최근 개인정보보호를 목적으로 데이터를 암호화해 저장하고 보안에 초점을 맞춰 종단 간 암호화 등의 서비스를 제공하는 메신저들이 등장하면서 수사에 어려움을 겪고 있다. 이에 보안 메신저를 악용하는 범죄사례는 늘고 있지만, 보안 메신저에 대한 데이터 복호화 연구는 필요하다. Element 보안 메신저는 대화 참여자만 대화 이력을 확인할 수 있도록 종단 간 암호화 기능을 제공하고 있으나 이를 복호화하는 연구는 미흡하다. 따라서 본 논문에서는 종단 간 암호화 기능을 제공하는 인스턴트 메신저 Element를 분석하고, 사용자의 패스워드 없이 Windows 자격 증명 관리자 서비스에 저장된 복호화키를 활용하여 암호화된 보안 채팅방의 이력을 평문으로 확인하는 방안을 제안한다. 또한, 디지털 포렌식 수사관점에서 유의미한 일반 및 보안 채팅 관련 아티팩트를 분석한 결과를 정리한다.
Recently, the investigation has been difficult due to the emergence of messengers that encrypt and store data for the purpose of protecting personal information and provide services such as end-to-end encryption with a focus on security. Accordingly, the number of crime cases using security messengers is increasing, but research on data decoding for security messengers is needed. Element security messengers provide end-to-end encryption functions so that only conversation participants can check conversation history, but research on decoding them is insufficient. Therefore, in this paper, we analyze the instant messenger Element, which provides end-to-end encryption, and propose a plaintext verification of the history of encrypted secure chat rooms using decryption keys stored in the Windows Credential Manager service without user passwords. In addition, we summarize the results of analyzing significant general and secure chat-related artifacts from a digital forensics investigation perspective.