Tag Archives: Forensic

업무용 PC 하드디스크 분리된 흔적? 비인가 하드디스크 접속 흔적?

이제는 하다하다 하드디스크를 직접 떼가거나 다른 하드디스크를 컴퓨터에 붙이기 까지 하네~~

왠만한 기업에서는 정보유출 차단하기 위해서 파일업로드 금지, 이동식저장장치 사용금지 등 많은 통제를 하고 있다.

그래서 정보유출을 하려는자와 그것을 막으려는자 사이에 언제나 갭이 생기게 된다.

그 Gap 이 위 제목에서 언급한 하드디스크 이다.

물론, 컴퓨터에 자물쇠로 잠그면 물리적보안 관점에서 강력한 통제가 될 수 있지만 현실적으로 어렵다. 그래서 보안스티커를 부착하고 정기적, 수시적으로 점검하여 보안스티커 훼손여부를 점검한다.

그러나, 퇴사를 결심한 직원은 하드디스크를 떼어내거나 다른 하드디스크를 컴퓨터에 연결해서 정보를 빼낸다.

이것을 확인 할 수 있는 방법은 몇가지가 있다.

결론 부터 말을 하자면

하드디스크가 외부로 나갔다면, 휴지통을 분석해볼 필요가 있다. 회사 업무계정과는 전혀 상관없는 SID 값이 생겼을 것이다.

비인가 하드디스크가 연결되었다면, 레지스트리 분석을 통해서 비인가 하드디스크 접속기록을 확인 할 수 있다.

세부 확인 방법은 아래와 같다.

키워드 정의를 통한 포렌식 대상자 문서파일 모니터링

장기간에 걸쳐 수많은 하드디스크 이미징을 통해 문서파일(xls,doc,ppt,pdf,hwp,txt 등)을 획득하였다. 동일한 목적으로 하드디스크를 수집하는경우도 있지만, 다양한 사건들을 통해서 많은 디스크 이미징 파일을 일정기간 보관해야된다.

솔직히 분석이 완료되었다 하더라도 어딘지 모르게 찜찜하다. 왜냐하면 분석시간이 무한정 주어지지 않기 때문에 일정시간이 흐르면 분석리포트를 해야한다. 즉, 시간이 제한적이기 때문에 빠른시간내에 정해진 범위만을 정밀 분석해야한다.

최근에, 분석종료된건들의 문서파일이 보관된 디스크를 매일매일 키워드를 정의, 추가하여 모니터링을 수행한다. 지난 분석건들중에 놓친부분이 혹시 있는지, 아니면 새로운 사실은 없는지 등등을 리뷰하고 있다. 많은 시간을 할애하지 않고 기대하지 않았던 중요한것들을 찾아내고 있다.

위에 발견된건들은 사안의 중요성에 따라 재조사 또는 차후 유사건 조사시 활용 중이다.

이미 종료된 포렌식 분석건이라 할지라도 기업에서는 모니터링이 필요하다. 물론 적법한절차와 규정 등에 일관되게 수행하는것이 중요하다.

* 키워드 정의를 잘해야 모니터링에 검색되는 자료를 최소화 할 수 있다.
– 공통 키워드 정의
– 부정 키워드 정의 등

[칼럼]내부감사부서 역량강화를 위한 디지털포렌식 도입의 필요성

최근 트렌드를 보면, 내부감사부서에 IT전문가들이 포진해 있다. 데이터를 추출하고 조회하고 검색하는 등 감사업무 효율성강화에 한 몫을 하고 있다.
그러나 IT전문가가 포렌식업무까지 병행할수 있다면 금상첨화?일것이다.

사례 중심으로 설명을 하겠다.