Digital Forensic 전문가 2급 자격 시험 합격 후기

* 잡설
- 한동안 블로그 업데이트를 하지 못하였다. 바쁜 이유도 있었지만 정확히는 교육 이수, 포렌식 자격증, 영어 학습 등에 치중하다보니 이래저래 업데이트 거리만 왕창 쌓인 상태로 업데이트가 딜레이 되었다.
아무튼 다시 블로그 업데이트를 해보려고 한다

 

 

* Digital Forensic 전문가 2급
- 말그대로 디지털 증거물에 대한 법의학 시험으로 전자 기기 내의 디지털 증거물에 대한 탐색, 확보 등의 일련의 절차와 방식에 대해 이해한 상태로 직접 증거 탐색을 수행하는 시험이다.
- 시험 구성은 필기와 실기로 나뉘며 아래와 같다

	필기	실기
시험 시간	2시간 (120분)	4시간 (240분)
유형	객관식 선다형	실습형
과목	1. 컴퓨터구조와 디지털 저장 매체 2. 파일시스템과 운영체제 3. 응용프로그램과 네트워크의 이해 4. 데이터베이스 5. 디지털포렌식 개론(기초실무, 법률 이론)	디지털 포렌식 기초 실무
참고 자료	https://product.kyobobook.co.kr/detail/S000209186793 - 문제 은행 방식으로 단순히 기출 문제만 많이 풀더라도 합격 가능 (책 자체에 정답은 있으나 해설이 별도로 없음) - 법률 문제는 실기에서도 함께 나오므로 실기 법률 암기와 병행하면 필기에서 크게 도움	1. 유료 사이트 : 인프런_디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy) 2. 노션_빛낭님의 디지털 포렌식 학습 및 실습 자료 - 기초를 제대로 잡고 가지 않으면 해당 시험은 몇번을 보더라도 탈락할 게 뻔하기 때문에 유료 강의 하나와 추가 학습에 도움이 될 무료 사이트를 애용했다.

- 사실 필기는 크게 왈가왈부 할게 없다. 하지만 실기는 생각보다 잘 준비하고 가야한다.

 

 

* 포렌식 2급 실기 시험 준비
- 인프런 유료 강의 기준으로 학습해서 아래와 같은 목차 구성이었다.

- 암기 할 것도 상당히 많으며, 기술적인 부분은 실습으로 익숙해지면 크게 문제가 없다.
(이 게시물은 시험에 대한 일부 정보들을 주기 위한 목적으로 전체 정보를 열거하지는 않겠다만, 다른 게시물을 추가 할 예정이다. 아래는 딱 기초적인 부분만 적었다)

 

 

* 포렌식 2급 법이론
- 법 이론은 실기 시험에서 나오는 경우도 있고, 아예 없는 경우도 있지만 나올 경우 배점이 상당한 편이기 때문에 완전 암기를 추천한다 (실제 실무 자체에도 숙지한 상태로 해야하니 완전 암기는 필수이긴 하다)
- 문제 출제 방식은 "어떤 상황에 대한 설명을 하고 이 경우 해야하는 법적 조치는 무엇인지?" 또는 "참여권에 대해 설명하시오" 등 처럼 간접적으로 어떤 법에 해당하는지, 또는 직접적으로 제시하는 경우 등 다양하다
(필자는 10회독으로 다 외우고, 직접 문제를 만들어서 타이핑이 문제 없이 끝까지 나오는 수준까지 외웠다)
- 아래는 포렌식 영역에서 해당하는 법 이론이다. 아주 딥하게 설명하지는 않겠다. 홍보처럼 보일진 모르겠지만, 인프런 유료 강의 강사님이 굉장히 상세하게 설명 해놓으셨다
(이외, 무료 강의들도 정리는 해놓았지만 개인적으로 중구난방 느낌이었다. 그냥 돈 쓰고 학습하기를 권장한다)

