Digital Forensics for Android Location Information using Hierarchical Clustering

(1)

논문 2014-51-6-17

계층적 군집화를 이용한

안드로이드 위치정보에 대한 디지털 포렌식

( Digital Forensics for Android Location Information using Hierarchical Clustering )

손 영 준^*, 정 목 동^**^*

( Youngjun Son and Mokdong Chung

^ⓒ

)

요 약

최근 스마트폰이 널리 보급됨에 따라 이용자의 다양한 정보들이 스마트폰에 저장되고 있다. 그 중 위치정보는 특정 시간의 이용자의 위치나 이용자의 관심지역, 경로 등을 나타낼 수 있으므로 범죄수사 시 유용한 자료로 활용될 수 있다. 그러나 위치 정보에 대한 기존의 포렌식 연구는 단순히 사용흔적이나 위치정보에 대해 확인하는데 그치고 있다. 따라서 본 논문은 안드로 이드 스마트폰에 저장되는 위치정보를 로그, 이미지, 각종 애플리케이션 등 다각적으로 접근하여 분석하고, 계층적 군집화를 이용한 통합적인 위치정보 분석모델을 제안한다. 본 논문에서 제안한 모델은 위치정보 분석의 효율성을 높이고 사건에 대한 정보를 제공함으로써 범죄수사과정에 도움이 될 것으로 기대된다.

Abstract

Recently, as smartphones are widespread, a variety of user’s information is created and managed in smartphones.

Especially the location information can show the user’s position at a specific time and the user’s area of interest, which could be very useful during criminal investigation. Although the location information plays an important role in solving the crimes such as serial murder, rape and arson cases, there is a lack of research on location information for digital forensics. In this paper, we analyze the location information from logs, images, and applications on android, and we suggest the integrated model for analyzing location information. The proposed model may be useful in criminal investigation by improving the efficiency of data analysis and providing information about a criminal case.

Keywords : 디지털 포렌식, 위치정보, 안드로이드, 군집화

Ⅰ. 서 론

최근 전화기능뿐 아니라 인터넷과 다양한 애플리케 이션을 사용할 수 있는 스마트폰이 널리 보급되고 있

* 학생회원, ^** 정회원, 부경대학교 컴퓨터공학과 (Department of Computer Engineering, Pukyong

National University)

※ 이 논문은 부경대학교 자율창의학술연구비(2013)를 지원받아 연구되었습니다.

접수일자: 2014년04월28일, 수정일자: 2014년05월14일 수정완료: 2014년05월29일

다. 한국인터넷진흥원의 자료에 따르면, 국내 스마트폰 평균 이용기간은 19.5개월이고 일평균 이용시간은 3.4시 간으로^[1], 이는 스마트폰이 이미 사람들의 생활의 일부 로 자리매김하고 있음을 나타낸다. 또한 스마트폰에는 이용자와 관련된 다양한 정보가 저장되기 때문에 스마 트폰에는 이용자의 개인 정보, 생활 패턴, 관심사 등이 담겨져 있을 확률이 높다.

특히 스마트폰은 각종 센서와 통신 기능을 탑재하고 있어 스마트폰의 현재 위치를 측정할 수 있는데, 이러 한 위치정보는 일반적으로 시간정보와 함께 저장되므로 스마트폰 이용자가 특정 시간에 어디에 있었는지를 나

(2)

타내는 중요한 정보이다. 디지털 포렌식 측면에서는 연 쇄강력범죄와 같이 범죄자의 위치정보가 중요한 사건을 해결하는데 있어 중요한 단서 또는 증거가 될 수 있다.

따라서 본 논문은 안드로이드 스마트폰에서 수집할 수 있는 위치정보를 확인하고, 위치정보에 대한 분석 모델 및 조사 절차를 제안한다.

