2018년 9월 7일 금요일

2022-08-06 사용자 특정정보 및 브라우저 히스토리 수정,삭제

태블릿 사용자를 특정할 수 있는 정보들은 주소록, 카카오톡, E-메일, 브라우저 히스토리, 문자 메시지등이 있습니다
그런데 이런 사용자를 특정할 수 있는 정보들이 전부 JTBC 보유기간부터 삭제, 수정이 이루어집니다

수정날짜가 바뀐다고 해서 모두가 임의 수정했다는 것은 아닙니다
어떤 파일들은 앱을 구동시켜 단순히 살펴보는 것만으로 수정날짜가 바뀔 수 있긴 합니다
하지만 그 중에 단순히 켜서 본것 치고는 너무나 이해가 안되는게 너무 많습니다
연락처가 들어있던 주소록이 왜 수정되어야 했으며, E-메일정보를 담고 있던 DB파일은 왜 삭제가 일어났을까요?
문자메시지 또한 온 일도 없는데 왜 문자 메시지 DB파일이 수정되었는지 이해하기 어렵고
많은 DB파일들이 저널 파일이 생성되어서 임의적으로 수차례 수정했다고 추정되는 흔적이 보입니다

* 파일시스템 정보(링크)


이해를 돕기 위해 제가 아는 범위 내에서 파일들을 설명하겠습니다

  • Contacts2.db는 전화번호, E-메일등 연락처를 정보를 담고 있습니다
  • Emailprovider.db는 메일 제목, 수신자, 발신자, 첨부파일 유무와 첨부파일 이름을 담고 있습니다
  • Emailproviderbody.db는 메일의 내용을 담고 있습니다
  • mmssms.db는 문자 메시지를 담고 있는 데이터 베이스 파일입니다
  • telepony.db는 통화내역과 문자 메시지
  • kakaoTalk.db는 카카오톡 송/수신 메시지 및 방번호
  • broswer2.db는 브라우저 히스토리등을 담고 있는 데이터 베이스 파일입니다

  • 여기서 파일이름.db-wal파일은 데이터베이스가 변경이 이루어 전에 변경될 내용을 WAL파일에 기록해 둠으로써
    변경을 수행할 때 예기치 못한 문제 발생시 실행취소나 데이터를 복구할 수 있도록 해주는 미리쓰기 파일입니다
    그러니 데이터베이스가 이 부분적으로 변경(삽입,수정,삭제)등이 이루어 졌을때 파일의 날짜가 수정 된다고 보시면 됩니다

    파일이름.db-journal(숫자), 파일이름.db-mj헥스코드 파일은 백업과 비슷한 개념입니다
    이 파일들은 데이터베이스에 트랜잭션(변경)이 시작될 때 생성되는데 예기치 못한 문제(전원차단등)로
    트랜잭션이 실패했을 때 데이터베이스를 원래 상태로 롤백(복원)하기 위해 변경전 원본내용을 저장해두는 것이라 합니다
    간단히 이야기해서 데이터 베이스가 변경이 가해질 때 자동 생성,삭제되는 임시적인 백업 파일의 일종이라 보면 됩니다

    여기서 제가 이해가 안되는 것을 몇가지 상세히 나열해 보겠습니다

    먼저 주소록의 이상한 수정 날짜입니다
    보통 파일이름.db-mj[16진수]파일이 생성된다는 것은 파일.db도 변경됨으로 contacts2.db가 수정날짜가 변해야합니다
    하지만 db-mj[16진수]파일의 수정일시는 2016-10-31일 생성되었는데 contact2.db는 2013-11-13일날 마지막 수정되었다고 나옵니다
    수차례 변경이 가해진 것으로 나오는데 어째서 contacts2.db의 수정날짜는 2013-11-13일로 유지된다는 것입니다

    그리고 또 E-메일 정보를 담고 있는 파일(Emailprovider.db)는 수정뿐만 아니라 삭제까지 되었습니다
    JTBC는 태블릿을 켜서 본게 전부라고 하지만 도대체 어떻게 보았기에 Emailprovider.db가 삭제되는 일이 발생하는지 궁금합니다


    그리고 E-메일정보와 브라우저 히스토리 파일도 저널파일(파일이름.db-journal(x),파일이름.db-mjxxxxxxxx)이 생성했는데
    이런 저널 파일들은 데이터베이스를 변경(삽입,수정,삭제)하지 않으면 달리 생성,삭세되지 않습니다
    이 태블릿은 약 2년을 쓰면서 .db-journal(x), .db-mjxxxxxxxx 파일들이 자동 생성,삭제된 적이 한번도 없습니다
    하지만 이렇게 임의적으로 변경한 듯 보이는 저널 파일들은 오직 JTBC가 소유시점 부터 생겨나기 시작했습니다
    JTBC 소유기간부터 몇일 만에 주소록(contacts2.db)은 31번 생성,삭제 되었으니 31번 변경이 가해졌고
    메일 정보는 116번, 브라우저 히스토리는 12차례 수정이 가해졌습니다

    전체 파일들 중에 "-mj"로 검색해보시면 약2년 동안 사용하면서 한번도 생성,삭제된 적이 없다는 걸 알수 있습니다
    어떻게 2년 동안 "사용하면서" 한번도 트랜잭션이 일어난 적이 없어 생성되지 않았던 저널파일들이
    JTBC가 몇일 켜서 "살펴본다고" 저널 파일들 생성되어 데이터베이스가 수 차례 변경됐음을 나타냅니까?

