[논문]외장형 USB 매체의 작업이력 점검 방법에 관한 연구

이성재; 노봉남

doi:10.13089/jkiisc.2017.27.4.753

[국내논문] 외장형 USB 매체의 작업이력 점검 방법에 관한 연구
A Study of Checking the Job History of External USB Media 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.27 no.4, 2017년, pp.753 - 761

이성재 (ETRI 부설연구소) , 노봉남 (전남대학교)

초록
AI-Helper

최근 각 분야에서 외장형 USB 매체를 활용한 악성코드 감염 및 비밀문건의 유출 사고가 빈번하게 발생하고 있다. 외장형 USB 매체를 이용해서 발생한 사건들을 조사하기 위해서 매체들에 대한 수사를 진행하지만, 분실 및 훼손이 발생할 수 있다는 점에서 많은 어려움이 있다. 결국 외장형 USB 매체에 대한 사건 조사를 위해서는 외장형 USB 매체뿐만 아니라 해당 매체가 연결되었던 시스템에 대한 직접적인 분석을 진행해야만 한다. 본 논문은 외장형 USB 매체가 연결되었던 Windows 시스템의 아티팩트에 대한 분석으로 매체에서의 작업이력을 점검하는 방법을 제안한다. 이를 통해 외장형 USB 매체를 확보하지 못한 상황에서도 시스템에서 USB 매체를 통해서 수행되었던 작업이력을 분석하는데 활용될 수 있을 것으로 기대된다.

Abstract ▼ AI-Helper

Recently, malicious code infiltration and leakage of confidential documents using external USB medium are frequently occurring in each field. We investigate the media to investigate incidents using external USB media, but there are many difficulties in that they can be lost or damaged. Ultimately, in order to investigate cases of external USB media, it is necessary to conduct a direct analysis of the external USB media as well as the system to which the media is connected. This paper describes an analysis of the artifacts of Windows systems to which external USB media is connected, and how to check the job history on the media. Therefore, it is expected that the system can be used to analyze the job history of the USB medium even if the external USB medium is not secured.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 USB 매체가 연결되었던 시스템에 매체의 작업이력과 관련된 아티팩트를 설명하고, 아티팩트들 간의 상관관계를 분석하여 추가적으로 작업 이력를 추적할 수 있는 방법에 대해서 제안한다.
본 논문에서는 USB 매체의 작업이력을 점검하기 위해서 참조할 수 있는 시스템 아티팩트와 분석방법을 소개하였고, 둘 이상의 아티팩트에서 획득한 정보의 상관관계를 토대로 추가적인 작업이력 점검하는 방안을 제안하였다. USB 매체의 작업이력을 점검하기 위한 분석대상은 분석하고자 하는 USB 매체와 USB 매체가 연결되었던 시스템으로 나뉜다.

가설 설정

USB 매체의 드라이버 설치정보를 기록하는 로그 파일과 USB 매체의 정보를 갖는 레지스트리가 훼손 및 삭제된 상황을 가정한다. 먼저, 프리패치 파일은 프로그램의 실행에 필요한 자원의 정보를 기록한다.

