[GMD카드뉴스] 파일 시간의 비밀, 타임스탬프에 있다

오늘은 디지털 포렌식의 핵심 개념 중 하나인 타임스탬프(Timestamp)에 대해 이야기해 보려 합니다.

일상 속에서 우리가 무심코 넘기는 파일의 ‘날짜 정보’가, 사건의 진실을 밝히는 열쇠가 될 수 있다는 사실 알고 계셨나요?

🔍 타임스탬프란?

타임스탬프는 파일이나 데이터가 생성되거나 수정, 열람된 시점을 시간 정보로 기록한 것을 말합니다.

예를 들어, 스마트폰으로 사진을 촬영하거나 편집하면, 그 시각이 자동으로 저장되는데, 이것이 바로 타임스탬프입니다.

이러한 시간 정보는 디지털 포렌식 분석에서 사용자의 행위와 사건의 흐름을 추적하는 데 핵심 단서로 활용됩니다.

📂 타임스탬프가 왜 중요할까요?

디지털 포렌식에서 중요한 것은 단순히 “무슨 일이 일어났는가?”만이 아닙니다.

“언제 일어났는가?” 역시 사건을 올바르게 해석하는 데 있어 결정적인 단서가 됩니다.

두 요소는 함께 사건의 흐름과 진실을 밝혀내는 핵심 열쇠입니다.

예를 들어, 범죄자가 파일을 삭제하거나 조작한 흔적을 남겼다면 그 행위가 이루어진 정확한 시간은 수사의 방향을 결정짓는 핵심 정보가 됩니다.

“이 파일, 2025년 6월 17일 오후 11시 18분에 수정됐습니다.”

이렇게 타임스탬프를 분석하면 누가, 언제, 어떤 행동을 했는지를 추적할 수 있죠.

결국, 타임스탬프는 시간의 신뢰성을 확인하는 열쇠입니다.

🌍 타임스탬프 해석의 출발점: UTC

하지만! 타임스탬프를 정확히 해석하려면 먼저 알아야 할 것이 있습니다. 바로 UTC(협정 세계시)입니다.

🕓 UTC란?

전 세계가 통일된 기준으로 사용하는 기준 시간으로 기존에는 지역마다 해가 뜨는 시간이 달라 예전에는 각자 다른 시간을 썼지만, 국제적인 통신과 기록의 정확성을 위해 하나의 기준이 필요해졌습니다.

그리고 그 기준이 되는 것이 바로 UTC인데요. 각 국가는 UTC를 기준으로 고유한 시간대를 가지고 있습니다.

  • 🇰🇷 한국: UTC+9

  • 🇬🇧 영국: UTC+0

  • 🇺🇸 뉴욕: UTC-5

디지털 기기에 남는 데이터는 보통 UTC(+0)을 기준으로 시간을 기록하기 때문에, 포렌식 분석 과정에서는 각 국가의 시간대를 반영하여 해석해야 정확한 타임라인을 파악할 수 있습니다.

⚠️ UTC 해석 오류 사례

그럼 여기서, 간단한 사례를 하나 살펴보겠습니다.

한국에 거주하는 사용자A의 PC에서 오전 9시에 문서를 열람했다고 가정해 봅시다.

그런데 이를 분석한 분석자가 한국 기준시(UTC+9)가 아닌 협정 세계시 기준 UTC로 설정한 채 타임스탬프를 해석했다면 어떤 일이 벌어질까요?

사용자A는 실제로 오전 9시에 문서를 열람했지만, 그 결과 보고서에는 해당 문서를 ‘자정(00시)’에 열람했다고 표시됩니다.

이처럼 시간대를 잘못 설정하면, 정당한 업무 활동이 마치 야심한 밤에 몰래 작업한 것처럼 해석될 수 있습니다.

이는 사건 흐름을 왜곡시키는 결정적 오류로 이어질 수 있습니다.

✅ 정확한 분석을 위해서는?

타임스탬프는 단순한 ‘시간 정보’ 이상의 의미를 가집니다.

이는 사용자의 행위를 시간에 따라 추적하고, 사건의 진실을 복원하는 데 핵심적인 역할을 합니다.

하지만 시간대(UTC) 설정이 잘못되면 분석 결과가 왜곡되어 무고한 사람을 의심하거나, 중요한 증거를 놓칠 위험도 존재합니다.

따라서,

  • 분석 전 기기의 시간대 설정을 반드시 확인하고
  • 타임라인의 흐름과 맥락 속에서 시간 정보를 바라보는 것이 중요합니다.

다음 카드뉴스에서는 타임스탬프 분석의 핵심 요소인 ‘MAC 타임’에 대해 알아보겠습니다.

어떤 시간 정보가 어떤 행위를 의미하는지, 그리고 그 해석 시 주의할 점은 무엇인지 함께 살펴봅시다!

지엠디소프트는 프리미엄 디지털 포렌식 서비스를 제공하며, 고객의 요구에 맞춘 최적의 솔루션을 지원합니다.

디지털 포렌식 서비스에 대해 자세한 정보가 궁금하시다면, 아래 문의란을 통해 언제든지 연락 주세요!

디지털 포렌식 서비스 문의하기

[GMD카드뉴스] PC 메신저 포렌식, 스마트폰과 뭐가 다를까?

요즘 업무나 개인 소통을 할 때 PC 메신저를 얼마나 자주 사용하시나요? 🤔

PC 메신저는 모바일 메신저 사용과 더불어 많은 사람들이 활용하고 있습니다.

특히, 여러 디바이스에서 개인적인 용도와 업무 용도를 구분 없이 연속적으로 사용할 수 있는 환경이 조성되면서 PC 메신저의 중요성은 더욱 커지고 있습니다.

또한 카카오톡, 텔레그램, 위챗 등 다양한 메신저 앱들이 PC 버전을 지원하면서, 직장 내 협업은 물론 개인 소통까지 폭넓게 활용되고 있는데요.

PC 메신저는 스마트폰과 PC에서 동시에 메시지를 주고받을 수 있는 멀티 디바이스 환경을 제공합니다.

예를 들어, 스마트폰에서 읽은 메시지를 PC에서 이어서 작성하거나 PC에서 보낸 파일을 스마트폰으로 쉽게 확인할 수 있습니다.

