하이브리드 앱 기반 웹 서비스에서의 HTTP 헤더 정보 기반 디지털 포렌식
A Study on Digital Forensics Based on HTTP Header Information in Hybrid App-Based Web Services
- 주제(키워드) 하이브리드 앱 , 디지털 포렌식 , HTTP 헤더 , 아티팩트 분석 , 서버 로그 , 인증 흐름
- 주제(DDC) 005.8
- 발행기관 아주대학교 정보통신대학원
- 지도교수 손태식
- 발행년도 2026
- 학위수여년월 2026. 2
- 학위명 석사
- 학과 및 전공 정보통신대학원 사이버보안
- 실제URI http://www.dcollection.net/handler/ajou/000000035461
- 본문언어 한국어
- 저작권 아주대학교 논문은 저작권에 의해 보호받습니다.
초록/요약
In modern mobile services, a hybrid app structure, operating primarily through HTTP communication via WebView, is becoming standardized. HTTP headers generated in this process, such as User-Agent and Referer, contain crucial traces of user behavior. However, the mainstream of existing forensic research has largely focused on analyzing on-device static artifacts or memory dumps in both PC [1, 2] and mobile [3, 4] environments, leaving a lack of methodologies for dynamic log analysis. This client-side approach [1-4] presupposes the acquisition of the target device, which presents clear limitations in actual digital investigation scenarios where device acquisition is difficult. To overcome these limitations, this study identifies HTTP header artifacts generated during the standard authentication (OAuth 2.0) flow in an Android hybrid app environment and proposes a systematic forensic application technique for analyzing server logs in a device-independent manner. Web content hosted on GitHub Pages was loaded into a minimal-function WebView app (minSdk=26). Using Chrome Developer Tools and Webhook.site, headers from the Kakao and Google login processes were analyzed, and the significance of the identified artifacts was demonstrated through simplified scenarios. This study is significant in that it moves beyond the limitations of prior client-side research [1-4] and demonstrates the importance of server-side logs [5-7] and header analysis [8, 9] within the modern OAuth 2.0 authentication context [10, 11], providing a foundation for post-incident behavior analysis and anomaly detection.
more초록/요약
현대의 모바일 서비스는 웹뷰(WebView)를 통한 HTTP 통신을 중심으로 동 작하는 하이브리드 앱 구조가 표준화되고 있다. 이 과정에서 발생하는 User-Agent, Referer 등 HTTP 헤더는 사용자 행위의 핵심 흔적을 담고 있으 나, 학계의 주류적 포렌식 연구는 PC [1, 2] 및 모바일 [3, 4] 환경 모두에서 기 기 내 정적 아티팩트나 메모리 덤프 분석에 집중하여 동적 로그 분석 방법론이 부족한 실정이다. 이러한 Client-side 접근법 [1-4]은 분석 대상 기기 확보를 전 제로 하므로, 기기 확보가 어려운 실제 수사 환경에서는 명확한 한계가 있다. 본 연구는 이러한 한계를 극복하기 위해, 안드로이드 하이브리드 앱 환경의 표 준 인증(OAuth 2.0) 흐름에서 발생하는 HTTP 헤더 아티팩트를 식별하고, 이 를 활용하여 기기 독립적으로(Device-Independent) 서버 로그를 분석하는 체계 적인 포렌식 적용 기법을 제안한다. GitHub Pages로 호스팅되는 웹 콘텐츠를 최소 기능의 웹뷰 앱(minSdk=26)으로 로드하고, Chrome 개발자 도구와 Webhook.site를 활용하여 카카오 및 구글 로그인 과정의 헤더를 분석하였으며, 간소화된 시나리오를 통해 식별된 아티팩트의 유의미성을 실증하였다. 본 연구 는 기존 Client-side 연구 [1-4]의 한계를 넘어, 서버 측 로그 [5-7]와 헤더 분 석 [8, 9]의 중요성을 OAuth 2.0 인증 [10, 11] 환경에서 실증하여, 사후 행위 분석 및 이상 징후 탐지가 가능한 기반을 제시한다는 점에서 의의가 있다.
more목차
제1장 서론 1
제2장 이론적 배경 및 관련 연구 3
제1절 이론적 배경 3
1. 하이브리드 앱의 구조 및 웹뷰(WebView) 메커니즘 3
2. OAuth 2.0 인증 프레임워크와 동작 원리 4
3. HTTP 헤더 구조 및 주요 포렌식 아티팩트 5
제2절 관련 연구 6
제3장 포렌식 분석 환경 구축 및 아티팩트 식별 9
제1절 분석 환경 구축 9
1. 분석 대상 선정 9
2. 실험 환경 구성 9
제2절 분석 시나리오 설계 11
1. 시나리오 1: 정상 행위 분석 (Baseline 수립) 11
2. 시나리오 2: 비정상 행위 실증 12
제3절 HTTP 헤더 아티팩트 식별 및 분석 12
1. 환경 특정 아티팩트 (User-Agent, X-Requested-With) 13
2. 경로 증명 아티팩트 (Referer) 14
3. 행위 귀속 아티팩트 (Authorization) 16
제4장 시나리오 기반 실증 및 포렌식 적용 기법 18
제1절 시나리오 기반 실증 18
1. 실증 1: 자동화 도구 위장 (User-Agent 변조) 18
2. 실증 2: 비인가 경로 접근 (Referer 조작) 19
3. 실증 3: 인증 토큰 훼손 (Authorization 변조) 21
제2절 하이브리드 앱 포렌식 분석 절차 제안 25
1. [1단계] 환경 특정 분석 (Environment Analysis) 25
2. [2단계] 경로 연속성 분석 (Path Continuity Analysis) 26
3. [3단계] 행위 귀속 분석 (Attribution Analysis) 26
4. [4단계] 상호관계 기반 이상 징후 탐지 (Anomaly Detection) 27
제5장 결론 28
참고문헌 31
Abstract 32