제안 방법

USB 매체의 작업이력을 점검하기 위한 분석대상은 분석하고자 하는 USB 매체와 USB 매체가 연결되었던 시스템으로 나뉜다. USB 매체가 연결되어 시스템에 새로이 생성되거나 변경된 시스템 아티팩트 분석으로 USB 매체의 작업이력을 점검한다. 단일 아티팩트 분석은 시스템에 연결되었던 USB 매체에 대한 식별, 파일 및 프로그램의 작업이력 점검 등 단편적 사실을 검증하며, 다중 아티팩트 분석은 USB 매체의 시스템 연결시간 점검, USB 매체의 작업이력 점검 등 보다 상세한 작업이력 검증을 가능하게 한다.
USB 매체의 연결시간은 작업이력의 판별뿐만 아니라 매체 사용자를 식별하기 위해서 반드시 확인해야한다. USB 매체의 연결시간을 확인하기 위해서 Windows 시스템의 이벤트 로그를 분석할 수 있으며, 매체의 보다 상세한 정보를 확인하기 위해서 관련된 레지스트리 키를 추적하는 방안을 제안한다.
USB 저장매체의 작업이력을 점검하기 위해서 점검하고자 하는 USB 저장매체를 선별하고, 해당 매체가 시스템에 연결되었던 시간정보와 함께 시스템에 마운트되어 할당받은 드라이브 문자를 확인한다. 다음으로 파일, 프로그램에 대한 작업이력을 갖는 Link 파일 및 Jump 파일, 웹 브라우저의 히스토리 파일, Prefetch 파일을 분석하여, USB 저장매체가 마운트된 시간동안 생성, 수정, 실행 등의 작업이 수행되었음을 증명한다.
WinPrefetchView 도구를 이용하여 프리패치 파일의 정보를 확인한다. 도구의 하단에는 프로그램이 실행되는 중에 필요하거나 참조하는 자원의 정보가 출력된다.
이벤트에서 기록되는 lifetime 값은 USB 매체가 삽입되어있는 시간동안 생성된 이벤트만이 공유하는 값으로 동일한 매체라 할지라도 시스템에 삽입된 시간이 다를 경우 별개의 값을 갖는다. lifetime으로 구분한 이벤트 소그룹에서 매체의 연결 이벤트 발생시간과 해제 이벤트 발생시간을 비교하여, USB 저장매체가 시스템에 연결되었던 정확한 시간정보를 확인한다.
[표 1]은 USB 매체의 작업이력을 분석하기 위해서 참조될 수 있는 시스템 아티팩트와 이들에서 확인 할 수 있는 정보를 나타낸다. 단일 아티팩트 분석으로 확인할 수 있는 USB 매체의 작업이력을 파악하고, 아티팩트들 간의 상관관계를 증명하기 위해서 참 조될 수 있는 정보를 확인한다.
레지스트리와 이벤트 분석으로 확인한 USB 저장 매체의 시스템 연결시간과 마운트 드라이브 문자를 기준으로 USB 저장매체의 작업이력을 점검한다. 파일 혹은 프로그램에 대한 생성, 삭제, 수정 등의 작업이 실행되었을 경우, 작업이력을 추적할 수 있는 시스템 아티팩트가 생성된다.
db 파일은 프로그램을 대표하는 아이콘 이미지 정보를 저장한다. 아이콘 이미지와 프로그램의 연계성을 확보하기 위해서 아이콘 이미지를 가리키는 색인 정보와 프로그램의 경로를 함께 기록한다. IconCache.

성능/효과

USB 저장매체의 작업이력을 점검하기 위해서 점검하고자 하는 USB 저장매체를 선별하고, 해당 매체가 시스템에 연결되었던 시간정보와 함께 시스템에 마운트되어 할당받은 드라이브 문자를 확인한다. 다음으로 파일, 프로그램에 대한 작업이력을 갖는 Link 파일 및 Jump 파일, 웹 브라우저의 히스토리 파일, Prefetch 파일을 분석하여, USB 저장매체가 마운트된 시간동안 생성, 수정, 실행 등의 작업이 수행되었음을 증명한다.
외장형 USB 매체는 소형화 그리고 대용량화를 목적으로 꾸준히 발달해 왔으며, 편의성을 바탕으로 매우 높은 성장세를 보여 왔다[1]. 더불어 USB 매체가 제공하는 편리한 자료 보관 및 전달, 대중성은 산업전반에 걸쳐 업무 효율성의 증대를 가져왔다. 하지만, 이와 함께 USB 매체를 이용한 악성코드의 감염 및 기밀자료의 유출 등 부적정인 사례들이 끊임없이 발생하고 있다.
만일 드라이버 설치가 저장매체 이용을 위한 것으로 판명된다면, USB 매체와 관련된 정보들은 HKLM\SYSTEM\ControlSet00x\Enum\USBSTOR에 기록된다. 시스템 이벤트 분석으로 저장 매체의 기능을 갖는 USB 매체의 연결이 확인되었지만, HKLM\SYSTEM\ControlSet00x\Enum\- USBSTOR 레지스트리에서 해당 USB 매체의 정보가 확인되지 않고, USB 매체가 시스템에 연결된 시간동안 파일 및 프로그램에 대한 작업이력이 확인되지 않는다면, 해당 매체는 단순히 충전만이 목적으로 시스템에 연결되었음을 확인한다. 하지만 레지스트리에 대한 변조 및 삭제가 용이하고, USB 매체와 관련된 레지스트리를 전문적으로 훼손하는 도구들을 쉽게 구할 수 있다는 점에서 충전만을 목적으로 시스템에 연결되었는지 정확하게 판별하기가 쉽지 않다.