이러한 멀티 디바이스 환경은 단순한 사용 편의성을 넘어서, 디지털 포렌식 분야에도 중요한 영향을 미치고 있다는 점을 아시나요?

 
(실제 사건과는 관계가 없으며, 예시를 위한 구성입니다.)

A씨는 최근 한 남성으로부터 전화를 받았습니다. 그는 자신을 경찰 관계자라고 소개하며, 긴급한 상황이라며 금전을 요구했습니다.

A씨는 스마트폰을 통해 이 남성과 메시지를 주고받았고, 이후 그는 “메시지 내용을 모두 삭제하라”고 강하게 요구했습니다.

불안감을 느낀 A씨는 결국 스마트폰에서 해당 대화를 삭제했습니다.

하지만 시간이 흐르면서 뭔가 이상하다는 의심이 들었고, A씨는 자신이 누군가에게 속았을지도 모른다는 생각에 경찰에 신고하게 되었습니다.

스마트폰에서 삭제된 대화 내용을 복구할 수 없어 수사에 난항을 겪던 중, 수사관은 A씨가 PC에서도 카카오톡을 사용하고 있었다는 사실을 확인했습니다.

이후 PC 메신저를 분석한 결과, 스마트폰에서 삭제된 메시지 일부가 PC에 남아 있었고, 이를 통해 사건의 전말을 파악할 수 있었습니다.

PC에 보존된 메시지는 범인의 신원을 확인하고 사건 흐름을 재구성하는 데 중요한 단서가 되었으며, 법정에서도 유효한 증거로 채택되어 범인 검거에 결정적인 역할을 했습니다.

이 사례는 PC 메신저 포렌식이 디지털 포렌식 수사에서 얼마나 중요한 수단이 될 수 있는지를 잘 보여줍니다.

그렇다면, 왜 같은 메신저라도 PC와 스마트폰의 메시지 상태가 다른 걸까요?

메신저 앱은 여러 기기에서 메시지를 주고받을 수 있도록 설계되어 있지만, 기기별로 서버와 정보를 주고받는 방식이나 시점에 차이가 있을 수 있습니다.
이로 인해 동일한 계정을 사용하더라도, 각 기기에서 확인되는 메시지 상태가 일치하지 않는 경우가 발생할 수 있습니다.

예를 들어, 한 기기에서 삭제된 메시지가 다른 기기에는 여전히 남아 있는 경우가 있으며, 이는 메신저의 동작 방식이나 정보 갱신 주기에 따라 발생할 수 있습니다.

이러한 특성으로 인해, 메시지 상태가 완전히 일치하지 않는 상황이 생길 수 있습니다.

그렇다면 PC 메신저가 어떤 부분까지 분석되는지 궁금하실텐데요 🧐

PC 메신저를 분석하면 아래와 같은 다양한 정보를 확보할 수 있습니다.

  • 채팅 내역: 날짜, 시간, 보낸 사람, 받은 사람, 메시지 내용

  • 📎 첨부 파일: 전송하거나 받은 이미지, 문서, 오디오 등

  • 👥 연락처 정보: 친구 목록, 그룹 대화 참여자 정보 등

 

이러한 정보는 사건의 흐름 파악, 증거 수집, 사용자 행위 추적 등 여러 방면에 활용될 수 있습니다.

💡 잠깐! 신뢰할 수 있는 디지털 포렌식 도구와 전문 업체가 궁금하신가요?

지엠디소프트의 MD-PCM은 PC에 설치된 메신저 데이터를 자동으로 수집·정리해주는 PC 메신저 수집 도구입니다.
디지털 포렌식에 대한 전문 지식이 없더라도, 메신저 분석에 필요한 주요 파일들을 쉽고 빠르게 확보할 수 있도록 도와줍니다.

만약 직접 도구를 사용하기 어려운 환경이라면, 지엠디소프트의 포렌식 서비스를 통해 중요한 증거 확보와 분석을 전문가에게 맡길 수 있습니다!

지엠디소프트는 프리미엄 디지털 포렌식 서비스를 제공하며, 고객의 요구에 맞춘 최적의 솔루션을 지원합니다.

디지털 포렌식 서비스에 대해 자세한 정보가 궁금하시다면, 아래 문의란을 통해 언제든지 연락 주세요!

디지털 포렌식 서비스 문의하기

[GMD카드뉴스] 디지털 포렌식 이미징이란?

여러분은 이미징이라는 단어를 들어보셨나요?

이미징(Imaging)이란, 디지털 포렌식에서 주로 사용되는 용어로 원본 데이터를 변경하지 않고 안전하게 복제하여 하나의 파일로 생성하는 과정입니다.

이렇게 생성된 파일을 ‘이미지 파일(Image file)’이라고 부릅니다.

이미징 과정은 데이터를 변조하지 않고 원본을 그대로 보존할 수 있기 때문에, 증거물의 원본성 유지와 무결성 검증 등, 포렌식 절차에서 가장 중요한 단계입니다. 디지털 포렌식에서 이미징 작업을 수행할 때는 무엇보다도 증거물의 특성을 정확하게 이해하는 것이 중요합니다.

컴퓨터, 스마트폰, CCTV 처럼 증거물의 종류에 따라 이미징 방법이 서로 다르기 때문에, 이에 대한 이미징 방법과 절차를 적절하게 적용할 수 있어야 합니다.

이렇게 생성된 이미지 파일은 단순한 방법으로는 내용을 해석할 수 없기 때문에 디지털 포렌식 프로그램을 통해서 분석해야 합니다.

이번 글에서는 이미징이 필요한 이유와 복제의 차이점에 대해 설명해드립니다!

디지털 증거는 전자적 형태로 존재하여 위·변조되거나 손상될 위험이 있습니다.

이를 방지하기 위해 원본과 동일한 이미지 파일을 생성하고, 해시 값을 비교하여 무결성을 검증하는 과정이 필수적인데요.

이처럼 무결성 검증은 디지털 증거의 신뢰성을 확보하고, 법적 증거로서 효력을 갖기 위한 핵심 절차입니다.