본 논문은 Ⅱ장에서 디지털 기기에 저장되어 있는 위 치정보에 대한 관련연구에 대해 살펴보고, Ⅲ장에서 안 드로이드 스마트폰에 저장되는 위치정보를 로그, 이미 지, 애플리케이션 측면으로 나누어 분석한다. Ⅳ장에서 는 계층적 군집화를 이용한 위치정보 분석 모델을 제안 하고, Ⅴ장에서 그 구현 내용을 보여준다. 그리고 마지 막 Ⅵ장에서 결론 및 향후 연구방향을 제시한다.

Ⅱ. 관련 연구

1. 위치정보에 관한 연구

Dohyun Kim 등은 스마트폰 지도 애플리케이션인 Google map, Daum map, Naver map을 대상으로 스마 트폰에 남아 있는 사용흔적과 위치정보를 분석하였고^[2], Maus Stefan 등은 위도와 경도의 좌표 데이터뿐 아니 라 도시, 주소 등 텍스트 형태의 위치정보에 대해서도 고려하여 분석하였다^[3]. 이외에도 이미지 파일에 저장되 어 있는 GPS 정보를 통해 유사파일을 탐지하고 조작여 부를 판단하는 방법을 제안한 연구도 있다^[4].

또한 국내 내비게이션 시스템인 맵피, 아이나비, 지 니, 아틀란의 사용흔적과 위치정보에 대해 분석한 연구 가 있고^[5], 특히 해외에서는 TomTom 내비게이션에 대 해 심도 있는 포렌식 연구^[6]가 이루어지고 있다.

이와 같이 위치정보를 이용하는 디바이스와 소프트 웨어에 대해 개별적으로 사용흔적 및 분석방법에 대한 연구가 진행되고 있다. 본 논문에서는 안드로이드 스마 트폰을 대상으로 사용자의 위치정보에 대한 통합적 분 석 모델 및 조사 절차를 제시하고자 한다.

2. 계층적 군집화 (Hierarchical Clustering) 통계적 분석 방법을 이용한 데이터 마이닝 기법 중 하나인 계층적 군집화 알고리즘은 군집이 계층을 이루 도록 군집화를 수행한 후 덴드로그램을 통해 그 구조를 파악하는 방법으로, 비계층적 군집화 알고리즘과 달리 처음에 최종 군집 개수를 특정하지 않아도 된다^[7]. 특히

단 계 내 용

[Step 1] 각 데이터를 하나의 군집으로 형성

・N개 데이터 집합{__…}과 군집{_^__…_} [Step 2] Loop

[Step 3] 군집간의 거리를 계산

・__  min_

∈  ∈ _

[Step 4]

거리가 가장 가까운 두 군집을 병합하여 새로운 군집을 생성

・__∪_

[Step 5] until 하나의 군집이 남을 때까지 반복 [Step 6] End Loop

표 1. 계층적 군집화 알고리즘 Table 1. Hierarchical clustering algorithm.

병합적 방법은 각각의 데이터를 하나의 군집으로 보고 가장 가까운 군집을 찾아가는 방식으로, 군집간의 거리 를 어떻게 정의하느냐에 따라 다양한 방법이 존재한다.

계층적 군집화 알고리즘은 표 1과 같다.

3. 지리적 프로파일링 (Geographic Profiling) 지리적 프로파일링은 범죄자가 소재할 가능성이 가 장 높은 장소나 다음 범죄지를 예측하는 장소지향적 수 사기법으로^[8], 연쇄사건과 같은 여러 장소와 관련된 범 죄나 실종 사건 수사, 범죄 예방 등에 활용되고 있다.

대표적인 지리적 프로파일링 시스템으로는 캐나다의 CGT, 미국의 CrimeStat, 영국의 DRAGNET이 있다.

우리나라도 2009년에 국내 지역적 특성과 실정에 맞는 GeoPros를 개발하였고 최근 고도화 작업을 마쳐 범죄 예방 및 검거활동에 적극적으로 활용하고 있다.

