(이 글은 원본 블로그에서 2015년 6월 28일에 작성했던 글을 이전하여 수정 보완하였습니다.)

제 5회 디지털포렌식 전문가 2급 실기 시험 후기

디지털포렌식 전문가 2급 실기시험을 보았다. 내가 걱정했던 것보다는 쉽게 나와서 다행이다. 아직 합격자 발표는 나오지 않았지만.. 기대해보겠다~혹시모를 이 시험을 준비하시는 분들을 위해 팁을 드리고싶다.

공식홈페이지에서 제시하는 출제 기준
공식홈페이지에서 제시하는 출제 기준

문제는 외부로 반출할 수 없도록 되어있기에- 대략적인 컨셉만 기억에 의존해서 남겨본다.

우선 성균관대학교(서울캠퍼스) 시험장에 도착하면 전산 컴퓨터실 정도가 될 것이다. 수검표에 배정된 자리에 앉으면 된다. 실기시험인 만큼 시험을 철저하게 감독하게 된다. 감독관의 지시 없이 PC를 마음대로 먼저 켜거나, 개인USB를 사용한다거나, 인터넷을 이용해서 외부 자료를 참조할 경우 실격처리됨에 유의해야 한다.

실제로 시험시작전에 어떤분이 감독관한테 가서 귓속말로"저기.. 제 옆자리 분이 개인USB 사용하시는데요?"라는 신고(?)를 하는 것을 보았다.ㅋㅋ 감독관이 가서 이거 왜 꼽으셨냐고 물어봤더니, 그것은 개인 USB가 아니라 Encase소프트웨어의 Dongle Key를 휴대한 것으로 확인되었다.

시험에 사용되는 소프트웨어는 PC에 설치가 되어있다. FTK, Encase6, Encase7이 깔려있다. 어떤 도구를 사용해도 상관없다. 개인적인 팁을 드리자면 Encase 7을 사용하는 것이 좋다.. 왜냐하면 출제자의 의도 자체가 Encase7.1에 맞추어져 있다고 개인적으로 느낀다. 아마 출제위원들도 해당 버전을 사용하시는게 아닐까 싶을정도로..물론 Encase는 700만원정도 하는 유료 라이센스(동글)이 필요하기 때문에 일반 수험생들은 준비하거나 연습하기가 쉽지 않을 것이다. 하지만 특강이나 교육기관 등에서 툴의 대략적인 사용방법만 익히고 있으면 시험장에서도 어렵지 않게 가능하다. 본인은 Encase관련 메뉴얼과 스크린샷으로만 숙지하고 시험장에 갔다. 툴을 직접 다뤄본것은 사실상 시험장에서 처음 해본 셈. 그리고, 단순히 시험을 합격하기 위한 목표라면 생각보다 쉽다.

문제에 대한 이야기를 하자면.. 개요는 다음과 같다."인터넷 신규 휴대폰 관련 카페에, 아직 출시되지도 않은 P전자의 스마트폰 사진과 내부 스펙정보가 유출되었다. 내부자의 소행인 것으로 의심된다. 그런데, P전자에서 김유출 대리가(이름 클라스 ㅋㅋ) 개인용 USB를 소지하고 있다가 사내 보안팀에 붙잡혔다. 보안규정상 개인 USB를 사용할수 없도록 되어있기에 김유출 대리는 의심을 받고 있다."그리고 2가지 정보가 주어진다.

  1. 해당 정보가 최초 유출된 카페 url : cafe.naver.~~
  2. 유출된 스마트폰 사진 파일의 hash값.

이제 문제가 나온다. 총 6문항이다.

  • 1) 당신은 디지털포렌식 수사관으로서, P전자에서 김유출 대리를 조사할 때 어떤 순서에 따라 작업을 진행해야 하는가? - 준비단계, 수집단계, 보관단계, 이송단계에 걸쳐 상세히 서술하시오 (10점)
  • 2) 디지털 증거는 변조가 쉽기 때문에 무결성이 강조된다. 해당 자료의 무결성을 유지하기 위해서는 증거를 수집할 때 어떤 부분에 유의해야하는지 시간순서로 서술하시오(10점)

위의 2문항은 사실상 실습을 전혀 할줄 모른다해도 단순 암기된 지식을 쓰는 것만으로 점수획득이 가능하다. 그리고 회차별로 항상 동일한 문항이 나오고 있으므로 이 내용은 꼭 암기해서 시험보시길.

