자동차 포렌식 발전 방향과 추출 데이터 분석 방안

Abstract

As automobiles are electrical powered and developed in the direction of self-driving, the role of computers is becoming important. These smart cars have become common technologies with the development of innovative automobile technology and computer technology. This means that new approaches and research on automobiles are needed from a forensic point of view. In the past, car forensics consisted of physical forensics that measure the length of the skid mark in case of a vehicle accident and calculate the speed, analyze the destination or route of the navigation, and analyze videos recorded in the black box. This was not a forensics of the vehicle itself, but rather an investigation of external mounting devices or surrounding environments. In addition, there was a problem in securing reliability because the acquired data was inaccurate or cross-validation was not possible. Current automobile forensics have already developed to the point of analyzing EDR data installed inside cars, connecting acquisition devices to OBD terminals, and analyzing smartphone-linked infotainment systems such as Android Auto and Apple CarPlay. However, it is also not legally mandatory to install devices and systems for acquisition and analysis, making it difficult to obtain data. In addition, there is very little data stored inside the vehicle, and there is a limitation in that data is stored in external devices such as smartphones, so evidence must be obtained through separate mobile forensics. However, in the case of electric vehicles with partial autonomous driving functions, which have been released and are increasing sales, the structure of the vehicle is expected to be very developed, enabling the application of a new forensic method. The characteristic of these cars is that first, as numerous additional sensors are installed for self-driving and data generated here are accumulating, the number of information that can be collected is increasing. Second, the automobile ECU is integrated, equipped with a centralized computer, and an integrated operating system is installed and operated. This has the advantage that automobiles can be computerized and standardized for forensics. Finally, by having OTA and V2X functions, data can be transmitted and received wirelessly by being connected to the outside, which has the advantage of enabling cross-validation of the generated data. In addition, in the case of self-driving cars, it is legally forced to have a device to store vehicle driving data, and the type and storage method of collected data are stipulated. Commercially, these data are expected to generate profits through automobile design and insurance premium calculation, which is an incentive to store and acquire data. The accumulated data may be stored in a memory inside the vehicle or stored in a smartphone connected thereto or in a server of a manufacturer. The problem is that the capacity of the data is too vast. In mobile forensics, as the storage capacity of smartphones increases, it takes a considerable amount of time to obtain, select, and analyze data. In the case of data collected in automobiles, the capacity is expected to be much larger than that of mobile, so it is necessary to change the data analysis method. Therefore, in this paper, propose the introduction of FOQA (Flight Operations Quality Assurance), an accident investigation and maintenance program for aircraft that has already been used for a long time and has secured reliability and accuracy. By visualizing the acquired data in 3D simulation, in the case of an accident investigation, the handle position, transmission position, accelerator pedal position, etc. can be reproduced as the situation at the time of the accident to increase the accuracy of judgment. In the case of general evidence collection, the driver's biometric information, passenger information, destination information, and payment information are collected and reproduced through the vehicle's internal camera and infotainment information, enabling mobile forensics and cross-validation as well as independent evidence. By adding an automatic analysis function, forensic investigators can grasp the overall matters necessary for the investigation, such as vehicle and driver information, at a glance. In addition, data on rapid acceleration, rapid deceleration, drowsy driving, etc. will be standardized and registered as event code to indicate event code, occurrence point, and end point in the program, reducing data analysis time and improving accuracy.

