Category Archives: Fraud Analysis

임직원 부정

적절한 프로파일링의 중요성

분석대상자에 대한 적절한 프로파일링이 필요한 경우가 있다.

메신저 분석을 하다보면, 대화내역이 너무 많은 경우에 해당 사건과 관련된 적절한 키워들 정의를 한 후 분석을 진행하게 된다.

대화를 하는 사람들 마다 특징이 있다는 것이다.

예를 들어서, 지역적인 특색이 있는 단어를 사용할 수 가 있다. 사투리를 쓰는 경우에는 어떤 용어들이 대화내역에서 많이 등장하는지를 리뷰하여야 하며, 미리 정의한 키워드를 사투리로 변경해서 검색을 같이 병행하여야 한다.

상사의 폭언, 임직원의 욕설, 성희롱 등의 사건 해결에 결정적 역할을 하기도 한다.

분석대상에 대한 프로파일링 필요하겠죠?

Temp Folder 에 숨은 진실

Recently..

분석시 Temp 폴더를 분석하기는 하는데, 분석시 많은 시간을 할애하지 않았다.

그런데,  요녀석 분석해볼 만한 가치가 충분히 있다.

정말 범죄사실을 증명하는데 중요한 파일을 사용자가 열람후에 복구불가능하게 삭제했다면.. 100%로 복구 불가능하다.

그러나, Temp 폴더내에 남아 있을 가능성이 있다.

그러므로 Temp 폴더 분석에 신경을 써야한다.

[부정조사] 관계분석

fraud_00

부정대상 기업 또는 대상자로 어느정도 의심이 된다면 무엇을 해야할까?

확실한 증거를 찾기위해 여러가지 다양한 시나리오를 만들고 검토해야한다.

 

부정과 관련된 대상자가 작성한 문서의 필적

– 부정 의심자가 올림 품의서와 연관된 전표들에 적힌 필적

– 전체 전표들속에서 부정 의심자와 필적이 동일한 문서

 

관련된 회사의 휴폐업 상태 및 회사와 관련된 사람

– 국세청, 공정위 사이트를 통해서 조회를 한다.

– 통신판매사업자인지도 조회를 한다.

– CRETOP 조회

– 등기부 등본 조회

 

구글링, 카페, 블로그 등을 통해서 대상 분석(이메일 주소, 사업자번호, 전화번호, 팩스번호, 이름 등)

– 네이버 메일을 사용하고 있다면, 블로그를 검색한다. abcdef@naver.com 이메일을 사용한다면, 블로그는 blog.naver.com/abcdef

– 다음 메일을 사용하고 있다면, abcdef@hanmail.net -> blog.daum.net/abcdef

– 네이버를 사용한다면, 네이버 중고나라에 글을 검색한다.

– 채용사이트에 채용정보

 

관련 회사 홈페이지 분석

– 전체 올라와 있는 글 리뷰

– 회사 홈페이지내에 올라와 있는 직원들에 대한 정보(예: 개인정보 책임자 등)

 

실증테스트

– 해당 회사에 전화를 해서 어떤 업무를 하는지 확인한다.

 

포렌식 분석

– 관련 담당자의 PC 분석을 통한 결정적인 증거를 획득한다.

– 회사내 여러 시스템에 (DLP, DRM 등)남아 있는 각종 로그 분석을 연계하여 PC분석을 수행

 

분석내용 정리

위에서 여러가지 분석한 내용을 바탕으로 정리를 하는 것이 무엇보다 중요하다. 개별로 정리된것들을 시간순, 사건발생 이벤트 순서 등으로 분류를 하게 되면 조각조각 나누어져 있던 내용들이 퍼즐처럼 맞춰 질 것이다.

 

Keep going with Staying Power

 

신라호텔 상품권 현금화하여 7억여원 횡령

■ 범행동기 : ?
■ 범행기간 : 2009년 4월 ~ 2012년 11월(3년 7개월)
■ 횡령금액 : 7억 8,869만원(89회에 걸쳐 횡령)
■ 범행도구 : ?
■ 범행수법 : 외국에게 지급해야할 상품권(10,000) 미지급

신라호텔 횡령

■ 포렌식관점에서 Think about it
– 범행기간이 3년 7개월임에도 불구하고 위 사항에 대해서 몰랐다는 것은 일단 내부통제에 문제가 있었음은 확실하다.
– 위 사건 조사시 포렌식을 활용했겠지만 다시한번 필요한 것들을 나열해보면, 담당자의 PC, 휴대폰 등 스마트기기, 이메일, 메신져, 내부 결제 품의서 등 분석이 필요하다.

다이소 아성산업 14억 8,869만원 횡령

■ 범행동기 : 오랜기간 근무하면서 회사 자금집행업무에 통달하고 있으며 협력업체와 친밀한 관계 형성
■ 범행기간 : 2007년 3월 ~ 2011년 12월(5년 9개월)
■ 횡령금액 : 14억 8,869만원(50회에 걸쳐 횡령)
■ 범행도구 : 컴퓨터, 펜
■ 범행수법 : 거래처 물품대금 지급관련 문서 위조, 물품대금 과다지급

다이소 횡령

■ 개선방안
– 물품대금이 적절하게 지급되고 있는지 정기적인 감사 수행
– 또한, 외부 HOTLINE 을 구축하여 제보 받음
– 직무 순환 및 직무 분리
– 협력업체 거래 중심으로 임직원에게 주기적인 윤리교육 실시

■ 포렌식관점에서 Think about it
– 자금을 집행하는 부서에 대한 데테일한 포렌식 감사가 필요했다. 문서를 위조해서 물품대금이 과다 지급되었다는 사실은 일반적인 감사방법으로 알아내기가 쉽지 않다. 거래처에서 보내온 청구서와 출금전표 등 맞추어보면 일치한다. 실제 물건에 대한 단가도 조작했을것이고 물품수량도 맞을 것이다. 그러니 감사를 통해서 미쳐 발견하지 못했을 수도 있다.
– 포렌식 방법론을 적용하여 감사를 하였다면 위 담당자에 대한 PC 및 기타 전산관련 데이타(메신져, 이메일 등) 분서을 통해 밝혀낼수도 있었을 것이다. 이와 더불어 모니터링이 필요하다. 이상징후를 사전에 발견했다면 이러한 횡령 사고를 막을 수 있었을 것이다.