디지털 포렌식 관점의 HWP 파일 편집 이력 추적 기법Forensic Investigation of HWP File
- Other Titles
- Forensic Investigation of HWP File
- Authors
- 박세율; 이상진
- Issue Date
- 2020
- Publisher
- 한국디지털포렌식학회
- Keywords
- HWP 포렌식 아티펙트; HWP 편집 이력; HWP 복사본 구분; HWP Forensic Artifact; HWP Editing History; Identifing copied HWP Document
- Citation
- 디지털포렌식연구, v.14, no.4, pp.408 - 425
- Indexed
- KCI
- Journal Title
- 디지털포렌식연구
- Volume
- 14
- Number
- 4
- Start Page
- 408
- End Page
- 425
- URI
- https://scholar.korea.ac.kr/handle/2021.sw.korea/131069
- DOI
- 10.22798/KDFS.2020.14.4.408
- ISSN
- 1976-5304
- Abstract
- 국내 공공·교육기관에서 주로 사용하는 HWP파일은 2000년 출시된 글 워디안 제품에서 사용하기 시작한 한글 문서 파일 형식 5.0으로 최신 한글 제품에서도 사용되고 있으나, 파일에서 확인할 수 있는 포렌식 아티펙트는 MS Word에 비해 알려진 것이 많지 않다.
HWP 파일도 다른 문서파일처럼 저작권 분쟁, 산업 기술 유출 등 각종 사건의 쟁점이 될 수 있으며 문서 편집 이력 및 작성자 특정이 필요한 경우가 존재한다. 기존 연구가 HWP 파일내 은닉된 데이터를발견하거나 문서 요약정보에 포함된 시간과 파일시스템 시간을 비교하여 위변조 여부를 판단하는 것에 중점을 두었다면, 본 연구는 HWP 편집 이력과 HWP 편집 S/W 식별 등 수사에 직접 활용 가능한 아티펙트를 최대한 발견하고 활용할 수 있는 방안 마련에 초점을 맞추었다. HWP파일내 스트림을 상세 분석한 결과 문서화되지 않았지만디지털포렌식 관점에서 의미 있는 데이터들이 다양하게 존재하였다. 문서 개체 생성 시간을 파악할 수 있는 InstanceId 필드 분석을 통해 사용자의 편집 이력을 확인하거나, 파일내 다양한 시간 데이터들을 시간 일관성 유지 여부 파악에 사용하여 문서 위변조를 판별하였다. 또한 HWP 편집 S/W 버전, 운영체제 환경 등 문서 작성자를 특정할 수 있는 아티펙트도 존재하였다. 이러한 아티펙트들을 직관적으로 보여주고 HWP 레코드별 상세 분석 기능을 가진 도구를 개발하여 분석관들이 실무에서 유용하게 사용할 수 있도록 하였다.
- Files in This Item
- There are no files associated with this item.
- Appears in
Collections - School of Cyber Security > Department of Information Security > 1. Journal Articles
Items in ScholarWorks are protected by copyright, with all rights reserved, unless otherwise indicated.