주요 내용으로 건너뛰기

2018 하반기 사이버수사 경찰 경력경쟁채용 필기시험 디지털포렌식 풀이

2018 하반기 지방청별 채용예정 인원. 서울, 부산, 대구, 인천, 광주, 대전, 울산, 경기남부, 경기북부, 강원, 충북, 충남, 전북, 전남, 경북, 경남, 제주 순
2018 하반기 지방청별 채용예정 인원. 서울, 부산, 대구, 인천, 광주, 대전, 울산, 경기남부, 경기북부, 강원, 충북, 충남, 전북, 전남, 경북, 경남, 제주 순

경찰에서 사이버 및 사이버(보안) 수사요원을 선발하는 경력경쟁채용시험에 변화가 생겼습니다. 그동안은 실무면접 등으로만 선발하였는데, 올해부터 '필기시험'이 도입되었습니다. 

저희가 관심가지는 사이버(보안)수사 분야의 경우 필기시험 50%, 신체/적성/체력 25%, 응시자격 등 심사 후 면접 25% 로 합격이 결정됩니다. 따라서 필기시험이 당락을 좌우한다고 하여도 과언이 아닙니다.

올해 처음으로 시행된 필기시험은 9월 15일(토)에 시행되었다고 합니다.

응시해야 할 과목은 정보보호론과 시스템네트워크보안이 필수과목이고, 선택과목으로는 정보보안 관리 및 법규, 디지털포렌식개론, 데이터베이스론 이렇게 3가지 과목중 한가지를 선택하여 보면 됩니다. 전체 시험시간은 총 3과목 60분인데, 결국 한과목을 20분 이내로 풀어야하며 각과목당 20문항이므로 이론적으로는 한문제당 1분씩이 될터인데 실제로는 OMR카드 마킹 시간 및 검토시간이 필요하므로 엄청나게 빨리 풀어야 한다는 계산이 나옵니다.

현재 시험이 종료된 후 아래 공식 사이트에서 문제지 및 확정답안이 공개되고 있습니다. 


다른 과목은 차치하고, 우선 본 포스팅에서는 이번에 첫 출제된 '디지털포렌식개론'과목에 대한 풀이를 진행해볼까합니다.

우선 PDF 파일 형식으로 정리된 문제집을 아래 첨부합니다.

18 하반기 사이버수사 경력경쟁채용 필기시험.pdf

개인적으로 20문항 문제를 20분 시간 재서 풀어본 소감은, 디지털포렌식 전문가 2급 자격증 시험의 필기시험 중 5번째 과목인 [디지털 포렌식 기초실무와 법률이론]을 이용하여 학습하시는 것이 좋을듯합니다.


1.디지털 포렌식 수행절차에 대한 순서가 가장 적절한 것은?

①디지털포렌식보고서→증거수집→증거포장 및 이송→증거분석

②증거수집→디지털포렌식보고서→증거포장 및 이송→증거분석

③증거수집→증거포장 및 이송→증거분석→디지털포렌식보고서

④증거수집→디지털포렌식보고서→증거분석→증거포장 및 이송


2.디지털 포렌식에서 저장 매체에 대한 복제를 수행할 때 가장 적절하지 않은 것은?

①원본 디스크에 포렌식 도구인 쓰기방지 장치를 연결하고, 복제본을 생성한다.

②원본 디스크의 저장 용량을 확인한 후, 원본 용량보다 더 많은 용량의 디스크를 사용하여 복제본을 생성한다.

③현장에서 원본 디스크에 대한 복제본을 생성 시, 원본과 복제본의 무결성을 입증하기 위하여, 해시 값을 생성하고, 원본과 복제본의 해시 값이 일치하는 것을 확인한다.

④원본 디스크를 인터넷 네트워크에 연결하여 복제본 디스크로 쉽게 복사하도록 하고, 네트워크 로그(log) 기록을 남기고 나서, 네트워크 접속을 차단한다. (X) : 이렇게 할 경우 무결성이 훼손될 우려가 있습니다.


3.디지털 포렌식에서 하드디스크 ‘쓰기방지 장치’로 가장 적절한 것은?

① HxD ② Tableau ③ StegoHunt ④ Intella


4.컴퓨터 하드디스크의 이미징 기능을 수행하는 포렌식 도구로 가장 적절하지 않은 것은?

① dd ② WireShark (이 도구는 네트워크 패킷 캡쳐 및 분석 도구입니다.) ③ Adepto ④ LinEn


5.디지털 포렌식 사본 이미지 생성에 사용되는 것으로 가장 적절한 것은?

