탕으로 연구를 진행했으며, 파일의 구조 검증을 통해 유효한 조각을 검색한다. 단편화가 심하지 않은 경우를 가정하기 때문에 헤더/푸터 검증, 컨테이너 구조 검증, 압축 구조 검증 등의 방법으로 유효한 조각을 발견할 수 있다.

SmartCarving 기법

SmartCarving ^[3] ^[4] 은 보다 발전된 형태의 카빙 기법으로 여러 조각으로 단편화된 데이터에도 적용이 가능하다. 이 기법은 크게 3가지 단계로 구성된다. 첫 째는 전처리(preprocessing) 단계로 파일 시스템을 해석하여 할당 영역은 대상에서 제거한다. 두 번째 단계에서는 각 비할당 블록을 타입 별로 분류함과 동시에, 단편화된 데이터 카빙의 후보 블록을 분류한다. 이 과정은 주요 파일의 시그니처 검색, 엔트로피 계산 등을 통해서 수행된다. 그리고 마지막 단계인 재조합(reassembly)에서는 단편화된 데이터에 대한 카빙을 수행한다. 이 때 각 파일 형식별로 파일 구조 결합, Sequential Hypothesis Testing 등의 다양한 재조합 방법을 사용한다. 이 연구에서는 JPEG 이미지 데이터에 대한 재조합을 위해서 인접한 픽셀의 유사도를 확인하는 방법을 이용하였으며, 이 기법은 상용 도구 ^[5] 에 적용되어 개발되고 있다. SmartCarving 기법이 발표된 이후에 이를 확장한 형태의 카빙 기법도 연구되고 있고 있다. R. Poisel et al.은 멀티미디어 데이터(이미지, 비디오)에 대한 카빙 도구를 개발하는 연구를 진행하면서, SmartCarving 기법의 재조합(reassembly) 단계를 더 강화하는 결과를 발표하고 있다 ^[6] ^[7] .

단편화된 멀티미디어 데이터 카빙 기법(출처 : R. Poisel and S. Tjoa, “Roadmap to approaches for carving of fragmented multimedia files”)

손상된 이미지 파일(데이터) 복구[편집]

손상된 이미지 파일(데이터)을 복구하는 연구는 거의 진행되지 않았다. 특히 압축 알고리즘에 의해서 인코딩되는 이미지 데이터의 경우에는 디코딩을 위한 정보가 손상되었다면 그 내용을 확인할 수 없는 상황이다 (고정된 디코딩 정보를 사용하는 경우는 예외). 최근 안티포렌식 기법이 보급되면서 중요한 증거 데이터가 손상된 상태로 남겨져 있을 수 있으므로 이러한 상황에 대응할 수 있는 기술을 연구할 필요가 있다.

향후 연구[편집]

이미지 파일의 메타데이터는 개인의 정보를 알 수 있는 중요한 데이터이기 때문에 찍은 시간, 위치 정보 등의 다양한 형태의 이미지 메타데이터를 효과적으로 추출하고, 통합적으로 분석할 수 있는 체계를 마련할 필요가 있다. 이미지 데이터에 대한 복구 기술은 가장 시급한 연구 분야 중의 하나이며, 특히 단편화된 이미지 데이터에 대한 체계적인 연구 개발이 요구된다. 기존의 연구들에서 다양한 카빙 기법을 제안하였으며, 효과적인 카빙을 위한 프로세스 모델도 개발하였다. 그러나 단편화된 데이터를 카빙하는 실용적인 알고리즘을 개발하는 작업이 매우 어렵기 때문에 데이터 포맷 별로 오탐율이 낮은 효과적인 재구성(재조합) 알고리즘을 지속적으로 연구 개발할 필요가 있다. 이론적인 연구와 함께 알고리즘을 구현하여 자동화된 도구의 개발도 함께 진행되어야 한다. 추가적으로 이미지 데이터 조작 여부 탐지, 실사/컴퓨터그래픽 판별 기법, 카메라 식별 기법 등에 대해서도 지속적인 연구 개발이 필요할 것이다.