Ⅲ. 안드로이드 위치정보 분석

안드로이드 스마트폰에 저장되는 위치정보는 안드로 이드의 로그 정보, 사진에 저장된 GPS 관련 메타데이

종 류 이 름 버 전

DEVICE Nexus 4 4.4.2 (Kitkat)

SOFTWARE

EnCase Forensic 7.09.03.40

ADB 1.0.31

R 3.1.0

APP

Naver Map 4.0.1

Daum Map 3.7.0

Google Map 7.6.0 Olleh Navi 3.4.1 Kimgisa Navi 2.3.1 표 2. 위치정보 분석 환경 및 대상

Table 2. Environment and target for location analysis.

(3)

Naver Map (com.nhn.android.nmap)

mapHistory.db

- RecentHistory

・title: 검색어

・time: 검색시간

・x y: 좌표

・addr: 검색지역의 주소 - RecentRoute

・start(x,y): 출발지 (좌표)

・end(x,y): 도착지 (좌표)

・time: 검색 시간

PLACE_<위치코드>

・사용자가 검색한 위치의 상세정보를 저장 (주변대중교통의 위/경도 등)

Daum Map (net.daum.android.map)

Preference.xml ^・최초 검색 경로 (츨발지 및 도착지 좌표)

search_history.db

- search_history

・key: 검색어, 검색된 지역명

・address: 검색된 지역의 주소

・pos(X,Y): 검색지 좌표

・start(X,Y): 출발지 좌표

・end(X,Y): 도착지 좌표

・updatetime: 검색 시간

favorite.db

- favorite

・name: 즐겨찾기 이름

・coords: 검색 및 경로의 좌표

・atime, mtime: 등록시간

Google Map (com.google.android.apps.maps) camera.xml

・마지막 구글 위성지도 위치

・lat, lng: 위도, 경도 좌표 gmm_myplaces.db sync_item

표 4. 애플리케이션에 저장된 위치정보

Table 4. Location information stored within applications.

터, 위치 정보를 사용하는 각종 애플리케이션에서 확인 할 수 있다. 구체적인 안드로이드 위치정보 분석 환경 및 대상은 표 2와 같다.

1. 안드로이드 시스템 정보

안드로이드 로그는 휘발성 데이터로 시스템 관리 및 디버깅을 위한 정보로서 제공된다. 안드로이드 로그에 접근하는 방법으로는 logcat, dumpsys, dumpstate와 이를 통합적으로 보여주는 bugreport가 있다^[9].

위치정보는 안드로이드의 location 서비스의 덤프에 서 passive, gps, fused, network 방식으로 측정된 스마 트폰 마지막 위치 (Last Known Location)를 확인할 수 있다. 시스템 로그에서도 위치정보를 요청하거나 사용 한 프로세스의 해당 시간과 좌표정보를 알 수 있다. 그 림 1은 EnCase에서 수집된 안드로이드의 최근 위치를 나타낸다.

그림 1. 안드로이드 스마트폰의 최근 위치정보 Fig. 1. Last known location in android.

2. 이미지의 메타 데이터

스마트폰의 GPS 기능을 활성화시키고 사진을 촬영 하면, 해당 이미지에 GPS 좌표, 수신시간 등의 위치정

종 류 Tag ID 필 드 명 설 명

IFD

0x010F Make 제조사

0x0110 Model 모델명

0x8825 GPSInfoIFD Pointer GPS

GPS Info

0x0001 GPSLatitudeRef 북(N), 남(S)

0x0002 GPSLatitude 위도

0x0003 GPSLongitudeRef 동(E), 서(W)

0x0004 GPSLongitude 경도

0x0007 GPSTimeStamp GPS 수신시간 0x001D GPSDateStamp GPS 수신날짜 표 3. 위치정보와 관련된 태그

Table 3. Location related tags.

보 관련 메타데이터가 EXIF 포맷으로 저장된다. 위치 정보와 관련된 태그 정보는 표 3과 같다^[10].

스마트폰에는 직접 촬영한 사진뿐만 아니라 다운로 드, 공유, 복사한 이미지도 존재할 수 있으므로, 제조사 와 모델명으로 필터링하는 작업도 고려한다.

