$UsnJrnl 파일을 이용한 사용자 행위 추적 연구

Abstract

디지털포렌식 수사관이라면 누구나 범죄의 행위를 규명하기 위해 많은 고민을 하게 된다. 사건의 유형이나 사용자의 행위 패턴, 혹은 사건의 쟁점에 따라 압수의 대상이 달라지고 압수물에 대한 분석 방향이 결정된다. 예컨대, 기술 유출 사건의 경우라면 혐의와 관련된 문건이 특정 기기에 존재 했었는지에 대한 여부, 혹은 기술이 유출된 경로를 확인하는 것으로 분석이 시작되고, 증거 인멸의 사건이라면 혐의와 관련된 문건이 무엇인지, 언제, 어떤 방법으로 삭제가 되었는지, 혹은 삭제된 문건을 어떻게 찾아내고 복구할지에 대한 파악으로 시작된다. 디지털 기술의 보편화, 대중화로 인해 개인의 일상과 밀접한 관계를 맺게 되면서 증거로서의 디지털 정보가 가지는 의미는 점차 증대되고 있다. 반면 이러한 기술이 고도화 되고 새로운 기술 지식에 대한 접근이 용이해짐에 따라 개인들의 디지털 정보에 대한 지식이 지능화 되어 수사기관의 개개인의 디지털 정보에 대한 접근은 어려워지고 있다. 특히, 개인의 프라이버시나 기업의 보안 의식이 강화되면서 안티포렌식 기술 또한 더욱 다양하고 정밀해 짐에 따라 이러한 디지털 증거를 분석하고 그 결과를 현출해야 하는 디지털포렌식 수사관들에게는 더 다양하고 심도있는 기술이나 정보 습득이 요구되어진다. 디지털 증거 분석 요청의 대부분은 사용자의 특정 행위에 대한 시간 정보다. 특히 쟁점이 되는 행위의 실행 시간, 예를 들어 특정 파일이 존재한다면 그 파일을 생성하거나 변경, 삭제한 시간 등에 대한 정보다. 모든 사건에 있어서 시간정보는 범죄 행위를 규명하는 필수적 요소이고, 디지털 증거에 있어서도 예외는 아닐 것이다. 디지털포렌식의 관점에서 이러한 정보들을 확인할 수 있는 요소들은 많지만 그 중 본 연구에서 다루었던 $UsnJrnl 파일은 그 기능의 특성상 사용자 및 시스템의 행위를 비교적 구체적인 시간정보와 함께 기록하고 있다. 하지만 현재 국·내외 적으로 디지털포렌식 수사관들이 활용할 수 있는 $UsnJrnl 파일 관련 연구는 부족한 실정이다. 다양한 수사기법에 대한 연구는 실무자들에게 사건을 접근하는 방법을 제시하고 사건을 해결하는데 유용한 자료가 되는 바, 이번 연구를 통해 시간정보를 기반으로 하는 사용자의 행위 추적에 용이한 $UsnJrnl 파일을 활용한 분석 방법을 제안하고자 했다. 본 연구에서는 실제 실무에서 $UsnJrnl 파일로부터 탐지된 정보들을 활용한 사례를 보여주었고, 가상의 시나리오를 구성하여 구체적인 분석 방법을 제시했다. 해당 사례 분석을 통해 사건의 쟁점이 되는 파일의 삭제 시간 정보를 확인할 수 있었는데, 특히 완전 삭제 프로그램을 사용하거나 기타 안티포렌식 행위들에 대해서도 그 흔적을 추적해 나갈 수 있음을 보여주었다. $UsnJrnl 파일이 남기는 무수히 많은 정보들 중에서 필요한 정보만을 탐색하는 것이 쉬운 것만은 아니었다. 그러나 단 1퍼센트의 가능성이라도 있다면 쉽게 간과할 수는 없을 것이다. 이번 연구를 통해 더 다양하고 활발한 연구의 필요성을 느끼면서 동시에 본 연구가 우리 디지털포렌식 수사관들에게 유용하게 활용되기를 바란다.