    단순히 켜서 살펴본다고 저런 것들이 자동으로 일어난다고 주장하시는 분들은 그 예시를 한번 보여주셨으면 감사하겠습니다

    그냥 살펴 보는데 시시때때로 자동으로 트랜잭션이 일어나서 수십~수백차례 용량을 가진 저널들이 생성되고
    데이터베이스의 변경이 가해지고 삭제되는지 그 예시를 꼭 한번 보고 싶습니다

    특히 주소록은 수정날짜가 어떻게 하면 일치됨이 사라지고 과거의 수정날짜를 가지게 되는지,
    Emailprovider.db는 어떻게 살펴보면 삭제되고 100차례가 넘는 트랜잭션이 발생하는지 꼭 보고싶습니다


    포렌식 보고서에 파일까지는 첨부되지 않아 데이터베이스의 수정된 내용까지는 알 수 없지만
    명백한 사실은 JTBC가 소유시점부터 DB파일이 수상하게 수정된 흔적이 존재하는 것은 부정할 수 없는 사실입니다

    이렇게 JTBC 보유시기에 삭제되고 수정된 emailprovider.db에서 나온 유연이 원래 존재했는지 모르겠습니다
    삭제된 유연이 원래 존재했었다면 도대체 언제 추가되었다가 삭제된지 궁금하지 않을 수 없습니다


    JTBC보도를 보면 zixi메일은 사용자는 마지막까지 가은이었습니다
    위에 오버랩되어 보이는 자료화면은 2016년 10월 18일에 찍은 자료화면입니다
    이후 emailprovider.db는 2016년 10월 22일에 삭제되고 수차례 수정이 이루어집니다
    그 기간이 JTBC 소유기간입니다



    브라우저 히스토리 삭제

    브라우저 히스토리 삭제 상태는 심각합니다
    브라우저 캐시의 뭉쳐진 data파일에서 나오는 과거 언론기사 사진들의 날짜로
    해당기사를 읽은 시간을 추정해서 히스토리를 찾아보면 삭제된 히스토리가 정말 많습니다
    이는 다소 불확실성이 있어 다루지 않았았지만 이를 포함한다면 다 다루지 못할 정도로 많습니다
    하지만 브라우저 히스토리에 방문 횟수가 급증하는 것을 보면 틀림없이 방문했지만 히스토리가 삭제된 것을 알수 있습니다
    그러한 부분은 너무 많아서 다 다루지도 못하고 명백히 알 수 있는 것만 다루었습니다
    여기서 다룬 15개의 인터넷 사용흔적 중에 매치된 기록은 1개 밖에 없습니다
    15개중 1개, 거의 대부분의 브라우저 히스토리가 다 삭제된 셈입니다



    1. 가장 먼저 발견되는 것은 2012년 7월 2일짜 브라우저 사용기록입니다
    화면 캡쳐가 되어서 16시 45분 43초까지 웹을 사용 중인 기록이 나옵니다

    하지만 브라우저 히스토리는 15시 14분 58초 뒤로 사라져 있습니다



    2. 2012년 10월 10일날 오후 21시 5분에 스크린샷이 저장되었습니다
    달력 아래에 현재 "프로그램(인터넷) 어플리케이션"이라고 현재 실행중인 인터넷 브라우저 앱이 보입니다
    LTE망에도 접속되어 있었고 인터넷 브라우저를 사용하다가 홈화면으로 빠져 나온 모습입니다


    하지만 2012년 8월 16일 부터~ 11월 27일까지 브라우저 기록은 하나도 없습니다



    3. 11월 27일 이전에 사용했다는 흔적은 더 있습니다

    2012년 8월 7일에 17시 11분부터~ 8월 14일 17시 49분까지 18메가 바이트를 사용했습니다


    이때 인터넷 사용기록이라곤 딱 하나 huipas@naver.com에게 발송한 메일 하나가 전부입니다


    네이버도 최고 방문횟수 2회였는데 11월 27일날 갑자기 121회로 급증가합니다
    이것을 보면 11월 27일 이전에 사용했으나 히스토리가 대량 삭제된 것을 알 수 있습니다
    네이버는 이후로도 자주 삭제되어서 121회에서 156회로 급증가합니다
    마지막까지 네이버를 총 327회를 방문하지만 그 중 찾을 수 있는 네이버 히스토리는 68개가 고작입니다


    그리고 2012년 12월 15일부터 다른 히스토리는 삭제가 안되서 활성이라 나옵니다
    하지만 이상하게 중간,중간 네이버만 삭제라고 표시되어 나옵니다
    브라우저 히스토리 전체삭제라면 모를까?
    이렇게 네이버만 골라 삭제하는게 일반사용자가 어떻게 했으며 왜 하겠습니까?