3. 애플리케이션 데이터

지도와 내비게이션 애플리케이션은 사용자의 위치정 보뿐만 아니라 관심지역, 경로 등도 저장된다. 애플리케 이션 조사를 위해서는 내부저장소 /data/data/<패키지 명>와 마운트된 외부저장소를 확인한다. 본 논문에서는 Naver Map, Daum Map, Google Map, Olleh Navi, Kimgisa Navi를 대상으로 분석한다. 표 4는 분석된 각 애플리케이션의 위치정보를 나타낸다.

(4)

・time: 시간 정보

・URL: 검색어에 대한 구글맵 URL 주소

・latitude, longitute: 위도, 경도 좌표

Olleh Navi (kt.navi) kt.navi_preferences.

xml

・최근 출발, 경유, 도착지 및 등록지점의 좌표

・시간정보

Db_DestinationSend List

- 공유지의 위치 정보

・time: 공유 시간

・posX, posY: 좌표

Db_RecentDestinatio n

- 도착지의 위치 정보

・name: 검색지 (등록지명)

・addr: 상세주소

・posX, posY: 좌표

Kimkisa Navi (com.locnall.KimGiSa)

KimGiSaPreferences .xml

- 마지막 위치의 좌표

・last_known_location_x_key: 경도

・last_known_location_y_key: 위도 - 도착지의 좌표

・navi_recent_path_name_key: 도착지

・navi_recent_path_x_key: 도착지경도

・navi_recent_path_y_key: 도착지위도

4. 기타 위치정보 수집방안

안드로이드 스마트폰에서 ‘Google 위치 정보 전송 기 능’을 활성화한 경우에는 구글에서 해당 기기의 위치정 보를 저장하고, https://maps.google.com/locationhistory 에서 확인할 수 있다. 계정에 등록되어 있고 위치 정보 전송 기능을 활성화된 모든 안드로이드 기기의 위치정 보가 저장된다. 그림 2는 구글에 저장된 이용자의 위치 기록을 나타낸다.

구글의 위치정보는 시간정보와 함께 저장되므로 타

그림 2. 구글의 위치정보 히스토리 분석 Fig. 2. Analysis of google location history.

임라인 분석이 가능하고, 데이터 축적이 용이하므로 범 죄자의 실거점을 파악하는데 도움이 된다.

5. 안드로이드 위치정보 요약

안드로이드 로그, 이미지, 각종 애플리케이션으로부 터 추출한 위치정보는 다양한 좌표계와 시간표기 방식 을 사용하고, 위치정보의 속성에 따라 구분될 수 있다.

표 5에서 안드로이드에서 발견할 수 있는 위치정보를 정리하였다.

종 류 좌 표 계 시 간 표 기 속 성

Android Log WGS 84 YMDHMS, ET 현재 위치

Image’s GPS WGS 84 EPOCH 현재 위치

Naver Map WGS 84 EPOCH 검색, 경로

Daum Map wCongnamul EPOCH 검색, 경로

Google Map WGS 84 EPOCH 검색

Olleh Navi KTM YMDHMS 검색, 경로

Kimkisa Navi KTM X 현재 위치, 경로

표 5. 안드로이드의 위치정보 요약

Table 5. Summary of android location information.

IV. 위치정보 분석 모델

본 논문에서는 3절에서 분석된 안드로이드 위치정보 를 기반으로 안드로이드 스마트폰에 저장된 위치정보에 대한 포렌식 분석 모델을 제안한다.

1. 제안 모델의 구조

본 논문에서 제안하는 모델은 스마트폰 데이터에서 위치정보를 추출하는 위치정보 추출 모듈 (Location Data Extractor), 위치정보가 가지고 있는 속성에 따라

그림 3. 제안 모델의 아키텍쳐

Fig. 3. Architecture of the proposed model.

(5)

구분해서 저장하는 공통 포맷 모듈 (Common Format Module for Location Data), 추출된 위치정보를 다양한 형태로 분석하는 분석 모듈 (Analysis Module)로 구성 된다. 그림 3은 제안 모델의 전체 구조를 나타낸다.

