암호화폐는 분산형 시스템과 익명성으로 범죄 자금 은닉 및 세탁에 자주 사용된다.
특히, 이를 보관할 수 있는 하드웨어 지갑의 사용률이 증가 중이지만, 이를 추적 및 분석하는 툴이 없기 때문에 수사에 어려움이 존재한다.
따라서, 디스크와 메모리에 기록되는 하드웨어 지갑 사용과 추적 관련 아티팩트를 분석하고 이를 추출하는 Volatility 플러그인을 개발하여 수사에 기여한다.
암호화폐 소유 방법에는 직접 채굴, 거래소에서 구매(채권) 등이 있는데, 거래소를 이용할 경우, 추적이 용이하다.
따라서 자신이 직접 소유할 수 있는 하드웨어 지갑 사용률이 증가하고 있다.
추가로, 하드웨어 지갑 전용 PC 앱이 존재해서 사용자는 거래소 이용 없이 앱으로 거래가 가능하고, 다른 암호화폐로 교환하는 스왑 기능도 제공하는 등의 이점이 존재한다.
관련 아티팩트로는 하드웨어 지갑 주소, 니모닉 코드, PIN 코드, 지갑 연결 흔적, Swap ID, 암호화폐 종류, 송수신 주소, TXID 등이 있다.
특히, 니모닉 코드는 대상 지갑을 온전히 복구 가능하기에 중요하다.
본 연구에서는
하드웨어 지갑으로 Ledger Nano S와 Trezor One, 소프트웨어 지갑으로 Exodus, 암호화폐는 비트코인, 이더리움, 리플을 사용했다.
메모리에 JSON 형식으로 트랜잭션 관련 기록이 남기 때문에, 여기서 정규식을 통해 지갑 주소와 니모닉 코드까지(가능하다면) 빠르게 추출하도록 한다.
CryptoScan 플러그인
- 메모리 덤프 파일에 남아있는 암호화폐 송수신 주소, 트랜잭션 정보 등을 추출
- 메모리에 JSON으로 기록되므로, 위에서 설명된 정규표현식 등을 사용해 데이터를 추출한 후, 주소와 트랜잭션을 검증할 수 있는 API(btc.com, etherscan, cryptoapis.io 등)로 전송하여 얻은 결과로 현재 주소 잔액, 트랜잭션 발생 시각, 송수신 주소, 보낸 암호화폐 종류, 양 등을 확인한다.
- PDF 내보내기 기능
기존 수사에서는 대상자에게 정보 제공 요청해야만 하드웨어 지갑 분석이 가능하지만, 본 연구의 CryptoScan을 사용할 경우, 요청 없이 메모리에서 암호화폐 관련 데이터를 추출 가능하다.
향후에는
1. 니모닉 코드로 지갑 복구 불가했던 Trezor One의 히든 지갑에 대한 추가 연구 진행
2. 기존에 개발한 txt 파일 대상 니모닉 코드 추출 스크립트를 HWP, DOCX, PDF 등의 문서에서도 탐색할 수 있도록 업데이트
3. 하드웨어 지갑의 최신 기기들은 모바일 기기와 블루투스 연결 기능을 제공하므로 이후 모바일 포렌식을 통한 암호화폐 트랜잭션 분석으로 연구 분야 확장
참고
임민택, 강정윤, 박준성, 이문규, 정현덕 and 서정택. (2022). 메모리 분석 기반의 암호화폐 트랜잭션 정보 추출 방안 연구. 디지털포렌식연구, 16(1), 99-117.
'Forensic > 개론 & 논문 정리' 카테고리의 다른 글
| [논문 정리] Authentication and integrity of smartphone videos through multimedia container structure analysis (0) | 2024.08.16 |
|---|---|
| [논문 정리] 메신저 전송 기능을 통해 인코딩된 동영상에 대한 유포 메신저 추적 연구 (0) | 2024.08.14 |
| [논문 정리] Interpreting the location data extracted from the Apple Health database (1) | 2024.02.11 |
| [논문 정리] 메타버스 범죄 동향 및 디지털 포렌식 대응 방안 (0) | 2022.09.21 |
| [논문 정리] 메모리 포렌식 기반 키워드 매칭을 통한 다크 웹 사용자 행위 분석 (0) | 2022.09.07 |
