기업비밀 자료유출 분석

HOME > 분석항목

자료유출 분석

기술유출, 자료유출 분석

최근의 기술유출사례를 보면 문서로 유출되기 보다는 파일을 직접 보조저장 장치로 카피하거나 이메일을 사용합니다. 확장자를 변경하여 사진처럼 보이도록 만들거나 압축을 하는 방법으로 변조하여 유출하는 등 기술유출 방법이 다양해지고 있습니다.

이러한 디지털 데이터는 보내는 컴퓨터에서 받는 컴퓨터까지 반드시 흔적을 남기는데 이러한 흔적을 분석하여 유출경로를 추적할 수 있습니다.

매체를 따라 이동한 자료의 디지털 정보분석을 통해 중요한 정보의 유출을 확인하는 것도 디지털포렌식의 중요한 부분이며 기술유출, 자료유출 분석의 핵심입니다.

초기대응의 중요성

유출사건은 초기에 의심이 되거나 감지되었을때 증거를 확보하는 것이 중요합니다. 최소한 의심되는 유출자의 PC나 노트북 정도라도 증거처리를 하는 것이 중요합니다.
기술유출 사건은 대부분 유출된 후 많은 시간이 흐른 뒤 확인되는 경우가 많으며 초반에는 자료유출에 대한 심증이 강하며 확실한 물증이 없으므로 조사에 어려움을 겪는 경우가 대부분입니다.

경찰청 사이버수사대에 사건이 접수된 후 신속하게 진행된다면 다행이지만 사이버수사대의 업무가 많고 접수사건이 많아서 보통 한두달 또는 그 이상의 시간이 필요하며 해당 PC의 분석이 진행되려면 어느정도 혐의가 인정되어야 하기 때문에 실제 분석까지 진행되기가 어려운 것이 현실입니다.

기술유출, 자료유출 사건의 디지털포렌식 수사절차

경찰청의 기술유출사건 수사절차는 피해자를 조사한 후 가해자를 조사하는 두번의 압수수색 절차를 거쳐야 합니다.
두 단계의 포렌식 증거수집단계를 거쳐 증거를 확보합니다.

1차 분석 결과로 강제수사인 압수수색영장을 집행하여 확보한 디지털매체에 대해 2차 분석을 하여 피의자를 조사하는 방법으로 이루어지는데 많은 시간이 걸리기 때문에 피해자 조사시 피의자가 조사하는 사실을 몰라야 증거인멸의 우려가 없지만 실제 사건 접수에는 적용되기 어려운 현실입니다.

자료유출의 유형

대부분의 기술유출은 통제를 위한 기술부재보다는 운영의 문제에서 발생됩니다. 산업기밀보호센터의 자료에 따르면 지술유출의 80%이상이 내부자에 의해서 유출되고 있으며 내부정보 유출 취약성은 인가된 행위로 발생되며 네트워크 보안솔루션과 DRM 등으로도 유출을 막을 수 없습니다.

파일유형을 숨기려고 파일 확장자를 변경하여 유출

중요문서파일을 JPG나 다른 확장자로 변경하게 되면 윈도우에서 문서파일로 인식하지 못하는데 파일 시그니처 분석을 수행함으로써 파일 확장자의 변경 여부를 확인할 수 있습니다.

파일명을 변경하여 유출하는 경우

중요한 대외비인 기술문서의 이름을 일반적인 문서로 이름을 변경하여 유출하는 경우 특정키워드로 디스크전체의 파일내용을 검색하여 파일명을 변경하더라도 중요한 문서의 존재여부를 확인할 수 있습니다.

자료를 백업한 후 자료를 손상시키는 경우

아무런 보안솔루션이 설치되지 않은 중소기업에서 많이 발생하는 유형으로 유출자가 근무기간 동안 사용했던 자료를 본인만 확인할 수 있도록 외장하드에 백업한 후 데이터를 삭제하거나 하드를 포맷하는 유형입니다. 외장장치 접속기록과 포렌식복원파일의 사용이력 등으로 해당 PC에서 유출되었다는 것을 확인할 수 있습니다.