디지털 포렌식 관점의 HWP 파일 편집 이력 추적 기법

Abstract

국내 공공·교육기관에서 주로 사용하는 HWP파일은 2000년 출시된 글 워디안 제품에서 사용하기 시작한 한글 문서 파일 형식 5.0으로 최신 한글 제품에서도 사용되고 있으나, 파일에서 확인할 수 있는 포렌식 아티펙트는 MS Word에 비해 알려진 것이 많지 않다. HWP 파일도 다른 문서파일처럼 저작권 분쟁, 산업 기술 유출 등 각종 사건의 쟁점이 될 수 있으며 문서 편집 이력 및 작성자 특정이 필요한 경우가 존재한다. 기존 연구가 HWP 파일내 은닉된 데이터를발견하거나 문서 요약정보에 포함된 시간과 파일시스템 시간을 비교하여 위변조 여부를 판단하는 것에 중점을 두었다면, 본 연구는 HWP 편집 이력과 HWP 편집 S/W 식별 등 수사에 직접 활용 가능한 아티펙트를 최대한 발견하고 활용할 수 있는 방안 마련에 초점을 맞추었다. HWP파일내 스트림을 상세 분석한 결과 문서화되지 않았지만디지털포렌식 관점에서 의미 있는 데이터들이 다양하게 존재하였다. 문서 개체 생성 시간을 파악할 수 있는 InstanceId 필드 분석을 통해 사용자의 편집 이력을 확인하거나, 파일내 다양한 시간 데이터들을 시간 일관성 유지 여부 파악에 사용하여 문서 위변조를 판별하였다. 또한 HWP 편집 S/W 버전, 운영체제 환경 등 문서 작성자를 특정할 수 있는 아티펙트도 존재하였다. 이러한 아티펙트들을 직관적으로 보여주고 HWP 레코드별 상세 분석 기능을 가진 도구를 개발하여 분석관들이 실무에서 유용하게 사용할 수 있도록 하였다.