수사기관이나 법원에서는 수집된 증거가 원본과 동일하다는 점이 명확히 입증되어야만 증거로서 채택할 수 있기 때문에,

해시는 이를 입증하는 기술적 수단으로 매우 중요하게 다뤄집니다.

그렇다면 해시란 무엇일까요? 🤔

해시값이란, 데이터를 특정 규칙에 따라 변환한 값으로, 사람의 지문과 같은 역할을 합니다.

해시값을 계산하는 알고리즘에는 MD5, SHA1, SHA256 등 다양한 종류가 있으며, 이들의 공통적인 특징은 다음과 같습니다.

 

 

  • 고정된 길이: 입력 데이터의 크기와 관계없이 해시값은 항상 일정한 길이로 출력됩니다.

  • 단방향성: 입력값에서 해시값은 쉽게 계산할 수 있지만, 해시값에서 원본 데이터를 유추하는 것은 매우 어렵습니다.

  • 입력값 민감성: 입력값이 조금만 달라져도 출력되는 해시값은 완전히 달라지며, 이를 통해 데이터의 무결성을 확인할 수 있습니다.

 

 

이와 같은 특성 덕분에, 해시값은 데이터가 변경되었는지 여부를 확인하는 중요한 도구로 사용됩니다.

✋ 잠깐! 해시와 비슷한 개념이지만 서로 다른 작업 방식인 이미징(Imaging)과 복제(CLONE)에는 중요한 차이가 있습니다.

이미징복제는 모두 데이터를 복사하는 방법이지만, 중요한 차이가 있습니다.

이미징은 디스크 전체 또는 일부를 하나의 이미지 파일로 저장하는 방식입니다.

포렌식 분석이나 증거 보존에 적합하며, 원본 훼손 없이 무결성을 검증할 수 있습니다.

이미지는 이미지 파일로 저장, 분석·보관에 유리, 해시 검증 가능

복제는 원본 디스크를 다른 디스크에 그대로 복사하는 방식입니다.

즉시 부팅이 가능해 시스템 복구나 교체에 활용되지만, 증거 보존에는 부적합할 수 있습니다.

복제는 1:1 복사, 즉시 사용 가능, 복구·이전 작업에 적합

그럼 포렌식 이미징이 어떻게 이루어지는지, 각 단계별로 어떤 작업이 이루어지는지 간단히 살펴보겠습니다!

 

  1. 사전 준비: 대상 장치와 포렌식 장비 준비 및 SSD, HDD 등의 물리적 분리 확인

  2. 원본 디스크 확인: 디스크 상태, 암호화 여부, 파일 시스템 등을 점검

  3. 디스크 이미징: Bit-by-bit 복사, 논리 복사 등을 수행하여 원본 데이터를 그대로 복제

  4. 무결성 검증: 해시 값을 기록하고 비교하여 이미지의 변조 여부 확인

이 과정을 통해 원본 데이터를 안전하게 복제하고, 변조 여부를 검증한 후 분석에 활용할 수 있습니다.

이제, 디스크 이미징의 시간과 성능에 대한 비교를 살펴보겠습니다.

포렌식 이미징 작업에서 소요되는 시간은 사용하는 저장매체의 종류에 따라 달라집니다.

일반적으로, HDD (Hard Disk Drive)와 SSD (Solid State Drive)는 각기 다른 방식으로 데이터를 저장하고, 이에 따라 데이터 읽기/쓰기 속도에도 차이가 있기 때문에 이미징 작업 시간에 영향을 미칩니다.

※ 참고: 소요 시간은 저장 데이터량, 저장 매체의 손상된 영역(bad sector), 이미지 파일 저장 매체, 검증 작업 여부에 따라 달라질 수 있습니다.

이미징 활용 TIP!

분석이 당장 필요하지 않더라도, 감정 및 분석을 위한 선제 조치로 유용합니다.

디지털 증거 분석 목적이 아니더라도, 기술 개발 입증이나 디지털 자산 보존 용도로도 훌륭합니다.

원본 저장 매체를 전달하지 않아도, 이미지 파일로 포렌식 전문가에게 쉽게 의뢰할 수 있습니다.

저희 지엠디소프트는 디지털 포렌식 서비스를 통해 기업과 개인의 중요한 데이터를 안전하게 보호하고 분석합니다.

고급 이미징 기술을 활용하여, 데이터 변조 없이 정확하게 원본을 복제하고, 무결성 검증을 통해 데이터의 신뢰성을 보장합니다.

어떤 상황에서도 신뢰할 수 있는 디지털 포렌식 서비스를 제공하는 저희 지엠디소프트와 함께, 안전하고 신속한 데이터 분석을 경험해 보세요!

디지털 포렌식 서비스에 대해 자세한 정보가 궁금하시다면, 아래 문의란을 통해 언제든지 연락 주세요!

디지털 포렌식 서비스 문의하기

[GMD카드뉴스] 데이터 복구와 디지털 포렌식의 차이

디지털 기술이 발전하면서 데이터의 중요성이 더욱 커지고 있습니다.

하지만 데이터가 삭제되거나 손실되는 상황도 빈번하게 발생하죠.

이때 많은 사람들이 “데이터 복구”와 “디지털 포렌식”을 혼동하는 경우가 많습니다. 

두 개념은 모두 데이터를 복구하는 과정이 포함되어 있지만, 목적과 방법에서 큰 차이가 있습니다.

이번 글에서는 데이터 복구와 디지털 포렌식의 차이점에 대해 설명해드립니다!

데이터 복구(Data Recovery)는 삭제된 파일이나 데이터를 복구하는 기술입니다.

주로 다음과 같은 상황에서 사용됩니다.

✅실수로 파일을 삭제했을 경우

✅하드디스크(HDD)나 SSD가 논리적으로 손상되었을 경우

✅바이러스나 랜섬웨어 공격으로 인해 파일이 접근 불가능할 경우

✅운영체제(OS) 오류로 인해 파일에 접근할 수 없을 경우

 

데이터 복구의 주요 목적은 단순히 사용자가 필요로 하는 파일을 다시 찾는 것입니다.

대부분의 사람들이 데이터 복구를 개인적인 용도로 소중한 추억을 보관하거나, 고유한 메시지를 복원하는 데 사용합니다.

