레지스트리 포렌식 – 윈도우 사용자 흔적 추적

레지스트리 포렌식 – 윈도우 사용자 흔적 추적

 

 

 

 

 

---

📌 1. 레지스트리란 무엇인가?

키워드: Windows 레지스트리, 설정 저장소, 사용자 환경, 포렌식 분석

레지스트리(Registry)는 Windows 운영체제에서 시스템, 사용자 계정, 애플리케이션, 하드웨어 관련 설정 정보를 저장하는 계층적 데이터베이스다. 운영체제가 부팅될 때, 사용자가 로그인할 때, 프로그램이 설치되거나 실행될 때마다 레지스트리에 관련 정보가 자동으로 기록되며, 이는 디지털 포렌식 분석에 있어 사용자 행동의 정밀한 기록을 제공하는 핵심 자료로 활용된다.

레지스트리는 크게 다섯 가지 주요 루트 키(Hive)로 구성되어 있으며, 그 중 **HKEY_LOCAL_MACHINE (HKLM)**과 **HKEY_CURRENT_USER (HKCU)**는 포렌식 분석에서 자주 참조된다. HKLM은 시스템 전반의 설정을, HKCU는 특정 사용자 계정의 설정을 저장한다. 이 외에도 HKEY_USERS, HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG 등이 존재하며, 각각의 용도에 따라 저장되는 데이터가 다르다.

Windows는 이 레지스트리를 물리적으로는 여러 개의 **하이브 파일(Hive Files)**로 나누어 저장한다. 예를 들어 NTUSER.DAT, SYSTEM, SOFTWARE, SECURITY, SAM 파일 등이 있으며, 이들은 시스템 내 C:\Windows\System32\config 또는 각 사용자 폴더 내에 존재한다. 이 하이브 파일들을 분석하면 로그온 기록, 실행된 프로그램, 최근 열람한 파일, USB 연결 내역 등 정밀한 사용자 활동 흔적을 확인할 수 있다.

---

📌 2. 레지스트리에서 추출 가능한 포렌식 정보

키워드: 로그인 시간, USB 흔적, 실행 프로그램, 자동 실행 항목

레지스트리에는 수많은 사용자 활동 정보가 담겨 있다. 특히 다음과 같은 항목들은 디지털 수사 및 내부 감사에서 자주 사용된다:

• 로그인 기록: 레지스트리의 ProfileList, LastLogonTime, UserAssist 키를 통해 사용자의 로그인 시간과 계정 정보 확인 가능.
• 최근 실행 프로그램: UserAssist, RunMRU, RecentDocs, AppCompatCache를 분석하면 어떤 프로그램이 언제 실행되었는지 파악할 수 있다.
• USB 사용 흔적: USBSTOR, MountedDevices, DeviceClasses 등의 키를 분석하면 어떤 USB 저장장치가 언제 연결되었는지 확인 가능하다.
• 자동 실행 항목: Run, RunOnce, Services 키를 통해 시스템 시작 시 자동으로 실행되는 프로그램 목록을 파악할 수 있어, 악성코드나 백도어 탐지에 유용하다.
• 인터넷 활동 흔적: Internet Explorer, Chrome 등의 설정 레지스트리를 통해 방문 기록, 캐시, 히스토리 정보 확인 가능.
• 파일 열람 흔적: 최근에 열람한 문서나 경로 정보는 RecentDocs, ShellBags 등에서 분석 가능하다.

이러한 정보들은 사건의 행위 시간대, 사용 의도, 관련 장치 및 파일을 간접적으로 증명해주는 자료로 활용된다. 특히 레지스트리는 일반적으로 사용자에게 숨겨져 있으며, 잘 조작되지 않기 때문에 비교적 신뢰도 높은 증거로 법정에서도 채택되기 쉬운 자료 중 하나다.

---

📌 3. 레지스트리 포렌식의 절차와 도구

키워드: 하이브 추출, 오프라인 분석, RegRipper, FTK Imager

레지스트리 포렌식을 수행하는 절차는 크게 다음과 같다:
① 하이브 파일 추출 → ② 전용 도구를 통한 분석 → ③ 타임라인 및 사용자 행위 재구성

우선, 원본 시스템에서 직접 작업을 하지 않기 위해 디스크 이미징을 수행한 후, 이미지 파일에서 NTUSER.DAT, SYSTEM, SOFTWARE, SAM, SECURITY 등 필요한 하이브 파일을 추출한다. 이때는 FTK Imager, Magnet Acquire 같은 도구를 사용하여 비트 단위 복제를 수행하고, 추출된 하이브 파일은 무결성을 위해 해시값과 함께 보관한다.

분석 도구로는 RegRipper가 대표적이다. 이는 Perl 기반의 오픈소스 레지스트리 분석 툴로, 다양한 플러그인을 통해 자동화된 추출 및 분석이 가능하다. 또한 Registry Explorer, X-Ways Forensics, Autopsy 등도 시각적으로 레지스트리 구조를 분석하고 결과를 정리하는 데 사용된다. 분석자는 각 하이브 파일을 로딩하여 키와 값(value)을 탐색하고, 사용자 활동 흔적을 시간순으로 배열하고 정리하여 타임라인을 구성한다.

분석 후에는 실행 이력, 로그인 시각, 장치 연결 흔적 등을 바탕으로 사건과 관련된 행위를 시각화하며, 필요한 경우 **다른 포렌식 자료(로그, 파일 시스템 등)**와 연계하여 종합적인 타임라인을 구성하게 된다.

---

📌 4. 레지스트리 조작 탐지와 미래 방향

키워드: 레지스트리 조작, 반포렌식, 무결성 검증, 윈도우 업데이트 영향

레지스트리 포렌식에서 또 하나의 핵심은 조작 여부 탐지다. 일부 고급 공격자는 레지스트리 값을 수정하거나 삭제함으로써 자신의 활동을 은폐하려 한다. 예를 들어 실행 흔적을 지우기 위해 UserAssist 값을 삭제하거나, 자동 실행 항목에서 악성 프로그램을 제거할 수도 있다. 또한 일부 악성코드는 레지스트리에 숨겨진 경로(예: HKCU\Software\Microsoft\Windows\CurrentVersion\Run)에 등록되어 시작 시 자동 실행되도록 설계되어 있다.

이러한 조작을 탐지하기 위해서는 시스템 전체의 시간대 일관성 분석, 이전 백업 파일과의 비교, 로그와의 상관분석이 필요하다. 또한 Windows 업데이트나 정기적인 시스템 유지보수 작업에 의해 레지스트리 값이 변경될 수 있음을 염두에 두고, 의심스러운 변경이 사용자 행동에 기인한 것인지 자동 시스템 변화에 따른 것인지 구분할 수 있어야 한다.

앞으로는 레지스트리 분석도 AI 기반의 자동화 도구를 활용해 이상 행위 탐지, 사용자 패턴 분석, 비정상값 경고 등을 수행할 수 있을 것으로 보인다. 특히 EDR(Endpoint Detection and Response) 솔루션과의 통합을 통해 레지스트리의 변경을 실시간 모니터링하고, 이상 탐지 후 자동 백업 및 분석을 수행하는 체계가 주류가 될 전망이다. 분석자는 단순히 키 값을 나열하는 것을 넘어, 이를 정황 증거와 연계하여 해석할 수 있는 법적 감각과 실무 능력을 갖춰야 한다.