태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

음성파일의 위조 여부 판별에 대한 디지털포렌식 분석


스마트폰 갤럭시S2(SHW-M250S)내에 저장된 음성파일의 변조 여부 파악


음성파일 위변조 여부 주요 쟁점내용

스마트폰에 저장된 음성파일의 해당 스마트폰에서의 녹음 여부

스마트폰에서 녹음된 파일의 해당 스마트폰 내에서의 이름변경 여부

다른 폰이나 녹음기기에서 녹음된 파일의 스마트폰으로의 이동여부

음성파일의 조작 여부 등에 대한 분석이 필요합니다.


음성파일 위조 변조 분석 작업과정

우선 스마트폰을 이미지 덤프카피하여 원본이미지를 보관합니다.

이때 사용한 솔루션은 당사의 스마트폰 복구 솔루션인 "모바일탐정"을 이용했습니다.


"모바일탐정"은 스마트폰 메모리를 byte to byte 방식으로 이미지 덤프카피하는 방식으로 완전성을 충족시키는 툴입니다.

해당 원본이미지를 복구 및 분석하여 음성파일 및 관련 정보를 추출합니다.

그 결과 추출된 음성파일을 대상으로 정상/삭제여부, 파일명, 확장자, 파일크기, 생성시간, 수정시간, 접근날짜, 저장위치 등을 분석합니다.

다음으로 동일한 기종의 스마트폰을 준비하여 동일한 애플리케이션 및 OS를 이용하여 해당 스마트폰 내에서의 작업과정을 동일하게 수행하여 특성을 분석합니다.


그 결과 저장위치와 파일크기등의 속성이 같은 다른 파일이름은 이름이 변경된 것임을 확인할 수 있었습니다.

또한 저장시 자동 생성되는 파일명과 변경된 파일명, 확장자종류 등을 비교하여 분석을 완료할 수 있었습니다.


음성파일 위변조분석결과

분석결과 음성파일은 정상58, 삭제7, 총65여개가 있었으며, 해당폰에서 저장된 것은 8개뿐이라는 것을 확인 할 수 있었습니다.


또한 8개 파일 중 3개가 삭제된 것으로 나왔으나 이름이 변경된 것으로 확인 되었으며, 5개만이 정상적으로 해당 스마트폰에서 녹음되고 그중 3개는 이름만 변경된 것으로 확인 되었습니다.

그 결과 5개 파일은 증거능력으로 인정 받을 수 있었습니다.



Posted by 디로그포렌식

댓글을 달아 주세요

  1. 김영배 2016.08.25 17:49 신고  댓글주소  수정/삭제  댓글쓰기

    휴대폰으로 녹음한 대화파일을 카카오톡으로 전송 받았습니다.
    그런데 이 대화파일에 위변조가 있었는지 확인하고 싶습니다.
    파일 복사본을 제출하면 위변조 여부를 알 수 있을까요?
    아님 원본이 있어야 하는지요?

  2. 보라 2017.10.11 23:03 신고  댓글주소  수정/삭제  댓글쓰기

    스마트폰 동영상 음성을 확인하고 싶은데 가능할까요?

  3. 2017.10.11 23:04  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

계약서 위조 분쟁관련 이메일 위변조 여부 판별 [디지털포렌식 분석사례]



보안관련 소프트웨어 개발사인 A사에서 근무하던 “홍길동”은 사업 일부를 분사하는 조건으로 A사를 퇴사하고 B사를 설립하였습니다.

<네이버 분사업체 뉴스 검색 - 많은 회사들이 선택과 집중을 위해 분사를 하고 있습니다.>


B사를 운영하면서 A사에 종속전인 관계를 유지할 수밖에 없었으나 A사가 경영난을 겪으면서 대금 결제도 미루고 유비보수에 관련된 책임을 B사에 떠넘기려 하면서 문제가 발생하였습니다.

A사에서는 사전에 이메일 및 정보교환을 통한 계약서에 A사의 유지보수를 B사가 맡는 조건으로 결제대금을 상계하도록 되어있다고 주장하고, B사는 A사의 경쟁력이 약화된 상태에서 의미없는 유지보수 대행을 이유로 결제대금을 상계할 이유가 없으므로 그러한 계약서를 작성한 적이 없다고 대금 결제를 요구하게 된 것입니다.



결국 A사에서는 이메일 자료 등 방대한 자료를 제출하여 자신의 주장을 펼쳤으며, B사는 A사의 이메일 등 자료가 자신들과 주고받은 정상적인 데이터가 아니라 위조되거나 변조된 계약서라는 주장입니다.

결국 이메일에 첨부된 계약서가 위조, 변조된 것인지의 여부가 쟁점 사항이 되어, 실제 사용된 메일 계정 및 이메일 내용에 대한 디지털포렌식을 통한 분석을 진행하게 되었습니다.



논란의 쟁점은
1. 주어진 이메일 계정(___@msn.com)에 저장된 메일과 A사에서 제시한 메일 증거 비교 분석
2. 주어진 이메일 계정(___@msn.com)의 보낸 메일함에서 출력한 증거 확인
3. A사에서 B사에 오래전 보낸 메일의 내용을 수정 또는 위조, 변조한 내역 확인
4. ___@msn.com 계정에서 Outlook Express 프로그램으로 다운받아서 변조하면 위조, 변조 가능성여부 판단
5. ___@msn.com 계정의 회사 업무상 사용에 대한 보안성 여부 확인
6. 기타 참고사항에 대한 의견 및 검증 확인
이었습니다.



결론은 msn.com메일 계정에 있는 원본 메일의 위조, 변조가 가능하다는 것이었습니다. 아웃룩의 경우 다운받은 파일 위조, 변조는 쉬우며, 동시에 IMAP 프로토콜을 사용할 경우 msn.com의 메일서버의 원본도 동기화되어 위조, 변조 될수 있어서 이메일 계정에 남아 있는 계약서가 위변되었을 가능성이 있어서 실질적으로 원본으로서 인정을 받지 못해 증거능력이 없는 것으로 판결 났습니다.



결국 B사는 A사에 대금 청구를 할 수 있었습니다.

이처럼 민감한 문제에 대하여도 디지털포렌식을 통한 객관적인 검증 및 분석을 통하여 증거능력을 인정 받을 수도 있고 반대로 증거능력을 상실하게도 되기도 합니다.



어려운 디지털포렌식 문제에 부딪혔을 경우 부담 갖지 마시고 저희 디로그포렌식을 찾아 상담하시면 좋은 해결책을 찾으실 수 있습니다.

감사합니다.





Posted by 디로그포렌식

댓글을 달아 주세요