따라서 일반적으로 시간이 오래 걸리지 않으며, 특별한 법적 절차 없이 진행됩니다.

반면 디지털 포렌식(Digital Forensics)은 단순히 데이터를 복구하는 것이 아니라

데이터를 법적 증거로 활용하기 위해 분석하는 과정입니다.

다음과 같은 목적을 가지고 수행합니다.

 

✅법적 증거 확보 (범죄 수사, 기업 내부 조사 등)

✅데이터 조작 여부 및 조작된 시점 확인

✅해킹, 내부 정보 유출 등의 사고 분석

✅컴퓨터나 모바일 기기의 사용 내역 추적

 

디지털 포렌식은 복구된 데이터를 법적 증거로 사용하기 위해 엄격한 절차를 따르며,

분석 과정에서 데이터의 무결성을 유지하는 것이 핵심입니다.

따라서 단순히 데이터를 찾는 것이 아니라, 해당 데이터가 언제, 어떻게, 누구에 의해 사용되었는지를 밝히는 것이 중요합니다.

따라서 쉽게 설명드리자면 복구가 조금 좁은 영역이고, 디지털 포렌식이 넓은 범위라고 생각하면 이해하시기 편할 듯합니다!

두 개념은 겉으로 보기엔 유사하지만, 단순한 기술적 차이뿐만 아니라 절차의 복잡성과 요구되는 전문성까지 다양하게 나뉘어집니다.

디지털 포렌식은 법적 증거로 사용되기 때문에, 데이터 복구보다 더 정밀하고 체계적인 접근이 필요합니다.

또한 포렌식 분석 과정에서 법원 제출이 가능하도록 보고서를 작성해야 하고 전문적인 지식이 필수입니다!

디지털 포렌식 분석에 사용되는 프로그램은 신뢰성이 매우 중요합니다.

법적 증거로 활용되기 위해서는 다음과 같은 기준을 충족해야 합니다.

  1. 무결성 유지: 데이터가 변경되지 않도록 보호

  2. 재현 가능성: 동일한 데이터로 분석 시 동일한 결과 제공

  3. 법적 인정: 국제적으로 공인된 포렌식 도구를 사용

  4. 정확성: 오류 없는 분석과 로그 기록 보관

일반 사용자라면 대부분 데이터 복구 서비스만으로 충분하지만,

기업 내부 사고 조사나 법적 증거 확보가 필요할 경우에는 반드시 디지털 포렌식 서비스를 이용해야 합니다.

예를 들어 중요한 회사 자료를 유출한 퇴사자 포렌식이나, 내부 직원이 정보를 유출한 영업 비밀 유출 사건이라면 디지털 포렌식이 필요한 경우입니다.

데이터 복구와 디지털 포렌식은 비슷한 듯하지만, 목적과 절차가 크게 다릅니다.

특히, 디지털 포렌식은 법적 효력을 갖기 위해 전문적인 분석 과정이 필수이며,신뢰할 수 있는 포렌식 도구를 활용해야 합니다.

GMDSOFT에서는 프리미엄 디지털 포렌식 서비스를 제공하며, 고객의 요구에 맞춘 최적의 솔루션을 지원합니다. 

디지털 포렌식 서비스에 대해 자세한 정보가 궁금하시다면, 아래 문의란을 통해 언제든지 연락 주세요!

디지털 포렌식 서비스 문의하기

[GMD카드뉴스] 퇴사자 포렌식 분석

연초에는 퇴사자가 가장 많은 시기입니다. 새해를 맞아 새로운 직장을 찾으려는 경우,

그리고 보너스를 받은 직후이거나 연봉협상에서 원하는 결과를 얻지 못하여 퇴사를 결정하는 경우가 많죠.

퇴사자가 회사를 그만두는 과정에서 발생하는 영업 비밀유출이 기업 보안에 큰 위협이 될 수 있습니다.

특허청에 의하면 국내 기업 영업비밀 유출 사례 중 절반 이상이 퇴사자에 의해 발생했다고 합니다.

또한, 시만텍 조사 결과에 따르면 퇴사 직원 절반이 이전 직장의 기밀자료를 소지하였고,

이 중 약 40%가 구직 시 이를 활용할 계획이라고 응답했습니다.

뿐만 아니라, 위 사례의 A씨처럼 퇴사자가 고의로 업무 파일을 삭제하고 회사를 떠나면서 기업은 또다른 피해를 입고 있습니다.

피해 기업은 퇴사자가 이러한 행위를 했는지 밝혀내고 싶지만 어려운 부분이 많은데요,

디지털 포렌식을 활용하면 삭제한 데이터를 다시 찾거나 퇴사자의 의도를 알 수 있습니다!

여기서, 디지털 포렌식이란?

디지털 포렌식은 디지털 기기에서 데이터를 수집·분석·보존하여 법적 증거로 활용하는 기술입니다.

✅ 컴퓨터, 스마트폰, 블랙박스, 클라우드 등 다양한 환경에서 데이터를 복구하고 분석할 수 있습니다.

파일을 삭제하면 더 이상 찾을 방법이 없는 것일까요?

아닙니다! 파일은 즉시 사라지지 않습니다. 데이터를 삭제하더라도 저장 공간에서

‘삭제된 것’으로 표시될 뿐이며 복구할 수 있습니다.

그렇다면, 파일의 복구 뿐만 아니라 퇴사자가 파일을 고의로 삭제했는지도 확인할 수 있을까요?

물론, 파일 삭제가 단순 실수인지, 고의인지 파악할 수 있습니다.

디지털 포렌식에서는 다음과 같은 방법으로 확인합니다.

🔍 인터넷 검색 기록 분석

퇴사 전 “파일 완전 삭제 방법” 등 의심 가는 키워드를 검색한 이력이 있다면 고의적인 삭제 가능성 증가

🔍 데이터 삭제 프로그램 사용 여부 확인

CCleaner, Eraser, DBAN 등의 영구 삭제 프로그램이 실행된 기록이 있다면 의도적인 삭제 가능

🔍 이메일 및 메신저 분석

데이터 삭제와 관련된 대화가 이메일·메신저에서 확인될 경우 사전 계획 가능성 의심

포렌식을 통해 삭제된 파일을 복구하거나 확인할 수 있지만, 가장 좋은 방법은 이러한 상황을 사전에 예방하는 것입니다.

