클라우드 스토리지 포렌식 hubiC 사례연구

초록

본 논문은 Windows 8.1 환경에서 hubiC 클라우드 스토리지 서비스의 설치·사용·제거 과정에서 남는 디지털 흔적을 분석한다. 파일 업로드·다운로드, 프로그램 설치·언인스톨 시 생성되는 레지스트리, 로그, 임시 파일 및 네트워크 트래픽을 조사하여 포렌식 수사에 활용 가능한 증거를 도출한다.

상세 분석

본 연구는 먼저 hubiC 클라이언트의 설치 과정을 상세히 재현하였다. 설치 파일 실행 시 %AppData%\hubiC 및 %ProgramData%\hubiC 경로에 여러 구성 파일과 SQLite 기반 데이터베이스가 생성됨을 확인하였다. 특히, config.db 파일에는 사용자의 인증 토큰, 동기화 설정, 마지막 동기화 시각 등이 평문으로 저장되어 있어, 토큰 탈취를 통한 무단 접근 위험이 존재한다. 레지스트리 키(HKEY_CURRENT_USER\Software\hubiC)에는 프로그램 버전, 설치 경로, 자동 시작 여부가 기록되며, 삭제 시에도 해당 키가 남아 복구 가능성을 제공한다.

파일 업로드 동작을 수행하면, 클라이언트는 업로드 대상 파일을 임시 폴더(%LocalAppData%\Temp)로 복사한 뒤, HTTPS POST 요청을 통해 hubiC 서버에 전송한다. 이 과정에서 생성되는 .log 파일에는 전송된 파일명, 크기, 전송 성공 여부가 기록된다. 또한, 네트워크 캡처 결과는 TLS 1.2 기반 암호화 트래픽이지만, SNI(Server Name Indication)와 IP 주소가 노출되므로, 조사자는 해당 트래픽을 기반으로 서비스 이용 여부를 추정할 수 있다.

다운로드 시에는 서버로부터 파일 메타데이터를 받아 로컬 동기화 폴더에 저장한다. 다운로드된 파일은 원본 파일과 동일한 해시값을 유지하지만, 파일 시스템 메타데이터(생성·수정 시각)는 클라이언트가 다운로드 시점의 타임스탬프로 재설정된다. 이로 인해 파일 원본 시점 복구는 어려우나, 파일 접근 로그와 다운로드 기록이 남아 증거 수집에 활용 가능하다.

프로그램 언인스톨 과정에서는 Windows Installer(MSI) 기반 제거 스크립트가 실행되어, 위에서 언급한 레지스트리 키와 프로그램 폴더를 삭제한다. 그러나 %AppData% 및 %LocalAppData%에 남아 있는 로그 파일과 SQLite 데이터베이스는 자동 삭제되지 않으며, 복구 툴을 이용해 복원할 수 있다. 또한, 시스템 복원 지점이나 Shadow Copy에 남아 있는 파일 복제본이 존재할 가능성이 높아, 포렌식 수사자는 이러한 백업 영역을 반드시 검토해야 한다.

종합적으로, hubiC 클라이언트는 비교적 적은 양의 로컬 흔적을 남기지만, 인증 토큰, 로그 파일, SQLite DB 등 중요한 증거가 평문으로 저장되는 구조적 취약점을 가지고 있다. 따라서 포렌식 조사자는 파일 시스템, 레지스트리, 네트워크 트래픽, 그리고 시스템 백업 영역을 전방위적으로 분석함으로써, 사용자의 클라우드 이용 행위를 재구성할 수 있다.