경선추 Smart & Green Technology Innovator ‘ 분산 포렌식 인덱스 검색 기술 ’ 이란 수사의 대상이 되는 디지털 데이터에 대한 빠른 검색을 제공하기 위해 분산 처리 기법으로 인덱스를 생성해 두었다가 사용자 요청이 있을 경우, 인덱스에서 찾아 검색 결과를 실시간으로 전송하는 기술임 분산 포렌식 인덱스 검색 기술
-1- 4 기술적용 분야 및 기술의 시장성 기술 개요 2 기대효과 5 개발기술의 주요내용 3 요약 1
-2- 기술개발의 필요성 (NEEDS) 디지털 포렌식 수사에서 대용량 데이터에 대한 빠른 검색 및 분석 요구사항이 계속적으로 증가하고 있는 반면 데이터 처리에 점점 많은 시간이 소요되고 있음 일반 인덱스 검색은 인덱스 생성 후에는 수 초 내에 검색 결과를 제공하지만 인덱스 생성 속도가 느리다는 단점이 있고 개별 하드웨어 성능 향상을 통한 Scale-Up 접근방법은 금방 한계에 부딪히게 됨 기술적인 독특한 접근법 (APPROACH) 따라서, 대용량 데이터를 빠른 시간에 검색하고자 하는 Needs 에 대한 방안으로서 분산 포렌식 인덱싱 기술을 통한 Scale-Out 접근방법으로 대체를 추진하고자 함 기대효과 (BENEFIT) 이에 따른 Benefit 은 20MB/s (100GB 데이터 ) 로 인덱싱 속도를 향상할 수 있으며, 용도나 분석할 데이터의 양에 따라 컴퓨팅 지원을 늘려 원하는 만큼의 처리 성능을 증가시킬 수 있음. 이는 결국 데이터 검색 및 분석 시 업무 효율을 강화시켜줌 경쟁사 / 대체재 대비 우수성 (COMPETITION) 끝으로 경쟁업체들과의 비교해 보면 대표적인 포렌식 툴 제공업체인 Access Data 사의 FTK 는 인덱스 검색 제공 시 한국어 및 국산 소프트웨어를 지원하는데 문제가 있으며 Guidance 사의 EnCase 는 분산처리 인덱스 기능을 제공하지 못하고 있는 등 디지털 포렌식 수행 시에 중요한 이슈가 될 수 있는 Localization/Performance/Scalability 가격 경쟁력 등을 고려할 때 종합적인 측면에서 본 기술이 우위에 있음을 알 수 있음 1. 요약
기술 개요 (1) 고객 및 시장의 니즈 IT 및 법률환경 변화로 대용량 데이터 연관 분석이 고속으로 이루어지는 실시간 디지털 포렌식 분석에 대한 요구사항이 높아지고 있습니다. IDC 는 전 세계의 데이터 량은 2006 년에 988 만 GB(=988EB) 였으며, 연 평균 57% 씩 증가하여 2010 년 ZB 시대에 진입하고, 이 중 70% 가 개인으로 발생한다는 예측을 한 바 있습니다. 또한 Gartner 는 향후 3 년 후인 2012 년까지 디지털 포렌식 시장 중 소프트웨어와 서비스 부분이 25%-35% 정도의 연평균 성장을 할 것이라고 예측하고 있으며, Gartner 의 포렌식 Hype Cycle 에 따르면, 현재 포렌식 소프트웨어는 시장의 관심이 급격히 증가하는 peak of inflated expectations 에 있고, 2013 년부터 2017 년까지 기술 성숙기에 이를 것으로 예측하고 있으므로, Hype Cycle 에서와 같이 향후 3 년 후인 2012 년 포렌식 시장은 성장기 단계일 것으로 전망하고 있습니다. 하지만, 현재 국내에서 사용하고 있는 미국회사의 포렌식 시스템을 이용하여 획득한 증거는 그 신뢰성이나 타당성을 국제적으로 인정받고 있으나 도구의 응용분야를 비롯한 여러 면에서 국내 실정과는 약간 맞지 않는다는 견해가 있어 향후 국내 실정에 맞는 포렌식 시스템 시장 진입이 용이 합니다.