그렇다면, 미리 대비하려면 어떻게 해야할까요?

파일 백업 시스템 구축하기

중요한 업무 파일을 자동으로 백업하는 시스템을 마련하면, 삭제되더라도 쉽게 복구할 수 있습니다.

포렌식을 진행해도 법률적으로 문제가 되지 않도록 사내 보안 서약서를 받아놓는 것도 하나의 방법입니다!

퇴사 전 직원의 PC, 이메일 등 점검하기

퇴사 절차 중 디지털 포렌식 점검을 통해 중요한 자료가 삭제되었는지 확인하는 것이 중요합니다.

파일 접근 권한 관리하기

모든 직원이 모든 파일을 수정하거나 삭제할 수 없도록, 필요에 따라 접근 권한을 부여해야 합니다.

만약 직원이 이미 퇴사를 했다면

무엇보다 퇴사자가 사용한 컴퓨터나 스마트폰의 보존이 가장 중요합니다.

직원이 퇴사하고 일정 기간동안 재사용하지 않고 보존해서 데이터가 유지되게 해야 합니다.

그리고 빠른 시간안에 포렌식을 진행하는 것이 상황을 해결할 가능성을 높여줍니다.

만약 별도의 시스템을 마련하기가 어렵다면, GMDSOFT의 디지털 포렌식 서비스인 MD-AUDIT을 이용할 수 있습니다.

 

MD-AUDIT이란?

MD-AUDIT은 3개월 / 6개월 / 12개월 단위로 기업 내 주요 인력의 데이터를

*이미징 기법을 통해 보관하는 GMDSOFT의 서비스를 의미합니다.

퇴사자의 데이터 삭제, 랜섬웨어 감염 등으로 인한 피해가 발생하기 전에

디지털 증거를 보존함으로써 신속하게 원본 데이터를 복구할 수 있습니다.

또한, 유사시에는 이렇게 확보한 데이터로 포렌식 분석을 수행할 수 있기 때문에

데이터를 의도적으로 감추려는 행위로부터 보다 안전하게 상황을 파악할 수 있습니다.

*이미징 기법: 디지털 증거의 무결성을 유지하고, 법률적 절차에 따라 원본과 동일한 복제본을 생성하는 작업 

퇴사자로 인한 회사 자산의 영업비밀 유출과 유실은 기업에 큰 피해를 입힐 수 있습니다.

GMDSOFT의 모바일 및 디지털 포렌식 서비스를 제공하며, 프리미엄 디지털 포렌식 서비스는 꼼꼼한 분석과 의뢰 및 컨설팅 과정을 통해 지원합니다. 영업 비밀 유출이 발생했을 때 피해를 최소화하고 재발하지 않도록 도와드립니다.

관련하여 디지털 포렌식 서비스에 대한 문의가 있으신 경우, 아래 문의하기 버튼을 눌러주세요!

디지털 포렌식 서비스 문의하기

[GMD카드뉴스] 영업 비밀 유출_모바일편

오늘은 저번 컴퓨터편에 이어서, 영업 비밀 유출 모바일편을 준비했습니다!

경찰청에 따르면, 전체 기술유출 사건 중 첩보 수집 등 적발한 인지 사건 비중이 34.8%(’21년)→39.4%(’22년)→43%(’23년) 등 매년 꾸준히 증가하는 추세입니다.

주목할만한 점은 해킹에 의한 기술적 유출이 아니라 재직자나 현직자에게서 빠져나간 인적 유출이 제일 많았다는 사실입니다.

대다수의 사건은 모바일 기기를 통해 유출이 일어납니다. 따라서 기업은 모바일 포렌식을 통해 핵심적인 기술과 정보를 유출하는 행위를 추적하고 입증할 수 있습니다.

A회사는 영업 비밀이 유출되었는지 확인하고자 GMDSOFT에 포렌식 분석 서비스를 요청했습니다.

포렌식에서 핵심적인 요소 중 하나인 모바일 포렌식은 단순히 스마트폰 뿐만 아니라 태블릿, 드론, 스마트 티비, SD 메모리 카드, 웨어러블 기기 등의 디지털 기기를 다룹니다.

이번 영업 비밀 유출 모바일 편에서는 스마트폰에 대해 다루어 보도록 하겠습니다!

스마트폰에는 통화 기록, 메시지 기록, 메모 기록, 사진 동영상 및 애플리케이션 데이터 등이 저장되어 있어, 사건의 진위 여부를 파악하는 데 핵심 증거로 사용할 수 있습니다.

이외에도 일반인이 확인하기 어려운 스마트폰이 자동으로 남기는 기록들을 포렌식을 통해 영업 비밀 행위를 추적할 수 있습니다.

증거물이 확보되면, 아래와 같은 다양한 항목을 분석하여 영업 비밀 유출 행위를 추적하고 입증할 수 있습니다.

  1. 사진 촬영 흔적

  2. 채팅 흔적

  3. 통화 흔적

  4. 메모 흔적

그럼 이제 해당 항목들을 보다 자세히 살펴보겠습니다.

첫 번째로, 사진 촬영 흔적 내역으로 정황을 포착할 수 있습니다.

영업 비밀 관련 사진이 스마트 폰에 존재하거나 저장되어 있는지 확인해야 합니다. 만약 사진이 삭제되어 사진이 저장되는 기본 경로에 영업 비밀 관련 사진이 존재하지 않는다면, 해당 사진의 썸네일 분석을 통하여 확인할 수 있습니다. 썸네일은 사진의 원본이 삭제되어도 남아있을 가능성이 있습니다.

*썸네일이란, 일반적으로 이미지의 미리보기를 제공하거나 멀티미디어에서 콘텐츠를 대표하는 작은 이미지

또한, 스마트폰이 촬영할 때 자동으로 기록하는 정보들을 통해 해당 의심 기간 동안 사진을 촬영한 행위가 있었는지 확인할 수 있습니다.