후속연구

하지만, 논문에서 소개한 아티팩트는 훼손 및 삭제가 용이하며, 이 때문에 작업이력 점검에 어려움을 갖는 것이 현실이다. 향후에는 훼손된 아티팩트에 대한 복원 연구 및 USB 매체의 작업이력을 검증하기 위한 추가적인 아티팩트 분석 연구를 진행할 계획이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	USB 매체는 무엇을 제공하여 업무 효율성의 증대를 가져왔나요?	외장형 USB 매체는 소형화 그리고 대용량화를 목적으로 꾸준히 발달해 왔으며, 편의성을 바탕으로 매우 높은 성장세를 보여 왔다[1]. 더불어 USB 매체가 제공하는 편리한 자료 보관 및 전달, 대중성은 산업전반에 걸쳐 업무 효율성의 증대를 가져왔다. 하지만, 이와 함께 USB 매체를 이용한 악성코드의 감염 및 기밀자료의 유출 등 부적정인 사례들이 끊임없이 발생하고 있다.
	프리패치 파일은 메모리 관리를 어떻게 하나요?	프리패치 파일은 Windows 시스템에서 운영하는 메모리 관리기법 중 하나이다. 시스템의 부팅 혹은 프로그램의 실행 중에 접근하는 코드와 시스템 자원을 프로그램의 종류에 따라서 개별 파일로 기록한다. 프리패치 파일에 기록되어있는 자원은 시스템이 부팅 되는 중 메모리에 로드되기 때문에, 부팅 시간과 프로그램의 실행시간을 단축시킨다.
	USB 매체를 이용하여 발생되는 사건ㆍ사고를 조사하기 위해서 가장 먼저 선행되어야 할 작업은 무엇인가요?	하지만, 이와 함께 USB 매체를 이용한 악성코드의 감염 및 기밀자료의 유출 등 부적정인 사례들이 끊임없이 발생하고 있다. USB 매체를 이용하여 발생되는 사건ㆍ사고를 조사하기 위해서 가장 먼저 선행되어야 할 작업은 해당 USB 매체의 특정과 확보이다. 이 과정에서 USB 매체 확보에 실패하거나 확보했더라도 매체에 대한 훼손이 발생할 수 있다는 점에서 아직까지 극복해야할 문제점이 있다.

참고문헌 (8)

Dongho Won, "USB memory storage mark et trend in USA", Retrieved from http://news.kotra.or.kr/user/globalBbs/kotranews/25/globalBbsDataView.do?setIdx254&dataIdx136436&pageViewType&columntitle&search%EB%AF%B8%EA%B5%AD%20usb&searchAreaCd&searchNationCd&searchTradeCd&searchStartDate&searchEndDate&searchCategoryIdxs&searchIndustryCateIdx&searchItemCode&searchItemName&page1&row10KOTRA, Oct. 2014.
Jin-Kuk Kim, "USB Device Tracking on Windows", Retrieved from http:// forensic-proof.com/archives/3632, Jun, 2012.
Tanushree Roy, Aruna Jain, "Windows Registry Forensics : An Imperative Step in Tracking Data Theft via USB Devices", International Journal of Computer Science and Information Technologies, vol3, pp.4427-4433, 2012
Jan Axelson, "USB Complete 3rd", acornpub, pp.101-103, Jan. 2011.
Jason Hale, "The Windows 7 Event Log and USB Device Tracking", Retrieved from http://dfstream.blogspot.kr/2014/01/the-windows-7-event-log-and-usb-device.html, Jan. 2014.
Microsoft Corporation, "Shell Link (.LNK) Binary File Format", pp.10-15, Jul, 2016.
Narasimha Shashidhar, Dylan Novak, "Digital Forensic Analysis on Prefetch Files", International Journal on Information Security Science, Vol.4, pp.39-49, Jun. 2015.
Chan-Youn Lee, Sangjin Lee, "Structure and application of IconCach e.db files for digital forensics", Digital Investigation, Vol.11, pp.102-110, May. 2014.

상세보기

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증