[GMD카드뉴스] 파일 시간의 비밀2, MAC 타임

💡MAC 타임 분석에서 중요한 점

위와 같은 예시로 세 가지 시간 정보가 논리적으로 어긋나면 파일에 대한 이상 징후를 의심할 수 있습니다.

이럴 때는 파일이 이동되었거나, 복사되었거나, 조작되었을 가능성이 높아집니다.

예를 들어, 파일 이동이나 복사를 수행한 후에는 MAC 타임이 원본과 다를 수 있으며, 파일 조작이 있을 경우 타임스탬프가 임의로 변경되었을 수 있습니다.

1. 파일 조작 및 위변조 추적

   • 생성(C), 수정(M), 접근(A) 시간을 통해 사용자가 사후에 내용을 조작한 케이스 입증

2. 특허 출원 및 지식재산권 분쟁

   • 발명 아이디어나 설계 문서의 최초 작성 시점(Created)으로 해당 기술을 누가 먼저 개발했는지 입증

3. 영업비밀 유출 여부 확인

   • 주요 문서의 접근 시간(Accessed)을 분석해 근무 외 시간대나 비정상적인 시점에 열람된 케이스 입증

이러한 정보는 MAC 타임 분석이 파일의 조작, 위변조, 지식재산권 분쟁 및 영업비밀 유출 등 다양한 사건의 케이스를 입증하는 데 핵심적인 단서를 줄 수 있다는 것을 보여줍니다.

그럼 여기서, 간단한 사례를 하나 살펴보겠습니다.

한 기업에서 기밀 문서 유출 의심 사건이 발생했습니다. 내부 감사 결과, 유출 시점으로 의심되는 날짜가 특정되었고 해당 시점에 직원 A의 업무용 PC에 대한 디지털 포렌식이 진행되었습니다.

직원 A는 “근무시간 외에는 컴퓨터를 사용하지 않았다”고 주장했지만, 디지털 포렌식 결과 직원 A의 PC에 특정 문서의 수정 시각과 접근 시각이 오후 11시인 파일이 발견 되었습니다. 이는 직원 A의 진술과 상반되고 근무시간 외의 활동을 보여주는 핵심적인 단서였습니다.

해당 타임스탬프 정보를 토대로 추가적인 로그와 시스템 활동을 분석한 결과, 근무 시간이 지난 야간 시간대에 반복적으로 문서가 열람되고 수정된 흔적이 확인되었고, 문서 유출 가능성에 대한 정황이 점차 구체화되었습니다.

결국 디지털 포렌식 결과를 바탕으로 추가 조사가 이루어졌고, 직원 A는 기밀 문서를 유출한 사실을 인정했습니다.

이 사례는 MAC 타임 분석이 얼마나 중요한지를 잘 보여줍니다. 파일의 생성, 수정, 접근 시간을 정확히 추적함으로써 사용자 행위를 파악하고, 불법적인 행동을 입증할 수 있습니다.

이처럼 MAC 타임 분석은 디지털 포렌식에서 핵심적인 역할을 하며, 법적 절차에서도 중요한 증거로 활용될 수 있음을 잘 보여주는 사례입니다.

위의 사례처럼 MAC 타임 분석은 중요한 단서를 제공하지만, 단순히 시간만 보고 판단하는 데에는 유의사항이 있습니다.

운영체제나 저장 방식, 작업 방식에 따라 기록되는 시간 정보가 달라질 수 있기 때문에, 각 시스템의 특징을 고려한 분석이 필요합니다.

아래와 같은 예시에는 기록되는 정보가 변경됩니다!

1. Windows:

   • 파일을 복사하면 Created 시간이 새로 설정됨

2. Linux

   • Created 시간이 없음 

   • 파일의 메타데이터가 변경될 때는 Change 시간이 기록

   • 파일 내용이 변경될 때는 Modified 시간이 기록

따라서, 각 운영체제의 특성을 이해하고 이를 바탕으로 타임 분석을 진행하는 것이 중요합니다.

두 편의 카드뉴스를 통해 정확한 UTC 설정의 중요성과 MAC 타임 분석의 핵심 내용을 확인할 수 있었습니다.

하지만 정확한 디지털 포렌식 분석을 위해서는 UTC와 MAC 타임뿐만 아니라, 디지털 기기에 남아 있는 다양한 데이터들을 종합적으로 해석할 수 있어야 합니다.

이를 위해서는 전문적인 지식과 풍부한 경험을 갖춘 디지털 포렌식 전문가의 도움이 반드시 필요합니다.

지엠디소프트는 프리미엄 디지털 포렌식 서비스를 제공하며, 고객의 요구에 맞춘 최적의 솔루션을 지원합니다.

더 궁금한 사항이 있으시면 위 연락처나 저희 홈페이지를 통해 문의주세요!