기술 개요 (2) 기술개념 ‘ 분산 포렌식 인덱스 검색 기술 ’ 이란 수사의 대상이 되는 디지털 데이터에 대한 빠른 검색을 제공하기 위해 분산 처리 기법으로 인덱스를 생성해두었다가 사용자 요청이 있을 경우, 인덱스에서 찾아 검색 결과를 실시간으로 전송하는 기술입니다. 기술구성도
개발기술의 주요내용 (1) 고객 / 시장의 니즈를 충족시키는 독특한 점 분산 인덱싱 수행 시 안정성 제공 및 분산 환경 관리를 위해 Apache Hadoop 프레임워크를 기반으로 개발되었습니다. Hadoop 을 기반으로 개발되어 Scalability 가 높고, Amazon EC2, S3 에 기반하는 Amazon Elastic MapReduce 과 같은 클라우드 컴퓨팅 환경으로 쉽게 이식되어 수행될 수 있습니다. 국내외 다양한 형태의 파일내용 및 메타데이터를 추출할 수 있는 포렌식 파일 필터를 제공합니다. 기술의 상세 사양
개발기술의 주요내용 (2) 경쟁기술 / 대체기술 현황 현재 상용화되어 있는 컴퓨터 포렌식 소프트웨어는 Guidance Software 사의 EnCase, Technology Pathways 사의 ProDiscover, AccessData 사의 FTK, ASR Data 사의 SMART 등이 있으며, EnCase Edition 이 가장 높은 시장 점유율을 차지하고 있습니다. 그 중 FTK 는 분산 인덱스 검색 기술을 제공하고 있으나 한국어 및 국산소프트웨어로 생성된 문서에 대한 지원이 제대로 이루어지지 않고 있으며, 해당 기능을 구매에 고가의 비용이 소요됩니다. 경쟁기술 / 대체기술 대비 우수성 경쟁기술본 기술의 우수성 인덱스 생성 시, 한글지원 및 국산 SW 로 생성된 문서 및 파일 처리에 문제가 있음 한글 및 국산 SW 로 생성된 문서 및 파일을 처리하기 위한 포렌식 파일 필터 기능을 포함함으로써, 국내외의 다양한 SW 로 생성된 데이터 처리를 지원하고 있음 단일 시스템에서 인덱싱을 수행하거나 분산 인덱싱 기능을 제공하는데 고가의 비용 소요 저가의 시스템들의 하나의 클러스터로 묶어 안정적인 분산 컴퓨팅 환경을 제공할 수 있도록 Apache Hadoop 을 기반으로 분산 인덱싱을 수행하여 고속 인덱스 생성 가능
개발기술의 주요내용 (3) 기술개발 완료 2012 년 2 월 이전가능 ( 예상 ) 시기 : 2012 년 5 월 이후 기술이전 범위 Bigram 을 이용한 인덱스어 분석 및 인덱스 생성 기술 전화번호 / / 주민번호 등 정규식 패턴에 대한 인덱스 생성 기술 포렌식문서파일 필터링 기술 문서파일 (HWP, MS-Office, Adobe PDF, OpenOffice) 압축파일 (ZIP, GZIP, RAR, ALZIP, TAR) 포렌식 DD 이미지 ( 삭제된 파일, 비할당 영역, ADS(Alternative Data Stream), Pagefile) (MS Outlook Express, MS Office Outlook) 분산 인덱스 DB 검색 기술
