컴퓨터 포렌식 기술을 이용해서 퇴사한 직원이 회사의 중요 자료를 외장하드를 통해 유출한 정황 확보 사례

퇴사한 직원이 회사의 중요 자료를 외장하드(USB 장치)를 통해 유출하고 이를 경쟁사에 제공하여 회사에 막대한 피해를 준 사례는 디지털화된 현대 비즈니스 환경에서 빈번하게 발생하는 문제입니다. 특히, 디지털화된 업무 환경에서는 이러한 자료 유출이 더 쉽고 신속하게 이루어질 수 있으며, 회사는 이를 방지하고 해결하기 위해 디지털 포렌식에 의존하게 됩니다. 이번 글에서는 퇴사한 직원이 외장하드를 이용해 회사 자료를 유출한 사례에서, USB Device Tracking 기술을 통해 문제를 해결한 실제 사례를 분석하고, 컴퓨터 자료 유출 방지 방법을 심도 있게 설명하겠습니다.

 

진실을 밝혀서 무고한 사람이 없어지는 세상을 꿈꿉니다.
 
이학주 팀장
 
MOBILE 010-2157-7760
F A X 0504-229-7760
E-MAIL forensicdt@naver.com

 

1. 회사 자료 유출 사건 배경

A사라는 회사는 기술력과 데이터에 기반한 비즈니스를 운영하는 기업입니다. 최근 A사는 경쟁사 B사가 자사의 주요 기술 자료와 비즈니스 전략을 기반으로 시장에서 빠르게 성장하고 있음을 인지하고, 내부 조사를 통해 퇴사한 직원 중 한 명이 경쟁사로 이직했다는 사실을 확인했습니다. 이 직원은 퇴사 직전, 회사의 중요한 기술 자료에 집중적으로 접근했으며, 이를 외부로 유출했을 가능성이 제기되었습니다. 이와 함께 회사는 해당 직원이 사용한 **외장하드(USB 장치)**를 의심하게 되었습니다.

A사는 내부 IT팀과 함께 디지털 포렌식 전문가를 고용하여, 해당 직원이 외장하드를 통해 자료를 유출했는지 여부를 확인하기 위해 조사에 착수했습니다. 특히, USB Device Tracking 기술을 활용해 외장하드 사용 흔적을 추적하고, 유출된 자료의 정확한 경로를 밝혀내는 것이 이번 조사의 핵심이었습니다.

2. 디지털 포렌식의 역할과 필요성

디지털 포렌식의 목적은 사건 발생 후에도 삭제된 데이터를 복구하거나 자료가 유출된 경로를 추적해 증거를 확보하는 데 있습니다. 특히, USB와 같은 외부 저장 장치를 통해 자료가 유출되었을 때는 USB Device Tracking 기술을 통해 어떤 USB 장치가 언제 사용되었고, 어떤 파일이 복사되었는지를 파악할 수 있습니다. 이를 통해 기업은 법적 대응을 위한 증거를 확보할 수 있으며, 관련자를 처벌하거나 자료 유출을 방지하는 조치를 취할 수 있습니다.

3. USB Device Tracking 기술을 통한 외장하드 사용 흔적 분석 절차

이번 사례에서 포렌식 팀은 다음과 같은 절차로 외장하드 사용 흔적을 추적했습니다:

3.1. 하드 드라이브 이미지 복사 및 보존

포렌식 분석의 첫 단계는 퇴사한 직원이 사용한 업무용 컴퓨터의 하드 드라이브 이미지를 복사하는 것이었습니다. 이 과정은 원본 데이터를 손상시키지 않고 포렌식 분석을 진행하기 위한 중요한 절차입니다. 복사된 이미지를 기반으로, 컴퓨터에 남아 있는 모든 기록과 데이터를 분석할 수 있습니다.

3.2. USB Device Tracking: 외장하드 연결 기록 확인

포렌식 소프트웨어는 USB Device Tracking이라는 기능을 사용해 특정 컴퓨터에 연결된 모든 USB 장치의 정보를 추적할 수 있습니다. 컴퓨터는 외장하드나 USB 메모리 등 외부 장치가 연결될 때마다 장치의 시리얼 번호, 연결 시각, 사용 기간 등과 같은 중요한 정보를 자동으로 기록합니다. 이를 통해 포렌식 팀은 해당 직원이 퇴사 직전 사용한 외장하드의 시리얼 번호와 연결 타이밍을 확인했습니다.

이번 사례에서는, 직원이 퇴사 전날 밤에 특정 외장하드를 연결하고 그 외장하드를 통해 여러 개의 대형 파일을 복사한 사실이 확인되었습니다. USB Device Tracking 기술을 사용해 해당 외장하드가 마지막으로 연결된 시점을 기록하고, 이를 바탕으로 어떤 파일이 복사되었는지를 추가로 분석했습니다.

