들어가며

회사의 영업비밀을 외부로 유출하는 경우, 그 흔적은 대부분은 유출된 자료가 원래 보관되어 있던 PC에 남아있기 마련입니다.

보관하고 있던 자료를 USB나 인터넷 등을 통해 외부로 유출하는 과정에서 OS에 여러가지 흔적이 남을 수 있기 때문입니다. 

의뢰인은 더프라임의 조력을 받아 영업비밀을 유출한 자가 사용한 PC의 분석을 통해 USB를 통해 다수의 영업비밀을 유출한 것으로 의심되는 정황을 확인하였습니다.

다만, 당시 분석을 맡기신 PC를 이미 후임자가 오랜기간 사용하고 있던 상황이었기 때문에 PC 내의 많은 기록이 소실되었었고, 따라서 정확히 어떠한 영업비밀을 반출하여 갔었는지는 명확하게 알 수 없는 상황이었습니다.

이러한 상황에서 의뢰인은 영업비밀을 유출하였다는 당사자를 만나 해명을 요청하였고, 해당 직원은 ‘USB를 접속시킨 것은 맞으나 퇴사에 임박하여 자료를 반출한 적은 없고, USB에 담겨있는 자료는 과거부터 업무상 보관하고 있던 자료가 대부분이다’라며 해당 USB를 스스로 반납하였습니다. 

이에 의뢰인은, 영업비밀을 반출하는 수단으로 활용된 것으로 의심되는 USB에 대한 분석을 통해, 영업비밀을 유출한 흔적이 있는지에 대한 분석을 요청하였습니다. 

더프라임의 조력

USB에 삭제파일 전수 복구

다양한 분석기법을 활용하기 전에, USB에서 과거 삭제된 파일에 대한 전수복구는 필수적으로 선행되어야 하는 사안이었습니다.

더프라임에서는 복구에 탁월한 성능을 발휘하는 X-Ways 프로그램을 통해 USB 내 삭제파일에 대한 전수복구를 실시하였습니다.

그 결과 , 최근에 삭제된 수십개의 파일들을 복구할 수 있었습니다.

MAC Time 분석기법을 활용한 분석

보통 USB 자체에는 파일의 수정이나 변경이력을 기록하는 로그나 저널이 별도로 존재하지 않으므로 그 자체만으로 영업비밀의 유출이력을 확인하기 쉽지 않습니다. 

이런 경우 활용해볼 수 있는 포렌식 분석기법 중 대표적인 것이 MAC Time 분석기법입니다.

윈도우 환경에서 파일을 복사, 이동, 삭제하는 경우, 파일의 생성일시, 파일의 접근일시, 파일의 변경일시 값이 특정한 규칙에 의해 변경되거나 변경되지 않는데, 이러한 규칙에 대한 분석을 통해 USB에 담겨있는 파일들이 영업비밀의 유출을 목적으로 한 시기에 저장된 것이 맞는지를 분석하는 방법을 사용하였던 것이었습니다.

분석결과, 반출 의심자의 변명과 달리, 퇴사가 임박한 특정시기에 수천개의 파일을 하드디스크에서 USB로 대량 복사한 흔적이 발견되었습니다.

마이크로소프트 오피스 임시파일 네이밍을 활용한 분석

퇴사자가 반출한 대부분의 파일은 워드 또는 엑셀파일로 모두 마이크로소프트 오피스 파일이었습니다.

이러한 파일의 경우 더블클릭 등의 방법으로 바로 열어볼 경우, 특정한 이름을 가진 임시파일명이 생성될 수 있습니다. 

더프라임에는 기존에 존재하는 파일 및 복구된 파일 중 이러한 임시파일의 존재를 확인하였으며, 이를 통해 반출자가 단순히 파일을 반출한 것 뿐만 아니라, 경쟁 회사로 이직한 시기에 특정 파일들은 실제로 열람한 사실까지 확인할 수 있었습니다.

마치며

의뢰인은 더프라임의 분석결과를 수령하고 엄청난 수의 영업비밀이 단시간에 유출되었고, 심지어 그 중 일부 중요파일들은 경쟁회사에서 열람된 사실에 매우 크게 분개하셨고, 민형사상 조치를 준비 중에 있습니다. 

이와같은 일련의 디지털 포렌식과정은 단순히 기계적인 파일의 복구에만 중점을 두는 사설 디지털 포렌식 업체에서는 도움을 받기 어려운 부분입니다.

이 사례와 유사한 상황으로 도움이 필요하시다면 더프라임의 조력을 받아보시기 바랍니다.