두 번째는 채팅 흔적 내역입니다.

메시지, 카카오톡, 왓츠앱 등 다양한 채팅 앱을 분석하여 삭제된 대화 내용을 복구하고 영업 비밀 유출과 관련된 대화 내용이 존재하는지 확인이 필요합니다. 또한, 채팅을 하면서 첨부 파일을 통해 영업 비밀과 관련된 파일도 함께 전송되었는지 살펴봐야 합니다.

해당 흔적들이 영업 비밀 유출의 핵심적인 증거가 될 수 있습니다.

세 번째는 통화 흔적을 확인해 경쟁사 관계인과 통화한 적이 있는지 확인해야 합니다.

만약 통화한 것이 확인이 된다면, 간접적인 증거로 활용이 되거나 영업 비밀 유출 사건의 흐름을 파악하는데 큰 도움이 될 수 있습니다.

또한, 관계 분석 기능을 통해 영업 비밀 유출 의심 기간에 잦은 연락을 주고 받은 대상자를 식별하고 또다른 인물의 존재를 파악할 수 있습니다.

마지막으로 메모 흔적 내역입니다.

일반적으로 중요한 약속이나, 기억해야하는 정보는 메모 앱 또는 캘린더 앱에 저장합니다.

따라서 많은 정보들이 있는 메모, 캘린더 앱을 분석하여 영업 비밀 유출의 정황을 파악할 수 있습니다.

이처럼 모바일 포렌식을 통해 영업 비밀 유출의 다양한 경로를 파악하고 유추할 수 있습니다.

임직원이 회사의 영업 기밀 정보를 외부로 유출하려 한 흔적이 발견된다면, 이를 철저히 인식하고 증거를 확보하기 위해 기업 차원에서는 모바일 포렌식이 필수적으로 필요합니다!

GMDSOFT의 모바일 및 디지털 포렌식 서비스를 제공하며, 프리미엄 디지털 포렌식 서비스는 꼼꼼한 분석과 의뢰 및 컨설팅 과정을 통해 지원합니다. 영업 비밀 유출이 발생했을 때 피해를 최소화하고 재발하지 않도록 도와드립니다.

관련하여 디지털 포렌식 서비스에 대한 문의가 있으신 경우, 아래 문의하기 버튼을 눌러주세요!

디지털 포렌식 서비스 문의하기

Add Your Heading Text Here

[GMD카드뉴스] 영업 비밀 유출_컴퓨터편

오늘은 회사에서 가장 중요한 영업 비밀 유출에 대해 이야기해보려고 합니다.

올해 대기업에서 최소 3천억 원의 가치를 지닌 OLED 제조 기술을 유출한 연구원이 징역 6년을 선고받았다는 내용을 아시나요?

또한, 국가수사본부가 발표한 자료에 따르면, 올해 상반기 기술 유출 범죄 규모는 지난해 같은 기간보다 50%나 증가했다고 합니다.

이처럼 영업 기밀 유출은 점점 빈번해지고 유출 규모도 점차 대담해지고 있습니다.

기업에서 가장 핵심적인 기술과 정보들을 보호하기 위해 의심이 가는 임직원을 대상으로 디지털 포렌식을 진행할 수 있습니다.

A회사는 영업 비밀 유출 여부를 확인하기 위해 GMDSOFT에 포렌식 분석 서비스를 의뢰하게 됩니다. 

포렌식에는 모바일 포렌식과 컴퓨터 포렌식이 있으며, 오늘은 컴퓨터 포렌식에 대해 말씀드리겠습니다.

포렌식에서 가장 중요한 것 중 하나는 디지털 데이터를 증거물로써 활용될 수 있도록 하는 것 입니다.

따라서, 증거물 확보가 완료된 이후에도 증거물로의 가치가 유지하며 분석을 진행합니다.

증거물이 확보되면, 아래와 같은 다양한 항목을 분석하여 영업 비밀 유출 정황을 확보할 수 있습니다.

  1. 외부 저장매체 (USB, 외장하드)
  2. 브라우저 히스토리
  3. 이메일 수/발신 내역
  4. 파일 열람 기록
  5. 프로그램 사용 흔적
  6. 클라우드 사용 흔적

첫 번째로, 외부 저장매체 연결 이력을 확인하여 영업 비밀 유출 흔적을 확인할 수 있습니다.

USB 또는 외장하드와 같은 저장매체 연결 흔적이 확인되면, 핵심 자료들이 복사되었는지 확인하여 증거로 활용할 수 있습니다.

두번째로, 메일을 통해 나눈 대화 또는 외부로 전송한 첨부파일을 분석하여 영업 비밀 유출의 증거로 활용할 수 있습니다.

위 예시 사진과 같이 영업비밀과 관련된 내용을 직접적으로 요구하는 대신,

“경험과 노하우”, “내부 자료나 전략”이라는 표현을 사용해 교묘하게 영업비밀을 요청하는 내용을 담고 있을수도 있습니다.

영업 비밀 유출 사례는 내부 직원에 의해 은밀하게 이루어지는 경향이 많으므로,

메일 내용에서 의심이 가는 대목은 없는지 꼼꼼한 확인이 필요합니다.

세번째는 브라우저 히스토리의 흔적에서도 확인이 가능한데요.

영업 비밀 유출과 관련된 정보 검색, 열람한 메일 제목, 적발 시 처벌 수위 검색, 다운로드 기록 등, 다양한 형태의 사용자 행위를 분석할 수 있습니다.

네번째는 파일열람 흔적입니다.

최근에 열람한 파일이나 자주 사용하는 폴더를 분석해 영업 비밀 유출과 관련된 파일을 발견할 수 있습니다.

다섯 번째는 프로그램 사용 흔적, 여섯 번째는 클라우드 사용 흔적입니다.

Teamviewer, 크롬 원격 접속 프로그램과 카카오톡과 텔레그램 같은 PC 메신저의 사용이력을 분석하고 영업 비밀 유출이 의심되는 시점에 사용량이 급증했는지, 어떤 목적으로 사용했는지를 확인합니다.

One Drive, Google Drive, 네이버 MYBOX 같은 클라우드 사용 이력을 분석하여 영업 비밀 관련 문서들을 외부로 유출하려는 정황 또는 시도가 있었는지 확인할 수 있습니다.

