평택 포렌식 엔지니어가 알려주는 정보유출 포렌식 방법

PC 포렌식을 통한 정보 유출 조사 방법

PC 포렌식은 디지털 증거를 수집하고 분석하여, 기밀 자료의 유출 여부를 확인할 수 있는 강력한 도구입니다.

이번 포스팅에서는 윈도우 10 PC에서 USB 장치 연결 기록과 파일 이동 기록을 추적하는 방법, 그리고 포렌식 소프트웨어 및 하드웨어 장비를 활용하여 정보 유출 사건을 조사하는 방법에 대해 설명하겠습니다.

 

주의사항

PC 포렌식 조사는 민감한 데이터를 다루고 분석을 통해 법적 증거를 확보할 수 있는 중요한 과정입니다.

따라서 조사를 진행하기 전, 데이터의 무결성을 유지하고 허가된 소프트웨어 및 하드웨어를 사용하여 증거를 손상시키지 않도록 주의해야 합니다.

모든 조사 과정은 법적 절차와 규정에 맞게 진행되어야 하며, 원본 데이터를 그대로 유지한 상태에서 복제본을 분석하는 것이 중요합니다.

이를 위해 전문 포렌식 도구와 절차를 활용해야 합니다.

---

---

1. 윈도우 10에서 정보 유출 여부를 확인하는 방법

윈도우 10에서 USB 장치 연결 및 사용 이력 확인하기

USB 장치를 통한 정보 유출이 의심되는 경우, 윈도우 10에서 USB 장치가 언제 연결되었고 사용되었는지를 확인할 수 있습니다. 주요 방법은 다음과 같습니다.

 

레지스트리 편집기를 통한 확인

1. 레지스트리 편집기 실행: Win + R 키를 눌러 실행 창을 열고 regedit를 입력한 후 Enter 키를 누르면 레지스트리 편집기가 열립니다.
2. 경로 이동: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR 경로에는 이전에 연결된 USB 저장 장치의 정보가 기록됩니다. 각 장치의 제조사, 제품명, 시리얼 번호 등의 정보를 통해 어떤 USB 장치가 연결되었는지 확인할 수 있습니다.

이벤트 뷰어를 통한 확인

1. 이벤트 뷰어 실행: Win + R 키를 눌러 실행 창을 열고 eventvwr.msc를 입력하여 이벤트 뷰어를 엽니다.
2. 로그 확인: Windows 로그 > 시스템을 선택한 후 현재 로그 필터링에서 DriverFrameworks-UserMode를 선택하면 USB 장치의 연결 및 제거 이벤트를 확인할 수 있습니다.

---

파일 이동 이력 확인하기

기밀 자료가 외부로 이동된 이력을 확인하기 위해 파일 이동 기록을 분석하는 것도 중요한 방법입니다.

 

최근 사용한 파일 목록 확인

• 실행 창에서 recent를 입력하여 최근에 사용한 파일 목록을 확인할 수 있습니다. 이를 통해 외부 장치로 이동된 파일이 있는지 파악할 수 있습니다.

이벤트 뷰어를 통한 파일 이동 이력 확인

1. 이벤트 뷰어에서 Windows 로그 > 보안을 선택하여 파일 시스템 활동과 관련된 이벤트를 확인합니다.
2. 보안 로그를 통해 특정 시간대에 파일이 이동되거나 삭제된 기록을 추적할 수 있습니다.

---

2. 정보 유출 조사를 위한 포렌식 소프트웨어

정보 유출 조사 과정에서는 전문적인 포렌식 소프트웨어가 필수적입니다.

정보 유출 확인에 유용한 주요 소프트웨어는 다음과 같습니다.

 

a. EnCase Forensic

• 주요 기능: 디지털 장치에서 데이터를 획득하고 분석하며 법적 증거로 사용할 수 있는 보고서를 제공합니다. USB 장치 연결 기록이나 파일 이동, 삭제 기록을 확인하는 데 탁월한 성능을 발휘합니다.

b. FTK (Forensic Toolkit)

• 주요 기능: AccessData의 FTK는 대량의 파일을 효율적으로 분석할 수 있습니다. 이메일 분석과 암호 복구 기능도 제공해 정보 유출 사건 조사에 적합합니다.

c. X-Ways Forensics

• 주요 기능: 파일 시스템의 전체 타임라인을 생성하여 파일 이동 및 삭제 기록을 추적하는 데 적합한 소프트웨어입니다. 경량화되어 가볍게 설치할 수 있으며 다양한 기능을 제공합니다.

d. Cellebrite UFED

• 주요 기능: 모바일 포렌식에 특화된 도구이지만, USB 장치 및 파일 전송 기록 확인이 가능해 정보 유출 여부를 파악하는 데 유리합니다.

e. Magnet AXIOM

• 주요 기능: 다양한 기기에서 데이터를 수집하고 분석하며, 클라우드 저장소 및 소셜 미디어 활동도 추적할 수 있습니다. 파일 이동이나 클라우드를 통한 데이터 유출 가능성 분석에 유용합니다.

---

3. 포렌식 하드웨어 장비를 통한 데이터 수집

포렌식 조사 과정에서는 데이터의 무결성을 유지하면서 증거를 안전하게 수집하는 것이 필수적입니다.

이를 위해 다양한 하드웨어 장비가 활용됩니다.

 

a. Tableau Forensic Imager (TD3)

• 기능: 디스크 이미징 장치로, 조사 대상 PC의 하드 디스크를 안전하게 복사하여 분석할 수 있습니다. 데이터 무결성을 보장하여 법적 증거 수집에 적합한 장비입니다.

b. Write Blocker

• 기능: 하드 드라이브나 USB 드라이브에 대한 쓰기 접근을 차단하여 원본 데이터의 무결성을 보호합니다. 이를 통해 원본 데이터를 손상 없이 조사할 수 있습니다.

c. 휴대용 HDD 복사 장비

• 기능: 조사 대상 하드 드라이브를 현장에서 빠르게 복사할 수 있는 장비로, PC에서 데이터를 복제하여 분석하는 데 적합합니다.

d. Portable Field Kit

• 기능: 포렌식 조사를 위한 다양한 장비가 포함된 휴대용 키트로, 현장에서 빠르게 데이터를 수집하고 분석할 수 있습니다. 랩톱, 케이블, 어댑터 등 필요한 모든 도구를 포함하고 있습니다.

---

결론

PC 포렌식은 USB 장치 및 파일 이동 이력을 확인하는 기본적인 방법부터, 전문 포렌식 소프트웨어와 하드웨어 장비를 활용한 심층 분석까지 다양한 조사 방법을 제공합니다.

EnCase, FTK, X-Ways와 같은 소프트웨어는 파일 이동, USB 장치 연결 기록 등 주요 포렌식 정보를 제공하며, Tableau TD3와 같은 하드웨어 장비는 데이터의 무결성을 유지하며 안전하게 복제본을 생성하여 분석할 수 있도록 도와줍니다.

이러한 포렌식 소프트웨어와 하드웨어 장비는 정보 유출 여부를 정확히 파악할 수 있게 하며, 필요시 법적 증거로 활용 가능한 보고서를 생성해 기밀 자료 유출 사건을 확실하게 해결할 수 있습니다.

---

https://talk.naver.com/ct/wc5atn

네이버 톡톡