USB 포렌식 VID PID 식별 번호를 활용한 정밀한 장치 추적 및 분석 방법

디지털 기기 사용이 일상화되면서 저장 매체를 통한 데이터 유출이나 비인가 장치 접속에 대한 보안 관리의 중요성이 나날이 높아지고 있습니다. 특히 기업 보안 사고 조사나 범죄 수사 과정에서 USB 메모리와 같은 이동식 저장 장치는 결정적인 증거를 담고 있는 경우가 많습니다.

분석가는 특정 시점에 어떤 장치가 시스템에 연결되었는지, 해당 장치의 제조사와 모델명은 무엇인지 정확하게 특정해야 합니다. 이때 가장 핵심적인 단서가 되는 것이 바로 장치 고유 식별 번호인 VID와 PID입니다. 이 번호들은 하드웨어 수준에서 부여된 고유한 값으로, 운영체제 레지스트리에 기록되어 장치가 물리적으로 제거된 이후에도 시스템에 흔적을 남깁니다. 디지털 포렌식 관점에서 이 데이터들을 어떻게 추출하고 해석하여 유의미한 정보로 전환하는지 상세히 살펴보는 과정이 필요합니다.

USB 장치 식별의 핵심 요소인 VID와 PID의 개념적 이해

USB 포렌식의 기초는 장치를 구분하는 고유 코드를 이해하는 것에서 시작합니다. VID(Vendor ID)는 USB 장치를 생산한 제조사 또는 공급자를 식별하기 위해 부여된 16진수 4자리 코드입니다. 이는 USB Implementers Forum(USB-IF)에서 각 기업에 할당하며, 이를 통해 해당 장치가 삼성, 샌디스크, 소니 등 어떤 제조사의 제품인지 명확히 구분할 수 있습니다.

반면 PID(Product ID)는 제조사가 자사의 제품군 내에서 특정 모델을 식별하기 위해 임의로 부여하는 코드입니다. 예를 들어 같은 삼성 제조사의 USB 메모리라 하더라도 모델 라인업에 따라 서로 다른 PID를 가집니다. 조사관은 이 두 값의 조합을 통해 "A 제조사의 B 모델"이라는 구체적인 정보를 확보하게 됩니다. 하드웨어 설계 단계에서 펌웨어에 기록되는 이 정보는 장치가 컴퓨터에 연결될 때 운영체제에 전달되어 적절한 드라이버를 로드하는 기준점이 되기도 합니다.

윈도우 레지스트리를 활용한 USB 접속 기록 분석과 경로 추적

시스템 내부에 남겨진 USB 포렌식 VID PID 흔적을 찾기 위해서는 윈도우 레지스트리 분석이 필수적입니다. 장치가 시스템에 최초로 연결되면 윈도우는 해당 정보를 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB 및 USBSTOR 경로에 저장합니다. USB 키 아래에는 연결되었던 모든 USB 장치의 VID와 PID가 포함된 인스턴스 ID가 하위 키 형태로 존재합니다. 여기서 분석가는 장치의 시리얼 번호와 함께 마지막으로 연결된 시간 정보를 확인할 수 있습니다.

특히 USBSTOR 경로는 대용량 저장 장치에 특정한 정보를 담고 있어, 외장 하드나 USB 메모리의 상세 모델명을 파악하는 데 유용합니다. 포렌식 도구를 사용하여 SYSTEM 하이브 파일을 분석하면 장치가 처음 연결된 시각(First Install Time)과 마지막으로 연결 해제된 시각 등을 타임라인 형태로 재구성할 수 있어 사건의 인과 관계를 규명하는 데 결정적인 역할을 합니다.

실무 환경에서의 장치 식별 번호 확인 및 데이터 매칭 기법

전문적인 포렌식 소프트웨어가 없는 일반적인 환경에서도 장치 관리자를 통해 기본적인 식별 정보를 확인할 수 있습니다. 연결된 장치의 속성창에서 자세히 탭을 선택하고 하드웨어 ID 항목을 조회하면 VID_와 PID_ 뒤에 붙은 4자리 16진수 코드가 나타납니다.

분석 현장에서는 이러한 값을 수집한 뒤 온라인 데이터베이스와 대조 작업을 거칩니다. 'The USB ID Repository'와 같은 공신력 있는 사이트나 VPIDChk, ChipGenius 같은 전용 유틸리티를 활용하면 16진수 코드만으로도 제조사의 정식 명칭과 상세 스펙을 즉시 파악할 수 있습니다.

이는 압수된 다수의 USB 장치 중 실제 사건에 사용된 장치를 선별하는 과정을 획기적으로 단축해 줍니다. 또한 복제된 가짜 USB나 펌웨어가 변조된 장치의 경우 일반적인 명명 규칙에서 벗어난 값을 가지는 경우가 많아, 이러한 이상 징후를 포착하는 것 또한 분석가의 주요 업무 중 하나입니다.

데이터 변조 가능성과 분석 시 유의해야 할 기술적 한계

USB 포렌식 VID PID 데이터가 항상 100% 신뢰할 수 있는 것은 아니라는 점을 인지해야 합니다. 일부 고급 사용자나 공격자는 펌웨어 수정 도구를 사용하여 장치의 VID와 PID를 임의로 변경할 수 있습니다. 이는 시스템 보안 정책을 우회하거나 특정 장치로 위장하기 위한 목적으로 수행됩니다.

예를 들어 화이트리스트 기반의 보안 솔루션이 가동 중인 환경에서 승인된 제조사의 장치인 것처럼 식별 번호를 조작하여 내부 망에 침투하는 사례가 존재합니다.

따라서 포렌식 분석가는 레지스트리 정보에만 의존하지 않고, 장치의 물리적인 시리얼 번호, 파일 시스템의 메타데이터, 로그 파일에 기록된 볼륨 일련번호 등을 교차 검증해야 합니다. 하드웨어 수준에서 수정된 값은 소프트웨어 분석만으로는 간파하기 어려울 수 있으므로, 의심스러운 장치에 대해서는 칩셋 수준의 정밀 분석이나 전기적 특성 검토가 병행되기도 합니다.

체계적인 장치 분석을 통한 디지털 증거의 무결성 확보

결론적으로 USB 식별 번호 분석은 디지털 수사의 출발점이자 핵심적인 증거 구축 과정입니다. 단순한 숫자 조합처럼 보이는 VID와 PID는 장치의 정체성을 증명하고 사용자의 행적을 뒷받침하는 강력한 증거가 됩니다. 레지스트리에 기록된 수많은 장치 목록 속에서 유의미한 데이터를 추출하고 이를 실제 압수물과 매칭하는 과정은 사건의 실체를 밝히는 데 있어 대체 불가능한 단계입니다.

기술이 발전함에 따라 장치 식별 정보를 은폐하거나 조작하려는 시도도 늘어나고 있지만, 시스템의 여러 곳에 분산되어 저장되는 아티팩트들을 종합적으로 분석한다면 충분히 진위 여부를 가려낼 수 있습니다. 철저한 분석 절차를 준수하고 교차 검증을 생활화하는 태도는 결과적으로 증거의 증거능력을 높이고 사법적 신뢰성을 확보하는 근간이 됩니다. 지속적인 장치 데이터베이스 업데이트와 새로운 분석 기법 연구를 통해 더욱 정교한 포렌식 대응 체계를 구축해 나가야 합니다.