윈도우 환경 -USB 매체 사용 흔적을 확인하고 삭제하는 방법

▣ 윈도우 환경 -USB 매체 사용 흔적을 확인하고 삭제하는 방법

 

목차

 

개요

이 방법이 왜 필요한 것일까요?

 

기업 및 관공서, 정부기관 등 보안관리가 중요한 곳에서는 내부 자료 유출이나 악성코드 감염등을 예방하기 위해서 USB매체 사용을 통제하고 제한하고 있습니다.

따라서, 그러한 보안정책에 위배되는 USB매체 사용기록을 확인하고 흔적을 삭제하는 과정이 윈도우 설치 직후 필요하며, 설치작업시에 사용한 USB매체의 기록을 삭제해 놓아야만 이후 사용자가 사용할 때 사용기록 관리에 유용합니다.

 

저도 이번에 구글링을 통해서 공부를 하면서 윈도우는 역시...모든 흔적이 남는 곳이며, 수 많은 파일 중에서 USB기록에 대한 정보를 저장하는 파일과 레지스트리 등 많은 곳에서 기록되고 있다는 것을 알게 되었습니다.

이번 포스팅에서는 윈도우 사용환경에서 USB매체에 대한 사용기록을 확인하고 그 기록을 삭제 해 주는 방법과 툴, 그리고 나아가 윈도우에 저장되는 개인정보관련 파일을 깔끔하게 정리해 주는 툴을 소개하려고 합니다.

 

● USB 매체 사용기록 확인 방법

 

1. 장치관리자에서 확인

-가장 쉽게 확인할 수 있는 곳은 장치관리자입니다. 장치관리자를 연 후 보기 탭에서 "숨겨진 장치 표시"를 체크 하시면

디스크드라이브, 범용 직렬 버스 컨트롤러, 휴대용 장치 항목에서 흐릿하게 표시된 장치를 확인 할 수 있습니다.

이렇게 흐릿하게 보이는 숨겨진 장치들이 한번이라도 연결해서 사용했던 USB장치입니다.

이 장치들을 우선 장치관리자에서 삭제 해 줍니다. 흐릿한 장치 우클릭 후 삭제

 

2. 레지스트리 편집기 에서 확인

1)레지스트리 편집기 실행 후

\HKLM\SYSTEM\ControlSet001\Enum\USBSTOR

\HKLM\SYSTEM\ControlSet001\Enum\USB

항목에서 연결 했었던 USB 장치의 고유 VID 값과 PID 값 그리고 제품명을 확인 할 수 있습니다.

연결했었던 모든 USB장치는 이렇게 기록이 여기저기에 남습니다.

 

2) \HKLM\SYSTEM\ControlSet001\Control\DeviceClasses 항목 중 951ed 로 끝나는 값을 찾습니다.

그 값 아애에 등록된 값들이 연결 했던 USB 기록이라고 보시면 됩니다.

 

 

 

3) \HKLM\SYSTEM\ControlSet001\Control\DeviceClasses 항목 중 d4f33 으로 끝나는 값을 찾습니다.

이 값 아래에 등록된 기록이 USB 기록입니다.

 

 

4) \HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices 항목을 확인 합니다.

항목 아래에 등록된 값이 USB 사용기록입니다.

 

 

5) \HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices 항목에서 특정한 제조사 이름이 들어가 있는 라인을 선택하시면 우측 창에 해당 장치에 설정된 볼륨명(여기서는 YMtech_USBv9.5#1로 확인됨)을 확인 할 수 있습니다.

 

그 아래 쪽 라인에서는 ESP라는 볼륨명으로 기록을 확인할 수 있습니다.

제가 연결한 USB메모리가 두개의 볼륨(=파티션)명으로 만들어져 있었기 때문입니다.

이렇게 확인된 레지스트리 값을 직접 삭제 해 주시면 됩니다.

다른 값들을 잘 못 삭제하면 연결된 USB장치가 오동작 할 수 있음으로 반드시 레지스트리를 백업한 후 삭제하시기 바랍니다.

