응용프로그램 실행
1. 개요
이동식 미디어는 컴퓨터에 연결할 수 있는 외부 저장 장치를 의미한다. 이러한 장치는 데이터를 저장하거나 전송하는 용도로 사용되기에 데이터 유출의 주요 수단 중 하나이다. 예를 들어, 직원이 회사의 기밀 정보를 USB 드라이브에 복사해 외부로 유출할 수 있다. 이러한 사고가 발생했을 시, 이동식 미디어 사용 흔적을 분석하면 어떤 데이터가 언제 유출되었는지 파악할 수 있다. 이동식 미디어 흔적을 확인할 수 있는 여러 아티팩트가 존재하지만, 이 글에서는 관련된 이벤트로그 파일이 무엇인지 설명한다.
이동식 미디어의 예
USB 플래시 드라이브: 흔히 'USB 메모리'라고도 하며, 소형이고 휴대가 간편한 저장 장치다.
외장 하드 드라이브: 더 많은 용량을 제공하는 외부 저장 장치로, USB나 다른 인터페이스를 통해 컴퓨터에 연결된다.
SD 카드: 주로 카메라나 스마트폰 등에서 사용되는 소형 메모리 카드이다.
CD/DVD: 광학 디스크로, 데이터를 저장하고 읽을 수 있는 매체다.
플로피 디스크: 현재는 거의 사용되지 않지만, 과거에 널리 사용되던 저장 장치다.
2. 이벤트로그 확인
주요 이벤트로그
이동식 미디어 흔적을 확인할 수 있는 이벤트로그 파일과 이벤트 ID는 다음의 표와 같다.
| 구분 | 이벤트로그 파일 명 | 설명 | 이벤트 ID |
|---|---|---|---|
장치 연결/해제 | Microsoft-Windows-Partition%4Diagnostic.evtx | Windows 운영 체제에서 발생하는 파티션 관련 진단 로그이며 이동식 디스크 (USB 스틱, SD카드, 외장 하드 등) 정보 저장 | 1006 |
장치 연결/해제 | Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx | Windows 운영 체제에서 사용자 모드 드라이버 프레임워크(UMDF, User-Mode Driver Framework)와 관련된 이벤트를 기록 | 2003 2004 2005 2010 |
장치 연결/해제 | Microsoft-Windows-Storage-ClassPnP%4Operational.evtx | Windows 운영 체제에서 스토리지 관련 이벤트를 기록(플러그 앤 플레이(PnP) 스토리지 장치에 특화) | 512 |
장치 진단 이력 | Microsoft-Windows-Storage-ClassPnP%4Operational.evtx | Windows 시스템에 연결된 장치에 대한 진단 이벤트 (HDD, SSD, 외장하드, USB, 동글키 등) | 500 502 503 504 505 506 507 510 512 |
MTP 사용 | Microsoft-Windows-WPD-MTPClassDriver%4Operational.evtx | MTP를 사용해 미디어 전송이 가능한 장치가 연결된 경우 드라이버 초기화 및 작업 로그 기록 | 1005: ‘<제조사>,<제품이름>,<버전>’에 대해 사용자가 지정 1002: 장치가 유휴 상태로 전환 |
3. Case Study
외부저장매체 연결 확인
Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx 로그를 통해 외부저장매체 연결을 확인한다고 가정했을 때, 이벤트 로그의 이벤트 내용(Message) 부분에 “USBSTOR”라는 내용을 포함한다는 것을 활용한다. 따라서 외부저장매체 흔적 분석 시 이벤트 로그에서 *message contains "USBSTOR” 구문을 이용해 외부저장매체 흔적만 필터링 하여 확인한다.
필터링된 이벤트 로그 데이터를 보면 LifetimeID 라는 데이터를 확인할 수 있다. LifetimeID는 장치 별로 부여되는 GUID 값이며, 이를 이용해 다수 장치의 연결-해제 기록에서 각 장치 별 연결-해제 시각을 구분할 수 있다.
이벤트로그의 Details - EventData - InastancdId에서 연결된 장치의 정보를 확인할 수 있다.
Last updated
