PhotoDNA & Using PhotoDNA technology in FTK

개요

PhotoDNA는 Microsoft와 Dartmouth 대학에서 공동 개발한 기술로, 인터넷에 있는 아동 포르노 이미지를 찾을 수 있는 기술이다.

National Center for Missing & Exploited Children(실종 및 학대아동을 위한 센터, 이하 NCMEC)에서 발표한 자료에 따르면, 2002년부터 아동학대 및 아동 음란물 이미지와 영상이 6,500만개 이상 발견되어 법률 집행을 하였다고 발표하였다. 이 이미지는 시간이 지날수록 증가하는 양상을 보이고 있다. Microsoft는 법 집행에 있어 PhotoDNA 기술이 이러한 아동을 빠르게 식별하여 구조할 수 있는데 도움을 준다고 생각하고 있다.

기존의 MD5 Hash 방식은 이미지가 조금만 수정되어도 Hash 값이 완전히 달라지기 때문에 동일한 파일만 찾을 수 있었으나, PhotoDNA는 크게 수정되지 않는 선에서 유사한 이미지를 찾을 수 있어 더욱 효과적이다.

---

How it works

PhotoDNA는 이미지 매칭 기술이다. 기본적인 개념은 파일이 각각 고유한 Hash 값을 가지는 것과 유사하다. PhotoDNA는 이미지의 사본을 찾기 위한 지문과 같은 고유한 서명값을 가지고 있다.

원본 이미지에 대한 PhotoDNA의 Hash 값을 구하는 방법은 아래 동영상에 간략하게 나와있다.

원본 이미지를 일정 단위로 분할하여, 이미지 분석을 위한 처리를 한 뒤, 분석이 필요한 데이터에서 일치하거나 유사한 것을 찾아주는 방식을 취하고 있다.

---

FTK에서 PhotoDNA 사용
FTK에서 PhotoDNA 기능을 제공하고 있다. 이 기능을 이용하여 원본 데이터나 증거에 대한 이미지를 기준으로 삼아 유사 이미지를 찾을 수 있다.

FTK 5.3.1.10 버전 기준 설명이다.

분석 준비

상단 메뉴 중, Evidence → Additional Analysis 를 순서대로 클릭한다. Hashing/Job Options 탭에서 PhotoDNA 부분이 있는데, 이 부분을 체크하여 활성화 시킨다. Library는 이미지의 Hash 값과 기타 필요한 자료들이 저장되는 장소이므로 적당히 지정하면 된다.

분석 파일 지정

로컬에서 지정

1. 하단의 Add 버튼을 클릭하여 분석 원본 이미지(기준이 되는 이미지)를 선택하여 라이브러리에 등록

분석 이미지에서 지정

1. Explore 탭이나 Overview 탭 등에서 PhotoDNA 분석이 필요한 이미지 확인
2. 해당 이미지를 오른쪽 클릭 하여 'Add to PhotoDNA Library...' 메뉴를 클릭하여 라이브러리에 등록

---

분석

Additional Analysis로 돌아와서, PhotoDNA에 체크가 되어있는지 확인 후, 분석을 시작하면 된다. 분석이 끝나도 아무런 변화를 볼 수 없는데, 하단의 컬럼을 PhotoDNA를 볼 수 있도록 설정하여야 한다.

PhotoDNA Column

PhotoDNA와 관련된 컬럼을 설명한다.

• PhotoDNA Data: PhotoDNA 라이브러리에 등록된 데이터의 경로를 볼 수 있다.
• PhotoDNA Distance: 원본과 사본의 차이를 볼 수 있다.
• PhotoDNA File ID: PhotoDNA 라이브러리에 등록된 Index 번호를 볼 수 있다.
• PhotoDNA Hash: 각 이미지 파일의 PhotoDNA Hash 값을 볼 수 있다.

* 이 글은 4n6.center 블로그에 작성했던 글을 가져왔기 때문에 마크업이 적용되지 않은 티스토리에서 정상적으로 보이지 않을 수 있습니다.