디포전 2급 실기시험 후기

서론 - 시험 전

필기 시험을 치루고 일주일 뒤 필기 시험 합격자 발표가 났다. 전략적으로 공부했던 것이 주요했는지, 운이 좋게 한번만에 합격 할 수 있었다. 무엇이든 결과를 보기전엔 항상 조마조마 하지만, 그래도 이 시험은 내가 담고 있는 분야이니 떨어지고 나서의 후폭풍(주변에서의 온갖 놀림 등) 때문에 더 긴장했을지도 모른다.

실기 접수 주는 정말 바빴다. 강의 준비도 해야했고, 논문 예심과 해커톤이 모두 겹치는 바람에 거의 매일 밤을 세다 싶이 살았던 것 같다. 왜 이렇게 욕심을 부리는지 모르겠으나, 그래도 즐거웠다. 해커톤 결과야 어찌됐던 부족한 점도 깨닫고 보완해야 할 점을 파악할 수 있었으며, 다음 또 도전하겠다는 의욕이 생겼다. 첫 해커톤의 느낀점이다.

그리고 정신없이 회사일을 하다보니 어느새 실기 시험이 일주일 앞으로 다가왔다. 평소에는 아티팩트마다의 분석 도구를 애용하는 편이고 데이터를 전처리해야 하는 경우엔 그냥 Python 코드로 해결하는 편이라 EnCase 같은 도구에 익숙하지 않았다. 그 특유의 GUI는 아직도 익숙하지가 않다. (홈플레이트 버튼 빼고 - GUI 측면에선 유일하게 좋은 기능인듯) 이참에 EnCase의 세세한 기능을 살펴 보리라.

본론 1 - 시험 준비

이번에도 전략적으로 공부하기 위해 자료조사를 선행하였다. 하다보면 알겠지만, 사실 디지털포렌식 2급 자격증, 특히 실기시험은 자료가 굉장히 한정되어 있다는 걸 알수 있다. 아마 검색을 통해 이 글을 접하신 분들이라면 다음 3가지 링크 다 보셨을 것이다. 읽어보면 좋은 글들이니 꼭 읽어보자.

• 링크 1 - 시험의 전반적인 와꾸(…) 파악에 도움 되는 글.
• 링크 2 - 위와 같이 전반적인 시험의 형태 파악에 도움 되는 글. 윗글보다 좀더 깔끔히 정리되어 있으며, 가장 최신의 글이다.
• 링크 3 - 문제 예시와 함께 증거물 샘플이 있는 글.

위의 글들을 종합하면 문제는 크게 5가지 유형으로 나뉠수 있다.

1. 포렌식 절차 및 법률 - 평가 시 주어지는 증거물과는 무관하게, 디지털포렌식 수행에 있어 필요한 절차를 서술하는 문항이다. 시험마다 조금씩 스코프가 다른 듯 하며, 이것도 크게 현장에서의 대응 절차와 오피스내의 무결성 유지 방안 등 두가지가 있다. 오피스의 경우에는 출동 전후로 나뉘어 서술하는 듯 하다.

2. Chain of Custody - 디포전 2급 실기의 핵심인 문제라고 볼 수 있다. 여기서의 과정이 틀린다면 이하의 문제는 아무리 고득점을 맞아봤자 소용없다. 증거물을 이미징 하는 과정(Write Block 후 평가에 활용하는 USB의 내용을 E01 등으로 이미징 하는)을 상세히 기록하며 최종 해시값과 Verify 이후의 해시값을 제시해야 한다.

3. 파일 시스템 해석 - 역시 거의 고정적으로 나오는 문제인 것 같다. 주어진 증거물의 파일시스템 종류, 섹터의 수, 볼륨의 크기, 볼륨 시리얼 넘버 등을 단답식으로 제시한다. EnCase의 기능을 이용하면 무리없이 해결 가능하며 반드시 만점을 받아야 한다. 단, 시험 비교적 초창기에는 파티션 테이블이나 MBR 혹은 VBR을 의도적으로 손상시켜 손수 복구해야 하는 지옥의 난이도를 선보였다고.

