안드로이드 위챗 포렌식 분석과 증거 상관관계

초록

본 논문은 안드로이드 스마트폰에 남는 위챗(WhatsApp) 메신저의 모든 디지털 흔적을 체계적으로 조사하고, 각 파일을 해석·복호화한 뒤 상호 연계하여 연락처 추가·삭제 시점, 메시지 전송·삭제 여부, 그룹 채팅 참여 이력 등을 재구성하는 방법을 제시한다.

상세 분석

이 연구는 기존 연구가 주로 채팅 데이터베이스(msgstore.db)만을 대상으로 했던 점을 보완하여, contacts.db, avatar 파일, 로그 파일, 설정 파일 등 위챗이 생성하는 9가지 종류의 아티팩트를 전부 분석한다. 특히 contacts.db의 wa_contacts 테이블에 저장된 jid, is_whatsapp_user, thumb_ts, photo_id_timestamp 등 필드를 이용해 연락처가 언제 추가·삭제·차단되었는지를 타임스탬프 기반으로 추출한다. avatar 이미지 파일은 JPEG 형식으로 저장되며, 파일명과 thumb_ts를 매칭함으로써 사용자의 실제 신원을 시각적으로 확인할 수 있다.

msgstore.db는 메시지 본문, 전송자/수신자 jid, status(0=전송, 1=전달, 2=읽음), timestamp, media_wa_type 등 다양한 컬럼을 포함한다. 논문은 status 값과 media_wa_type을 조합해 텍스트·이미지·오디오·비디오 등 각 메시지 유형의 전송·수신·삭제 여부를 판단하는 로직을 제시한다. 또한, 로그 파일(whatsapp.log)과 백업 파일(msgstore.db.crypt)에서 추출한 암호화 키를 활용해 복호화 과정을 상세히 설명하고, 복호화된 데이터와 DB 데이터를 교차 검증함으로써 삭제된 메시지의 존재 여부를 간접적으로 확인한다.

그룹 채팅의 경우, msgstore.db의 key_remote_jid 필드에 “group-id@g.us” 형태가 저장되며, participants 테이블과 결합해 그룹 생성·해체·멤버 추가·제거 시점을 재구성한다. 또한, “media_sent” 디렉터리와 “media/WhatsApp Images” 등 실제 미디어 파일 경로를 분석해 파일 메타데이터(파일명, 생성시간, 해시값)와 DB 레코드의 일치 여부를 검증한다.

연구는 Y​ouWave 가상화 환경을 이용해 물리 디바이스 없이 메모리 덤프를 추출함으로써 데이터 오염 위험을 최소화하고, 동일 환경에서 실험 재현성을 확보한다. 실험 결과는 실제 스마트폰에서 얻은 결과와 일치함을 확인했으며, 이는 가상화 기반 포렌식이 신뢰할 수 있음을 입증한다.

마지막으로, 설정·프리퍼런스 파일을 분석해 사용자가 마지막으로 로그인한 시간, 자동 다운로드 옵션, 백업 주기 등을 파악함으로써 조사 대상자의 사용 습관과 잠재적 증거 파괴 시점을 추정한다. 전체적으로 이 논문은 개별 아티팩트가 제공하는 제한된 정보에 머무르지 않고, 다중 아티팩트를 상호 연계해 시간 순서대로 사건을 재구성하는 포괄적 방법론을 제시한다.