  • 3) 김유출 대리의 USB를 이미징하고, Hash 값을 계산하시오. (20점)

여기서부터는 실제 실습이 시작된다. Encase 7.1 을 이용해서 이미징을 뜬 뒤 결과 화면을 스크린샷 찍어서 보고서에 붙여넣으면 된다. 결과 내용을 Export하면 hash정보가 계산되어있다. 이 때 중요한 것은, 문제로 제출된 USB를 꼽기 전에 반드시 쓰기방지기능을 작동시켜야한다는 점이다. Encase의 경우 FastBloc이라는 툴을 사용하여 Write Block이 가능하다. 문제에서 별다른 언급이 없다하더라도 이 내용은 필수다.

  • 4) 해당 디바이스에 대한 정보를 서술하시오(10점)

김유출 대리의 USB를 꼽으면, 마운트가 되지 않는다. 일부러 파일시스템을 깨어놓았는진 모르겠다. 간혹 다른 블로그에서 디지털포렌식 실기시험 내용을 찾아보면 예전에는 USB를 복구시키기위해 Hex코드 조작해서 복구시키는 과정을 담은 내용을 많이 봤다. 내생각에 이번시험에는 그런 내용은 아니었던 것 같다. 딱히 복구하지 않아도 Encase도구에서 깨진 드라이브 내의 파일구조 조회가 가능하다. 이미징이 끝난 후 Process&Veryfiying을 하고 나면 관련 디바이스 정보를 추출할 수 있다. rtf file로 export해서 저장하면 됨.

  • 5) MD5와 SHA에 대하여 서술하시오.(10점)

약간 뜬금없긴한데.. 아마 매 회차 한문제 정도는 이렇게 나왔나보다. 이 문제는 1) 2) 문항처럼, 이 실기시험과 직접적인 관련은 없다. 그냥 외워서 쓰는 거라고 보면 된다. 다음에는 안나올지도 모르겠다. 기본적으로 해쉬함수의 정의에 대해 설명하고, 역상저항성, 충돌저항성 등을 설명한 후에, 해쉬함수의 일종인 MD5, SHA를 설명하였다. 사실 MD5의 수학적인 알고리즘까지 그 자리에서 서술할 수 있는 사람은 별로 없지 않았을까.. 대충 두루뭉술하게 썼다. 감점되지 않길 ㅠ ㅠ

  • 6) 이러한 정황을 종합하여 보고서 작성 (40점)

이게 사실 이 시험의 최종적인 목적이라 볼 수 있다. 그런데, 배점이 40점이라는 말은.. 이거 빼고 나머지 문제를 다 맞추기만하면 어쨌든 아슬아슬하게 합격은 가능하다는 뜻. 물론 이 문항에서 고득점을 획득한다면 당연히 합격하게 된다.

이번문제의 시나리오에 따라 출제자의 의도를 역으로 생각해보면 쉽게 접근할 수 있다.

1. 정보가 유출된 카페의 url : 이걸 힌트로 쓰기 위해 이미징 process단계에서 하위내용 검색을 가능하도록 인덱싱을 다 미리 해두었다. 해당 USB에서 검색을 걸어놓고 해당 url을 치니까 어떤 파일이 나왔다. 아마도 인터넷 즐겨찾기로 등록해놓은 url 파일이었다. 그 파일이 저장된 위치를 찾아가니, 문제에서 제시된 카페 말고도 다량의 스마트폰 정보공유 카페의 접속 url 이 들어있었다. 우선 정황이 의심되는 대목이다. 김유출 대리가 그 카페에 들락날락했다는 증거가 되기 때문.