이밖에도, 영업 비밀 유출과 관련해 같이 보면 좋은 정보를 알려드립니다!

 

기술 유출이 의심되는 상황

  • 비정상적인 자료 접근: 특정 직원이 평소와 다르게 회사의 핵심 기술 자료나 기밀 문서에 자주 접근하는 경우

  • 기밀 정보의 외부 유출 징후: 회사의 기밀 기술이 외부에서 사용되거나 경쟁사에서 유사한 기술이 갑자기 등장한 경우

  • 이직이나 퇴사 직전 행동: 핵심적인 직원이 돌연 사직하거나 이직하는 경우

  •  
디지털 포렌식이 필요한 이유

  • 디지털 증거의 증거능력 확보: 디지털 정보를 증거로 활용하기 위해서는 일련의 절차를 통해 증거의 원본성과 무결성 유지 필요

  • 정확한 데이터 분석: 디지털 포렌식을 통해 방대한 정보속에서, 유출된 정보의 출처와 경로를 명확하게 파악

  • 유출 경로 추적: 포렌식 분석을 통해 유출된 정보가 어떤 경로로 외부에 전파되었는지 추적할 수 있어, 추가적인 유출을 방지

  • 조직 내부 보안 강화: 포렌식 결과를 통해 조직의 보안 취약점을 발견하고, 이를 개선하여 향후 유사 사건을 예방

  •  

GMDSOFT에서는 모바일 및 컴퓨터 포렌식 서비스를 제공합니다.

임직원의 회사의 영업 기밀 정보를 외부로 유출하려 한 흔적이 발견된다면, 이를 철저히 파악하고 증거를 확보하기 위해 디지털 포렌식 필요합니다.

꼼꼼한 분석/의뢰 및 컨설팅 과정을 통해 영업 비밀을 안전하게 보호할 수 있도록 도와드립니다.

관련하여 디지털 포렌식 서비스에 대한 문의가 있으신 경우, 아래 문의하기 버튼을 눌러주세요!

디지털 포렌식 서비스 문의하기

Add Your Heading Text Here

[GMD카드뉴스] 디지털 포렌식 서비스 및 악성 앱 분석

부고장-카드뉴스_7

지난 편에 이어서, 스미싱문자에 대처하는 디지털 포렌식 서비스 의뢰 절차와, MD-Series의 포렌식 획득 소프트웨어 MD-NEXT와 분석 소프트웨어 MD-RED를 소개해드리겠습니다.

먼저, 디지털 포렌식 서비스에 들어가기 앞서 디지털 증거 수집 원칙에 대해 알아봅시다.

포렌식 조사는 디지털 증거 수집 원칙을 준수해야만 법정에서 법적 효력을 가질 수 있습니다. 이를 위해서는 아래 사항을 반드시 지켜야 합니다.

  1. 정당성의 원칙
  2. 무결성의 원칙
  3. 연계 보관성의 원칙 (Chain of Custody)
  4. 재현의 원칙
  5. 신속성의 원칙

원칙을 준수하지 않으면 법정에서 증거의 신뢰성과 무결성을 의심받아 증거로 채택되지 않을 가능성이 크므로 해당 사항을 유의해야 합니다.

이러한 원칙들을 바탕으로 디지털 포렌식 의뢰 절차가 진행되어야 합니다.

GMDSOFT는 디지털 증거 수집 원칙에 의거하여 자체개발 포렌식 솔루션을 통해 고객들에게 맞춤형 포렌식 서비스를 제공하고 있습니다.

디지털 포렌식 서비스 의뢰 절차에 대해 같이 알아볼까요?

디지털 포렌식 의뢰 절차는 총 4단계로 이루어져있습니다.

  • 1단계 분석 의뢰: 사건이 발생한다면 GMDSOFT에 분석을 의뢰하세요. 자체 개발 기술력을 가진 포렌식을 통해 의뢰 내용의 사실 관계를 더욱 명확하게 입증할 수 있습니다.

  • 2단계 사전 검토 및 컨설팅: 디지털 기기는 다양한 형태로 사용 되고 있는 만큼 방대한 정보를 가지고 있습 니다. 이렇게 많은 정보 속에서, 사건에 필요한 정보는 무엇인지, 또 다른 디지털 기기에도 데이터가 남아있는 여부 확인 등 사건을 함께 검토하고 전문적인 컨설팅을 도와드립니다.

  • 3단계 데이터 획득 및 처리 분석: GMDSOFT에서 개발한 포렌식 도구는 700개 넘는 국내외 수사기관 및 공공기관에서 표준 도구로 활용하고 있습니다. GMDSOFT의 기술력을 통해 데이터를 획득하고 분석합니다. 사건을 해결하는 데 필요한 결과를 신속하게 분석합니다.

  • 4단계 분석 결과 발송 및 사후 관리: 편리하게 결과를 볼 수 있는 포렌식 리뷰 전용 프로그램 (MD-EXPLORER)을 제공합니다. 보다 자세하게 결과를 살펴볼 수 있으며 대용량의 데이터도 신속하게 정리 가능합니다. 필요 시 포렌식 분석 보고서나 증거 분석 결과를 법정에서 증언합니다.

GMDSOFT 데이터 획득 소프트웨어 MD-NEXT를 이용하여 포렌식을 진행할 수 있습니다.

스마트폰에 저장된 정보들은 위변조에 취약하므로, 증거물의 원본성을 유지하기 위해 획득 과정을 통해 *이미지 파일을 생성합니다.

*이미지 파일: 증거물의 현재 상태를 그대로 복제하여 생성된 파일. 디지털 포렌식에서 원본 데이터를 그대로 보존하기 위한 용도로 사용

획득 과정에서는 스마트폰의 현재 상태를 그대로 복제하는 것이 가장 중요합니다.

분석 결과를 법적 증거로 인정 받으려면 *해시를 이용하여 무결성을 입증할 수 있어야 합니다.

대표적인 해시 알고리즘으로는 MD5, SHA-1, SHA-256 등이 있습니다.

MD-NEXT를 통해 저장매체의 원본성 유지가 가능합니다.