① Live Search ② KFF(Known File Filter) ③ OS Artifacts ④ FTK Imager


6.윈도우즈 PC의 압수‧수색과정에서 발견된 ‘Thumbs.db’에 대한 설명으로 가장 적절하지 않은 것은?

①사진이나 이미지에 관한 작은 그림이 포함된 파일 형태로 저장된다.

②Thumbs.db는 사용자가 직접 생성하며, 기본적으로 숨김 속성은 해제되어 있다. (X) : 시스템에서 자동으로 생성되며, 기본적으로 숨김 속성을 가집니다.

③특정시간에 해당 파일을 열었다는 사실의 입증이 가능하다.

④사진이나 이미지를 삭제해도 Thumbs.db 파일이 남아 있을 수 있다.


7.압수된 10개의 컴퓨터 하드 디스크를 10명의 포렌식 수사관이 증거분석하고 있다. 법정에서 증거 채택을 위하여 디지털 포렌식에서 지켜야 할 가장 적절한 사항은?

① Normal NAT

② 연계 보관성(Chain of custody)

③ 데이터 부하분산(Data load balancing)

④ 패킷 필터링(Packet filtering)


8.리눅스 운영체제에서 데이터를 수집하는 방법으로 가장 적절하지 않은 것은?

①실행 중인 프로세스 정보를 획득하기 위하여 ‘ps -aux’ 명령을 사용하였다.

②현재 로그온 상태인 사용자를 확인하기 위하여 ‘who’ 명령을 사용하였다.

③IP 설정 정보를 확인하기 위하여 ‘ipconfig /all’ 명령을 사용하였다. (X) : 이 명령어는 윈도우에서 사용하는 것이며, 리눅스는 ifconfig 입니다.

④ ARP 정보를 확인하기 위하여 ‘arp -a’ 명령을 사용하였다.


9.디지털 포렌식 증거 수집에 대한 설명으로 가장 적절한 것은?

①정보저장매체 또는 전자정보를 수집할 때부터 법정에 증거로 제출할 때까지, 변경 또는 훼손되지 않도록 무결성을 유지하여야 하고 그 과정을 기록하여 수사기록에 첨부하여야 한다.

②증거 획득과정에서 증거로 판단되는 디지털 파일은 데이터 이미지 절차나 원본 데이터의 무결성 유지에 앞서, 현장에서 사용자가 직접 클릭하여 확인한다. (X) 이럴 경우 증거 인멸의 우려가 있습니다

③디지털 증거의 획득 시에 오류가 생겨도, 제3의 전문가를 통해 정당한 증거로 입증 받을 수 있다. (X) 획득에 오류가 생기면 이후 과정에서 증거로 입증받기가 상당히 곤란해집니다.

④디지털 증거에 대한 증거분석은 증거 획득과정에서 원본 이미지와 사본 이미지를 모두 실행하여 인터넷 네트워크에 접속하고, 즉시 원본과 사본의 이미지의 실행 결과가 일치하는지를 확인해야 한다. (X) 네트워크 연결은 무결성 훼손의 우려가 있으므로 지양합니다


10.텍스트 문서 name.txt를 name.hwp로 확장자만 수정하였다. 파일의 확장자에 상관없이 name.txt 파일의 본래 유형을 찾으려 할 때, 사용하는 방법으로 가장 적절한 것은?

① 인덱스(Index) 검색 ② 시그니처(Signature) 분석 ③ 슬랙(Slack) 검색 ④ 타임 라인(Time line) 분석

: 리눅스에서 file 명령어를 사용하면 파일의 시그니처를 통해 어떤 파일인지 알려줍니다.


11.사이버범죄에 이용되고 있는 PC의 임시기억장소에 기억된 휘발성 증거를 압수‧수색하는 방법으로 가장 적절한 것은?

①PC 종료와 함께 삭제되는 휘발성 정보를 우선적으로 획득하기 위하여, 인터넷 네트워크 접속 정보, 프로세스 정보 등 임시기억장소에 기록되는 정보 자료를 확보하고 범죄관련 화면과 실행 프로그램에 대한 현장 사진의 확보 및 사용자의 진술을 확보하고, 저장매체를 압수‧수색한다.

②PC를 인터넷 네트워크를 통한 외부 접속을 실시하여, 저장매체에 대한 출력, 복제를 수행한다.

③PC 전원을 우선 끄고 저장매체 자체를 압수하는 방식을 고려하여 가까운 장소에서 편리한 도구로 증거를 분석한다.

④PC의 디스크에 대한 복제를 수행하여 휘발성 정보를 수집한다.