개발기술의 주요내용 (4) 관련 기술의 표준화 동향 직접 관련 표준 없음 디지털 포렌식 관련 가이드라인 및 검증 규격 등에 관한 국내 단체 표준 컴퓨터 포렌식 가이드라인 (TTAS.KO ) 이동전화 포렌식 가이드라인 (TTAS.KO ) 디지털 증거 조사 모델 (TTA.K.KO ) 컴퓨터 포렌식을 위한 디지털 데이터 수집도구 요구사항 (TTAS.KO ) 컴퓨터 포렌식을 위한 디지털 데이터 수집도구 검증 규격 (TTAS.KO ) 컴퓨터 포렌식을 위한 디지털 증거 분석도구 요구사항 (TTAS.KO ) 컴퓨터 포렌식을 위한 디지털 증거 분석도구 검증 (TTAK.KO ) 보유 특허 출원 / 등록 구분 특허명 출원국 ( 등록 ) 출원 ( 등록 ) 번호 출원 ( 등록 ) 년도 출원분산 포렌식 인덱스 검색 장치 및 절차대한민국 출원문서 속성 색인화를 이용한 증거 분석 시스템대한민국
기술적용 분야 및 기술의 시장성 (1) 기술이 적용되는 제품 / 서비스 E-Discovery 등 디지털 포렌식 응용 분야 로그 분석 및 데이터 마이닝 (Data Mining) 기업문서 데이터 유출방지 (DLP: Data Leak Prevention) 개인 / 민감 정보 유출차단 솔루션 대용량 Archive 분석 텍스트 기반 정보 검색 시스템
기술적용 분야 및 기술의 시장성 (2) 해당 제품 / 서비스 시장 규모 디지털 포렌식 SW 및 서비스 시장을 포함하는 Legal Discovery 의 SW 시장 ’14 년 약 80,058 억원 전망 ( 연평균 11% 대 성장률, 환율 1,200 원 적용 ) 국내 시장 규모는 ’14 년 1,201 억원으로 성장 예측 ( 세계시장의 1.5% 수준 ) [ 표 1] 세계 Legal Discovery Software 시장 ( 단위 : 백만원 ) 해당 제품 / 서비스 시장 국내외 동향 국내 포렌식 분석 기술의 경우, 한국전자통신연구원이 다양한 고급 분석 기능을 탑재한 한국형 디지털 포렌식 시 스템을 개발한 바 있고, 하드디스크 복구 전문 업체인 파이널데이터사도 파일 복구 기술에 대한 특허를 보유하고 이를 통해 몇몇 제품을 이미 출시한 상태이나, 대용량 데이터에 대한 특화된 기술이나 디지털 증거 시각화 분석 기술 등의 고급 분석 기술 개발은 아직 미비한 상태임 디지털 포렌식 도구를 상용화한 국가 중 가장 큰 기술력과 시장규모를 가지고 있는 국가는 미국이며, 영국, 프랑 스, 러시아 등도 분야별로 디지털 포렌식 기술을 독자 개발 중에 있음 IDC 에 따르면 전 세계의 데이터량은 2010 년 ZB 시대로 진입했으며, 전 세계의 데이터량의 70% 가 개인으로부터 발생함을 추정함 이에 따라 포렌식적인 대응책에 대한 연구 및 기술개발이 활발히 진행 중에 있음 구분 세계 시장 규모 5,111,0007,885,7009,715,900 국내 시장 규모 77,800120,100147,960
기대효과 고객이 본 기술을 통해 얻을 수 있는 경제적 효과 국가 기관 및 민간 기업에서 사용하는 외산 포렌식 장비 및 소프트웨어에 대한 수입 대체 효과 발생합니다 다양한 원천 기술을 이용한 포렌식 기술 고도화로 포렌식 분석 시간을 단축할 수 있고 방대한 양의 데이터를 대상으로 유력한 잠재적인 증거 데이터를 분석 단계 이전에 선별해 낼 수 있습니다. 본 기술에서 제공하는 핵심요소 기술들을 활용해 다양한 플랫폼에서의 검색 소프트웨어 개발이 가능함으로 기존 검색 서비스 시장의 확대 및 시장 진입 장벽 낮추게 됩니다. 개인정보보호법 발효에 따른 개인 / 민감 자료 등 기업이 보유한 중요 데이터의 보관이 중요한 이슈가 됨에 따라 기업문서 유출방지 솔루션 관련 시장이 확대되고 있으며 본 기술을 활용 시 개발 비용 절감에 도움이 됩니다.