증거 수집 및 분석 절차	* 증거 수집 시, 각 단계별 절차에 대해 서술하고, 각 절차별 상세히 서술하는 방식으로 진행 - 이 외, 무결성 확보를 위한 증거 수집 절차를 별도로 암기하여야 한다. - 큰 맥락에서 둘은 흐름이 같지만, 말은 '아' 다르고 '어' 다르기 때문에 각각 서술하는 방법 차이를 식별하고 인출 할 수 있어야 한다
디지털 증거의 진정성과 동일성 및 무결성 입증 방법	* 디지털 증거의 특성에서 법적으로 입증 받아야 하는 성질에 대해 물어보고, 이를 입증할 방법을 서술하는 문제 - 진정성, 무결성, 동일성, 신뢰성 그리고 관련 판례를 보면 이해할 수 있다. (참고로 판례를 완전히 외울 필요는 없다만, 아예 안보고 가는건 빠르게 이해할 수 있는 걸 스킵하고 가는 것이므로 판례도 참조하길 권장한다)
참여권	* 형사소송법 제 121조 내지 123조에 해당하는 내용으로 현장의 참여권자에 대한 권리를 보장함을 기본 원칙으로 함 - 참여권은 기본적으로 다른 법률 문제에도 간접적으로 또는 직접적으로 함께 서술하여야 하는 경우가 굉장히 많은 문제
별건 증거	* 영장에 작성된 기존 조사 대상 외의, 범죄 항목이 추가로 발견된 경우에 적법하게 별건 증거를 확보하는 방법 등에 대한 문제 - 지문 자체가 짧아서 암기가 수월함
전문 증거	* 형사소송법 제 310조 내지 316조에 해당하는 내용으로 직접 진술 외의 증거로써 채택 되지 않는 전문 증거에 대한 문제 - 특정 법의 요건에 해당하는 경우 증거로 인정 받을 수 있으며, 법 조항 및 내용이 긴 편이라 혼동되지 않도록 암기를 구분 지어서 잘 해야함
불법 취득 증거의 증거 능력 (위법수집 증거 배제)	* 형사소송법 제 308조의 2에 해당하는 내용으로 법 조문 자체는 짧으나, 원칙과 예외의 내용이 긴편 - 그래도 다른 법 조항 대비 암기가 수월함
원격지 압수	* 타국의 서버에 저장된 정보를 압수하는 원격지 압수수색에 대한 내용으로 판례는 참조용으로 보되, 문제 서술 시, 판례를 예를 들어서 풀어내야함 - 보통 판례를 예를 들어 푸는 경우, 판례를 처음부터 끝까지 다 작성하는 방식이 아닌, "판례는 이러한 xxx 법에 있어서, ~~~" 방식으로 서술함
통신 자료	* 전기통신사업법 제 83조에 해당하는 내용으로, 특정 이용자의 개인정보에 대한 수취를 그 목적으로 한다 - 핵심은 개인정보(이름 등)을 수취하는 것을 목적으로 하며, 통신사업자가 거부할 수 있다는 점이 특징이다
통신사실 확인 자료	* 통신비밀보호법에 해당하는 내용으로 특정 가입자의 전기통신에 관련한 정보를 수취하는 것을 그 목적으로 한다 - 법 항목과 지문이 많고 긴 편이지만, 구분이 확실하여 혼동할 여지는 적은편 - 추가적으로 통신 제한 조치와 겹치는 부분이 많은 편으로 둘을 동시에 암기하는 것을 권장함
통신 제한 조치	* 통신비밀보호법에 해당하는 내용으로 범죄 수사에 추가 정보 획득, 범인 추적 등을 위해 필요한 정보를 수취하는 것을 그 목적으로 한다 - 통신사실 확인 자료와 비교하였을 시, 유사한 부분이 많으나 자세히 보면 확실히 구분지어지는 특징이 있기 때문에, 둘을 동시에 암기한 후에 명확히 구분짓는 연습만 하면 문제 없이 암기가 가능함

 

 

 