 

 

3 .  USBdeview 툴을 이용해서 확인

 

usbdeview-x64.7z

0.10MB

 

 1) 위 파일을 받은 후 압축해제 하고 USBDeview.exe를 실행 하시면 됩니다.

아래 화면처럼 Samsung Flash Drive USB Device 라는 항목이 보입니다. 

이 USB가 이 PC에 윈도우를 설치할 때 사용했던 USB장치입니다.

이 장치를 삭제하시면 됩니다.

장치관리자에서 보이는 장치를 이 툴로 쉽게 GUi(Graphic User Interface)로 확인이 가능합니다.

그 아래쪽 ntracker...는 사내 보안USB 이며, Unknown은 USB충전거치대임으로 무시하셔도 됩니다.

나머지는 USB Keyboard와 Mouse임으로 그대로 놔 두셔도 됩니다.

 

 

2) 삭제하려는 장치를 선택하고 휴지통을 선택해서 삭제 해 줍니다.

 

 

3)  장치가 삭제 된 생태를 확인할 수 있습니다.

 

 

4. 윈도우 탐색기로 확인하기

 

1) 아래 경로 C:\Windows\INF 폴더를 확인하시면 SetupAPI_dev*.log가 여러개 보입니다.

그 파일이 USB사용기록을 저장하고 있는 log 파일입니다.

대표적인 파일이 setupapi.dev.log 파일입니다.

 

이 파일에 기록된 내용을 확인하면 연결되었던 USB 장치 ID와 연결한 날짜와 시간, 제거한 날짜와 시간 까지 확인이 가능합니다.

 

 

2) C:\Windows\Panther 폴더에도 setupact.log 파일에 저장됩니다. 이 파일 삭제가 필요합니다.

이 파일에는 윈도우 설치와 관련된 로그가 저장됩니다.

 

5. 장치관리자-보기-숨겨진 장치 표시 체크 한 후 아래와 같이 보이는

1)디스크 드라이브, 범용 직렬 버스 컨트롤러, 저장소 볼륨, 저장소 볼륨 섀도 복사본

항목에서 보이는 흐릿한 장치들을 삭제 해 주시면 됩니다.

2) 삭제 후 모습

 

 

 

● USB 매체 사용 기록 삭제 툴 

위에서 안내한 USBDeview 프로그램은 단순히 확인 체크 하는 기능만 제공하며 장치관리자에서 삭제하는 것과 같은 효과를 냅니다.

 

아래 소개하는 툴은 위에서 확인했던 과정 (레지스트리, 탐색기, 장치관리자 등)을 모두 한꺼번에 조치해 주는 것으로 확인된 툴입니다. 

 

1. USBoblivion 사용

 

usboblivion-1.12.1.0.7z

1.62MB

 

1) 압축 해제 후 USBObilivion64.exe 를 실행 합니다. (64비트 윈도우 사용 시 )

 

 

2) 연결된 USB플래시 드라이브(메모리 스틱)를 제거 하신 후 

아래 보이는 4개 체크박스를 모두 체크 해 주신 후

Clean 을 클릭 해 주면 됩니다.

3) 삭제 작업이 끝나면 반드시  윈도우를 재시작 해 주신 후 사용하시면 됩니다.

툴이 자동으로 윈도우를 재부팅 시킬겁니다.

-정상적으로 USB사용기록이 삭제 되었는지 위 확인 과정대로 확인 해 보시면 됩니다.

 

제가 검색해서 공부한 아래  참고 사이트를 확인하시면 자세한 정보를 얻을 수 있습니다.

 

읽어 주셔서 감사합니다.

 

 

*참고 사이트

https://c11.kr/12hmi

https://www.cybertronsoft.com/download/privacy-eraser/

https://c0mp.tistory.com/936

http://www.forensic-artifact.com/windows-forensics/usb

https://c11.kr/12hmm

https://mine-it-record.tistory.com/280

https://developer-ankiwoong.tistory.com/829

https://mogora.tistory.com/211

https://zkim0115.tistory.com/1932

https://blogger.pe.kr/698