전직 직원이 회사의 기밀을 유출했다는 상황에 처한 사람이라면 누구나 당황스럽고 불안할 것이다. 제가 처리한 사건 중 하나가 이런 것이었습니다. 몇 년간 한 회사에서 중요한 프로젝트를 맡아오던 김모 씨가 갑자기 회사를 떠났다. 그가 떠난 지 얼마 되지 않아 경쟁사가 신제품을 발표했습니다. 그런데 그 제품은 회사가 개발하고 있던 기술과 묘하게 유사했습니다. 우연이라기엔 닮은 점이 너무 많았다. 게다가 김씨가 경쟁사로 이적했다는 소문이 돌자 회사에서는 의심을 받을 수밖에 없었다. 혹시 김씨가 회사를 떠나기 전 회사의 비밀을 누설한 것은 아닐까? 이는 그냥 무시할 일이 아니었습니다. 회사 내부에서 기초연구를 진행했지만 전문성이 부족해 한계가 있었다. 그래서 결국 나에게 부탁이 들어왔다. 내가 해야 할 일은 분명했다. 컴퓨터 포렌식 기술을 활용해 김 씨가 회사 데이터를 유출했는지 철저하게 확인하는 게 목표였다.
먼저 회사 노트북, 외장하드, USB 드라이브 등 김씨가 사용하는 저장장치와 회사 네트워크 접속 로그, 이메일 계정을 확보했다. 컴퓨터 포렌식에서 가장 기본적이고 중요한 작업은 원본 데이터를 분석하기 전에 보존하는 것이다. 그래서 데이터를 복사하고, 원본은 그대로 두고, 복사본만 가지고 작업을 했습니다. 이를 디스크 이미징이라고 합니다. 이를 통해 원본 데이터를 전혀 변경하지 않으면서 모든 추적을 안전하게 분석할 수 있습니다.
조사를 시작하자마자 USB 사용 내역에서 첫 번째 단서를 찾았습니다. 김씨는 퇴사하기 며칠 전 평소 사용하지 않던 시간에 회사 노트북에 USB 케이블을 연결한 흔적을 남겼다. 특히 이 USB를 이용해 회사의 핵심 기술문서와 프로젝트 관련 자료 등을 대량으로 복사한 기록이 있다. 그는 이러한 흔적을 지우기 위해 USB 복사 기록을 삭제했지만, 컴퓨터 PC 포렌식에서도 삭제된 기록을 복구할 수 있습니다. $MFT(Master File Table)에 남아있는 데이터를 분석한 결과 복사된 파일명, 크기, 복사시간 등을 확인할 수 있었다. 복사된 파일 중에는 회사의 기밀 기술문서와 프로젝트 설계도가 포함되어 있었다. 이 기록은 김씨가 자료를 유출했을 가능성을 강력하게 뒷받침하는 증거였다.
그러나 나는 거기서 멈출 수 없었다. 요즘 클라우드 서비스를 통해 데이터가 유출되는 경우가 많아 김씨가 사용한 드롭박스(Dropbox)와 원드라이브(OneDrive) 계정을 조사해 보기로 했다. Dropbox를 분석한 결과 김씨는 퇴사하기 몇 주 전부터 회사 프로젝트 폴더를 개인 Dropbox 계정에 동기화해 온 것으로 나타났습니다. 동기화된 파일에는 회사의 주요 기술 문서와 프로젝트 계획이 포함되었습니다. 동기화 시간, 파일 경로 등 세부사항이 남아 있어 김씨가 어떤 데이터를 동기화했는지는 분명했다. 마찬가지로 원드라이브에서도 김씨가 퇴사 직전 개인 계정에 주요 파일을 업로드한 기록이 발견됐다. 컴퓨터 포렌식의 강점은 모든 데이터 이동 과정을 기록해 어떤 파일이 어디로 이동됐는지 명확하게 식별할 수 있다는 점이다.