참고문헌[편집]

↑ Wikipedia, Comparison of graphics file formats, http://en.wikipedia.org/wiki/Comparison_of_image_file_formats
↑ Garfinkel S. “Carving contiguous and fragmented files with fast object validation”. In: Proceedings of the 2007 digital forensics research workshop, DFRWS, Pittsburgh, PA; August 2007.
↑ A. Pal, H. T. Sencar, and N. D. Memon, “Detecting file fragmentation point using sequential hypothesis testing,” Digital Investigation, vol. 5, no. Supplement 1, pp. S2 – S13, 2008.
↑ A. Pal and N. D. Memon, “The evolution of file carving,” IEEE Signal Processing Magazine, vol. 26, no. 2, pp. 59–71, March 2009.
↑ Digital Assembly, Adroit Photo Forensics, URL: http://digital-assembly.com/products/adroit-photo-forensics/
↑ R. Poisel and S. Tjoa, “Roadmap to approaches for carving of fragmented multimedia files,” in Proc. of the 4th International Workshop on Digital Forensics (WSDF’11), Vienna, Austria. IEEE, August 2011, pp. 752–757.
↑ R. Poisel, S. Tjoa und P. Tavolato, "Advanced File Carving Approaches for Multimedia Files", Journal of Wireless Mobile Networks, Ubiquitous Computing, and Dependable Applications (JoWUA), Vol. 2, No. 4, S. 42-58, December 2012.
↑ http://www.digitalforensics.at/projects/multimedia-file-carving-mmc/?lang=en
↑ http://code.google.com/p/reviveit/
↑ http://digital-assembly.com/products/adroit-photo-forensics/

[1] Wikipedia, Comparison of graphics file formats, http://en.wikipedia.org/wiki/Comparison_of_image_file_formats

[2] Garfinkel S. “Carving contiguous and fragmented files with fast object validation”. In: Proceedings of the 2007 digital forensics research workshop, DFRWS, Pittsburgh, PA; August 2007.

[3] A. Pal, H. T. Sencar, and N. D. Memon, “Detecting file fragmentation point using sequential hypothesis testing,” Digital Investigation, vol. 5, no. Supplement 1, pp. S2 – S13, 2008.

[4] A. Pal and N. D. Memon, “The evolution of file carving,” IEEE Signal Processing Magazine, vol. 26, no. 2, pp. 59–71, March 2009.

[5] Digital Assembly, Adroit Photo Forensics, URL: http://digital-assembly.com/products/adroit-photo-forensics/

[6] R. Poisel and S. Tjoa, “Roadmap to approaches for carving of fragmented multimedia files,” in Proc. of the 4th International Workshop on Digital Forensics (WSDF’11), Vienna, Austria. IEEE, August 2011, pp. 752–757.

[7] R. Poisel, S. Tjoa und P. Tavolato, "Advanced File Carving Approaches for Multimedia Files", Journal of Wireless Mobile Networks, Ubiquitous Computing, and Dependable Applications (JoWUA), Vol. 2, No. 4, S. 42-58, December 2012.

[8] ttp://www.digitalforensics.at/projects/multimedia-file-carving-mmc/?lang=en

[9] ttp://code.google.com/p/reviveit/

[10] ttp://digital-assembly.com/products/adroit-photo-forensics/

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

구분	도구	주요 특징
오픈소스	Multimedia File Carver ^[8]	멀티미디어 (이미지, 동영상) 파일 카빙 데이터 타입 분류, 단편화된 데이터 복구
오픈소스	ReviveIt ^[9]	DFRWS 2007 forensic challenge SmartCarving 기법
상용	Adroit Photo Forensics ^[10]	멀티미디어 (이미지) 파일 카빙 단편화된 데이터 복구

이미지

목차

정의 및 설명[편집]

기술 현황[편집]

이미지 파일 내부 구조 분석[편집]

이미지 데이터 블록(파편) 분류[편집]

삭제된 이미지 파일(데이터) 복구[편집]

손상된 이미지 파일(데이터) 복구[편집]

관련 도구[편집]

향후 연구[편집]

참고문헌[편집]

둘러보기 메뉴

개인 도구

이름공간

변수

보기

더 보기

검색

둘러보기

도구