* 포렌식 2급 필수 이론
- 뼈대가 되는 이론들로, 암기할 부분은 크게 없으나, 이해는 확실히 하고 넘어가야 하는 부분이다

증거 삭제	* Wiping : 디지털 저장 매체에 다른 데이터를 계속 덮어써서 삭제 파일을 복구 불가하게 만드는 방식 * Degaussing : 전자 기기가 충격, 자기장에 매우 민감한 약점을 이용하여 일정 수준 이상의 자기장에 노출시켜 사용을 불가능하게 만드는 방식 (파괴 방법) - 개념을 이해하고 해당 단어를 숙지하고 있으면 실기 시험 내, 'Wipe', 'Erase' 등의 단어가 포함된 설치 파일 등이 발견되는 경우 증거 삭제를 의도하거나, 이미 실행에 옮겼을 것으로 추정이 가능함
용량 할당	* 물리 및 논리 용량 : 파일에는 디스크 할당 크기로 반드시 일정 크기 이상으로 점유되는 물리 용량(Physical)과 파일 그 자체의 순수 용량(논리-Logical)로 구분된다 - Physical 용량은 Partition이 분할 되어 있더라도, 물리적으로 이미징 할 시, 해당 하드웨어를 통으로 복제(완전 복제)한다. - Logical 용량은 Partition 단위로 이미징이 가능하며, 원하는 부분만 복제할 수 있다는 특징이 존재 * Sector : 저장 매체에서 사용되는 최소한의 데이터 저장 단위 - 일반적으로 언급 또는 표시가 없다면 섹터 당 512 Byte가 표준 크기이다 * Cluster : Sector들의 집합으로, 특정 Cluster를 기준으로 또 한번 영역이 구분된다 - Cluster와 Size가 명확히 동일한 파일이 존재하지 않는 이상, Cluster 내 잔여 저장 공간은 반드시 사용되지 않는 공간이 발생함 * Partition : 하나의 저장 매체의 저장 공간을 각각 독립된 영역으로 나누어 사용할 수 있도록 정의한 규약 (단일 파티션, 다중 파티션 등) - 각 파티션 별로 파일 시스템을 다르게 적용하여 사용할 수 있음 (C 드라이브는 NTFS, D 드라이브는 FAT32 등) * MBR(Master Boot Record) : 윈도우 실행을 위해 Windows가 설치된 파티션의 위치를 확인하여 알려주는 역할로 총 512Byte로 크기가 고정되어 있음 - 0 ~ 446 Byte : Boot Code -> 부팅 시, 사용되는 Code 영역 - 447 ~ 510 Byte (64 Byte) : Partition Table -> 총 4개의 파티션에 대한 각각의 정보를 기록한 영역 - 511 ~ 512 Byte (2 Byte) : Signature (0x55AA) -> MBR의 고정 시그니처 영역 * BR (Boot Record) : 주로 설치 OS를 부팅하는 역할로, 시스템 마다 사용 방법은 상이하나 Windows에서는 각 Partition 별 첫번째 섹터에 BR이 존재함 - MBR 구조처럼 각 Byte가 의미하는 내용이 상이함 - 모두 암기할 필요는 없으나, 시험 상, 반드시 외워 놓아야 Tool 사용 중 크로스 체크하는데 사용할 수 있는 부분들이 존재함 * 파일 시스템 생성 시간 - 파일 시스템 유형에 따라, 언제 생성되었는지 확인할 수 있는 아티펙트가 상이함 ex) NTFS = $MFT 파일의 File Created 시간 ex) FAT32는 Label 설정 시 생성되는 FAT32 Label 파일의 Last Written 시간
이미징	* 복사 : 원본 매체의 논리적 데이터만을 사본 매체에 복사 (파일 to 파일) * 복제 : 원본 매체의 모든 물리적 섹터를 그대로 복제 (물리 매체 to 물리 매체) * 이미징 : 원본 매체의 모든 물리적 섹터를 파일 형태로 복제 (물리 매체 to 파일)
시간 기준	* 분석에서 증거물에 대한 시간 기준은 굉장히 중요하다 - UTC ( Universal Time Coordinated) : 국제 사회의 과학적 시간 표준으로 UTC + 9는 한국 시간(KST) * MAC Time - 파일의 이름 변경 또는 단순 이동에 대해서는 MAC Time이 영향을 받지 않음 - Modifity Time (Last Written Time) : 파일 내용 수정 시 변경 - Access Time (Last Access Time) : 파일이 최근에 읽기 위해 열린 시간 - Creation Time (Created Time) : 파일 생성, 복사, 압축 해제, 외부에서의 다운로드 시 변경됨
EXIF	* EXchange Image file Format) : 디지털 기기(디카, 스마트폰 등) 사진 촬영 시, 촬영 부가 정보를 함께 담는 포맷 - 포렌식 분석 시, 중요 정보들(제조사, 모델명, 촬영 일시, GPS 정보 등)이 포함됨
Steganography	* 이미지 파일 내에 메세지 또는 파일을 숨기는 기술 (사실 이미지 파일 외 음성 파일 등에도 적용 가능하다) - 시험 상, 정해진 파일 시그니처를 뒤틀어서 스테가노 그래피를 숨기는 형태로 출제되기 때문에, 파일 시그니처 Hex 값을 일부 암기해야 함 - 특정 분석툴이 '얘 스테가노그래피에요!' 라고 대놓고 알려주는 도구는 없음
쓰기 방지	* 증거물 이미징 시, 저장 매체와 내부 데이터의 훼손을 방지하기 위해, 매체 연결 전 설정하는 작업 - 물리적 방법 : 물리적 복제 장치에 별도 쓰기 방지 장치를 연결한 후, 사본 매체로 증거물을 복제 - 논리적 방법 : 레지스트리 수정, Encase Fastbloc SE 사용 등이 존재

 

 

 

* 실기 시험 환경
(필기 시험은 주관사 공지나 수험표만 읽으면 알아서들 준비 가능하다)
- 시험 시간이 장장 4시간 (240분)이나 주어지지만, 누군가에게는 긴 시간이 아닐 수 있다.
- 그렇기에 최대한 디테일 한 시험 환경을 알아가면 조금이라도 멘탈 케어에 도움이 될 것이라 생각하여 적어 본다