*해시: 특정 파일이나 데이터에 대해 고유의 해시 값을 생성하여 데이터가 위변조 되지 않았음을 증명하는 데 사용

MD-RED는 데이터 분석 소프트웨어로서, 이미지 파일을 해석하고 앱 분석을 통해 통화, 연락처, 메신저, 촬영기록, 앱 다운로드 및 설치 기록 등 다양한 분석이 가능합니다. 편리하게 결과를 볼 수 있는 포렌식 리뷰 전용 프로그램 (MD-EXPLORER)을 통해 모바일 포렌식 분석 결과를 확인할 수 있습니다. 악성 앱 피해 조사 과정에서는 MD-RED를 통해 다음과 같은 사실을 확인할 수 있습니다.

  1. URL 접근 이력
  2. 앱 (APK) 다운로드 이력
  3. 앱 설치 이력
  4. 앱 권한 설정 여부
 
포렌식 소프트웨어를 통해서 획득 및 분석을 진행하고 나서, 스마트폰에 설치된 악성 앱의 피해 정도를 확인할 수 있습니다
악성 앱은 실행과 함께 연락처, 메시지, 갤러리 등 민감정보가 많이 들어가 있는 앱에 대하여 접근할 수 있는 권한을 요청합니다.
의심 없이 모든 앱에 권한을 허용하게 되면 그 때부터 악성 앱은 스마트폰에 저장된 민감 정보에 접근할 수 있게 됩니다.
이후 피의자가 이미 만들어 놓은 해외 클라우드로 연락처, 메시지, 사진, 동영상과 같은 민감 정보를 발송합니다. 
이러한 포렌식 분석 과정을 거치면서 악성 앱 감염 여부와 악성 앱이 어떤 정보를 탈취하는지, 어떤 피해를 유발하는지에 대한 행위를 명확하게 확인할 수 있습니다.
 

이와 같이 MD-Series를 통해 악성 앱에 대해 획득 및 분석하는 방법을 알아보았는데요,

출처가 확인되지 않는 문자 메시지 링크 및 앱을 클릭하지 마시고 AhnLab, V3같은 인증된 스마트폰 백신 프로그램 설치를 통해 

사전에 스미싱을 예방하세요!

관련하여 디지털 포렌식 서비스에 대한 문의가 있으신 경우, 아래 문의하기 버튼을 눌러주세요!

디지털 포렌식 서비스 문의하기

[GMD카드뉴스] 부고 문자 사칭 스미싱 주의 및 예방법

부고장-카드뉴스-123

최근 한국인터넷진흥원(KISA)에 따르면, 6월 스팸신고가 2,796만 건으로 전월 동기 대비 40.6%가량 증가했다고 합니다.

특히 부고 문자를 사칭한 스미싱 문자가 기승을 부리고 있는데요.

오늘은 부고 문자 사칭 및 예방법을 알려드리겠습니다!

부고 문자 스미싱은 휴대전화 사용자의 지인을 사칭하거나 감염된 정보를 통해 개인 정보를 빼내는 행위입니다.

부고 문자 스미싱을 구별하는 방법 중 하나는 도메인 주소를 확인하는 것입니다.

실제 부고 문자는 도메인 주소가 모두 노출되어 있지만, 스미싱 문자는 몇 가지 특징이 있습니다:

1. 짧은 URL(shortened URL): bit.ly, tinyurl, goo.gl 등의 URL 단축 서비스를 사용하여 원래 주소를 숨기려는 경우

2. 의심스러운 도메인: 공식적인 도메인이 아닌 생소하거나 이상한 도메인을 사용하는 경우

3. 문자와 숫자의 조합: 무작위로 생성된 문자와 숫자의 조합을 포함한 URL

 

만약 도메인 주소로도 파악이 불가능해 URL 링크를 클릭하게 되면 어떻게 될까요?

부고 문자 내 URL을 클릭하면, 스마트폰이 악성코드에 감염되어 휴대폰이 좀비폰이 되거나, 자동으로 악성앱이 다운로드됩니다.

출처를 알 수 없는 앱 설치가 허용되어 있을 경우, 별도의 앱 권한 변경 없이 앱 다운로드 및 설치가 바로 가능합니다.

반면, 앱 설치가 비허용되어 있을 경우 앱 권한을 변경한 후에야 앱 다운로드 및 설치가 가능합니다.

앱 설치를 비허용함으로써 악성 앱이나 apk 파일 설치를 방어할 수 있습니다.

만약 악성 앱을 설치해서 실행하게 되면 다음과 같은 일이 발생합니다.

1. 다운로드 된 부고장 앱을 실행합니다.

2. 악성 행위에 필요한 권한을 요청합니다.

3. 필요한 권한을 모두 얻은 악성앱은 자동으로 숨김처리 됩니다.

실수로 악성앱을 다운로드하여 설치하고 실행하였더라도, 악성앱이 요구하는 권한 허용 여부에 따라 피해의 정도는 달라질 수 있습니다.

권한을 승인하게 되면 해당 정보들이 전송됩니다.

이외에도 스파이앱과 동일한 수준으로 사용자의 일거수일투족을 감시할 수 있습니다.

이렇게 유출된 개인 정보는 보이스 피싱, 스팸 메일, 정보 공개 협박 등에 재악용될 위험이 있습니다.

GMDSOFT에서 모바일 포렌식 정밀 분석 솔루션 MD-RED를 통해 암호화된 악성앱 분석을 진행하였고,

다행히 스미싱 문자로 인한 2차 피해를 막을 수 있었습니다.

다음 GMD카드뉴스에서는, 이러한 스미싱문자에 대처하여 GMDSOFT에서 제공하는 ‘디지털 포렌식 서비스‘의뢰 절차와, MD-NEXT를 통해 데이터를 획득하고, MD-RED를 통해 데이터를 분석하는 악성 앱 디지털 포렌식 분석 과정에 대해 자세히 안내해드리겠습니다!

온라인 안전을 지키기 위해서는 여러분의 주의와 경계가 필요합니다.

스미싱 공격에 대한 경각심을 갖고, 주변 사람들에게도 이러한 위험에 대해 알리세요!