무 설치 프로그램에서의 사용자 행위 아티팩트 분석

Abstract

무 설치 프로그램(이하 ‘포터블 프로그램’이라 한다.)은 일반적 소프트웨어와는 다르게설치과정 없이 사용할 수 있는 프로그램이다. 별도의 설치 과정이 없기 때문에 포터블프로그램은 높은 이동성을 가지며 다양하게 활용된다. 예를 들어, 다수의 PC의 초기 설정이필요할 때 하나의 USB 드라이브에 다양한 포터블 프로그램을 저장하여 초기설정을 할 수 있다. <br>또는 PC에 문제가 발생하여 정상적인 부팅이 어려울 때 USB 드라이브에 Windows PE를 구성하고저장된 포터블 프로그램으로 PC 복구에 사용될 수 있다. 그리고 포터블 프로그램은 레지스트리값 변경 등 PC 설정에 직접적인 영향을 끼치지 않으며 흔적을 남기지 않는다. 이는 다시 말해, 포터블 프로그램이 높은 보안성을 가진다는 것을 의미한다. 포터블 프로그램을 사용 후삭제하면 일반적인 방식으로의 행위분석에 어려움이 존재한다. 만약 사용자가 악성 행위에포터블 프로그램을 사용하였다면 일반적인 방식으로의 분석으로는 증거 수집에 한계가 따른다. <br>따라서 포터블 프로그램은 일반적인 설치 소프트웨어와는 다른 새로운 방식의 행위분석이이루어져야 한다. 본 논문에서는 가상머신 상에서 Windows 10 운영체제를 설치한 후 Opera, Notepad++의 포터블 프로그램으로 시나리오를 진행한다. 그리고 이를 운영체제의 파일분석, 메모리 포렌식 등의 다양한 방법으로 분석하여, 프로그램 실행시간, 횟수 등의 정보를수집하고, 사용자의 구체적 행위분석을 실시한다.