개인의 노트북이나 PC는 물론이고 기업이나 공공기관에서의 USB 저장장치 무단 사용은 (개인)정보유출의 주요 수단으로 악용된다. 때문에 기업이나 공공기관은 내부에서 업무용으로 사용되는 PC나 노트북(서버도 마찬가지)에서의 USB 저장장치 사용을 금지하기도 한다. 


하지만 정보보호 관련 내부 지침으로 금지하고 Endpoint DLP 보안솔루션을 적용해도 이런 저런~방법으로 우회해 USB 저장장치를 사용할 수 있는 경우가 꽤 된다. 어떤 경우는 Endpoint DLP를 모든 PC에 설치하고 중앙의 관리서버에서 차단 정책을 적용해도 오류 혹은 오작동으로 USB 저장장치를 사용할 수 있는 경우도 있다.  


보통은 정보보와 관련된 내부 IT 감사 혹은 ISMS인증심사 과정에서 감사자나 심사원이 주요 IT 운영인력 및 개발자 혹은 개인정보취급자와 인터뷰 과정에서 USB 저장장치의 사용 이력을 확인하게 되는 경우가 있다. 하지만 정보보호전문가들 조차도 PC에서 USB 저장장치의 사용이력을 확인하는 방법을 모르는 경우가 있다.


알고 있더라도 레지스트리를 어렵게~어렵게~ 뒤져야 한다고 알고 있는 경우도 있다. 하지만 의외로 쉽게 Windows PC에서 USB 저장매체의 사용 이력을 확인하는 방법이 있다.


바로 장치관리자에서 그 이력을 확인할 수 있다.


먼저 명령프롬프트(CMD.EXE)를 실행하고 장치관리자를 아래 화면의 명령을 입력해 실행한다. (devmgmt.msc)



이 명령은 Windows의 관리도구들 중에서 장치관리자를 실행하는 명령이다.


장치관리자가 실행되면 다음과 같이 PC내에서 인식된 물리적, 논리적 장치들을 표시해 주는데 "보기" 메뉴로 들어가 "숨겨진 장치 표시"를 선택해 체크(v)가 표시되도록 한다. 



 USB에 꼽았던 장치중에서 저장장치로 인식된 USB 장치는 드스크드라이브와 드라이브로 인식되는데 먼저 디스크드라이브 항목을 펼쳐보면 다음과 같이 한번이라도 USB포트에 꼽히고 디스크드라이브로 인식되었던 장치명이 주루룩~~표시된다.



진하게 표시된 장치들은 현재 인식되어 사용중인 장치이고 회색으로 흐릿하게 표시된 장치는 현재는 인식되지 않는..즉 이전에 인식되었던 장치들이다. (음...참 다양한 USB 메모리를 사용했었나 보다....)


그 중 하나에서 마우스 우클릭을 통해 "속성" 메뉴를 선택하면 실행되는 속성창에서 "자세히" 탭을 선택한다.



"자세히" 탭을 선택하면 중간에 "속성"이 보이는데.. 참 많은 정보를 보여준다. 그 중에서 "마지막 제거 날짜"를 보면 이 USB 디바이스가 마지막으로 디스크드라이브로 사용되었다가 제거된 날짜를 보여준다.


또하나의 USB 저장장치 사용이력을 확인하는 방법은 "휴대용 저장장치"로 확인하는 방법니다. 휴대용 저장장치는 디스크드라이브로 인식된 USB 저장장치에 할당된 볼륨(흔히 드라이브라 부름)이 마운트 된 드라이브명(볼륨명)으로 표시된다.



그리고 여기에서도 "속성" 메뉴를 통해 마지막 제거 날짜를 확인할 수 있다.



두가지 중 어떤 항목을 기준으로 하든 관계없다. USB 포트를 통해 이동식 저장장치를 사용 금지했다면 이 기록이 남아 있으면 안된다.


다만 여기에서 보이지 않는다해서 USB 저장장치를 사용하지 않았다고 단언할 수는 없다. 레지스트리에서 삭제하든, 이 장치관리자에서 삭제하든 흔적을 지울 수 있기 때문이다.


만약 이 흔적들을 삭제했다면 그 땐 Windows에서 기록해주는 로그파일을 뒤져봐야 한다. 레지스트리에서 지울 수는 있지만 로그에는 그 흔적이 남아있기 때문이다.

  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기

댓글을 달아 주세요

">
  1. thumbnail
    2019.03.07 11:27

    비밀댓글입니다

  2. thumbnail
    아빠본색
    2020.05.20 11:49

    포스팅 잘 보고 갑니다.

  3. thumbnail
    누구니
    2020.07.28 17:47

    도움이 되었습니다.
    고맙습니다.

  4. thumbnail
    도둑질
    2020.10.26 23:55

    회사에서 제 컴퓨터에 제가 모은 여러자료들과 제 설정대로 작업한
    3d파일들이 있어서 보안이 중요한데....주말에 제 컴퓨터 켜졌다는 카카오톡 알람이 뜨더니 파일들을 다 복사해서 가져간것같아요. 외장하드 연결기록이 딱 그 날짜에 있는데,
    어떤 파일을 복사해갔는지 알 수 없다면, 몇 개의 파일을 복사했는지 알 수 있을까요?
    딱 폴더에 몇 개의 파일있는지 나오니까 어떤 폴더 복사해갔는지 알 수 있을 것 같은데..너무 화가나네요 ㅠㅠ

    • thumbnail
      taeho Tae-Ho
      2020.10.27 00:14 신고

      별도의 감사정책을 설정해두지 않는 이상 기본적으로 Windows PC 운영체제는 파일 복사 시 어떤 파일을 복사해갔는지 알 수 있는 방법은 없습니다.
      모든 파일을 복사 시 로그를 남게 하자면...PC의 CPU나 파일IO 등 리소스를 너무 많이 잡아먹어서 그렇게 설정하고 사용하는 경우는 거의 없다고 보시면 됩니다.
      보안이 중요한 일부 기업의 경우 별도의 매체제어나 정보유출방지 등 별도의 보안프로그램을 적용해 USB로 복사되는 파일의 목록을 남기기도 합니다만... 대부분의 경우는 알 수 없습니다.
      어떤 USB가 언제 꼽히고 언제 뺐는지를 알아내는 정도만 가능하죠.

  5. thumbnail
    도둑질
    2020.10.27 02:25

    이렇게 빨리 답변을 주시다니 넘 감사드려요 ㅠㅠ 하..남의 노력을 저렇게 날도둑질 해가는 사람들은 꼭 대가를 받기를 바랍니다. 앞으로 회사컴에 자료들 안남겨야겠어요. 잠금폴더로 만들거나요. 제 컴퓨터 잠금번호 아는 사람은 한 사람뿐이니 범인도 한 사람이겠죠. 벼락 맞기를...답변 주셔서 감사합니다!