info-ideas4334 님의 블로그

디지털 포렌식 정보 블로그 입니다

  • 디지털 포렌식

    USB 포렌식 분석 및 흔적 수집 절차

    2025. 5. 1.

    by. info-ideas4334

    목차

      USB 포렌식 분석 및 흔적 수집 절차

       

       

      USB 포렌식 분석 및 흔적 수집 절차

       

       

       

      📌 1. USB 장치와 포렌식 분석의 필요성

      키워드: USB 저장장치, 외부 데이터 유출, 장치 연결 기록

      USB 저장장치는 높은 휴대성과 호환성 때문에 내·외부 정보 유출, 악성코드 유입, 디지털 범죄 도구로 빈번히 사용된다.
      포렌식 관점에서 USB 장치 분석은 파일 복사 기록, 장치 연결 이력, 사용자의 행위 흔적을 확인할 수 있어 매우 중요하다.

      USB 포렌식 분석이 중요한 사례는 다음과 같다:

      • 기밀 문서의 무단 반출
        • 특정 시점에 파일 복사 또는 이동 여부 판단
      • 비인가 장치 연결 여부 조사
        • 외부인의 USB 사용 흔적 확인
      • 악성코드 유입 경로 추적
        • 감염 시점에 사용된 외부 장치 판별
      • 행위 타임라인 보강
        • PC 사용자의 디바이스 사용 이력을 기반으로 범죄 시점 복원

      USB 장치는 흔적을 명시적으로 남기지 않기 때문에, 운영체제 내부의 레지스트리, 로그, 캐시 등 간접 증거를 분석해야 한다.

      📌 2. USB 연결 흔적 수집 경로 및 주요 키워드

      키워드: 레지스트리 포렌식, USBSTOR, MountPoints2, SetupAPI

      Windows 운영체제에서는 USB 장치 연결 시 다음과 같은 레지스트리 경로와 로그에 흔적이 남는다:

      • USBSTOR (Registry)
        • 경로: HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR
        • 연결된 USB 장치의 VID/PID, 장치명, 일련번호 등 기록
        • 동일 장치의 반복 연결 여부 확인 가능
      • MountedDevices
        • 경로: HKLM\SYSTEM\MountedDevices
        • 드라이브 문자와 장치 간 매핑 정보 저장
        • 이전에 어떤 드라이브 문자로 인식되었는지 확인 가능
      • MountPoints2
        • 경로: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
        • 사용자가 탐색기에서 접근한 드라이브 기록
        • 연결된 사용자 계정 정보 파악 가능
      • SetupAPI 로그 (setupapi.dev.log)
        • 장치 설치 시점, 드라이버 설치 정보, 연결 시간대 기록
        • 장치 최초 연결 시간 파악 가능
      • Event Logs (Windows 로그)
        • Security / System 로그 내 장치 연결 및 인증 관련 이벤트 추적

      이러한 경로를 통해 장치 연결 시점, 어떤 장치가 언제 누구에 의해 연결되었는지를 확인할 수 있으며,
      이는 파일 복사 행위와의 타임라인 교차 분석에 유용하다.

      📌 3. USB 포렌식 분석 절차 및 도구 활용

      키워드: USB 기록 추출, 장치 식별, 레지스트리 분석 도구

      USB 포렌식 분석은 다음과 같은 절차를 따라 수행된다:

      • 디스크 이미지 확보 및 무결성 보존
        • 대상 시스템의 디스크 이미징 수행(E01, AFF 포맷 등), 해시값 생성
        • Write Blocker 활용해 원본 보호
      • 레지스트리 하이브 추출 및 분석
        • SYSTEM, SOFTWARE, NTUSER.DAT 하이브 추출
        • 레지스트리 분석 도구로 USB 관련 키 검색 및 시간 정보 확보
      • 장치 정보 식별 및 일련번호 분석
        • VID (Vendor ID), PID (Product ID), Serial Number 분석
        • 동일 장치의 반복 연결 여부 및 사용자 확인
      • 타임라인 통합 분석
        • USB 연결 시간, 로그온 시간, 파일 복사 기록 등을 통합하여 사건 흐름 복원
        • $LogFile, $USNJrnl 등 NTFS 로그와 교차 분석 가능
      • 도구 활용 예시
        • USBDeview: 연결된 USB 이력 요약 보기
        • USB History Viewer, RECmd, Registry Explorer: 레지스트리 기반 분석
        • Log2Timeline, Plaso, Autopsy: 타임라인 기반 전체 분석

      USB 포렌식 분석은 단순 연결 기록을 넘어서, 사용자 행위 분석과 사건 타임라인의 정밀 복원에 활용된다.

      📌 4. USB 포렌식 시 유의사항 및 법적 고려

      키워드: 장치 위조 가능성, 증거 보존, 사용자 추적

      USB 분석 결과의 법적 신뢰성을 확보하기 위해 다음 사항을 반드시 고려해야 한다:

      • 동일 장치 판별 주의
        • 일련번호가 없는 USB는 식별이 불가능하거나, 복제된 장치일 수 있음
        • 드라이브 레이블, VID/PID 외 추가 식별자 필요
      • 사용자 연결 행위 입증
        • 장치 연결만으로 사용 여부를 입증하기 어려우므로
          파일 열람 기록, 계정 로그온 시간과의 교차 분석 필요
      • 레지스트리 키 조작 가능성 검토
        • 공격자가 일부 키를 삭제했을 수 있음
        • NTFS 로그, 이벤트 로그 등 보조 증거로 보완
      • 증거 채택을 위한 문서화
        • 수집 시점, 도구, 해시값, 분석자 정보 등 Chain of Custody 유지
        • 법정 제출 시 디지털 증거의 무결성과 분석 절차의 신뢰성 확보

      결론적으로 USB 포렌식은 디지털 흔적의 간접 복원을 통해 파일 유출, 장치 연결, 사용자 활동을 입증하는 고난도 분석 기법이다.

      저작자표시 비영리 변경금지

      '디지털 포렌식' 카테고리의 다른 글

      클라우드 데이터 복구 및 삭제 분석 기법  (0) 2025.05.01
      PDF 및 문서 파일 포렌식 기법  (0) 2025.05.01
      이메일 헤더 포렌식 분석 기법  (0) 2025.04.30
      파일 시스템 포렌식 기법  (0) 2025.04.29
      클라우드 기반 협업 툴 포렌식 (Google Drive, Slack 분석)  (0) 2025.04.29
      모바일 앱 포렌식 분석 방법  (0) 2025.04.29
      레지스트리 포렌식 분석 기법  (0) 2025.04.27
      로그 분석을 통한 디지털 포렌식 기법  (0) 2025.04.27

      이 글을 본 사람들도 관심있게 본 글

    티스토리툴바