    4. 2012년 12월 10일 새벽 1시 24분에 인터넷을 사용한 흔적이 스크린 샷에 의해 남았습니다


    하지만 12월 10일 브라우저 히스토리는 하나도 남아 있지 않습니다

    당일 브라우저 히스토리는 모두 지워졌지만 인터넷을 사용한 흔적은 나옵니다
    물론 당일 메일도 없고 카톡 또한 없었습니다만 누적사용량이 34메가 바이트나 증가합니다
    한,두개가 빠진게 아니라 대량 수십개 정도 빠진 것을 알 수 있습니다

    이렇게 중간, 중간 빠진 히스토리들은 "미복원" 된게 아니라 "삭제" 되었다고 생각됩니다
    그러한 이유는 지워지지 않은 활성 데이터 구간에도 중간, 중간 삭제되어 있기 때문입니다
    일반 사용자가 히스토리 전체삭제가 아니라 복구가 되지 않도록 중간, 중간만 삭제할 수 있을까요?

    2012년 12월 15일 부터 브라우저 히스토리는 삭제되지 않아 활성 상태입니다
    그런데도 이런 중간, 중간 히스토리가 삭제되는 것이 계속 됩니다



    5. 2012년 12월 18일 오전 8시 야후 앱을 사용해서 인터넷에 접속한 흔적이 보입니다


    하지만 28일 당일 오전 8시 접속한 브라우저 히스토리에는 삭제되었습니다



    6. 2013년 4월 15일에도 네이버 앱을 이용해 인터넷을 사용한 기록이 있습니다


    하지만 브라우저 히스토리 기록에는 삭제되어 있습니다



    7. 2013년 7월 24일도 마찬가지 입니다
    오전 8시부터 네이버 앱을 통한 검색 인터넷에 접속한 흔적이 나오지만

    브라우저 히스토리는 삭제되어 있습니다



    8. 7월 31일은 밤 12시, 오후 1시, 오후 3시, 3차례에 거쳐 네이버 검색 앱을 통해 접속했습니다


    7월 31일은 여러차례, 여러시간들을 통해 접속 했지만 브라우저 히스토리에는 완전히 삭제되어 있습니다
    이게 히스토리가 복구가 필요없는 활성 구간인데 빠진다는게 삭제가 아니라면 도대체 무엇일까요?



    9. 2013년 8월 1일 삭제

    위 보신것 처럼 사라진 자료가 나무 많아 이제부터는 날짜 별로 이미지를 한장씩만 올리겠습니다
    그리고 아까 보신 것 처럼 2013년 8월 16일까지 히스토리가 없으니 히스토리가 삭제된 이미지들만 보여드리겠습니다



    10. 2013년 8월 2일 삭제



    11. 2013년 8월 4일 삭제



    12. 2013년 8월 5일 네이버 브라우저 앱 스크린 샷을 찾았습니다


    핫토픽 키워드 옆에 2013. 08. 05 13:00 기준이라고 적혀 있습니다



    13. 2013년 8월 19일 삭제

    태블릿 자체 스크린 샷을 찾았습니다


    이게 세로로 찍혔는데 가로로 눕혀져 있어 회전시켰습니다


    이 날도 오후 약 1시경부터 계속 네이버 앱 브라우저를 이용해서 인터넷을 사용하고 있습니다


    역시 브라우저 히스토리에는 존재하지 않습니다
    이쯤 되면 브라우저히스토리가 존재하는 것 보다 삭제된 게 많다는 걸 아실 수 있을 것입니다
    어째 지금까지 삭제 안된게 하나도 없어서 정말 이 태블릿의 브라우저 히스토리가 맞을까란 생각도 들었습니다



    14. 2013년 8월 23일 삭제


    역~윽시 히스토리가 삭제되었습니다



    15. 2013년 8월 26일 정상
    네이버 앱으로 2013년 8월 26일 16시 55분에 캡쳐되었습니다

    브라우저 히스토리를 찾아보면 11분 전에 방문한 것으로 나옵니다
    스크린샷과 맞는 히스토리가 딱 하나 존재하면서 이 태블릿의 히스토리는 맞긴 맞다라는 생각이 들었습니다

    이것을 보면 도대체 얼마나 많은 양의 히스토리가 삭제된지 이해가 가실 것입니다
    활성되어 있던 히스토리도 부분, 부분만 존재하다니 절대로 자연스러운 일이 아닙니다
    특히 네이버만 특이하게 활성이 아니라 삭제로 표기되있는게 절대로 정상적인 일이 아닙니다


    댓글 없음: