PC 포렌식 심층 분석! OneDrive 자료 유출 증거 확보를 위한 기술적 접근

클라우드 기반 협업 환경이 보편화되면서, Microsoft OneDrive와 같은 서비스는 기업의 핵심 자료 보관 및 공유의 중심이 되었습니다. 이러한 편리함의 이면에는 내부자에 의한 자료 유출이라는 심각한 보안 위협이 상존합니다. 단순한 데이터 유실을 넘어 기업의 존립을 위협할 수 있는 내부 자료 유출 사건 발생 시, PC 포렌식과 OneDrive 분석은 유출 정황을 입증할 수 있는 결정적인 증거를 확보하는 섬세하고 중요한 과정입니다.

 

사건과 관련하여 고객님이 저에게 포렌식 작업을 의뢰하셨기 때문에, 저는 제가 사용할 수 있는 모든 디지털 포렌식 기술을 동원하여 사실관계에 근거한 디지털 증거를 확보하는 데 온 힘을 쏟을 것입니다. 본 블로그에서는 이 두 영역을 결합하여 내부 자료 유출 증거를 수집하는 기술적이고 구체적인 단계를 심도 있게 다룹니다.

 

---

1. 디지털 증거의 확보: 기본 원칙과 절차

디지털 포렌식의 모든 과정은 증거 능력 확보를 최우선으로 합니다. 수집된 디지털 자료가 법정에서 증거로 인정받기 위해서는 무결성(Integrity), 정당성(Authenticity), 연속성(Chain of Custody)이 보장되어야 합니다. 이는 의뢰받은 사건의 진실을 규명하기 위한 법적 토대가 됩니다.

1.1. 휘발성 데이터 수집 및 이미징

자료 유출 정황이 포착되면, 가장 먼저 대상 PC에 대한 휘발성 데이터(RAM, 시스템 시간, 네트워크 연결 상태 등)를 수집하고, 이후 PC의 전체 저장 매체(HDD/SSD)를 디지털 이미징합니다. 이 이미징 과정은 대상 매체에 어떤 변경도 가하지 않도록 쓰기 방지(Write Blocker) 장치를 사용하여 원본의 무결성을 보존해야 합니다. 획득된 이미지 파일은 해시 값(Hash Value, 예: SHA-256)을 계산하여 원본과의 동일성을 수학적으로 증명합니다.

1.2. OneDrive 관련 아티팩트의 이해

OneDrive를 통한 자료 유출을 조사할 때 핵심이 되는 것은 PC 내부에 남아있는 OneDrive 관련 아티팩트(Artifacts)입니다. 이는 사용자의 OneDrive 동기화 활동, 파일 접근, 공유 기록 등을 추적할 수 있는 귀중한 정보원입니다.

---

2. PC 포렌식에서 OneDrive 활동 흔적 추적: 기술적 분석 단계

로컬 PC 포렌식은 OneDrive 클라이언트의 설치 및 사용 흔적, 동기화된 파일의 메타데이터를 분석하여 유출의 '행위'를 입증하는 데 중요한 역할을 합니다. 저희는 이 미묘한 흔적들을 놓치지 않고 추적합니다.

2.1. 레지스트리 분석을 통한 OneDrive 계정 및 경로 확인

Windows 시스템의 레지스트리에는 OneDrive 사용에 관한 핵심 정보가 저장됩니다.

• NTUSER.DAT\Software\Microsoft\OneDrive\Accounts 경로:
  • UserFolder: OneDrive 동기화 폴더의 실제 로컬 경로를 확인할 수 있습니다.
  • UserEmail: 동기화에 사용된 Microsoft 계정(사내 계정) 정보를 제공합니다.
  • LastSignInTime: 마지막 인증 시점을 Unix epoch 시간 형식으로 기록하여, 유출 행위 시점과 연관성을 분석하는 데 활용됩니다.
  • cid/UserCid: 고유한 Microsoft 클라우드 ID로, 클라우드 로그 분석 시 교차 검증에 사용됩니다.

2.2. 로컬 동기화 로그 파일 분석: *.odl 파일

OneDrive 클라이언트는 동기화 활동에 대한 상세한 로그를 \%UserProfile%\AppData\Local\Microsoft\OneDrive\logs 경로에 .odl (OneDrive Log) 파일 형태로 남깁니다.

