대표전화
1551-2662

community


제목	정보 유출조사 컴퓨터 포렌식에 필요한 점프리스트(jumplist)2025-12-01 23:36
작성자	관리자
정보 유출 의심 상황을 조사하다 보면 이런 질문이 자주 나옵니다. “이 사용자가 그 문서를 실제로 열어봤는지 알 수 있나요?” 윈도우 환경에서는 겉으로는 흔적이 없어 보이더라도, 내부 기록을 보면 사용 이력이 남아 있는 경우가 많습니다. 그중 하나가 점프리스트(jumplist)이고, 컴퓨터 포렌식에서는 정보 유출과 관련된 행동을 추적할 때 자주 참고하게 됩니다. 목차. 1. 점프리스트, 어떤 기록인지. 2. 저장 위치와 포함되는 정보. 3. 정보 유출조사에서 활용되는 방식. 4. 컴퓨터 포렌식 보고서에 쓸 때의 표현 방법. 1. 점프리스트, 어떤 기록인지 윈도우에서 작업 표시줄 아이콘을 우클릭하면 최근에 열었던 문서 목록이 보입니다. 이때 화면에 보이는 목록 뒤쪽에서 실제 데이터를 담당하는 파일이 점프리스트입니다. 프로그램별로 “최근에 어떤 파일을 열었는지, 자주 사용하는 대상이 무엇인지”를 기록해 두는 기능이라고 이해하시면 됩니다. 워드, 엑셀, PDF 뷰어, 압축 프로그램처럼 문서를 여는 응용 프로그램들이 대표적인 예입니다. 컴퓨터 포렌식에서는 이 기록을 시간 정보와 함께 묶어서, “어떤 계정으로 로그인한 상태에서, 어느 경로의 파일을 반복해서 열었는지”를 확인하는 데 활용합니다. 2. 저장 위치와 포함되는 정보 점프리스트는 보통 사용자 프로필 아래의 AutomaticDestinations, CustomDestinations 폴더에 자동으로 저장됩니다. 파일 이름은 긴 숫자·문자 조합에 .automaticDestinations-ms, .customDestinations-ms 같은 확장자가 붙어 있는 형태가 많이 보입니다. 각 점프리스트 파일 내부에는 여러 개의 LNK(바로가기) 구조가 들어 있고, 항목마다 파일 경로, 파일 이름, 저장소 정보, 일부 시간 정보가 함께 기록됩니다. 전용 도구나 LNK 분석 기능을 이용하면 다음과 같은 내용을 표 형태로 추출할 수 있습니다. - 파일 전체 경로(로컬 디스크, 네트워크 드라이브, USB, 클라우드 동기화 폴더 등) - 파일 이름과 확장자 - 저장소를 구분할 수 있는 값(예: 볼륨 일련번호) - LNK 기준 타임스탬프(생성, 수정, 최근 접근 시각 등) 이 값들은 다른 기록과 나란히 놓고 비교할 때, 사용자의 실제 행동을 이해하는 데 도움이 됩니다. 3. 정보 유출조사에서 활용되는 방식 정보 유출 의심 사건에서는 보통 다음과 같은 부분을 확인하려고 합니다. “어떤 자료를 봤는지, 언제 열어봤는지, 어디에 있던 파일이었는지.” 예를 들어 회사 공용 폴더에 있어야 할 문서를 개인 USB로 복사해 간 뒤, 그 USB 안의 파일을 여러 번 열어본 의심이 있을 수 있습니다. 이때 점프리스트에 해당 USB 드라이브 문자와 경로가 반복해서 나타나는지 살펴보게 됩니다. 또, 클라우드 동기화 폴더 아래 문서를 계속 열어본 기록이 남아 있고, 같은 시기 메일 발송이나 파일 업로드 기록이 함께 발견될 수도 있습니다. 퇴사 직전에 특정 프로젝트 폴더 안 문서들이 짧은 시간 동안 집중적으로 열려 있었다는 패턴이 보이기도 합니다. 이처럼 점프리스트는 “이 프로그램으로 이 경로의 파일이 열렸었다”는 사실을 보여주고, 컴퓨터 포렌식에서 레지스트리의 USB 연결 기록, 파일 시스템 타임스탬프, 브라우저 기록 등과 함께 비교하면서 정보 유출과 연관된 시간대와 대상 파일을 좁혀 나가는 데 쓰입니다. 4. 컴퓨터 포렌식 보고서에 쓸 때의 표현 방법 보고서에 점프리스트 관련 내용을 적을 때는, 기록이 보여주는 범위 안에서만 설명하는 편이 안전합니다. 지나치게 단정적인 문장을 피하고, 확인된 사실 위주로 표현하는 것이 좋습니다. 예를 들어 다음과 같은 방식입니다. “윈도우가 자동 생성하는 최근 사용 기록(점프리스트)에서 특정 경로의 문서가 여러 차례 열려 있었던 사실이 확인됐다.” “점프리스트 항목에는 파일 경로, 파일 이름, LNK 타임스탬프가 포함돼 있으며, 이 값들을 USB 연결 기록, 네트워크 기록 등과 비교했다.” “정보를 외부로 반출했다”라고 바로 결론을 내리기보다는, “특정 기간 동안 어떤 저장소·어떤 경로의 파일을 반복적으로 열어본 사실이 있었다”처럼, 컴퓨터 포렌식 기록으로 직접 확인 가능한 수준까지를 기술하는 쪽이 적절합니다. 점프리스트는 혼자서 모든 것을 설명해 주는 기록은 아니지만, 다른 아티팩트와 함께 보면 사용자가 어떤 문서를 다뤘는지, 어떤 시점에 어떤 자료에 접근했는지를 파악하는 데 중요한 역할을 할 수 있습니다. https://m.place.naver.com/place/1061053421/home?entry=pll 정보 유출조사 컴퓨터 포렌식 궁금하다면
#정보유출조사 #컴퓨터포렌식 #포렌식

이전	아이폰 삭제된 텔레그램 포렌식 채팅방 나가기 대화 복구	관리자	2025-12-02
다음	USB 포트 색상이 다른건 알고 계셨나요?	관리자	2025-12-01

견적문의

이오테크에 문의 주시면 언제든 친절히 상담해 드리겠습니다.

경기도 하남시 상산곡동 502-8

TEL : 031-764-9067

FAX : 031-792-9068

E-mail: eotech114@naver.com

다올포렌식은 다올코리아(유)에서 운영하고 있습니다.

상호: 다올코리아(유) ㅣ 대표: 강동섭 ㅣ 주소: 서울특별시 강남구 수서동 725 수서타워 17층 9호
사업자등록번호: 602-87-03139 ㅣ 전화번호: 1551-2662 ㅣ 이메일: forensics@daall2011.com

Copyright © All Rights Reserved.