3.3. 파일 복사 및 삭제 기록 분석

다음 단계는 컴퓨터에서 외장하드로 복사된 파일 목록을 분석하는 것이었습니다. 포렌식 소프트웨어는 컴퓨터의 파일 시스템 메타데이터를 통해 파일 복사, 이동, 삭제 등의 기록을 추적할 수 있습니다. 이 기술을 통해 포렌식 팀은 퇴사한 직원이 외장하드에 복사한 파일들이 회사의 핵심 기술 문서와 비즈니스 전략 자료임을 확인할 수 있었습니다.

 

4. 삭제된 데이터 복구

자료 유출 이후 해당 직원은 자신의 컴퓨터에 남아 있는 복사 기록을 삭제하려 시도했습니다. 그러나 삭제된 데이터 복구 기술을 사용하면 삭제된 파일이나 메타데이터를 복구할 수 있습니다. 포렌식 팀은 컴퓨터에 남아 있던 일부 삭제된 파일을 복구하여 외장하드로 복사된 정확한 파일 목록과 파일 내용을 파악했습니다. 이를 통해 추가적인 자료 유출 가능성을 차단할 수 있었습니다.

5. 법적 대응을 위한 증거 확보

이번 USB Device Tracking 기술을 활용한 포렌식 분석 결과, A사는 퇴사한 직원이 외장하드를 사용해 회사의 중요 자료를 유출한 명백한 증거를 확보할 수 있었습니다. 포렌식 보고서를 통해 파일 복사 시점, 사용된 외장하드의 시리얼 번호, 복사된 파일의 구체적인 목록이 모두 명확하게 기록되어 있었습니다.

이 증거를 바탕으로 A사는 퇴사한 직원을 상대로 법적 소송을 제기했으며, 법원에서는 이 포렌식 증거를 중요한 증거로 채택했습니다. 이를 통해 법적 대응에서 A사는 유리한 입장을 차지하게 되었고, 경쟁사로 유출된 기술 자료가 A사의 자산임을 법적으로 입증할 수 있었습니다.

6. 자료 유출 방지를 위한 회사의 대응 방안

이번 사건을 통해 A사는 외장하드와 같은 외부 저장 장치를 이용한 자료 유출을 방지하기 위한 다각적인 보안 방안을 도입했습니다. 특히 퇴사 직원의 자료 유출을 방지하기 위해 다음과 같은 사전 예방 조치를 강화했습니다.

6.1. USB 사용 통제 및 모니터링 시스템

A사는 회사 내 모든 컴퓨터에서 USB 장치 사용을 제한하는 정책을 도입했습니다. 특정 직원에게만 외장하드 및 USB 사용 권한을 부여하고, 이를 실시간으로 모니터링할 수 있는 보안 소프트웨어를 설치했습니다. 이 시스템을 통해 회사는 누가 언제 어떤 USB 장치를 사용했는지를 실시간으로 추적하고, 잠재적인 유출 사고를 예방할 수 있습니다.

6.2. 로그 기록 및 파일 액세스 기록 관리

USB 사용 기록뿐만 아니라 모든 파일 액세스 기록도 모니터링할 수 있는 시스템을 도입하여, 중요 파일에 대한 접근 및 복사 기록을 철저히 관리하고 있습니다. 이를 통해 퇴사 직원이 불필요하게 자료에 접근하거나 복사하는 것을 사전에 차단할 수 있습니다.

6.3. 퇴사 절차 강화

퇴사하는 직원에 대한 보안 절차도 강화되었습니다. 퇴사 직원의 업무용 컴퓨터는 퇴사 즉시 회수하여 포렌식 분석을 통해 이상 징후가 없는지 확인하고, 모든 자료를 검토하는 절차를 마련했습니다. 또한, 퇴사 후에도 해당 직원의 자료 접근 권한을 철저히 차단하여 추가적인 자료 유출 가능성을 줄였습니다.

7. 결론

이번 사례는 퇴사한 직원이 외장하드를 사용해 회사의 중요한 자료를 유출한 문제를 USB Device Tracking 기술을 이용한 디지털 포렌식으로 해결한 전형적인 사례입니다. 이 기술을 통해 정확한 증거를 확보하고, 법적 대응을 통해 피해를 최소화할 수 있었습니다.

디지털화된 비즈니스 환경에서 자료 유출 사고는 언제든지 발생할 수 있는 잠재적 위협입니다. 이를 예방하고 해결하기 위해서는 회사 내부의 체계적인 보안 시스템 구축과 함께, 디지털 포렌식 기술의 적극적인 활용이 필수적입니다.

 

유용한 정보 되셨으면 좋겠습니다. 감사합니다~!

 

 

진실을 밝혀서 무고한 사람이 없어지는 세상을 꿈꿉니다.
 
이학주 팀장
 
MOBILE 010-2157-7760
F A X 0504-229-7760
E-MAIL forensicdt@naver.com