• 파일 업로드/다운로드, 이름 변경, 삭제, 공유 파일 접근 이벤트 등이 기록되어 유출 의심 파일의 동기화 시점과 활동 유형을 정확히 파악할 수 있습니다.
• 이 로그의 타임스탬프를 다른 시스템 로그(예: 이벤트 로그)와 상호 연관시켜 사용자의 행위를 구체화합니다.

2.3. Shellbag 및 LNK 파일 분석

• Shellbag: 사용자가 접근했던 폴더의 정보를 기록하며, OneDrive 폴더 경로에 대한 접근 흔적을 통해 사용자의 파일 탐색 활동을 재구성할 수 있습니다.
• LNK 파일 (바로가기 파일): 사용자가 파일을 마지막으로 실행하거나 접근했을 때 생성되며, 로컬에 동기화되었던 유출 의심 파일의 최종 접근 시점 및 원본 경로를 추적하는 데 유용합니다. 특히, 파일이 삭제되거나 이동된 경우에도 LNK 파일은 파일의 메타데이터와 로컬 경로 정보를 보존하고 있어 중요한 단서가 됩니다.

2.4. 클라우드 전용 파일(Files on Demand) 흔적 분석

OneDrive의 '파일 주문형'(Files On-Demand) 기능으로 인해 로컬에 다운로드되지 않은 클라우드 전용 파일도 존재할 수 있습니다.

• 이 경우, 메타데이터 및 동기화 로그를 분석하여 사용자가 해당 파일 목록을 확인하거나 접근을 시도했다는 정황을 파악해야 합니다. 클라우드 로그 분석이 필수적으로 병행되어야 합니다.

---

3. 클라우드 포렌식의 연계: Microsoft 365 Audit Log 활용

PC 포렌식으로 얻은 로컬 흔적은 '행위의 정황'을 제공하지만, '자료의 최종 유출'을 입증하기 위해서는 클라우드 환경의 Microsoft 365 Audit Log(감사 로그) 분석이 필수적입니다.

3.1. 감사 로그를 통한 자료 유출 입증

Microsoft 365 관리 센터에서 제공하는 감사 로그는 OneDrive 및 SharePoint에서의 파일 접근, 다운로드, 공유, 외부 공유 링크 생성, 권한 변경 등 모든 활동을 기록합니다.

• 로컬 아티팩트와의 교차 검증: PC 포렌식에서 확보한 UserCid와 활동 시점을 감사 로그의 기록과 비교하여, 특정 사용자가 특정 파일을 클라우드에서 다운로드하거나 외부로 공유했다는 확정적인 증거를 수집합니다.
• 조사 범위의 확장: 유출 행위의 최초 시점, 유출된 정확한 파일 목록, 외부 공유 대상(URL, 사용자) 등 로컬에서 얻기 어려운 핵심 정보를 클라우드 로그에서 파악합니다.

3.2. 포렌식 증거 보존 및 관리

클라우드 로그는 일정 기간이 지나면 삭제되므로, 유출 사건 인지 즉시 보존(Legal Hold) 조치를 취하고, 조사 목적에 맞는 로그를 안전하게 추출하여 포렌식 도구를 통해 분석해야 합니다. 이 과정 역시 Chain of Custody 원칙을 철저히 준수해야 합니다.

---

4. 결론 

PC 포렌식과 OneDrive 아티팩트 분석은 내부 자료 유출 조사에 있어 떼려야 뗄 수 없는 상호 보완적인 관계입니다. 로컬 PC에 남겨진 섬세한 흔적과 클라우드 감사 로그의 명확한 기록을 결합하여 분석할 때, 비로소 내부 자료 유출 정황에 대한 기술적으로 구체적이고 법적 증거 능력을 갖춘 증거를 수집할 수 있습니다. 이러한 디지털 증거 수집의 섬세한 과정은 기업의 정보 자산을 보호하고, 내부 위협에 효과적으로 대응하는 핵심 역량이라 할 수 있습니다.

 

 

밤 9시까지 근무합니다. 포렌식이 필요하시면 편하게 연락주세요.