1) 시험은 DeskTop이 아닌 1인 1 노트북으로 시행
- 본인 노트북을 들고오라는 소리가 아니라, 주관사에서 단체 대여 후, 1인 1 노트북을 제공한다 (모두 동일 환경으로 구성)
- 보통 학습을 집에 있는 데스크탑 등으로 많이들 하실텐데 더블모니터 크게크게 잘 사용하다가 시험장에 와서 당황하시는 분들이 더러 있다 (문제는 내가 그랬다)

2) 각 노트북에는 툴을 설치하기 위한 exe 파일이 모여있다
- 이게 무슨 소리인가 하니, 필자는 당연히 모든 툴을 해당 환경에서 검색만 하면 바로바로 찾아서 실행하고 진행할 수 있을 줄 알았다. (그런데 아니었다)
- 하나의 폴더에 주관사에서 공지한 제공되는 툴의 각 설치 파일들이 모여있다.
(아마도 다 설치해 놓으면 용량도 더먹고 그런 문제가 있겠지만, 아무튼 이건 꽤 충격이었다)
- 즉, 본인이 시험 진행 중에 필요한 툴을 순간순간 설치하거나, 시작하자마자 자기가 쓰는 툴을 왕창 다 설치 시키고 시작하는 등의 전략을 잘 짜야한다.
(필자는 그냥 시나리오 별 순간순간 필요한 툴이 있을 때 찾아서 설치했다. 근데 이거 은근 귀찮고 집중이 깨진다)

3) 노트북은 시험 시작 선언이 나올때만 열자
- 시험장에 가면 벽, 칠판 등에 '시험 전 노트북 열지 마세요' 라는 글들이 있다.
- 그리고 상식적으로 먼저 열고 누가 먼저 만져놓으면 공평하지 못하니 제발 진행요원분들 말좀 들어주길 바란다
(하지 말라는데 꼭 여는 사람들 있다. 그리고 걔중에서 감독관이 내보낼 수도 있다. 말 잘들어서 나쁠 건 없다)

4) 변수는 항상 생긴다
- 필자가 본 회차에는 '한글'이 정상적으로 실행되지 않았다.
- 보고서를 작성하는 방식의 시험인데, '한글' 또는 '워드' 두 유형 중 하나를 선택해서 작성하면 되지만 아무튼 실행이 되지 않는 경우가 있었다
- 근데 어마어마한 퀄리티의 보고서를 원하는게 아니기 때문에 이런건 빠르게 다른 프로그램으로 전환해서 유동적으로 하면 된다
(시험 중에 어떤 사람은 '한글로 연습 해 왔는데 어떻게 해요?! 이거 클레임 걸거에요!' 라고 한 사람도 있었다... 굳이...?)

5) 증거 용량이 크다
- 이 말은 분석Tool에 증거물을 올리는 시간도 어마무시하게 오래 걸릴 수 있다는 말이다
(실제로 필자가 증거물을 Autopsy에 업로드 했을 시, 시험이 끝날 때 까지 5%정도 밖에 불러오기가 되지 않았다)
- 그리고 증거물이 담긴 USB와, 증거 제출용 USB를 별도로 주는데, 제출용 USB에 증거 사본 이미징을 같이 첨부해야 하는 경우가 있다. (근데 용량이 크다고 했으면 뭐다? 미리미리 해야한다... 생각보다 파일 전송 속도가 많이 느리다)

6) 기술 문제와 법률 문제는 명확히 인지하고 분리하라
- 아무래도 기술 문제를 진행 중에, 툴 로딩, 기타 대기 시간 등이 시험 중 종종 발생한다.
- 법률 문제는 별도로 체크를 해둔 후, 어떤 문제인지 인지를 한 상태에서 각각의 대기 시간이 생겼을 때 빠르게 작성하면서 병행 하는것이 시험 시간을 절약하는 방법 중 하나다
- 마찬가지로 법률 문제는 정말 빡빡하게 외우길 추천한다.
(제대로 외워도 헷갈리는 경우가 간혹 생기고, 조금이라도 주저해서 타이핑이 늦으면 결국 기술 문제 지연으로까지 이어진다)

- 이외는 본인이 준비한 정도와 실력에 판가름 되는것 같다. 누구든 질문 하면 잘 답변해 드리겠다.
위 시험을 존비하는 모든 이들에게 건승을 빈다.

 

 

 

* 참조하면 도움이 될 글
- FTK Imager

- Autopsy

- File System 복구

- LNK Parser

- File Signature

- Steganography

- USB 연결 흔적 확인

- EXIF 정보

- FTP 사용 흔적

- E-Mail 정보 확인

- Print 정보 확인

- 네트워크 정보 확인

- Jump List

- Prefetch

- NTFS Log Tracker

- Windows TimeLine

- Windows Memory Forensic