초판발행 2026. 6. 19

추천사

디지털 포렌식은 빠르게 변화하는 환경 속에서 진실을 밝히는 필수 수사 기법으로 자리 잡고 있으며, 어제의 수사방식을 오늘과 내일의 수사방식으로 전환하는 데에 커다란 역할을 하고 있습니다.

디지털 데이터가 증거로써 증인으로서 법정에 제출되기 위해서는 많은 절차적 기술적 고려사항이 있습니다. 디지털 증인으로서 컴퓨터 운영체제가 기록한 수많은 디지털 증거는 우리의 기억을 넘어 진실을 밝히는 중요한 핵심요소입니다. 이에 대한 정확한 이해와 해석은 과거의 진실을 밝히는 데에 절대 간과될 수 없는 범죄 현장의 기록일 것입니다.

지금 이 순간도 많은 디지털 포렌식 전문가들이 사건의 현장과 분석실에서 데이터 너머에 기록된 과거의 진실에 다가가는 단서를 찾기 위해 고군분투 중에 있습니다. 그러나 최근 과학적 증거에 대한 이해 부족에서 오는 오류와 오염 가능성에 대한 고민이 그 어느 때보다 깊어지고 있는 것이 사실입니다. 이에 따라 디지털 포렌식에 있어서도 보다 정확한 이해와 신뢰받을 수 있는 해석이 더욱 중요해졌습니다. 디지털 증거는 인간의 왜곡될 수도 있는 기억에 대한 의존도를 줄이고 보완하는 강력한 도구입니다. 운영체제가 기록한 수많은 흔적 데이터는 범죄 현장의 숨겨진 이야기를 드러내는 결정적인 열쇠가 될 수 있습니다. 이에 대한 올바른 이해와 해석을 바탕으로 이를 활용할 수 있는 능력은 디지털 포렌식 전문가에게 필요한 핵심역량입니다.

저는 저자와 디지털 포렌식의 도입기부터 오랜 기간 동고동락하면서 그의 열정과 역량을 직접 목격하였습니다. 이 책은 단순한 이론적 설명에 그치지 않고 지난 시간 여러 현장의 고민과 난제를 해결하면서 축적된 저자의 오랜 실무 경험과 이론적 지식을 바탕으로 디지털 포렌식 전문가가 알아야 할 기본에 대한 이야기와 핵심 개념을 친절히 설명하고 있습니다.

디지털 포렌식을 배우고자 하는 분들, 실무자로서 더욱 성장하고 싶은 분들에게 저자의 깊은 통찰력이 담긴 이 책의 일독을 권합니다. 다시 한번 출간을 축하드리며 많은 독자들에게 실질적 도움이 되기를 바랍니다.

대검찰청 디지털포렌식연구소장 이인수

서문

‘윈도우 디지털 포렌식 완벽 활용서’를 내놓은 지 3년이 지났습니다. 그동안 생성형 AI를 비롯하여 정보기술이 놀라울 정도로 급변하였고, 현재도 진행 중입니다. 이러한 변화에 맞추어 마이크로소프트사에서도 자사 운영체제에 대한 신규 버전을 계속 출시하고 있습니다. 현재 우리나라에서 가장 많이 사용하는 운영체제는 윈도우 10 버전입니다. 필자의 전작도 윈도우 10 버전을 기반으로 집필된 것입니다. 그러나 마이크로소프트사는 윈도우 10 버전에 대한 지원을 2025년 10월경 종료하고, 사용자들에게는 윈도우 11 버전으로 전환할 것을 권고하고 있습니다.

이 책은 이러한 변화에 맞게, 윈도우 11 시스템에 대한 디지털 포렌식 수사 기술을 담아낸 것입니다. 윈도우 레지스트리, 윈도우 이벤트 로그, 그외 다양한 윈도우 아티팩트를 실무에서 바로 참고할 수 있도록 예제 시나리오를 구성하고, 이것을 실무자의 관점에서 풀어나가는 과정을 그려냈습니다. 특히 각 아티팩트별로 별도의 명칭을 부여함으로써 독자님들이 해당 아티팩트의 출처와 기능을 쉽게 연상할 수 있도록 구성하였습니다. 예를 들면 윈도우 레지스트리는 ⓡ로 시작되는 접두어를, 윈도우 이벤트 로그는 ⓔ로 시작되는 접두어를, 나머지 아티팩트는 ⓐ로 시작되는 접두어를 각각 붙여 쉽게 구분이 가능하도록 배치하였습니다.

이 책의 전체적인 내용은 전작인 ‘윈도우 디지털 포렌식 완벽 활용서’에 적용된 범죄시나리오와 연결되어 있으며, 필자는 이러한 연결된 가상의 범죄 시나리오를 기반으로 실무자 입장에서 어떤 데이터를 중점적으로 살펴 보아야 할 것인지, 아티팩트별 착안사항은 무엇인지, 주의할 사항은 무엇인지 담아내기 위하여 노력하였습니다. 또한 디지털 포렌식 입문자, 국가공인 디지털 포렌식 전문가 자격시험 준비생 등을 위해 집필에 사용한 분석도구를 오픈소스 프로그램이나 상용 프로그램의 체험용 버전 등 무료로 사용할 수 있는 것으로 채택하였습니다. 모든 것을 자동화시킨 상용 프로그램을 사용하는 것보다 다소 불편하지만 분석상황에 맞추어 일일이 선택하여 사용해야 하는 오픈소스 프로그램이 독자님들의 분석역량을 높여 줄 것이라 확신합니다.

