디지털 법의학 도구에 대한 열아홉 번째 글입니다. 오늘은 디지털 법의학 도구 중에서 중요한 기술인 USB 포렌식 분석에 대해서 글을 써 보려고 합니다. USB 포렌식 분석은 범죄 수사에서 USB 장치를 분석하여 디지털 증거를 확인하는데 필요한 기술입니다. 이 중요한 USB 포렌식 분석 기술에 대해 자세히 알아보도록 하겠습니다.
1. USB 포렌식 분석이란?
‘USB 포렌식 분석’이란 컴퓨터 또는 디지털 장치에 연결된 USB 장치(예: 외장 하드, USB 메모리, 키보드, 스마트폰 등)의 흔적을 추적하고 분석하는 과정을 의미합니다. 범죄 수사나 내부 정보 유출 사건에서 USB 장치의 사용 여부, 연결 시간, 전송된 파일 등을 확인하는 데 매우 중요한 기술입니다.
2. 왜 USB 포렌식 분석이 중요한가?
USB 장치는 정보 이동이 간편하고 흔적을 남기지 않기 때문에, 디지털 증거를 확보하는 과정에서 핵심 단서가 될 수 있습니다. 다음과 같은 이유로 중요성이 큽니다:
- 정보 유출: 회사의 기밀 정보를 외부 USB 장치로 옮긴 흔적 확인
- 불법 자료 전송: 위법한 파일을 USB를 통해 반입하거나 유출한 정황 확인
- 사용자 식별: 누가, 언제, 어떤 USB를 사용했는지 파악 가능
또한 USB 포렌식 분석은 법정 증거로서의 활용도가 높기 때문에, 법률적 정당성을 확보하는 데도 매우 중요합니다. 분석 결과는 수사기관뿐 아니라 기업의 내부 감사 및 보안 점검에서도 폭넓게 활용됩니다.
3. USB 포렌식 분석의 핵심 절차
(1) 연결 기록 확인
운영체제는 USB 장치가 연결될 때마다 관련 정보를 레지스트리에 저장합니다. 대표적으로 Windows의 경우 USBSTOR, MountedDevices, SetupAPI 로그가 활용됩니다.
- USBSTOR: 연결된 USB 장치의 벤더ID, 제품ID, 시리얼 넘버 확인
- SetupAPI.dev.log: 설치 시점, 장치 드라이버 로딩 이력 확인
- MountedDevices: 각 드라이브가 어떤 장치와 연결됐는지 추적 가능
(2) 파일 이동 및 수정 여부 확인
사용자가 USB를 통해 파일을 복사하거나 이동한 경우, 해당 흔적은 $LogFile, $MFT, $USNJRNL 등 NTFS 메타데이터에 남습니다. 이를 통해 파일의 생성/수정/접근 시간이 분석됩니다.
(3) USB 장치의 고유 식별 정보 분석
USB 장치마다 고유 식별자(Serial Number, GUID)가 존재합니다. 이를 통해 동일한 USB가 여러 번 연결되었는지 여부를 판단할 수 있습니다.
(4) 타임라인 분석
USB 포렌식 분석은 전체 디지털 타임라인 분석의 일부로 작동합니다. 연결 시간, 파일 이동 시간, 로그인 시간 등을 종합하면 사용자 행동을 구체적으로 재구성할 수 있습니다.
4. USB 포렌식 분석에 사용되는 도구
(1) USB Deview
Nirsoft에서 제공하는 무료 도구로, 시스템에 연결된 모든 USB 장치 정보를 시간순으로 보여줍니다. 제거된 장치의 정보도 확인할 수 있습니다.
(2) FTK Imager
디스크 이미지 생성뿐 아니라 특정 USB 드라이브 내 파일 시스템 분석에 적합합니다.
(3) USB Historian
USB 연결 이벤트를 정리하여 시각화하고, 사용 패턴을 확인할 수 있게 도와주는 도구입니다.
(4) Magnet AXIOM
고급 분석 기능을 가진 상용 디지털 포렌식 도구로, USB 장치 활동을 종합적으로 분석할 수 있습니다.
(5) X-Ways Forensics
메모리 분석, 로그 추출, USB 타임라인 분석에 뛰어난 기능을 제공하며, 정교한 필터링이 가능합니다.
5. 실제 사건 사례에서의 USB 포렌식 분석 활용
(1) 산업기밀 유출 사건
직원이 퇴사 전 회사의 연구 데이터를 USB에 담아 간 정황을 분석해 증거로 채택된 사례가 다수 존재합니다. USB 연결 시점과 파일 복사 흔적이 핵심 증거가 되었습니다.
(2) 공공기관 보안 위반 사례
보안 USB 외 일반 USB 사용이 금지된 환경에서, 외부 USB 연결이 시도된 사실을 포렌식 분석으로 규명. 해당 USB는 악성코드를 포함하고 있었음이 밝혀졌습니다.
(3) 랜섬웨어 감염 경로 분석
랜섬웨어가 감염된 USB를 통해 유입된 정황을 포렌식 분석으로 밝혀내고, 동일 USB의 다른 시스템 감염 여부까지 추적
6. USB 포렌식 분석의 한계와 대응
(1) 흔적 삭제 시 문제
사용자가 USB 장치 기록을 삭제하거나 포맷하면 분석이 어렵습니다. 하지만 로그 파일의 백업 영역 또는 레지스트리 히스토리를 통해 일부 복원이 가능합니다.
(2) 암호화 장치 분석의 어려움
BitLocker, VeraCrypt와 같은 암호화 툴로 보호된 USB는 별도의 해제 기술이 필요합니다.
(3) 가상 USB 장치 우회
가상 환경에서 USB 장치를 에뮬레이션하는 방식은 일반 분석 도구로 감지되지 않을 수 있어, 전문 지식이 요구됩니다.
7. 디지털 포렌식 전문가가 추천하는 USB 포렌식 분석 팁
- 분석 전 디스크 이미지 백업은 필수입니다
- 연결 기록은 다양한 경로에서 교차 확인해야 합니다
- 동일 장치라도 연결 시점마다 드라이브 문자, 시간 등은 다를 수 있으므로 타임라인 기반 접근이 효과적입니다
- 로그 파일 손상 시 $LogFile과 같은 NTFS 구조를 활용한 복원이 중요합니다
- 분석 후 법적 제출용 보고서 작성 시 USB 장치의 고유 식별 정보와 연결 시간은 반드시 명시해야 합니다
마무리: USB 포렌식 분석의 미래
USB 포렌식 분석은 단순한 장치 기록 추적을 넘어서, 디지털 행동 분석의 핵심 요소로 자리 잡고 있습니다. IoT 기기, 스마트폰 등 다양한 장치 간 USB 기반 연동이 늘어나면서, 분석 범위는 더욱 확장되고 있습니다.
디지털 수사관이나 포렌식 전문가라면 USB 포렌식 분석 역량은 반드시 갖춰야 할 기본 기술입니다. 앞으로도 보안 회피 기법이 정교해질수록, 이 기술의 중요성은 더욱 부각될 것입니다.
디지털 법의학 도구 : 디지털 증거 보존 방법
디지털 법의학 도구 : 비밀번호 해제 기술
디지털 법의학 도구 : 타임스탬프 위조 판별에 대한 정리