퇴사 직전 특정 프로젝트 자료가 외부에서 확인되면서, 퇴사자가 사용하던 PC에 대한 컴퓨터 포렌식 분석이 의뢰되었다. 디스크 초기화나 계정 삭제는 이루어지지 않은 상태였고, 사용자 프로필과 업무용 폴더 구조가 그대로 남아 있어 사용 이력을 비교하기에 적절한 조건이었다. 아래 내용은 그 과정에서 MRU 분석이 어떤 역할을 했는지 정리한 사례다.
목차. 1. 사건 개요와 분석 의뢰 배경. 2. 컴퓨터 포렌식에서 MRU 기록의 의미는? 3. MRU 분석으로 확인된 문서 사용 패턴. 4. 교차 기록을 통한 2차 피해 범위 축소.
1. 사건 개요와 분석 의뢰 배경
퇴사 후 경쟁사에서 자사 문서 일부가 언급되었다는 제보가 접수되면서, 회사는 내부 자료 유출 가능성을 검토할 필요가 있었다. 의심 대상은 퇴사 직전까지 관련 프로젝트를 담당했던 직원의 PC였고, 장비 회수 후에는 추가 사용 없이 보관된 상태였다. 분석의 목표는 해당 PC에서 어떤 문서가 언제까지 열렸는지, 실제 사용 내역을 시간 정보와 함께 확인하는 것이었다.
2. 컴퓨터 포렌식에서 MRU 기록의 의미
윈도우 환경에서 MRU(Most Recently Used) 기록은 사용자가 최근에 열었던 파일과 경로를 보여주는 기본 자료다. 레지스트리와 사용자 프로필 내부에 남는 이 기록은 파일 자체가 삭제됐더라도, 어떤 이름과 경로의 문서가 열렸는지, 마지막으로 참조된 시점이 언제였는지 추정하는 근거가 된다. 따라서 단순 저장 위치 확인을 넘어, 실제 사용 여부를 검토할 때 MRU는 중요한 참고 자료로 활용된다.
3. MRU 분석으로 확인된 문서 사용 패턴
해당 PC의 MRU를 분석한 결과, 퇴사일 직전 며칠 동안 특정 프로젝트 폴더의 문서들이 집중적으로 열려 있었던 시점이 확인됐다. 특히 프로젝트 요약 문서, 견적 관련 파일, 주요 도면 파일 등이 짧은 간격으로 연속해서 참조된 기록이 남아 있었다. 같은 시간대에 USB 연결 기록과 일부 클라우드 동기화 로그가 함께 나타나, 특정 기간 동안 중요한 파일을 열어본 뒤 외부 매체와 연계된 활동이 있었다는 사용 패턴을 구성할 수 있었다.
4. 교차 기록을 통한 2차 피해 범위 축소
MRU에서 식별된 파일 목록과 타임라인을 기준으로, 회사는 실제 유출 가능성이 높은 문서 범위를 좁혀 내부 시스템 접근 권한과 관련 거래선에 대한 점검을 진행했다. 이 과정에서 문제 문서와 연관된 계정, 공유 경로, 외부 전달 가능성을 우선 순위로 재검토할 수 있었고, 추가 피해 우려가 큰 영역부터 대응하는 데 도움이 됐다. 해당 사례에서 MRU를 포함한 컴퓨터 포렌식 기록은 이후 내부 재발 방지 대책을 세울 때 참고 자료로 활용되었다.
https://m.place.naver.com/place/1061053421/home?entry=pll 컴퓨터 포렌식 궁금하면 | 
