퇴사자 A씨의 컴퓨터 사용 기록 분석 Ⅱ

 

 

Windows Event Log

 

 

Windows 운영체제는 시스템에서 발생하는 거의 모든 활동을 기록한다. 사용자 또는 시스템 자체적으로 발생하는 어떠한 '활동'을 운영체제가 '이벤트(event)'로써 감지하며, 이러한 이벤트가 발생한 사실을 운영체제에서 지정한 파일에 저장한다. 

 

컴퓨터를 이용해서 '무엇을 했는지'를 알아보기 위해서는 상당한 노력이 필요하지만, 단순히 시스템의 사용 여부를 알아보기 위해서는 「Windows Event Log」에 대한 분석만으로 충분하다. 시스템의 실행/종료를 기록하는 이벤트 로그와 사용자의 로그온/로그아웃을 기록하는 이벤트 로그를 최대한 많이 수집할 수만 있다면, 퇴사자 A씨의 컴퓨터 사용 행태를 추론해 보는 것도 어렵지 않은 일이다.

 

이벤트 로그를 수집하고 추출하는 것은 포렌식 도구의 몫이지만, 그것을 어떻게 분석해 내는지는 전적으로 조사관의 역량이다. 다시 말해, 증거 매체로부터 디지털 증거를 "어떻게 수집할 것인지"는 프로그램의 재량이지만, 수집된 디지털 증거로부터 "어떠한 사실을 발견할 수 있는지"는 사람이 해결해야 하는 부분이라는 의미이다. 

그렇기 때문에 동일한 자료를 두고서도 조사관의 역량이나 스타일에 따라서 내놓는 해석이 다를 수도 있다. 지금은 단지 하나의 '아티펙트(artifact)'만을 다루기 때문에 그 간극이 크지 않겠지만, 다수의 아티펙트로부터 종합의견을 제출해야 하는 상황에서는 얘기가 다르다. 

 

 

 

데이터 시각화

 

 

인간은 입수하는 정보의 70%를 시각정보에 의존한다. 따라서 잘 짜인 시각 자료는 대량의 데이터를 다루는 업무를 하는 데 있어서 큰 효율을 가져온다. 뿐만 아니라 현재 대부분의 기업에서 시장분석 및 의사 결정을 위해 다양한 시각 자료를 활용하고 있다는 사실은 「데이터 시각화 Data Visualization」 기술이 각종 분야를 막론하고 하나의 트렌드로써 자리 잡아가고 있다는 의미로 볼 수 있다. 

이처럼 빅데이터를 효과적으로 가시화하기 위해 고안된 데이터 시각화가 중요한 화두가 된 지 오래이다. 물론, 디지털 포렌식 업무를 수행하는 데 있어서도 중요한 수단으로 작용한다. 

 

[그림 1] - System Booting & Shutdown Record : Raw Data

 

 

[그림 1]은 Windows Event Log 로부터 시스템의 실행/종료 기록을 추출한 내역이다. 한 번의 가공을 거친 상태라 필요한 내용만 보기 좋게 나열되어 있지만, 이조차도 사실 눈에 잘 들어오지 않는다. 열거된 내용이 무엇을 의미하는지, 이로부터 어떠한 결론을 도출할 수 있는지 쉽게 단정 지을 수 없기 때문이다. 

 

[그림 2] - System Booting & Shutdown Record : Visualized Data

 

 

[그림 2]는 [그림 1]의 로그 기록 중 9월 달에 생성된 로그를 대상으로 도표를 작성한 것이다. 시각화 자료를 활용하면 눈 앞에 놓인 수많은 데이터들 중에서 어떤 지점에 주목해야 하는지 수월하게 파악할 수 있다. 이 원리에 근거하여 살펴보면 조사관의 입장에서, 그리고 이 자료를 받아 들게 될 의뢰인의 입장에서 가장 눈에 띄는 데이터는 "Suspicious Log" 부연 설명이 붙어 있는 데이터가 될 것이다.

한 달 동안 출퇴근 시간에 맞춰서 주기적으로 시스템이 실행되고 종료되는 행위가 반복되었던 만큼, 14시 24분 어간 기록된 시스템 실행 기록을 간과하지 않을 수 없다. 해당 로그 기록이 2020년 9월 2일 수요일, 즉 회사원인 A씨가 정상적으로 출근해야 했던 날인 만큼 좀 더 정확한 사실 관계를 확인해야 할 필요가 있다.

 

[그림 3] - Account logon/logoff Record : Visualized Data

 

 

시스템 실행/종료 기록을 보완하기 위해 사용자 계정 로그온/로그오프 기록을 확인한 결과, A씨가 9월 2일 14시 27분경에 사용자 계정에 로그온 한 사실을 알아낼 수 있었다. 이는 시스템 실행 시간과 거의 일치한다는 점에서 시스템 실행 직후 사용자 로그온을 수행하였다고 추론해 볼 수 있다.

해당 시간에 실제로 퇴사자 A씨가 계정에 로그온 하였는지 CCTV, 목격자 진술 등으로 보다 더 확실한 정황을 잡기만 한다면 법관의 심증을 가져올 만한 매력적인 증거가 될 수 있음이 틀림없기에, 의뢰인의 만족스러운 피드백을 받을 수 있었다.

 

---

여기까지가 데이터 시각화를 기반으로 이벤트 로그를 분석한 내용이다. 사실 우리가 제공해 드린 시각화 자료는 2020년 2월부터 2021년 1월까지의 기록을 담고 있었기에, 앞서 살펴본 2020년 9월 기록은 의뢰인 입장에서 소송에 필요한 부분만 확인한 것이다. 만약 의뢰인이 [그림 1]과 같은 자료만 제공받았다면, 9월 2일에 발생한 퇴사자 A씨의 근무태만 문제를 발견할 수 있었을까? 결코 쉽지 않을 것이다. 이번 사례에서 알 수 있듯이, 디지털 포렌식 분야에서 데이터 시각화는 컴퓨터에 익숙하지 않은 사람들 조차도 데이터의 특이점을 신속히 찾아낼 수 있도록 한다는 점에서 상당히 유용하게 활용될 수 있다.

 

 

---