레지스트리 분석으로 사용자 행위를 추적하는 디지털 포렌식 실전 기법 4가지

디지털 포렌식 분야에서 사용자 행위를 정확히 파악하는 것은 사건 해결의 핵심 단계에 속한다.

특히 내부자 위협, 사이버 범죄, 데이터 무단 유출과 같은 이슈에 대응하려면,

단순한 로그 분석을 넘어선 정밀한 행위 분석이 필요하다.

이때 중요한 단서로 주목받는 것이 바로 ‘레지스트리(Registry)’다.

윈도우 운영체제에 포함된 이 구조는 사용자 활동을 자동으로 기록하며,

외부 로그 시스템보다 은밀하면서도 정확한 데이터를 제공한다.

본 글에서는 디지털 포렌식 전문가들이 실무에서 실제로 활용하는 레지스트리 기반 사용자 행위 추적 방법 4가지를 구체적으로 설명한다.

실전 사례에 기반한 설명을 통해,

단순 기술 설명을 넘어서 실제 분석 시 어떻게 활용되는지까지 명확히 보여주고자 한다.

프로그램 실행 기록: UserAssist 키 분석

사용자가 컴퓨터에서 어떤 응용 프로그램을 실행했는지를 추적할 때,

가장 먼저 검토하는 레지스트리 위치는 UserAssist 키다.

이 키는 윈도우 사용자 계정별로 프로그램 실행 내역을 기록하며,

일반적인 텍스트가 아니라 ROT13 방식으로 인코딩 된 문자열을 포함한다.

포렌식 분석가는 이를 디코딩한 후 실행된 프로그램의 이름, 실행 횟수, 마지막 실행 시간 등을 확인할 수 있다.

이 정보를 기반으로 사용자가 어떤 소프트웨어를 자주 사용했는지, 어떤 목적을 가지고 접근했는지를 추론하게 된다.

예를 들어, 특정 암호화 프로그램이 심야 시간대에 반복적으로 실행되었다면, 내부 정보 은폐나 유출 목적이 의심될 수 있다.

이처럼 UserAssist 키 분석은 단순한 실행 이력 기록을 넘어 사용 의도까지 해석하는 핵심 도구로 활용된다.

자동 실행 프로그램 분석: Run 및 RunOnce 키

운영체제가 부팅될 때 자동으로 실행되는 프로그램 목록은 레지스트리의 Run, RunOnce, RunServices 항목에 저장된다.

이 영역은 사용자 개입 없이 실행되는 프로그램들이 등록되는 공간으로, 악성코드나 비인가 소프트웨어가 자주 은폐되는 곳이기도 하다.

포렌식 분석가는 이 키를 분석하여 정상적인 프로그램과 의심스러운 항목을 구분한다.

정상 소프트웨어는 제작사 정보, 경로 등이 명확히 표시되며, 이름도 직관적인 경우가 많다.

반면에 경로가 임시 폴더로 지정되어 있거나, 무작위 문자열로 구성된 항목은 위협 요소일 가능성이 높다.

자동 실행 항목은 등록된 시간 정보도 함께 제공되기 때문에,

특정 보안 사건과 실행 시점의 연관성을 확인할 수 있다.

실제 보안 침해 조사에서는 이 데이터를 통해 악성 행위가 시작된 시점을 명확히 파악하는 경우가 많다.

문서 접근 기록: RecentDocs 및 Shell Bags

사용자가 열람한 문서, 이미지, 실행 파일 등의 이력은 레지스트리의 RecentDocs 및 Shell Bags 키에 저장된다.

이 데이터는 계정별로 관리되며, 접근한 파일의 이름, 경로, 마지막 열람 시점이 포함된다.

이 기록을 통해 분석가는 사용자의 문서 접근 흐름을 시간 순으로 재구성할 수 있다.

예를 들어, 사건 발생 직전에 특정 문서가 열려 있었다면, 그 문서가 사건과 직접 관련이 있을 가능성이 높아진다.

또한 반복적으로 특정 형식의 파일을 열람한 기록이 있다면,

그 행동이 업무와 관련된 정당한 접근이었는지, 혹은 정보 수집을 위한 의도적 행위였는지를 추가적으로 분석할 수 있다.

이처럼 레지스트리는 단순한 파일 열람 로그를 넘어서 사용자의 목적과 행동 패턴을 파악하는 근거 자료로 작용한다.

USB 저장 장치 사용 기록: USBSTOR 키

내부자가 외부 저장 장치를 통해 데이터를 반출했는지를 판단할 때,

포렌식 분석가는 SYSTEM 하이브의 USBSTOR 키를 활용한다.

이 영역에는 연결된 USB 장치의 이름, 모델, 제조사, 시리얼 번호, 연결 시각 등의 상세 정보가 저장된다.

해당 데이터를 분석하면, 어떤 USB 장치가 언제 연결되었는지,

이 장치가 다른 시스템과도 연결된 이력이 있는지 등을 추적할 수 있다.

예를 들어, 보안사고가 발생한 날 외부 저장 장치가 연결되었다면,

해당 장치를 사용한 사용자를 특정할 수 있는 중요한 단서가 된다.

USBSTOR 키의 정보는 시스템 내부 구조에 의해 기록되며,

사용자가 의도적으로 삭제하거나 변조하기 어려운 특성을 갖고 있다.

이러한 특성은 법적 증거로서의 신뢰도까지도 보장해 준다.

사용자 행위 분석에서 레지스트리의 역할

레지스트리는 윈도우 시스템의 내부 설정 저장소라는 기술적 정의를 넘어서,

사용자의 실제 행위를 자동으로 기록하는 구조다.

프로그램 실행, 문서 접근, 자동 실행 항목, 외부 저장 장치 사용 등 다양한 활동이 이 구조에 은밀하게 기록된다.

포렌식 분석가는 이 데이터를 통해 시간 흐름에 따라 사용자의 행동을 논리적으로 재구성할 수 있다.

단순한 기술 설명이 아닌 실제 사건 분석에서, 이 기록은 사건의 원인, 수법, 관련자 식별 등

핵심 정보를 도출하는 데 결정적 역할을 수행한다.

특히 내부자 범죄나 조직 내부 위협 분석에서는 로그보다 더 깊이 있는 정보를 제공하며,

인간의 행동 흔적을 기술적으로 복원할 수 있도록 돕는다.

이러한 이유로 디지털 포렌식 전문가들은 레지스트리를 ‘조용하지만 가장 신뢰할 수 있는 분석 도구’로 평가하고 있다.