스마트폰에서 클라우드 저장소 포렌식 데이터 복구

초록

본 연구는 iOS와 Android 스마트폰에 설치된 Dropbox, Box, Syncplicity, SugarSync 등 주요 클라우드 저장소 앱을 대상으로 포렌식 도구를 이용해 잔여 데이터를 추출하고, 앱 버전·디바이스 차이에 따른 복구 파일 수를 비교한다. 결과는 스마트폰이 클라우드에 저장된 자료의 부분적 복제본을 보유하고 있음을 확인했으며, 여러 디바이스에서 수집한 증거를 통합하면 보다 완전한 데이터셋을 재구성할 수 있음을 제시한다.

상세 요약

이 논문은 클라우드 기반 저장 서비스가 기업 및 개인 데이터 보안에 미치는 영향을 고려하여, 최종 사용자 디바이스인 스마트폰이 포렌식 조사에 제공할 수 있는 증거 가치를 체계적으로 검증한다. 연구자는 iOS 7–9와 Android 4.0–6.0 환경에 설치된 네 가지 클라우드 앱의 최신 버전과 이전 버전을 각각 5대씩 선정하여, Cellebrite UFED, Magnet AXIOM, 그리고 오픈소스 도구인 Autopsy 등을 활용해 파일 시스템, SQLite 데이터베이스, 캐시 디렉터리, 로그 파일 등을 추출하였다. 특히, 앱이 로컬에 유지하는 메타데이터(파일명, 해시, 수정일, 접근 경로)와 실제 파일(이미지, 문서, 오디오)의 존재 여부를 정량적으로 비교하였다.

주요 발견은 다음과 같다. 첫째, iOS와 Android 모두 앱이 자동으로 동기화한 파일의 일부를 로컬에 캐시하며, 이는 사용자가 오프라인 상태에서도 파일을 열람할 수 있게 하기 위한 설계이다. 둘째, 앱 버전에 따라 캐시 정책이 크게 달라졌다. 예를 들어, Dropbox 2.0 버전은 파일 미리보기를 위한 썸네일만 남기는 반면, 3.0 버전은 최근 열람한 파일 전체를 임시 저장소에 보관한다. Box와 Syncplicity도 유사하게 버전 업그레이드 시 로그 보존 기간과 데이터 암호화 방식이 변경되어 복구 가능한 파일 수에 차이를 만든다. 셋째, iOS는 샌드박스 구조가 강력해 앱 간 데이터 격리가 잘 이루어지지만, 백업 파일(.mbdx, .mddata)이나 탈옥된 디바이스에서는 시스템 레벨 로그까지 접근 가능해 증거 수집 범위가 확대된다. Android는 루팅 여부에 따라 접근 가능한 영역이 크게 달라지며, 외부 저장소(SD 카드)에 남은 파일이 비교적 많이 발견된다.

또한, 여러 디바이스에서 동일 계정으로 접근한 경우, 각 디바이스가 보유한 파일 집합이 상이함을 확인했다. 이는 사용자가 각각의 디바이스에서 파일을 선택적으로 다운로드하거나 삭제했기 때문이다. 따라서, 단일 디바이스만을 대상으로 조사할 경우 전체 클라우드 데이터의 일부만을 포착하게 되며, 다중 디바이스 포렌식 전략이 필요함을 강조한다. 마지막으로, 연구자는 복구된 파일의 무결성을 검증하기 위해 SHA‑256 해시를 비교했으며, 클라우드 서버와 로컬 캐시 간에 변조가 없음을 확인했다. 이는 스마트폰이 법정 증거로서 신뢰성을 가질 수 있음을 시사한다.

이러한 결과는 클라우드 포렌식에서 전통적인 서버‑사이드 접근이 어려운 상황에서도, 최종 사용자 디바이스를 통한 증거 수집이 실효성을 갖는다는 중요한 시사점을 제공한다. 또한, 앱 버전 관리와 디바이스 종류에 따른 차이를 고려한 표준화된 수집 절차가 필요함을 제안한다.