Home > 디지털포렌식 > 업무성과

업무성과

게시글 검색
영업기밀 유출 사건의 포렌식 분석
관리자 (ohmydata) 조회수:1195 221.146.178.237

║의뢰된 사건의 개요

 

기계를 설계 및  생산 하는 A사에서 회사의 중요 자산인 설계 도면의 기술정보가 경쟁사로 유출되어 유사 제품이 양산되고 있다는 정보를 입수한 상태에서 최근 퇴사한 개발팀장 을 비롯하여 현재 재직중인 내부조력자도 용의 선상에  두었다.

당사는 전사적인 분석을 위해 주말 직원들이 퇴근 후 전 임직원의 PC및 노트북의 포렌식 분석을 위해 Imaging 작업을 실시한 후 각 사용자별 컴퓨터 사용 이력 분석 및 자료유출에 대한 디지털 포렌식 분석과 수사기관  제출용 감정서 작성 의뢰를 받아 분석 작업을 수행하였습니다.

 

 

 

║포렌식 분석 요청사항

 

  1. 프로그램 실행 내역 및 컴퓨터 사용내역 분석

  2. USB 저장 장치를 통한 유출내역 분석

  3. 이메일을 통한 유출내역 분석

  4. 메신져, 클라우드를 통한 유출내역 분석

  5. 메신져 대화내용 및 키워드 분석을 통한 유출 경로 파악

 

║포렌식 분석 작업

 

1. 이미징작업


   원본 하드디스크에 대한 변경 방지 조치를 수행하여 원본에 대한 변경이 없도록 특수 장비를 사용하여 디스크 이미지를 생성하고 이때 생성된 디스크 이미지의 원본을 보관하고 이를 복사한 사본으로 분석을 진행하였기 때문에 의뢰한 원본은 무결성을 보장합니다

이번 경우는 작업의 특성상 조사 대상자가 근무중인 직원의 경우 본인이나 주위의 직원에게 노출되어서는 안되는 작업이기 때문에 당사의 포렌식 담당자가 휴일시간을 이용하여 출장작업을 통해 조사대상자의  PC를 해체하고 이미징 작업을 수행 후 원상복원 하였다.

회사 전체 임직원을 대상으로 한 작업이었기 때문에 밤샘작업을 통해 사내 서버를 포함한 40여대 PC의 이미징 작업을 완료하였다.

자신의 PC가 조사된다는 사실을 알게되면 데이터 삭제 소프트웨어 또는 Anti Forensic 툴을 사용하여 포렌식 분석이 어렵게 되는 경우가 있기 때문에 그런 사태가 발생하기 전에 신속하게 하드 디스크의 보존 작업을 완료 해야 합니다.

 

 

 

   2. 포렌식 분석

 

  • 디지털 포렌식으로 USB, 이메일을 통한 자료유출 분석을 추가로 진행한 결과 이메일의 첨부파일로 도면 파일이 전송된 기록은 다수 발견 되었으며  압축파일이 첨부로 전송된 경우도 다수 발견되었다.

    - 사내 문서서버에  원격제어 툴인 TeamViewer 프로그램이 설치되어 회사 외부로부터 수시로 원격제어가 이루어진 사실을 확인하였다. 접속된 IP를 추적하여 원격 접속한 위치를 확인한 결과 직원 중 한명의  자택과 일치하는 지역이 확인되어 해당 직원을 용의선상에 올렸다.

  • 각 PC별로 프로그램 설치, 삭제 및 사용 기록을 분석하여 영업기밀 유출에 이용될수 있는 프로그램 설치 및 사용 내역을 확인하여  해당 기록이 확인 되는 사용자는 용의선상에 등록.

 

 

 

  3. 보고서 작성

     각 PC별 보고서를 작성 하고 전체 적인 사항을 한눈에 파악할 수 있는 요약 보고서를 작성 및 제본하고 각종 디지털 분석 결과물은 USB 저장장치에 저장하여 감성서와 함께 의뢰사 에 전달.

 

 

║분석결과

 이상에서 분석한 내용들을 종합하여 2~3가지 혐의가 동시에 확인된 사용자를 선정하여 보고서 작성 후 전달하였으며 이 내용을 토대로 수사기관에 수사 의뢰되어 수사 착수됨.

 

   

 

 

댓글[0]

열기 닫기