Forensic

usb에서 업무상 배임죄 포렌식으로 증거 찾기

디지털포렌식 분석가 2023. 3. 21. 22:45

회사 대표는 직원의 이상한 행동을 의심하여 유심히 살펴보던 중 직원이 usb를 연결하여 회사와 관련 없는 일을 하는 것을 발견하고 usb를 빼앗아 확인해 봤더니 개인적인 자료들이 들어 있었습니다.

직원을 추궁하니 약 8개월전에 개인사업자를 등록하여 회사일과 개인 사업을 병행해 오고 있었습니다. 그러나 자신은 회사에서는 사적인 일을 하지 않았다고 발뺌을 하였고 직원은 퇴사를 하였습니다.

 

 

퇴사를 하기 전 빼앗은 usb의 파일을 복사해 놓았습니다.

그리고 퇴사한 직원을 자료유출과 배임행위로 고소하기 위하여 증거 수집을 위해 포렌식을  의뢰 했습니다.

 

직원에게 빼앗았던 usb에서 파일을 복사해 놓았습니다만 이렇게 할 경우 파일의 날짜 정보가 모두 바뀌게 됩니다. 실제로 파일의 생성일시가 모두 복사한 일시로 변경이 되어 업무 시간 중에 파일을 사용했는지를 밝힐 수 없는 상황이 된 것이지요.

 

배임행위란

비즈니스 신뢰 위반은 일방(일반적으로 회사 또는 그 대리인)이 다른 당사자(일반적으로 고객, 클라이언트 또는 파트너)에 대한 책임이나 의무를 이행하지 않고 자신에게 해를 입히거나 손해를 입히는 모든 상황을 말합니다.

다음을 포함하여 비즈니스 컨텍스트에서 발생할 수 있는 다양한 유형의 신뢰 위반이 있습니다.

 

  1. 약속한 상품 또는 서비스 제공 실패: 이는 회사가 약속한 제품 또는 서비스를 제공하지 못하거나 약속한 것보다 열등한 버전을 제공할 때 발생할 수 있습니다.
  2. 고객 정보 오용: 회사가 고객 정보를 적절하게 보호하지 못하거나 승인 또는 합의되지 않은 방식으로 고객 정보를 사용할 때 발생할 수 있습니다.
  3. 계약 위반:회사가 상품을 적시에 배송하거나 공급업체에 비용을 지불하는 것과 같은 계약 의무를 이행하지 않을 때 발생할 수 있습니다.
  4. 사기 또는 허위 진술: 이는 회사가 고객 또는 투자자에게 허위 또는 오해의 소지가 있는 진술을 하거나 기타 기만적인 관행에 관여할 때 발생할 수 있습니다.
  5. 내부자 거래: 내부자(예: 임원 또는 직원)가 특권 정보를 사용하여 다른 사람을 희생시키면서 자신에게 이익이 되는 주식 거래 또는 기타 금융 거래를 할 때 발생할 수 있습니다.

 

이러한 상황에서 신뢰 위반은 회사의 평판을 손상시키고 법적 조치를 취하며 상당한 재정적 손실을 초래할 수 있습니다. 따라서 기업은 윤리적 행동을 우선시하고 고객, 클라이언트 및 파트너에 대한 책임을 다하고 있는지 학인하는 것이 필수적입니다.

 

이 사건의 경우에도 직원에게 빼앗은 usb를 복사한 후 사본을 직원에게 건네주고 원본을 받아 놓았어야 했는데 복사한 사본만 가지고 있어서 파일의 날짜가 모두 바뀌었습니다. 윈도우 운영체제 상에서 단순 복사를 해서는 모든 파일의 날짜 정보가 훼손이 되기 때문에 증거로서 사용하기 어려워집니다. 이런 일이 발생할 경우 포렌식 방법으로 복제를 해야하며, 이는 전문가의 도움을 필요로 합니다.

 

이 사건에서도 이미 파일의 생성일시가 모두 복사한 시점으로 바뀌었기 때문에 퇴사 직원의 usb를 복제한 모든 파일에서 Metadata를 추출하여 입사 기간 중 월~금, 오전9~오후6시까지 업무 시간 중에 발생한 파일의 작업과 관련된 증거 자료를 수집한 결과를 시간대 별로 구분하여 고소대상 범위 이내인지 이외인지 구분하였습니다.

 

usb 포렌식 분석에는 USB(Universal Serial Bus) 장치에 저장된 데이터를 검사하여 조사 또는 법적 목적을 위한 정보를 수집하는 작업이 포함됩니다. USB 장치는 작은 크기, 휴대성 및 사용 편의성으로 인해 데이터 저장 및 전송에 널리 사용됩니다. 그러나 민감한 데이터를 유출하거나 네트워크에 맬웨어를 도입하거나 악의적인 활동으 증거를 숨기는 데 사용할 수도 있습니다.

 

USB 포렌식 프로세스에는 다음을 포함한 여러 단계가 포함됩니다.

 

  1. 식별 및 획득: 첫 번째 단계는 문제으 usb 장치를 식별하고 특수 도구 및 기술을 사용하여 콘텐츠의 포렌식 이미지를 획득하는 것입니다.
  2. 메타데이터 분석: 장치의 일련 번호, 타임스탬프 및 파일 시스템 정보와 같은 usb 장치와 관련된 메타데이터는 사용 기록에 대한 중요한 정보를 제공할 수 있습니다.
  3. 파일 내용 분석: 포렌식 조사관은 usb 장치에 저장된 파일으 내용을 분석하여 민감한 데이터, 맬웨어 또는 유죄 문서와 같은 잘못된 행위의 증거를 식별합니다.
  4. 무결성 원칙: 수집된 증거가 법정에서 인정될 수 있도록 무결성을 유지하는 것이 중요합니다. 여기에는 usb 장치를 처음 획득한 시점부터 최종 처리까지 처리하는 과정을 문서화하는 작업이 포함됩니다.
  5. 보고: 포렌식 조사관은 법적 절차에서 증거로 사용될 수 있는 발견 및 분석을 자세히 설명하는 보고서를 준비합니다.

USB 포렌식 분석은 기업 데이터 도용, 지적 재산 도용, 사기, 컴퓨터 범죄 등 다양한 수사에 활용될 수 있습니다. 조사가 수행되는 법적 및 규제 환경에 대한 철저한 이해뿐만 아니라 전문 기술과 도구가 필요합니다.

 

이번 의뢰 건은 전체 분석 결과 총 1,870개의 파일에 대하여 Metadata를 추출하여 분석하였으며, 퇴사 직원의 재직기간 중 근무시간인 월요일부터 금요일까지 09시부터 18시까지의 시간 중 총 1,075개의 파일에서 2,308건의 생성, 수정이 이루어진 것을 확인할 수 있었습니다.

 

 

증거자료의 수집, 획득, 이미징, 분석 모든 과정에 대한 포렌식 보고서를 작성하여 업무상 배임죄 등의 증거로서 제출할 수 있게 분석 보고서를 작성해 드렸습니다.