디지털 포렌식은 실체적 진실을 찾아가는 여정입니다. 아무쪼록 이 책이 진실을 찾아 떠나는 미래의 디지털 포렌식 전문가들과 오늘도 수사 현장에서 고군분투하는 수많은 법집행 종사자들에게 조금이나마 도움이 되었으면 하는 바램입니다. 이 책이 나오기까지 많은 분들의 응원이 있었습니다. 필자에게 아낌없는 응원과 격려를 주신 대검찰청 디지털포렌식연구소 이인수 소장님, 20년지기 동료 독고지은 박사님과 임윤미 수사관님께 감사의 마음을 전합니다. 끝으로 자애로운 부모님과 사랑하는 가족에게도 고마움을 담아드립니다.

2026. 5. 30

이 승 무

이승무

검찰수사관 출신 대한민국 디지털 포렌식 1세대이며 디지털 행동흔적 분석 전문가이다. 검찰에서는 디지털 포렌식 전문 수사관으로서 도구개발, 인재양성 등 디지털 과학수사의 발전에 기여하였으며, 공직에서의 성과를 인정받아 2020년 과학기술정보통신부 장관상을 수상하였다. 2022년 정든 검찰을 떠나 ㈜투명경영연구소의 설립에 참여하였으며, 디지털 포렌식 기반 기업 내부조사, 정보보안 컨설팅 등 주요 업무를 수행하였다. 2024년 ㈜호반건설 정보보호최고책임자(CISO)를 역임하였고, 현재 고위공직자범죄수사처에서 디지털 포렌식 전문 수사관, ㈔한국디지털포렌식학회에서 이사로 왕성한 활동을 이어가고 있다. 저서로는 『윈도우 디지털 포렌식 완벽 활용서(비제이퍼블릭, 2022년)』가 있다.

차례

제 1 장 윈도우 레지스트리

1.1 개요 2

1.1.1 레지스트리란 무엇인가? 2

1.1.2 디지털 포렌식 관점에서의 활용도 11

1.1.3 윈도우 11 레지스트리의 특징 15

1.1.4 레지스트리 분석 방법과 도구 17

1.2 주요 레지스트리 27

1.2.1 운영체제 설치 정보 27

1.2.2 네트워크 정보 39

1.2.3 사용자 계정 54

1.2.4 프로그램 설치 정보 65

1.2.5 심캐시 73

1.2.6 프로그램 자동 실행 76

1.2.7 유저어시스트 81

1.2.8 서비스/드라이버 목록 87

1.2.9 타임존 92

1.2.10 USB 등 저장 매체 연결 흔적 95

1.2.11 MRU 목록 133

제 2 장 윈도우 이벤트 로그

2.1 개요 164

2.1.1 윈도우 이벤트 로그란 무엇인가? 164

2.1.2 디지털 포렌식 관점에서의 활용도 177

2.1.3 윈도우 11 이벤트 로그의 특징 182

2.1.4 윈도우 이벤트 로그 분석 방법과 도구 187

2.2 주요 이벤트 로그 194

2.2.1 시스템의 시작과 종료 194

2.2.2 로그온과 로그오프 207

2.2.3 네트워크 연결 213

2.2.4 외부저장장치의 연결 216

2.2.5 스마트폰 연결 227

2.2.6 프린터 연결 235

2.2.7 프로그램 자동 실행 239

2.2.8 사용자 계정 관리 242

2.2.9 시스템 시간 변경 250

2.2.10 컴퓨터 이름 변경 257

2.2.11 절전 모드 260

제 3 장 윈도우 아티팩트

3.1 개요 264

3.1.1 윈도우 아티팩트란 무엇인가? 264

3.1.2 디지털 포렌식 관점에서의 활용도 276

3.1.3 윈도우 11 아티팩트의 특징 280

3.1.4 윈도우 아티팩트 분석 방법과 도구 284

3.2 주요 아티팩트 293

3.2.1 시스템 서비스 등 동작 293

3.2.2 무선 네트워크 정보 299

3.2.3 프로그램 설치와 실행 304

3.2.4 알림 정보 342

3.2.5 이메일 흔적 348

3.2.6 인터넷 사용 흔적 (1) 354

3.2.7 인터넷 사용 흔적 (2) 403

3.2.8 인터넷 사용 흔적 (3) 441

3.2.9 파일 관리 454

3.2.10 접근한 파일/폴더 정보 (1) 486

3.2.11 접근한 파일/폴더 정보 (2) 518

3.2.12 파일/폴더의 삭제 537

3.2.13 썸네일 546

3.2.14 윈도우 검색 색인 DB 550

3.2.15 메신저 백업 데이터 556

3.2.16 모바일 백업 데이터 558

제 4 장 사건 시나리오와 실습하기

4.1 사건 시나리오 568

4.2 실습하기 570

4.2.1 현장 대응 570

4.2.2 라이브 포렌식 조사 573

4.2.3 사후 포렌식 준비 579

4.2.4 Autopsy를 이용한 포렌식 분석 582

부록 639

1. 분석 프로그램 목록 640

2. 윈도우 레지스트리(ⓡ), 윈도우 이벤트로그(ⓔ), 윈도우 아티팩트(ⓐ) 목록 642

3. 가상머신을 이용한 분석환경 만들기 652

색인 / 662