가. 위치정보 추출 모듈

위치정보 추출 모듈은 EnCase, Xry, Oxygen 등 디 지털 포렌식 도구나 포렌식적으로 검증된 수집방법을 이용하여 획득한 스마트폰 데이터 중에서. 로그, 이미 지, 애플리케이션에 저장되어 있는 위치정보를 추출한 다. 추출되는 위치정보는 좌표정보, 시간정보, 기타 검 색어, 검색지 주소, 경로 등이 포함된다.

나. 위치정보 처리를 위한 공통 포맷 모듈

시스템 로그나 이미지에서 추출한 위치정보의 경우 에는 특정시점의 이용자의 위치를 나타내고, 지도, 내비 게이션 애플리케이션의 위치정보의 경우에는 특정시점 에 해당 지역을 검색하거나 경로를 탐색하였다는 것을 의미하므로 서로 구분하여 처리한다. 또한 위치정보를 효율적으로 처리하기 위하여 좌표는 GPS 기준좌표계인 WGS 84로, 시간정보는 Epoch 타임으로 통일한다.

다. 위치정보 분석 모듈

수사에 도움이 되는 정보로 가공하기 위하여 앞서 추 출된 위치정보를 토대로 군집화, 타임라인, 지리적 프로 파일링 분석을 수행한다. 군집화의 입력은 추출된 위치 정보의 위도와 경도의 좌표데이터로 2차원 공간에서 군 집화를 수행한다. 군집 내 각 데이터의 시간정보는 타 임라인 분석에 활용되고, 지리적 프로파일링을 통해 추 정한 범죄자의 거점정보와 비교, 분석한다.

2. 제안 모델의 알고리즘

제안 모델의 알고리즘은 디지털 포렌식의 일반적인 수행 절차인 수집, 조사, 분석, 보고서 작성순으로 구성 된다^[11]. 표 6은 제안 모델의 전체 알고리즘을 나타낸다.

제안 모델은 우선 스마트폰의 데이터를 수집한 뒤, 스마트폰에 저장된 위치정보에 대하여 시스템 로그, 이 미지, 애플리케이션으로부터 위치정보를 추출하고, 기타 위치정보가 존재하는 부분에 대하여 조사한다. 그리고 위치정보는 특정시점의 이용자의 실제 위치를 나타내는 경우와 특정시점에서 검색한 위치의 경우가 있을 수 있

으므로 추출된 위치정보는 실제 위치와 관심지역으로 구분하고, 시간과 좌표단위는 각각 통일하여 저장한다.

추출된 위치정보의 위도와 경도 값은 계층적 군집화 알고리즘의 입력으로 이용한다. 계층적 군집화 알고리 즘은 유사성을 근거로 새로운 군집을 생성해 나가는 방 식으로 초기에 군집 수를 결정해주지 않아도 군집의 계 층적인 모습을 확일 할 수 있다. 또한 주어진 데이터에 적합한 덴드로그램의 높이를 결정함으로써 특정 군집결 과를 얻을 수 있다. 스마트폰은 위치정보를 측정하는 방식에 따라 오차가 존재하므로^[3], 덴드로그램의 높이를 설정함에 있어 이용자의 행동반경과 함께 위치정보의 오차범위도 고려한다.

제안 모델은 대표적으로 사용되는 유클리드 거리를 기준으로 최단연결법과 평균연결법을 이용한다. 최단연 결법은 가장 가까운 데이터 쌍 간의 거리를 이용하는 방식으로 고립된 특정 군집을 찾는데 유용하고, 평균연 결법은 모든 데이터 쌍들의 거리의 평균을 이용하는 방 식으로 작은 분산을 가지는 군집을 형성한다^[7].