2. 유출된 이미지의 hash 값을 문제에서 힌트로 주었다는 것은, 쉽게말해서 이 USB안에 같은 해쉬값을 가지는 이미지를 찾으란 뜻이다. 그냥 이렇게만하면 너무나 쉽다. 그래서 아마 출제자가 한단계 꼬아놓았다. 방법은 파일들을 압축한 후에, 확장자를 변경하는 방식으로 관련 파일을 숨겼다. Encase를 쓰면 Signature analysis가 가능하다. JPG이미지들이 많이 있었고, 전부다 Match(일치)로 나오는데, 유독 한 파일만 alias가 붙더라. 이는 확장자를 의도적으로 변경한 것으로 의심된다. 해당 파일은 압축파일이었다. 편리하게도 Encase는 원클릭으로 그걸 또 열어주기까지 한다. 만약 FTK를 쓰시는 분이었다면 어떻게 하셨을지 나는 모르겠다;; 무튼 그렇게 열어보니 안에 다량의 스마트폰 촬영 사진과, 스마트폰의 스펙을 저장해 놓은 docx파일이 들어있었다. 그중 문제에서 제시된 MD5 hash값과 일치하는 파일이 2개 있음을 확인하였다. 해당 파일들을 copy해서 밖으로 꺼내서 제출자료에 첨부하면 되고, 그 파일들에 대한 정보 또한 Export해서 (MD5값이 포함됨) rtf로 첨부하면 된다.

3. 결론적으로 김유출 대리가 왜 범인인가?하는 것에 대한 수사관으로서의 종합검토 의견을 작성하면 된다. 유출된 사진의 hex값을 보면 해당 사진을 촬영한 장비(SAMSUNG 뭐시기..)에 대한 정보가 포함되어있다. 이를 토대로 김유출 대리가 사용하는 촬영장비(스마트폰으로 추정)가 무엇인지, 그리고 그것으로 사진을 촬영했을 경우, 유출사건에 나타난 파일들과 동일한 hex가 찍히는지..(그렇다면 그 사진을 촬영한 것이 김대리의 스마트폰이 맞기 때문에).. 그리고 마지막으로 사진이 촬영된 시각에 대한 정보를 토대로 해당 시간에 김유출 대리의 알리바이가 있는지? 를 조사한다면 빼도박도 못하게 김유출 대리의 범행 자백을 받아낼 수 있지 않을까?하며..

그렇게 보고서를 마무리했다면, 이제 제출이다. 보고서는 수검번호.doc나 hwp로 저장하면 된다. 보통 우리나라에서 hwp를 많이 쓰기 때문에, 또 편집이 익숙하기 때문에 나도 이 시험에서 hwp를 썼다. 하지만 팁을 드리자면..Encase에서 export되는 대부분의 자료가 doc나 rtf이기 때문에 MS-WORD를 기준으로 열리게 된다. WORD-HWP간의 복사 붙여넣기는 호환이 최악이다. 표 붙여넣다가 다 깨져서 결국 일일이 한줄씩 붙여넣는 노가다를 -_-;; 무튼 본인이 쓰기 편한거 사용하시길~

보고서 파일과, 분석에서 사용한 image file(.Ex01 file), export한 매체 정보, 파일정보 등등, 그리고 직접 copy해서 빼낸 의심파일들을 한 폴더에 몰아넣고 DVD로 구워서 제출하면된다.

시험장에서 DVD구워서 제출한다길래 많은 수험생들이 버닝툴을 사용해야되는구나, 싶었는데- 그렇진 않고 그냥 윈도우에서 제공하는 DVD 굽기 기능을 사용한다. DVD를 넣고 그냥 내컴퓨터에서 해당 드라이브에 마우스로 드래그 앤 드롭하면 (구우시겠습니까?) 이렇게 저장하는 방식. 아시다시피 DVD에다 구워버리면 더이상 보고서 파일 수정이 어려워진다. 최종까지 신중하게 작업을 하시고, 반드시 제출 직전에 DVD로 구우시길!

DVD굽는 시간은 Mode에 따라 다르기 때문에 신중해야하고, 시험 종료후에 다풀었는데 DVD굽느라 늦는다는건 통하지 않으므로.. 적절한 시간안배 주의! 시험은 4시간동안 진행되나, 3시간이 지나면 퇴실 할 수 있다.

이상. 끝. 7월 16일에 합격 발표를 포스팅 할 수 있기를 바라며.. 


ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ


이 시험을 통해 2015년 7월 디지털 포렌식 전문가 2급 시험에 합격하였고, 전문가 협회원으로 가입되어 활동하고 있습니다. 현재 취업준비중인데, 이 자격증이 잘 활용될 수 있기를 바랍니다.

#디지털포렌식 #디지털포렌식전문가 #디지털포렌식실기


CPUU님의 창작활동을 응원하고 싶으세요?