개인의 노트북이나 PC는 물론이고 기업이나 공공기관에서의 USB 저장장치 무단 사용은 (개인)정보유출의 주요 수단으로 악용된다. 때문에 기업이나 공공기관은 내부에서 업무용으로 사용되는 PC나 노트북(서버도 마찬가지)에서의 USB 저장장치 사용을 금지하기도 한다.
하지만 정보보호 관련 내부 지침으로 금지하고 Endpoint DLP 보안솔루션을 적용해도 이런 저런~방법으로 우회해 USB 저장장치를 사용할 수 있는 경우가 꽤 된다. 어떤 경우는 Endpoint DLP를 모든 PC에 설치하고 중앙의 관리서버에서 차단 정책을 적용해도 오류 혹은 오작동으로 USB 저장장치를 사용할 수 있는 경우도 있다.
보통은 정보보와 관련된 내부 IT 감사 혹은 ISMS인증심사 과정에서 감사자나 심사원이 주요 IT 운영인력 및 개발자 혹은 개인정보취급자와 인터뷰 과정에서 USB 저장장치의 사용 이력을 확인하게 되는 경우가 있다. 하지만 정보보호전문가들 조차도 PC에서 USB 저장장치의 사용이력을 확인하는 방법을 모르는 경우가 있다.
알고 있더라도 레지스트리를 어렵게~어렵게~ 뒤져야 한다고 알고 있는 경우도 있다. 하지만 의외로 쉽게 Windows PC에서 USB 저장매체의 사용 이력을 확인하는 방법이 있다.
바로 장치관리자에서 그 이력을 확인할 수 있다.
먼저 명령프롬프트(CMD.EXE)를 실행하고 장치관리자를 아래 화면의 명령을 입력해 실행한다. (devmgmt.msc)
이 명령은 Windows의 관리도구들 중에서 장치관리자를 실행하는 명령이다.
장치관리자가 실행되면 다음과 같이 PC내에서 인식된 물리적, 논리적 장치들을 표시해 주는데 “보기” 메뉴로 들어가 “숨겨진 장치 표시”를 선택해 체크(v)가 표시되도록 한다.
USB에 꼽았던 장치중에서 저장장치로 인식된 USB 장치는 드스크드라이브와 드라이브로 인식되는데 먼저 디스크드라이브 항목을 펼쳐보면 다음과 같이 한번이라도 USB포트에 꼽히고 디스크드라이브로 인식되었던 장치명이 주루룩~~표시된다.
진하게 표시된 장치들은 현재 인식되어 사용중인 장치이고 회색으로 흐릿하게 표시된 장치는 현재는 인식되지 않는..즉 이전에 인식되었던 장치들이다. (음…참 다양한 USB 메모리를 사용했었나 보다….)
그 중 하나에서 마우스 우클릭을 통해 “속성” 메뉴를 선택하면 실행되는 속성창에서 “자세히” 탭을 선택한다.
“자세히” 탭을 선택하면 중간에 “속성”이 보이는데.. 참 많은 정보를 보여준다. 그 중에서 “마지막 제거 날짜”를 보면 이 USB 디바이스가 마지막으로 디스크드라이브로 사용되었다가 제거된 날짜를 보여준다.
또하나의 USB 저장장치 사용이력을 확인하는 방법은 “휴대용 저장장치”로 확인하는 방법니다. 휴대용 저장장치는 디스크드라이브로 인식된 USB 저장장치에 할당된 볼륨(흔히 드라이브라 부름)이 마운트 된 드라이브명(볼륨명)으로 표시된다.
그리고 여기에서도 “속성” 메뉴를 통해 마지막 제거 날짜를 확인할 수 있다.
두가지 중 어떤 항목을 기준으로 하든 관계없다. USB 포트를 통해 이동식 저장장치를 사용 금지했다면 이 기록이 남아 있으면 안된다.
다만 여기에서 보이지 않는다해서 USB 저장장치를 사용하지 않았다고 단언할 수는 없다. 레지스트리에서 삭제하든, 이 장치관리자에서 삭제하든 흔적을 지울 수 있기 때문이다.
만약 이 흔적들을 삭제했다면 그 땐 Windows에서 기록해주는 로그파일을 뒤져봐야 한다. 레지스트리에서 지울 수는 있지만 로그에는 그 흔적이 남아있기 때문이다.