: 휘발성 데이터 수집과 관련해서는 디지털 증거 수집보존 가이드라인(Guidelines for collection, acquisition, and preservation of digital evidence)를 참고하시기 바랍니다. TTAS.KO-12.0058/R1, 2017.12.13. 개정 

[2017-412] 디지털 증거 수집·보존 가이드라인.hwp


12.디지털 포렌식에서 삭제된 파일의 복구와 관련된 설명으로 가장 적절하지 않은 것은?

①파일을 삭제할 경우 메타정보와 실제 파일 내용을 초기화하지 않고, 단순히 메타정보의 특정 플래그만 변경시킨다.

②파일 카빙(Carving)은 파일의 메타정보를 이용하여 삭제된 파일을 복구한다. 
: 이 문항이 논란의 소지가 있어보이나, 우선 '가장 적절하지 않은' 것은 확실합니다. 파일을 복구하는 것을 카빙이라고 하기는 하지만 보다 정확하게는 메타정보를 이용하는 것이 아니라 디스크의 비할당 영역 전체를 대상으로 처음부터 끝까지 스캔하며 특정 파일의 시그니처를 기반으로 포맷을 식별하는 방식이므로 메타정보와는 큰 관련이 없습니다.

③FAT 파일시스템에서 파일이 삭제될 경우 해당파일 Directory Entry의 오프셋 0x00 값이 삭제를 나타내는 0xE5로 변경된다.

④삭제 표시된 Directory Entry에 파일 크기와 시작 클러스터 정보를 이용하여 파일을 복구할 수 있다.


13.아래 ( ㉠ )에 들어갈 용어로 가장 적절한 것은?

윈도우즈 운영체제에서 ( ㉠ )는(은), 파일의 앞부분(header)과 마지막부분(footer)에 있는 파일 고유의 정보이다. 응용 프로그램에서 생성한 파일임을 인식할 수 있도록 파일 내부의 특정위치에 있는 몇 바이트가 항상 동일한데, 이러한 고정 값을 ( ㉠ )(이)라고 한다. 이러한 ( ㉠ )도 의도적으로 변경할 수 있지만 확장자의 변경에 비해서 용이하지 않다.

① 레지스트리(Registry) ② 파일 확장자(File extension) ③ 파일 이름(File name) ④ 파일 시그니처(File signature)


14.인터넷 네트워크에 접속한 윈도우즈 운영체제에서, 디지털 포렌식 수사관이 인터넷 접속 정보를 수집할 경우에, 필요한 항목으로 가장 적절하지 않은 것은?

① Temporary internet files ② Cookie ③ ProcessExplorer ④ Web history

: 해당 도구는 프로세스 관련 정보를 모니터링 할 수 있는 도구로, 나머지 보기에 비해 관련성이 비교적 낮습니다.


15.아래 ( ㉠ )에 들어갈 용어로 가장 적절한 것은?

윈도우즈 운영체제에서 ( ㉠ )는 부팅과정에서부터 로그인, 서비스 실행, 응용프로그램 실행, 사용자 행위 등 윈도우즈 운영체제의 거의 모든 활동에 관여한다. 특히 원격 접속 흔적, 드라이브 연결 흔적, 저장매체 사용 흔적 등의 정보를 이용하여 추가적인 포렌식 분석 대상을 선별하는데 활용할 수 있다.

① 레지스트리(Registry) ② 웹 히스토리(Web history) ③ 프로퍼티 리스트(Property list) ④ 메타 데이터(Meta data)


16.디지털 포렌식 증거 분석에 활용하는, 디스크 브라우징(Disk Browsing) 기술의 설명으로 가장 적절한 것은?

①디스크 파일 또는 저장매체 전체를 대상으로 특정 키워드인 파일이름, 속성, 내부 문자열, 코드 값, 시그니처를 쉽게 찾는 기술이다.

②프로그램 정보와 네트워크 시스템 정보에 대한 레지스트리의 기록을 분석한다.

③디스크 파일 또는 저장매체에 저장된 파일의 시간정보, 내부 메타 데이터의 시간정보를 분석하는 기술이다.

④저장매체 또는 디스크 이미지의 내부 구조와 파일 시스템을 확인하고, 파일시스템 내부에 존재하는 파일에 대응되는 응용 프로그램의 구동 없이 쉽고 빠르게 분석할 수 있도록 하는 기법이다.


17.디지털 포렌식에서 해시 함수(Hash Function)에 대한 설명으로 가장 적절하지 않은 것은?

①MD5, SHA-1 등의 해시 함수가 사용되고 있다.

②디지털 데이터의 위조․변조 문제를 검증하는 수단이다.

