한 해킹 사고가 발생한 후, 수많은 IT 관리자와 보안 전문가들이 한 가지 질문을 던졌습니다.
누가, 언제, 무엇을 했는가?

이 질문에 답하기 위해 우리는 흔히 로그 파일을 살펴봅니다.
그중에서도 가장 심층적이고 중요한 단서가 담긴 곳, 바로 Windows Event Trace Log 포렌식입니다.

🔍 로그는 거짓말을 하지 않는다

Windows 운영체제는 다양한 종류의 로그를 생성합니다.
그 중에서도 ETL(Event Trace Log) 파일은 커널 수준에서 발생하는 상세한 이벤트들을 추적하기 위해 설계된 특별한 로그입니다.

ETL 로그는 다음과 같은 정보를 담고 있습니다:

  • 드라이버 및 하드웨어 이벤트

  • 네트워크 패킷 처리 흐름

  • 프로세스 및 스레드의 생성/종료

  • 고급 성능 분석 데이터

  • 시스템 호출 기록

이러한 정보는 일반적인 이벤트 로그(Event Viewer)보다 훨씬 세부적이며, 침해 사고 조사 및 고급 포렌식 분석에 결정적 역할을 합니다.

📁 Windows Event Trace Log 포렌식이 중요한 이유

일반적인 로그가 남기지 못한 행위 기반 증거를 ETL은 담고 있습니다.
따라서 시스템 내 고의적인 삭제, 로그 위조, 우회적 공격이 발생했을 때도 Windows Event Trace Log 포렌식은 진실을 추적할 수 있습니다.

예를 들어:

  • 공격자가 PowerShell을 통해 파일을 다운로드하고 실행했다면?

  • 관리자 계정으로 로그인을 시도하고, 권한을 상승시켰다면?

  • 디스크 I/O가 비정상적으로 폭증했다면?

이 모든 흔적은 ETL 로그에 세밀하게 기록되며, 분석을 통해 정확한 타임라인과 원인을 파악할 수 있습니다.

⚙️ ETL 로그의 수집 위치와 유형

ETL 로그는 보통 다음 경로에 저장됩니다:

  • C:\Windows\System32\WDI\LogFiles

  • C:\ProgramData\Microsoft\Diagnosis\ETLLogs

  • C:\Windows\Logs\NetSetup

  • C:\Windows\System32\winevt\Logs\*.etl

자주 사용되는 ETL 로그 유형에는 다음과 같은 것이 있습니다:

로그 이름 설명
BootCKCL.etl 부팅 시 시스템 상태 추적 로그
ReadyBoot.etl 부팅 성능 최적화 관련 정보
WMIActivity.etl WMI 호출 및 실행 이력
NetSetup.etl 네트워크 설정 변경 이력

🛠️ Windows Event Trace Log 포렌식 분석 도구

ETL 로그를 분석하기 위해선 전용 도구가 필요합니다. 다음은 대표적인 분석 툴들입니다:

1. Microsoft WPA (Windows Performance Analyzer)

  • ETL 파일을 시각적으로 분석 가능

  • CPU, I/O, 디스크 활동 등의 고해상도 타임라인 제공

2. Tracerpt

  • Windows 내장 명령줄 도구

  • ETL 로그를 CSV, TXT 등의 분석 가능한 형태로 변환

bash
tracerpt input.etl -o summary.txt -of CSV

3. Log Parser

  • ETL 로그 외에도 다양한 로그 포맷을 SQL-like 쿼리로 분석 가능

4. Event Viewer + ETW Providers

  • 실시간 로그 스트리밍 가능

  • 특정 ETW(이벤트 트레이싱) 공급자에 대한 맞춤 분석 가능

📚 실전 사례: 침해 사고 분석에서의 활용

한 기업 내부 시스템에서 비인가 접속 후 정보 유출 정황이 발견되었습니다.
기존 Event Viewer 로그에서는 해당 사용자의 행동을 전부 추적할 수 없었습니다.

그러나 WMIActivity.etlBootCKCL.etl 로그를 분석한 결과:

  • 비정상적인 WMI 스크립트 실행

  • 새롭게 설치된 서비스

  • 네트워크 흐름 변화

등이 드러났습니다. 결국 공격 경로와 툴의 유형까지 식별해내면서 사건의 전모가 파악되었습니다.

이처럼 Windows Event Trace Log 포렌식보이지 않는 공격을 밝히는 손전등과도 같습니다.

🧠 포렌식 분석 시 체크리스트

체크 항목 설명
타임라인 재구성 프로세스/스레드의 시작과 종료 시간 파악
프로세스 트리 분석 부모-자식 프로세스 관계 확인
네트워크 I/O 확인 비정상 연결 탐지
드라이버 및 모듈 활동 커널 레벨의 의심 활동 추적
WMI 실행 이력 WMI를 통한 우회 공격 탐색

💡 결론: 시스템의 맥박을 읽는 기술

Windows Event Trace Log 포렌식은 단순한 로그 분석이 아닙니다.
이는 운영체제 내부에서 발생하는 모든 사건을 하나하나 되짚는 과학적인 수사 과정입니다.

다음과 같은 상황에서는 반드시 ETL 포렌식을 고려하세요:

  • 일반 로그에서 흔적이 누락되었을 때

  • 루트킷, 커널 해킹 등이 의심될 때

  • 정교한 내부자 위협이 우려될 때

✅ 요약 정리

항목 내용
핵심 키워드 Windows Event Trace Log 포렌식
로그 위치 C:\Windows\System32\WDI\LogFiles
분석 도구 Tracerpt, WPA, Log Parser 등
분석 가능 항목 프로세스 생성, WMI 호출, 네트워크 흐름 등
주요 활용 침해사고 대응, 내부 감사, 법적 증거 확보 등

기억하세요. 흔적은 지워도, 로그는 남습니다.
Windows Event Trace Log 포렌식은 모든 것을 말해줍니다.