Home > 디지털포렌식 > 업무성과

업무성과

게시글 검색
근무태만 사실확인 분석
관리자 (ohmydata) 조회수:1526 221.146.178.237
  • 의뢰된 사건의 개요

  평소에 근무태도가 불량한 직원에게 수 차례 구두상으로 주의 조치를 했으나 개선되지 않자 해고를 목적으로 부당해고 소송에 대비하기 위해 직원이 PC를 근무시간에 사적으로 활용한 내역을 분석의뢰함.

  당사는 의뢰된 DeskTop HDD의  201*년 **월 ~ 201*년 **월 **일 사이의  인터넷 사용이력, 응용프로그램 실행내역, 파일 엑세스 내역 등에 대한 디지털 포렌식 분석을 의뢰 받아 작업을 수행하였습니다.

  • 디지털 포렌식 분석 요청 사항

근무태만 사실을 뒷받침하는 증거를 발견 확보하기 위해서는 다음과 같은 항목의 조사를 진행하였다.

  1. 인터넷 사용 기록
  2. 프로그램 실행 내역
  3. 파일접근 생성/수정/접근 내역
  4. SNS 사용기록
  5. 문서작업내역

 

  • 디지털 포렌식 분석 절차

포렌식 분석은 단순히 삭제 된 데이터 복구에 그치는 것이 아니라 증거 가치를 최대한 유지하면서 증거를 수집하는 조사입니다. 따라서 조사 시에는 일반 데이터 복구에 비해 첨단 기술과 법적 지식이 필요하며, 전문가가 수행해야 합니다

  1. 이미징작업

일반적으로는 조사대상의 HDD 또는 저장매체가 의뢰되면 원본의 무결성을 보장하기 위해서 사내에서 이미징 작업을 수행하게 되지만 이번 경우는 작업의 특성상 조사 대상자가 근무중인 직원의 경우 본인이나 주위의 직원에게 노출되어서는 안되는 작업이기 때문에 당사의 포렌식 담당자가 휴일시간을 이용하여 출장작업을 통해 조사대상자의  PC를 해체하고 이미징 작업을 수행 후 원상복원 하였다.

만약,  자신의 PC가 조사된다는 사실을 알게되면 데이터 삭제 소프트웨어 또는 Anti Forensic 툴을 사용하여 포렌식 분석이 어렵게 되는 경우가 있기 때문에 그런 사태가 발생하기 전에 신속하게 하드 디스크의 보존 작업을 완료 해야 합니다.

당사에서는 이러한 긴급 지원이 필요한 경우에 대비하여 야간이나 휴일 등 조사 대상자나 다른 직원이 없는 시간대에 기술자를 현지에 파견하여 이미징 작업을 수행합니다.

 

 

     2. 포렌식 분석

- 인터넷 기록 조사

언제 어느 사이트를 방문했는지를 조사하여 근무 시간 중 사적으로 PC의 이용의 유무를 파악할 수 있습니다.
또한 검색키워드를 분석함으로써 업무 연관성을 파악해 볼 수 있다.
 
 
- 파일 액세스 기록 조사
근무시간 동안, 워드 나 엑셀 등 사무실에서 생성 된 업무 관련 파일에 대한 액세스 기록을 조사하고 언제 어떤 파일에 액세스했는지를 조사합니다. 업무 관련 파일 액세스 빈도가 낮은 경우에는 PC의 사적 이용을 의심케 하는 상황으로 볼 수 있다.
 
  • 포렌식 분석결과
 
인터넷 기록을 조사한 결과, 초과 근무 시간 중에 업무와 무관한 사이트를 검색하는 내용이 다수 발견 할 수 있었고, 그 시간은 매일 2 시간 이상에 달했습니다.
또한 파일 액세스 기록을 조사한 결과, 근무 시간 중에 업무 관련 파일 보다는 개인적인 취미에 관련된 내용의 파일 액세스가 많았습니다. 
또한 SNS 대화내용을 분석해보면 근무중에도 수시로 메신져를 이용한 대화를 하고 있었음이 확인되었다.
 
 

댓글[0]

열기 닫기