③ 파일의 무결성을 검증할 때, 파일의 이름이 바뀌면 해시 값도 바뀐다. : 바뀌지 않습니다.

④디지털 데이터의 크기에 상관없이, 일정한 길이의 비트열(Bit stream)로 변환되어 해시 값을 산정한다.


18.디지털 포렌식에서 증거 관련 보고서를 작성하는 방법에 대한 설명으로 가장 적절하지 않은 것은?

①포렌식 수사관은 분석 과정에서 이용한 분석도구, 분석을 수행한 절차, 그리고 분석 결과를 포렌식 보고서에 명확하게 기록해야 한다.

②포렌식 보고서의 분석 결과를 증거 자료로 인정받기 위해서는, 보고서의 분석 결과를 재현하였을 경우에도 완벽히 일치하여야 한다.

③포렌식 분석에 활용되는 증거수집 기술과 방법이 이미 증거 추출 과정에서 사용되었으므로, 보고서에는 증거수집 도구만 기록해도 된다. : 모두 기록해야 합니다. (보통 객관식 보기에서 이런 뉘앙스의 문장은 적절하지 않을 가능성이 높습니다 ㅋ)

④포렌식 보고서는 증거 분석에 대한 사실관계를 상세하고 객관적으로 기록해야 한다.


19.압수된 디지털 저장매체로부터 출력한 문건을 증거로 사용하기 위한 요건으로 가장 적절하지 않은 것은?(다툼이 있는 경우 판례에 의함).

①디지털 저장매체 원본에 저장된 내용과 출력한 문건의 동일성이 인정되어야 한다.

②디지털 저장매체 원본이 압수 시부터 문건 출력 시까지 변경되지 않았음이 담보되어야 한다.

③디지털 저장매체 원본과 ‘하드카피’ 또는 ‘이미징’한 매체를 확인하는 과정에서 이용한 컴퓨터의 기계적 정확성, 프로그램의 신뢰성, 입력·처리·출력의 각 단계에서 조작자의 전문적인 기술능력과 정확성이 담보되어야 한다.

④원본 가용성은 증거능력의 요건에 해당하므로 포렌식 수사관이 그 존재에 대하여 가용성을 구체적으로 주장·증명해야 한다. 

: 나머지 3개의 보기가 확실한 가운데 이 문항이 애매해서 관련 판례를 찾아보았습니다. 정확히 일치하는 문장은 없지만 아무래도 아래의 내용을 참고하여 문제를 만든것이 아닐까 추정해봅니다.

원본 동일성은 증거능력의 요건에 해당하므로 검사가 그 존재에 대하여 구체적으로 주장‧증명해야 한다.

(대법원 2001. 9. 4. 선고 2000도1743 판결 등 참조)


20.수사기관이 압수‧수색 영장을 집행할 때의 설명으로 가장 적절하지 않은 것은?(다툼이 있는 경우 판례에 의함).

①정보저장매체인 경우에는 영장 발부의 사유로 된 범죄 혐의사실과 관련 있는 정보의 범위를 정하여 출력하거나 복제하여 이를 제출받아야 하고, 피의자나 변호인에게 참여의 기회를 보장하여야 한다.

②압수한 경우에는 목록을 작성하여 소유자, 소지자, 보관자 기타 이에 준할 자에게 교부하여야 한다.

③압수된 정보의 상세목록에는 정보의 파일 명세가 특정되어 있어야 하고, 수사기관은 이를 출력한 서면을 교부하거나 전자파일 형태로 복사해 주어야 한다. 단, 이메일을 전송하는 방식으로는 할 수 없다.

④법원은 압수·수색영장의 집행에 관하여 범죄 혐의사실과 관련 있는 정보의 탐색·복제·출력이 완료된 때에는 지체 없이 압수된 정보의 상세목록을 피의자 등에게 교부할 것을 정할 수 있다.

관련 판례 : 증거로 제출된 전자문서 파일의 사본과 그 복사물의 위법수집증거 해당 여부 및 원본과의 동일성이 문제된 사건[대법원 2018. 2. 8. 선고 중요판결]

..(생략) 이러한 압수물 목록 교부 취지에 비추어 볼 때, 압수된 정보의 상세목록에는 정보의 파일 명세가 특정되어 있어야 하고, 수사기관은 이를 출력한 서면을 교부하거나 전자파일 형태로 복사해 주거나 이메일을 전송하는 등의 방식으로도 할 수 있다.




정보보안에 관심이 많은 대학원생, 소프트웨어 엔지니어/서버관리자

CPUU 님의 창작활동을 응원하고 싶으세요?

댓글

SNS 계정으로 간편하게 로그인하고 댓글을 남겨주세요.