Stage 1 Collect & Extract location data Step 1 Acquire smartphone’s data Step 2 Extract location from android log Step 3 Extract location from image’s metadata Step 4 Extract location from applications

Step 5 Examine other parts where location information may exist

Stage 2 Export the extracted location information &

Analyze the extracted location information Step 1 Store real location and interesting area such as

search history separately for efficient analysis Step 2 Verify integrity using hash value

Step 3 Perform hierarchical clustering with coordinates (1) Table 1 shows specific algorithms (2) Similarity measure : euclidean distance (3) Linkage method

① SLM (Single Linkage Method) ② ALM (Average Linkage Method) (4) Determine the number of clusters through a

specific distance Step 4 Geographic profiling

(1) Timeline analysis with timestamp

(2) Compare with the criminal area predicted from crime occurrence places analysis

Step 5 Analyze with other forensic result such as contacts, call logs, calendar, SMS, etc Step 6 Based on analyzed data, suggest priority of

investigation places and investigation directions Stage 3 Reporing and Finding Evidence

표 6. 제안 모델의 알고리즘

Table 6. Algorithm of the proposed model.

(6)

위의 과정으로 생성된 군집 결과는 지리적 프로파일 링과 다른 포렌식 분석 결과를 통해 조사지역 우선순위 를 선별하는데 활용된다. 우선순위 결정요인으로는, 첫 째, 범죄 발생 시간과 장소에 가장 근접한 데이터가 포 함된 군집의 경우로, 범죄 발생지와 용의자 위치정보의 관계를 파악할 수 있다. 둘째, 빈도가 상대적으로 많은 군집의 경우로, 용의자의 거점 및 관심지역을 도출할 수 있다. 셋째, 검색지, 경로 등의 속성을 가진 군집의 경우로, 용의자의 이동패턴, 행동반경, 관심지역 등을 추정할 수 있다.

3. 위치정보에 대한 수사절차

제안 모델의 알고리즘을 적용한 수사 절차는 그림 4 와 같다. 우선, 범죄수사 시 위치정보가 필요한 사건인 지 여부를 판단하고, 만약 그렇다면 특정 용의자가 사 용하는 휴대폰 통신사에게 통신사실확인자료를 요청하

그림 4. 위치정보 조사 절차의 순서도 Fig. 4. Flowchart of investigation procedures.

여 기지국 기반의 위치정보를 확보한다. 이는 용의자의 대략적인 위치를 나타내는 자료로 활용된다.

가. Stage 1

사건과 연관된 단서 또는 증거를 얻기 위해 압수수색 영장을 발부받은 뒤 용의자의 스마트폰을 압수한다. 최 근 원격에서 데이터를 삭제하거나 스마트폰을 초기화 할 수 있으므로 유의한다.

압수한 스마트폰을 대상으로 스마트폰에 저장된 위 치정보를 추출한다. 현재 이미지에서 GPS 정보를 가져 오는 도구들은 많이 존재하고 있지만, 애플리케이션의 경우에는 데이터 저장구조가 개발자에 의존적이므로 신 속한 조사가 어렵다. 그러므로 제안 모델의 위치 정보 추출 모듈에서 분석된 정보를 기반으로 효율적으로 위 치정보를 추출한다.

나. Stage 2

우선, 위치정보 속성에 따라 구분되어 저장된 위치정 보를 토대로 지도와 연계된 시각화 도구를 이용하면 대 략적인 위치정보를 파악할 수 있다.

그리고 추출된 위치정보에 대하여 행동반경과 위치 정보의 오차범위를 고려하여 군집화 알고리즘을 적용한 다. 군집은 공간적 특성을 나타내므로 용의자의 자백에 의존하지 않더라도 군집의 빈도수를 통해 용의자의 거 점 및 관심지역을 파악할 수 있다.

또한, 사건발생시간 및 범죄지역 인근의 군집 분석, 타임라인 분석, 지리적 프로파일링 분석 등의 결과를 종합적으로 판단하여 범죄수사지역의 우선순위를 선정 하고 범죄 구증 자료로 활용한다.

