키워드 정의를 통한 포렌식 대상자 문서파일 모니터링

장기간에 걸쳐 수많은 하드디스크 이미징을 통해 문서파일(xls,doc,ppt,pdf,hwp,txt 등)을 획득하였다. 동일한 목적으로 하드디스크를 수집하는경우도 있지만, 다양한 사건들을 통해서 많은 디스크 이미징 파일을 일정기간 보관해야된다.

솔직히 분석이 완료되었다 하더라도 어딘지 모르게 찜찜하다. 왜냐하면 분석시간이 무한정 주어지지 않기 때문에 일정시간이 흐르면 분석리포트를 해야한다. 즉, 시간이 제한적이기 때문에 빠른시간내에 정해진 범위만을 정밀 분석해야한다.

최근에, 분석종료된건들의 문서파일이 보관된 디스크를 매일매일 키워드를 정의, 추가하여 모니터링을 수행한다. 지난 분석건들중에 놓친부분이 혹시 있는지, 아니면 새로운 사실은 없는지 등등을 리뷰하고 있다. 많은 시간을 할애하지 않고 기대하지 않았던 중요한것들을 찾아내고 있다.

위에 발견된건들은 사안의 중요성에 따라 재조사 또는 차후 유사건 조사시 활용 중이다.

이미 종료된 포렌식 분석건이라 할지라도 기업에서는 모니터링이 필요하다. 물론 적법한절차와 규정 등에 일관되게 수행하는것이 중요하다.

* 키워드 정의를 잘해야 모니터링에 검색되는 자료를 최소화 할 수 있다.
– 공통 키워드 정의
– 부정 키워드 정의 등

Leave a Reply

Post Navigation