본문 바로가기

카테고리 없음

보안감사 및 프라이버시를 위한 USB 장치 사용 히스토리

윈도우를 사용하다보면 많은 사람들이 USB 메모리를 이용하여 정보를 읽고, 쓰곤 합니다.

USB의 경우는 윈도우에서 볼 때 하드드라이브로 보여지지만 실제로는 하드로 사용되지 않고 별도의 장치로 분류되어 마운트 됩니다. ( 사용자 입장에서는 동일하겠지만..^^; )

간혹, 시스템에 누군가 USB로 정보를 빼가진 않았나? 하는 생각에서 감사를 수행하려고 해도 정작 그 내용이 어디에 있는지 알지 못하는 경우가 많습니다.

윈도우에는 USB 정보가 레지스트리에만 남아 있다고 생각하시는 분들도 많구요.

실제로는 로그파일과 레지스트리 두군에 남습니다.

레지스트리에는 아래 경로에 남습니다.

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

로그파일은 xp와 윈도우7(비스타 동일)이 경로가 상이 합니다.
xp에서는 아래의 경로에 저장됩니다.
c:\windows 밑에 존재하는 setupapi 파일에 USB 사용기록이 남아 있습니다.
또, setupapi.log.0.old 파일에도 역시 setupapi의 백업본으로 기록이 남아 있게 됩니다.


윈도우 7 이나 비스타의 경우는 c:\windows\inf 경로 밑에 setupapi.dev.log 파일로 기록이 남아 있게 됩니다.



그리고 , 파일은 일반 아스키 텍스트 로그 파일이므로 에디터를 이용하면 쉽게 지울 수 있습니다.

보안이 양날의 칼이라 불리우는 이유...
중요한 시스템에 인가 받지 않은 USB 를 통해 정보를 반출하려고 시도한뒤에 이러한 정보를 이용하여 누군가 접근한뒤에 깨끗이 지우고 간다면?
역으로 생각하면 사용한 시스템에서 나의 프라이버시를 위해 흔적을 남기지 않고 싶다면. 역시 좋은 선택이 될 것입니다.
조직의 보안감사팀에서는 이를 토대로 하여 보안감사시 디지털 증거로 수집할 수 있습니다.

어디에 사용할지는...^^ 개개인의 판단에 맡겨야 하겠지요.

김재벌님의 블로그(http://solatech.tistory.com) 퍼왔습니다..