다음으로 회사 NAS(Network Attached Storage)에 접속 기록이 있는지 확인했다. NAS는 회사의 대용량 데이터를 저장하는 네트워크 드라이브인데, 여기서도 중요한 단서를 찾았습니다. 김씨는 퇴사 전날 NAS에 접속해 대량의 데이터를 다운로드한 기록을 남겼다. 다운로드한 파일을 삭제했지만, 삭제된 데이터가 완전히 사라진 것은 아닙니다. 컴퓨터 포렌식 기술을 사용하여 NAS에서 $LogFile 및 $MFT 데이터를 복구했습니다. 이를 통해 다운로드한 파일의 이름, 크기, 다운로드 경로, 다운로드 시간 등을 확인할 수 있었다. 다운로드한 파일 중에는 회사 기밀 문서가 다수 포함돼 있어 김씨가 해당 자료를 유출했을 가능성이 더욱 높아졌다.
가장 결정적인 단서는 내 이메일 계정에서 나왔다. 김씨의 이메일 계정을 확인해 외부로 자료를 보낸 적이 있는지 확인한 결과, 퇴사 직전 여러 기밀문서를 이메일 첨부파일로 보낸 흔적이 발견됐다. 문제는 이 이메일의 수신자가 경쟁사 직원으로 보이는 이메일 주소를 사용하고 있다는 점이었습니다. 첨부파일에는 회사의 핵심 기술사양과 프로젝트 계획 등이 담겨 있었는데, 이들 자료가 경쟁사의 신제품 개발에 활용됐을 가능성이 높다.
이 모든 증거를 수집한 후 최종 보고서를 작성하여 회사에 제출했습니다. 보고서에는 김씨가 USB를 통해 회사 데이터를 외부로 복사한 기록, 드롭박스와 원드라이브를 통해 클라우드에 동기화된 데이터, NAS에서 다운로드한 파일, 이메일로 보낸 문서 등 모든 데이터가 포함됐다. 컴퓨터 포렌식을 통해 수집된 증거는 김씨가 회사의 기밀 정보를 유출했다는 사실을 명백히 입증했다. 이 보도를 토대로 회사는 김씨와 그의 경쟁사를 상대로 법적 조치를 취했고, 김씨는 결국 법적 처벌을 받았다. 또한 경쟁업체는 더 이상 불법적으로 획득한 데이터를 사용할 수 없습니다.
이번 사건은 나와 회사에 큰 교훈을 남겼다. 퇴사 예정인 직원의 데이터 접근 권한을 철저히 관리하는 것이 얼마나 중요한지, 기밀 데이터가 회사 외부로 유출되는 것을 방지하기 위해서는 사전에 어떤 조치를 취해야 하는지 깊이 깨닫게 되었습니다. 특히, USB나 클라우드 사용량을 모니터링하고, NAS 접속 기록 등 로그 데이터를 장기간 보관할 수 있는 시스템을 갖추는 것이 매우 중요하다. 무엇보다도 회사의 기밀정보를 취급하는 직원들에게 책임감을 심어주는 교육이 필수적입니다.
컴퓨터 PC 포렌식은 단순히 삭제된 데이터를 복구하는 기술이 아닙니다. 디지털 흔적을 통해 진실을 밝히는 강력한 도구입니다. 데이터 유출이 기업의 존립을 위협하는 시대, 포렌식 기술은 기업 보안의 마지막 방패 역할을 한다. 당신의 회사에서도 비슷한 상황이 일어날까 봐 걱정되시나요? 그렇다면 지금 내부 보안 시스템을 확인하고, 필요한 경우 컴퓨터 포렌식 전문가의 도움을 받으세요. 중요한 데이터를 보호하는 것은 더 이상 선택이 아닌 필수입니다.
궁금하신 점은 네이버로 문의주세요!
경기도 파주시 소라즈로229번길 4 파주포렌식데이터복구기술원 1층
디지털 포렌식을 통한 한글 파일 유출 적발 오늘날 개인의 모든 디지털 정보는 디지털화되어 저장매체에 기록됩니다. 컴퓨터든 노트북이든… blog.naver.com