> For the complete documentation index, see [llms.txt](https://docs.cooku222.kr/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.cooku222.kr/security/papers/digital-forensics/2-1.md). # 삼성 스마트폰 맞춤형 서비스 애플리케이션을 이용한 디지털 포렌식 (2) \*본 글의 모든 내용, 그림, 표 출처는 논문 원문에 있습니다. {% embed url="" %} \[출처] 윤호. (2023.02). 삼성 스마트폰 맞춤형 서비스 애플리케이션을 이용한 디지털 포렌식. 고려대학교 일반대학원 정보보안학과 ### 아티팩트 분석 #### 수집 방식에 따른 비교

Smart Switch를 활용한 백업 방식과 제조사 직접 요청 방식으로 획득한 Life Log의 유형 및 로그 기록 기간에 대한 차이점 요약/정리

#### 로그 파일 분석 **Smart Switch 방식** -JSON 형태 -로그에 Timezone이 "Asia Seoul"로 기록되어 있음 -Unix Time 포맷의 시간과 UTC+9 기준 String 형태의 시간값이 같이 표기 위치 정보) -위치 정보가 기록된 로그 파일명은 "logging\_location\_log"

시간대별 위도, 경도, 고도가 한 개의 Record로 기록되며 다수의 Record가 존재

WiFi 연결 이력) -WiFi 연결 이력이 기록된 로그 파일명은 "logging\_wifi\_connection\_log"

시간대별 연결한 WiFi의 SSID, MAC 주소 그리고 연결 상태("Connected" or "Disconnected") 기록

Bluetooth 연결 이력) -Bluetooth 연결 이력이 기록된 로그 파일명은 "logging\_all\_bluetooth\_log"

Record는 각각의 Bluetooth 장치를 MAC 주소로만 구분하여 연결 이력을 기록

MAC 주소에 대칭되는 장치명은 "logging_all_bluetooth_device_dictionary" 파일에서 확인 가능, 장치별 최초 및 가장 마지막 연결 시간을 별도로 기록

애플리케이션 사용 이력) -애플리케이션 사용 이력이 기록된 로그 파일명은 "logging\_app\_usage" -실행된 애플리케이션의 패키지명과 함수명이 기록되며 애플리케이션 실행 시작 및 끝마친 시간이 같이 기록됨
Samsung Internet 브라우저 사용 이력) -"Samsung Internet 브라우저" 애플리케이션 사용 이력이 기록된 로그 파일명은 "logging\_web\_log"

Record는 방문한 사이트의 HTML <Title>, URL 그리고 방문 시간 기록

스마트폰 충전 이력) -스마트폰 충전 이력이 기록된 로그 파일명은 "logging\_charging\_log" -Record: "Connected"("1"(연결), "0"(연결해제)) 상태, "Plugged" 상태, "Level"(잔여 배터리) 기록
-아래에서 각 "place\_id"에 대칭되는 장소("place\_category")를 확인 가능 -여기서 장소란 "HOME", "WORK", "FREQUENTLY\_VISITED" 등으로 표시
\=> 두 로그 파일을 병행하여 살펴보면 어느 장소에서 핸드폰 충전을 하였는지 추정이 가능할 것으로 보임 MOTION 이력) -사용자 시간대별 Motion 상태가 기록된 로그 파일명은 "logging\_motion\_log"
스마트폰 설정 변경 이력) -사용자의 스마트폰 설정 변경 이력이 기록된 로그 파일명은 "logging\_setting\_change"
음악 재생 이력) -음악 재생 이력이 기록된 로그 파일명은 "logging\_music\_playback\_log"

Record는 시간대별 재생된 음악명, 앨범명, 그리고 음악을 재생한 애플리케이션의 패키지명이 기록됨

**제조사 직접 요청 방식** -제조사 직접 요청 방식에 따라 획득한 Life Log는 1개의 단일 파일에 모든 유형의 로그가 기록된 순서에 따라 뒤섞여 존재함 -"맞춤형 서비스" 애플리케이션이 최초 활성화된 이래부터 모든 로그를 확인할 수 있다는 점에서 Life Log가 기록된 모든 기간에 대해 제약 없이 확인 가능 -복수의 스마트폰을 사용한 사용자인 경우에도 동일한 삼성 계정으로 로그인하였다면 복수의 스마트폰 사용 로그를 확인 가능
WiFi 및 Bluetooth 연결 이력과 연결한 장소)
-개략적인 장소 정보와 연결 지속 시간, 시간대별 연결된 WiFi or Bluetooth의 MAC 주소와 WiFi 이름 또는 Bluetooth 장치명 기록 애플리케이션 사용 이력)
-"type"이 "app\_usage"인 값을 가짐 -> 실행한 애플리케이션의 시작 시간, 패키지명 그리고 실행 지속 시간을 millisecond 단위로 기록함 \=> 실행한 애플리케이션의 시작 및 끝마친 시간을 유추할 수 있음 Samsung Internet 브라우저 애플리케이션 사용 이력) -"type"이 "url"인 값을 가지고 있으며, 방문한 사이트의 HTML \, URL 그리고 방문 지속 시간을 millisecond 단위로 기록 <figure><img src="https://blog.kakaocdn.net/dna/buI1rl/btsEwIzF2mz/AAAAAAAAAAAAAAAAAAAAAFS7-uPoLdC__qlFey7vjXOKRFALi0Y7cg0jMKbRRCoR/img.jpg?credential=yqXZFxpELC7KVnFOS48ylbz2pIh7yKj8&expires=1782831599&allow_ip=&allow_referer=&signature=7DaXrhQIYk0VB8TVXWY3Z46miFs%3D" alt="" height="467" width="677"><figcaption></figcaption></figure> #### 결론 1\. "맞춤형 서비스" 애플리케이션은 사용자 편의 기능을 제공하며, 선탑재되어 있고, 삭제할 수 없는 특징으로 사용자들의 높은 활용도가 기대됨 2\. 기업 환경에서 임직원의 횡령, 배임, 기밀 유출 등 기업형 범죄가 매우 큰 파장을 일으키고 있는데, 이애 기업에서 업무용 스마트폰의 "맞춤형 서비스" 애플리케이션 사전 활성화를 통해 추가적인 비용과 인프라 구축 없이 Forensic Readiness를 도모할 수 있으며, Life Log를 바탕으로 기업 내 부정행위 조사 등에 다양하게 활용될 수 있을 것으로 기대됨<br> --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.cooku222.kr/security/papers/digital-forensics/2-1.md?ask=<question> ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.