다. Stage 3

전체적인 포렌식 분석결과를 정밀 검토하여 보고서 를 작성한다. 보고서에는 위치정보 분석을 위해 추출된 파일, 경로, 해시값과 위치정보 리스트가 포함되고, 위 치정보에 대한 분석 내용 및 결과, 해당 결과를 얻게 된 경위 등을 자세히 기술한다.

V. 구현 및 평가

1. 구현

본 논문에서 제안한 위치정보 분석 모델을 기반으로

(7)

그림 5. 위치정보 추출도구

Fig. 5. Location information extractor.

그림 6. 추출된 위치정보의 예

Fig. 6. An example of extracted location information.

i5-3450 CPU와 8GB 램이 장착된 Windows 7 PC에서, 범용 컴퓨터 포렌식 도구인 EnCase에 내장된 EnScript 언어로 위치정보 추출도구를 구현하였다. 그림 5는 EnCase에서 수집한 Nexus 4 스마트폰 이미지를 대상 으로 위치정보를 추출한 화면이다.

위치정보 추출도구에서 검색된 위치정보는 해당 파 일과 함께 파일명, 경로, 해시값이 XML 포맷으로 내보 내어진다. 시간과 좌표계는 각각 EPOCH, WGS 84 형 태로 변환되고 위치정보의 속성에 따라 달리 저장된다.

실험에서는 265개의 위치정보가 추출되었다.

추출된 위치정보 데이터를 유클리드 거리와 최단연 결법을 이용하여 계층적으로 군집화하였다. 그림 7은 덴드로그램에서 높이를 300m로 설정하였을 때의 군집 상태를 보여주고 있고, 군집의 개수는 14개로 나타났다.

그림 8은 덴드로그램에서 높이를 300m로 설정하였을 때의 군집 결과로, A군집의 경우는 104개의 위치정보 를, B군집의 경우는 113개의 위치정보를 포함하고 있 다. 이들 군집의 경우 다른 군집의 경우보다 상대적 빈 도가 매우 높으므로 A지역과 B지역은 거점, 주 활동지 역 또는 관심지역이라는 사실을 도출할 수 있다. 또한,

그림 7. 계층적 군집화의 예

Fig. 7. An example of hierarchical clustering.

그림 8. 군집 결과의 예

Fig. 8. A clustering result example.

만약 D지역이 사건발생 지역이라면 가까운 군집인 C지 역과 A지역을 우선적으로 조사해야 할 것이다.

2. 평가

본 논문에서 제안한 위치정보 분석모델의 기대효과 는 다음과 같다. 첫째, 자동화된 위치정보 추출도구를 통해 수작업으로 관리하였던 범죄와 관련된 각종 위치 정보를 효율적으로 관리할 수 있다. 둘째, 군집화를 통

기준 기존 방식 제안 방식

신속성 위치정보 종류별로 각각

관리 및 추출해야 함

위치정보 종류별로 통합적 으로 관리 및 추출함

정보성

추출된 위치정보 그대로 제공하므로 추후 별도의 분석작업 필요함

군집화를 통한 가공된 수 사정보(거점, 관심지역, 우 선수사지역)를 제공함

활용성

수집되는 위치정보의 수가 적고 수작업으로 위치정보 를 입력, 관리하므로 활용 성이 떨어짐

다양한 출처로부터 자동적 으로 위치정보를 추출하므 로 범죄데이터의 축적 및 범죄자 연구에 활용가능함

표 7. 위치정보의 기존조사방식과 제안방식의 비교

Table 7. Comparison between existing and proposed method on Location Investigation.

(8)

해 범죄자의 거점과 관심지역을 도출할 수 있다. 셋째, 사건 발생지와 군집 장소, 군집의 빈도수, 위치정보의 속성 등을 통해 수사가 필요한 지역을 선별할 수 있다.

넷째, 수사가 종결된 후에도 지리적 프로파일링 알고리 즘의 개선과 범죄데이터 축적에도 기여할 것으로 기대 된다.

