사용된 범죄
-2001년 9.11테러
-2011년 왕재산 간첩단 사건
-2021년 청주간첩단 사건
기존 연구와의 차이점
-직접적인 행위(채팅방이나 게시판에 공유)가 아닌 단순히 특정 공간에 참가하는 것만으로도 통신이 이루어질 수 있다는 점을 증명
-원본 파일이 그대로 저장되지 않아도 (파일 카빙 등의 기술을 사용해) 접근하여 스테가노그래피 기반 통신이 이루어짐을 증명
스테가노그래피 기반 통신 종류
-1대1 단기 및 지속 통신 : 지령 전달, 은닉 통신
-1대N 단기 및 지속 통신 : 악성코드 배포(단기), 봇넷 통신(지속)
실험방법
로블록스는 단기통신
-Openstego를 사용해 이미지에 메시지 은닉 (후에 은닉 메시지 추출 때도 사용)
-수신자는 HexEditor를 사용해 스테고 파일 탐색, 다운로드 파일과 일치하는지 Hashtab으로 해시값 확인
1) 송신자는 cover.png 이미지 파일에 dk.txt 메시지를 은닉하여 girl.png 스테고 이미지 제작
2) 송신자는 로블록스를 통해 캐릭터 생성 지점 바로 앞에 스테고 이미지를 삽입해 참가자에게 보여줌( 직접 통신X, 그저 참가만)
실험결과
<참가자 디바이스에 자동 저장되었는가?>
-AppData/Local/Temp/Roblox/http 폴더에 확장자가 없는 16진수 난수 파일로 저장
-HexEditor로 확인한 결과 PNG 파일임을 확인
<삽입한 이미지 파일과 동일한 파일인가?>
-해당 파일 포맷의 헤더와 푸터의 시그니처를 찾음
-시그니처 기반 파일 카빙기법을 사용하여 동일한 이미지임을 확인
<이미지 파일에서 은닉 메시지가 정상적으로 추출되는가?>
-Openstego를 사용해 은닉 메시지 추출
-dk.txt 추출
<해당 메시지가 실험 때 넣은 메시지와 동일한 메시지인가?>
-해시값을 비교해 동일한 메시지임을 확인
논문 외 추가 정리
파일 시그니처 : 파일 콘텐츠 식별하기 위해 사용되는 데이터
-헤더 시그니처 : 파일의 앞 부분에 존재( 어떤 파일을 시작할거야~ 알려주는 역할)
-푸터 시그니처 : 파일의 뒷 부분에 존재( 이 파일은 이제 끝날거야~ 알려주는 역할)
-헤더와 푸터 모두 가지고 있는 확장자 : JPEG(JPG), GIF, PNG, PDF, HTML, ZIP, ALZ, RAR
시그니처 기반 카빙 기법
-파일 카빙 기법 중 가장 기본적인 방식
-파일의 헤더와 푸터를 기반으로 카빙
-파일을 식별할 때 확장자가 아닌 시그니처를 이용하는 이유는 확장자는 쉽게 변경해 데이터를 숨길 수 있고, 확장자는 변경했더라도 헤더와 푸터 사이의 데이터는 원래 확장자로 갖고 있음
'논문 분석' 카테고리의 다른 글
| [논문 분석] 메타버스 디지털 성범죄 예방 및 증거수집 방안 연구 (1) | 2025.05.14 |
|---|