스마트폰 이미지 테스트 데이터 세트 구축
구축 방법
테스트 스마트폰은 총 11개이다. 각 테스트 스마트폰에는 디지털 포렌식 도구의 기능을 분석할 수 있는 아티팩트를 기록하였다. 테스트 스마트폰은 다음과 같은 절차로 구성하였다.
◦ 스마트폰 초기화 ◦ 기본 어플리케이션 사용 및 데이터 삭제 ◦ 서드파티 (3-rd party) 어플리케이션 사용 및 데이터 삭제 ◦ 루팅 후 이미지 획득 (스마트폰 분석기능 사용 시)
스마트폰은 국내에서 널리 사용되는 기종으로 선정하였으며 주요 제조사의 제품들을 선정하였다. 선정한 스마트폰은 다음과 같다.
| 제조사 | 제품 | 모델 |
| APPLE | IPHONE 4 16 | A1332 |
| IPHONE4S 16 | A1387 | |
| IPHONE5 16 | A1428 | |
| IPHONE5S 16 | A1457 | |
| SAMSUNG | GALAXY S3 LTE | SHV-E210S |
| GALAXY Note 2 | SHV-E250S | |
| GALAXY S4 LTE-A | SHV-E330s | |
| LG | G Pro 2 | LG-F350 |
| G3 | LG-F400 | |
| Pentech | Vega S5(W) | IM-A840S |
| VEGA Secret UP | IM-A900S |
테스트 데이터 세트 구축 시에는 스마트폰 포렌식 도구의 평가요소를 반영하여 구축하였다. 다음 표는 스마트폰 포렌식 도구의 기능 분석 평가 요소이다.
| 평가요소 분류 | 평가요소 |
| 데이터 추출 | 물리적 데이터 획득 |
| 논리적 데이터 획득 | |
| 장치 정보 | |
| 지원 OS | IOS, ANDROID, |
| Blackberry, Window Mobile | |
| 분석 | 전화번호부 목록 |
| 메일 | |
| 문자메시지 | |
| WIFI 접속 기록 | |
| 메모 | |
| 음성녹음 | |
| 사진 | |
| 동영상 | |
| 통화기록 | |
| 사용자 암호 | |
| 인터넷 아티팩트 | |
| GPS 아티팩트 | |
| 행아웃 | |
| 일정 | |
| 어플리케이션 데이터 분석 세부 기능 | |
| 데이터 복구 | |
| 타임라인지원 | |
| 연결성 분석 | |
| 보고서 작성 | |
[표 2]의 평가항목 중 ‘어플리케이션 데이터 분석 세부 기능’ 에서의 ‘어플리케이션’은 스마트폰 구매 시 기본으로 설치되어 있지 않고 사용자가 직접 사용하기 위해 설치한 서드파티 어플리케이션을 의미한다. 서드파티 어플리케이션은 사용빈도가 높으며 사용자의 행위를 추측할 수 있는 정보가 많다. 스마트폰 포렌식 도구에서 분석 기능을 지원하는 어플리케이션은 종류별로 다양하다. 이는 어플리케이션의 다양성과 개발사의 시각차에 기인한다. 수많은 어플리케이션을 모두 분석할 수 없으므로 개발사에서 분석할 주요 어플리케이션을 선정하는데, 개발사가 수사 시 중요할 것으로 예상되는 서비스를 선택하기 때문이다.
| 분류 | Application (총 29개) |
| 메신저 | 카카오톡,네이트온,네이버라인,QQ인터네셔널, WeChat,Skype,Viber,FacebookMessenger, 틱톡, 돈톡 |
| SNS | 트위터, Facebook, 카카오스토리, BAND |
| 메모 · 메일 | NAVER메일, NAVER메모, NAVER 캘린더, Evernote |
| 브라우저 | Chrome, NAVER, DAUM |
| 지도 | 다음지도, 네이버지도, 서울버스, Smarter Subway |
| 기타 | Youtube, N드라이브, 한글 2010 뷰어, Polaris Office |
한국의 실정에 맞게 [표 3]의 사용자가 많은 어플리케이션 29개를 선정하여 테스트 데이터 세트를 구축하였다. 어플리케이션의 버전은 2014년 11월 1일 기준 가장 최신 버전이다. 제품마다 지원하는 어플리케이션에 차이가 있으므로, 수사관은 스마트폰 분석 시 도구 기능 분석 결과를 참고하여 적절한 도구를 선택할 수 있을 것이다. 각 어플리케이션을 설치한 후, 스마트폰을 실제로 사용하였으며 데이터 복구 기능의 지원 여부를 확인하기 위해 임의로 데이터를 삭제하였다. 각 스마트폰 별로 삭제한 데이터는 별첨 ‘스마트폰 기능 분석 결과.xlsx’에서 확인할 수 있다.
한계
구축한 스마트폰 테스트 데이터 세트는 스마트폰 포렌식 도구 간의 기능 비교 분석 시에만 활용할 수 있다는 한계가 있다. 스마트폰은 그 종류가 매우 다양하며 같은 스마트폰이더라도 OS 버전별로 기능 분석 실험 결과가 다르게 나타날 수 있다. 또한 스마트폰에서 사용되는 어플리케이션의 경우 업데이트가 빈번하여 도구 기능 분석을 위한 테스트 세트도 지속적으로 관리해야한다는 한계가 있다.