자동차가 전동화 되고, 스스로 운전하는 방향으로 발전하며 컴퓨터의 역할이 중요해지고 있다. 이러한 스마트카들은 혁신적 자동차 기술 발전 및 컴퓨터 기술 발전과 더불어 보편화된 기술이 되었다. 이는 곧 포렌식 관점에서 자동차에 대한 새로운 접근 및 연구가 필요하다는 것을 의미한다. 과거의 자동차 포렌식은 차량 사고 시 스키드 마크의 길이를 측정하여 속도를 계산하는 물리적 포렌식, 그리고 네비게이션의 목적지나 경로를 분석하고, 블랙박스에 기록된 동영상을 분석하는 등의 포렌식이 이루어졌다. 이는 차량 자체에 대한 포렌식이라기 보다는 외부 장착기기 또는 주변 환경에 대한 조사였다. 또한 획득 데이터가 부정확 하거나 교차 검증이 불가능하여 신뢰성 확보 차원에도 문제가 있었다. 현재의 자동차 포렌식은 자동차 내부에 장착된 EDR 자료 분석 또는 OBD 단자에 획득 기기를 연결한 분석, 안드로이드 오토와 애플 카플레이 같은 스마트폰 연동 인포테인먼트 시스템 분석에 이를 정도로 발전되었다. 하지만 이 역시도 획득 및 분석을 위한 장치와 시스템 설치가 법적으로 의무 사항이 아니라, 데이터 획득이 수월하지 않다. 또한 차량 내부에 저장되는 데이터가 매우 적을 뿐더러 스마트폰 같은 외부 기기에 데이터가 저장되어 별도의 모바일 포렌식 등을 통해 증거를 획득해야 하는 한계점이 있다. 하지만 지금 출시되어 판매가 늘고 있는 부분자율주행기능을 갖춘 전기차들의 경우 차량의 구조가 매우 발전되어 새로운 포렌식 방법의 적용이 가능해질 것으로 보고 있다. 이러한 자동차들의 특징은 첫째 자율주행을 위해 수많은 센서가 추가 탑재되고 여기서 생성되는 데이터들이 축적되고 있어 수집할 수 있는 정보들이 늘어나고 있다. 둘째 자동차 ECU가 통합되어 중앙 집중식 컴퓨터가 탑재되고 통합 운영체제가 설치되어 운영된다. 이는 자동차가 컴퓨터화 되어 포렌식을 위한 표준화가 가능하다는 장점을 가진다. 마지막으로 OTA, V2X 기능들을 갖춤으로써 외부와 연결되어 무선으로 데이터의 송수신이 가능해지고 이는 생성된 데이터들에 대한 교차 검증이 가능해진다는 장점을 가진다. 또한 자율주행 자동차의 경우 법적으로 자동차 운행 데이터를 저장하는 장치를 갖추도록 강제하고 수집 데이터의 종류와 저장 방식 등을 규정하고 있다. 상업적으로도 이런 데이터들을 통해 자동차 설계, 보험료 계산 등의 방식으로 수익이 창출될 것으로 보여 데이터의 저장 및 획득에 유인이 되고 있다. 축적된 데이터는 자동차 내부의 메모리에 저장되거나 연결된 스마트폰 또는 제작사의 서버에 저장될 것이다. 문제점은 데이터의 용량이 너무 방대하다는 것이다. 모바일 포렌식에서도 스마트폰의 저장 용량이 커지면서 데이터의 획득 및 선별, 분석에 상당한 시간이 소요되는 어려움이 발생하고 있다. 자동차에 수집되는 데이터의 경우 모바일보다 용량이 훨씬 클 것으로 예상되어 데이터 분석 방법의 변화가 필요하다. 따라서 이 논문에서는 이미 오랜 기간 사용되어 신뢰성과 정확도가 확보된 항공기의 사고조사 및 유지보수 프로그램인 FOQA(Flight Operations Quality Assurance) 도입을 제안한다. 획득한 데이터를 3D 시뮬레이션으로 시각화함으로써 사고 조사의 경우 핸들위치, 변속기 위치, 가속페달 위치 등을 사고 당시 상황으로 재현하여 판단의 정확도를 높일 수 있다. 일반 증거 수집의 경우에도 차량 내부 카메라 및 인포테인먼트 정보를 통하여 운전자의 생체정보, 동승자정보, 목적지정보, 결제정보 등을 수집, 재현하여 독자적인 증거뿐 아니라 모바일 포렌식과 교차검증이 가능해진다. 자동 분석 기능을 추가하여 포렌식 수사관이 한눈에 차량 및 운전자 정보 등 수사에 필요한 전반적인 사항의 파악이 가능하다. 또한 급가속, 급감속, 졸음 운전, 또는 운전자 신체 이상, 차량 내 결제 등이 이루어졌을 경우에 대한 데이터를 표준화 하고 이를 이벤트 코드로 등록하여 특정상황이 발생할 경우 프로그램에 이벤트 코드와 발생 시점 및 종점 표시함으로써 그 부분의 데이터만 상세 분석하여 데이터 분석 시간을 줄이고 정확성을 높일 수 있을 것이다.