향후에는 K-means, FCM 등 다양한 알고리즘을 적 용하고^[12], 범행 위치유형, 토지유형, 인구, 도로 등의 지 리적 거리 요인들과 실제 사례를 통해 보다 정확한 군 집 결과를 얻고자 한다. 또한 우선순위 결정에 있어서 MAUT와 같은 의사결정방법을 접목할 예정이다^[13].

VI. 결론 및 향후 연구

기존의 스마트폰 위치정보에 대한 포렌식 조사는 관 련 파일을 일일이 확인하거나 일부 구현된 추출 도구를 개별적으로 이용하는 방향으로 이루어져 포렌식 조사의 신속성, 정보성, 활용성을 담보하기 어려웠다. 따라서 효율적으로 수사를 보조하기 위해서는 통합적으로 위치 정보를 추출하고 분석할 방법이 필요하다.

본 논문에서는 안드로이드 스마트폰의 사용자 위치 정보에 대해서 로그, 이미지, 애플리케이션 측면에서 접 근하였고, 이를 토대로 계층적 군집화 알고리즘을 이용 하여, 안드로이드 스마트폰의 위치정보에 대한 분석 모 델 및 조사 절차를 제안하였다. 구현 결과 다양한 출처 로부터 위치정보를 자동적으로 수집할 수 있었으며, 계 층적 군집화를 통해 지역 정보를 추정할 수 있었다.

본 논문에서 제안한 분석 모델은 범죄자의 거점 및 관심지역 파악이 가능하고, 수사가 필요한 지역의 우선 순위를 선정할 수 있다. 또한 위치정보의 관리 및 범죄 데이터 축적 등에도 효과가 있을 것으로 기대된다.

향후에는 비할당 영역에서의 위치정보 추출 방법과 효율적인 수사지원을 위한 시각화 기법 및 데이터 마이 닝 알고리즘에 대해 연구할 계획이다.

REFERENCES

[1] Jaeyoung Lim et al., Survey on the use of smart

phones in 2012, Korean Internet & Security

Agency, 2013.

[2] Dohyun Kim, Jewan Bang, and Sangjin Lee,

“Analysis of Smartphone-Based Location Info-

rmation,” Computer Science and Convergence.

LNEE, Vol. 114, pp. 43-53, 2012.

[3] Stefan Maus, Hans Hofken, and Marko Schuba,

“Forensic Analysis of Geodata in Android Smartphones,” Proc. Int’l Conf. on Cyber foren-

sics, Jun. 2011.

[4] SungJin Hong and Kyunghyune Rhee, “An app- roach for the similar file detection with GPS information,”

1

^st

ACIS/JNU Int’l Conf. on Computers, Networks, Systems and Industrial Engineering (CNSI), pp. 320-324, May. 2011.

[5] YongSeok Choi, “Analysis of car navigation using information,” Master Thesis, Dept. of Information Management & Security, Korea Univ. 2010.

[6] B. Nutter, “Pinpointing TomTom location records: A forensic Analysis,”

Digital Investigation, Vol. 5, pp. 10-18, 2008.

[7] Hyeyoung Park, Pattern Recognition and Ma-

chine Learning, Ehan, pp. 135-151, 2011.

[8] JoonTae Lim and Dosun Lee, “An Analysis on the Spatial Characteristics of Serial Violent Crime through Geographic Profiling,” Korean

Police Studies Review, Vol. 4, pp. 199-224, Dec.

2009.

[9] Andrew Hoog, Android forensics. Acorn, pp. 141 -166, 2013.

[10] JEITIA CP-3451, Exchangeable image file for-

mat for digital still cameras: Exif Version 2.2,

2002

[11] Karen Kent, Suzanne Chevalier, Tim Grance, and Hung Dang, “Guide to Integrating Forensic Techniques into Incident Response,”

NIST Special Publication 800-86, pp. 1-7, Sep. 2006.

[12] Seokhwan Yang and Mokdong Chung, “Adap- tive Security Management Model based on Fuzzy Algorithm and MAUT in the Hetero- geneous Networks”, Journal of The Institute of