본문 바로가기

어느 한 분야를 전문적으로 연구함. 또는 그 분야./국가권력에 의하여 강제되는 사회규범과 과학적 범죄 수사 방법

디지털 포렌식 전문가 2급 실기 후기

2018년 11월 24일 제 12회 디지털 포렌식 전문가 2급 실기를 쳤다. 11회때 칠 수 있었는데, 형사소송법이랑 증거 수집 절차 같은거 지하철에서 공부하면서 가다가 지하철역 지나쳐버려서 못쳤고, 이번엔 일찍 일어나서 느긋하게 걸어갔다. 시험장소는 동국대 경영관이었고 눈보라 헤쳐가며 한 시간이나 일찍 도착했다. 그때 시험 친 지인들의 이야기를 들어보면 주로 침해사고조사가 베이스인 디지털 포렌식이 시험이었다고 한다. 이번에는 수사를 베이스로한 디지털 포렌식 시험을 칠 꺼라고 이야기 들렸다. 일전에 짬내서 공부했던 것과 시험치기 직전에 벼락으로 살펴봤던 내용 그리고 시험 내용은 다음과 같다.


1. 이미징

전체를 이미징하는 것과 선별적으로 이미징하는 것은 차이가 있다. 최근 이미징의 대부분은 선별적 이미징을 한다고 들었고, 이러한 이유로 물리 드라이브보다 논리 드라이브를 이미징하는 경우가 많다고 하나 이를 시험에 낼것 같진 않았다. FTK Imager나 EnCase를 이용한 이미징을 수행하는 것은 매 실기 시험에 기본 소양으로 알려져 있다. 학교 덕분에 EnCase를 다뤄볼 일이 있고, 물어볼 친구가 있어 간단하게 쓰기 방지와 캐싱 그리고 캐싱에서 이미징하는 것을 두 번 연습했었다. FTK Imager를 주력으로 쓴다면, 레지스트리 기반으로 쓰기 방지를 진행하고, EnCase를 이용한다면 Fast Bloc 기능을 이용한다. 쓰기 방지 설정 후에 USB를 삽입해야 한다. 대부분 시험장은 백신이 동작해서 원본이 손상되니 꼭! 쓰기방지 후에 진행하는 것을 추천한다.

2. 조사

문제에서 요구하는 조건에 맞게 정보와 데이터를 찾을 수 있어야 할 것 같았다. 이전에 자격증을 취득한 분들께 들어보면 문제에서 찾고자하는 무언가에 대한 정보가 불명확한 형태로 문제를 냈었다고 했었다. 다행이도 이번엔 명확하게 무엇을 찾아야 할지 문제에 적혀있어 앞으로 시험을 치룰 사람이면 파일 시스템의 유형이나 용량부터 파일 이름, 해시 등 찾는 방법을 알아두면 좋을 것 같다. 다행이도, 개인적으로 문제에서 요구하는 내용은 사전에 연습하지 않아도 될 만큼 모두 이해할 수 있는 수준의 데이터 유형이었고, 나머지는 어떤 도구에서 어떻게 찾아야 하는가인데, EnCase의 Report와 Process 기능을 알고 있어서 그나마 쉽게 끝낼 수 있었다.

3. 분석

문제에 시나리오가 주어진 상황이었다. 이메일로 주고 받은 내용과 시나리오를 통합해보면 댓글 알바를 통해 대외 이미지를 만들고 이를 통해 당선되는 선거법위반 시나리오 였다. 아쉽게도 이메일 확장자인 .pst, .eml, .ost 같은 것은 알아도, EnCase에서 검색하는 방법을 몰랐다. 간만에 노가다했다. 윈도우 시스템의 폴더 구조를 가지고 있어 User 폴더의 사용자 계정을 추측하고, 디폴트로 많이 사용하는 Download, Documents, Appdata 같은 위치를 찾아봤다. 별도로 설치된 응용프로그램은 보이지 않아 Appdata는 무시하고 Download와 Documents에 있는 정보들을 살펴보다 보니, .eml 파일들이 있었다. 주로 분석할 때 헥사 도구를 자주 사용하는 편이라서 내용을 보려고 EnCase의 Hex 기능으로 살펴보다가 바로 닫았다. Email UTF-8 인코딩이 되어있고, 인터넷이 차단된 상황이기에 온라인 디코더를 이용할 수 없어서 고민하던 찰나, EnCase에 이것저것 만지다 보니 자동으로 디코딩해서 잘 보여주는 기능이 있었다. 이렇게 삽질하면서 하나하나 문제를 해결했다.

4. 법률

법률은 좀 어려웠다. 첫 번째로 동일성의 원칙을 지키기 위해 어떻게 해야하는가에 대한 질문엔 해시라는 키워드를 이용해 기술했다. 두 번째로 증거능력에 대한 문제였는데, 나중에 지인들과 이야기를 하다보니 내가 쓴 답은 증명력에 대한 내용이었다. 증거 능력이 직접 증거와 간접 증거 모두 증거로써 능력을 가진다면 증거능력이 있다는 것이었는데, 이메일로 주고 받은 내용은 간접 증거로써 증거 능력이 있다. 세 번째로 불법 수집한 증거에 대한 증거 능력에 대한 내용인데 이는 형사소송법 제308조의2에 의거 증거능력이 될 수 없다고 적으려다가 기억하는게 잘못되었을 수 있어서 제308조의2를 뺐고 작성했다. 그 외 기억나지 않는 문제에 기술한 답 중에 몇 가지 기억나는 키워드로는 사법공조협조가 있었다. 수사를 하면서 만나는 데이터는 곧 증거이기에 디지털 포렌식 수사에 있어 필히 공부해야할 법률은 증거법이면 충분할 것 같다.

5. 보고서 작성 및 보고

보고서는 템플릿은 자율이었고, 파일 유형은 .docx, .hwp, .pdf로 제작하면 별 문제 없다고 공시되어 있었다. 그냥 그대로 작성하면 된다. 굳이 잘 쓸 필요는 없으나 문제의 답이 되는 내용은 모두 스크린샷이 있는 것이 중요해 보인다. 모든 답안은 CD/DVD에 꿉어서 제출하는데, 한번 기록하면 지울 수 없어 USB 형태를 선택하고 답안을 기록하여 제출했다. 이게 문제될지 안될지는 13회 실기 후기 포스팅이 올라오면 무조건 꿉어서 제출해야 한다는 것이니 시간이 답을 줄듯 싶다.


4시간 동안 친구들이랑 즐겁게 게임하는 느낌이었다. 꼭 그럴땐 시간이 얼마만큼 흘렀는지 모를만큼 집중했기에 마지막 문제까지 작성하고 시계를 보고 깜짝 놀랬다. 30분 밖에 남지 않아서. 몇 개 문제를 잘못 해석해 오답을 썼지만, 비록 CD를 꿉지 않았지만 붙었으면 좋겠다.


티스토리 툴바