4. 아티팩트 분석 - OS 아티팩트를 분석하기 보단 주로 디스커버링 능력을 요구한다. 특정 파일의 확장자를 바꾸고 EnCase의 Process 기능에 파일 시그니쳐 검사 기능을 이용해 확장자와 시그니처가 Missmatch 인 파일을 찾는다던지. 아니면 직접 한땀한땀 손수 찾는다던지

5. 변별력을 위한 문항 - 유형이 고정적이지 않고 시험에 따라 다른 문항이다. 법률적인 문항일수도, 기술적인 문항일수도 있으며, 기술적인 문항은 주로 파일시스템을 세세히 공부했을 경우에 답할수 있는 수준의 난이도이다. 예컨대 FAT32와 NTFS의 차이점을 서술한다던지, NTFS의 저널링은 어떤 기능을 수행하는지 서술한다던지, 혹은 모 파일시스템의 특정 오프셋을 물어볼수도 있다. 하지만 파일시스템만 공부하면 또 안되는것이, lnk 파일의 형태(오프셋 단위로)를 설명하고 디지털포렌식적 의미를 설명하라는 등의 OS 아티팩트를 묻는 고난도의 문제도 출제될 수 있다.

이렇게 유형을 나누고 나니 어떤것을 준비해야 하는지 감이 잡혔다.

절차나 법률의 경우 위의 링크들에서 정보가 충분했고, 학교에서 배운것도 있고 하니 미리 내용을 써두고 외웠다. CoC의 경우도 이미징 2~3번 떠보면서 EnCase 혹은 FTK Imager 기능에 익숙해지면 되는 것이며, 만약의 상황에 대비하여 레지스트리의 WriteProtect 키를 외워두었다.

파일시스템 해석은 파일시스템 복구 문제는 제발 안나오길 바라며 NTFS의 VBR 백업 찾는것만 연습했다. 볼륨 정보 해석은 사실 EnCase가 해주니 큰 걸림돌은 아니였다.

아티팩트 분석이나 변별력을 위한 문항은 사실 단기간에 공부해서 해결되는 일들이 아니기 때문에 그날의 나를 믿기로 하였다. 그동안 일하고 공부한게 헛된 것이 아니길 바라며..

이렇게 준비하니 막장처럼 준비했던 시험 전날까지 망나니였던 필기고사 보다 더 안심이 되었다.

본론 2 - 시험 시행

(시간이 허락한다면 당시 시험과 비슷하게 복원하여 공유하는 포스팅을 작성하겠습니다. 작성시 이 괄호는 해당 글의 링크로 대체됩니다.)

제 11회 시험은 성대, 고대, 서울과기대 총 3곳에서 동시에 실시되었다. 장소는 선택할 수 없었으며, 임의 배정이었다. 모교가 성대긴 해도 집은 고대 근처에 있으니 내심 고대쪽이었으면 하였고, 우연히 고대 고사장에서 시험을 치를수 있었다.

시험장엔 미리 도착했는데 세팅이 아직 끝나지 않아 분주하였다. 학회 사정을 알기에 너무 안타까웠다. 언젠간 꼭 제대로 된 고사장 환경에서 준비하는 사람도, 수검생도 편안히 시험을 치뤘으면 좋겠다.

시험과 관련하여 미리 알고 있던 정보에서 추가된 것은 다음과 같은 것들이었다.

• 문항별로 답안지를 작성할 것을 공식화 하였다. 심지어 디렉토리 구조도 어떻게 해야하는지 예시를 유의사항에 명시하였다.

• 수검자 별로 주어진 USB에 일렬번호를 붙였고, 제출하는 답안 CD에 해당 번호를 기입하도록 하였다. 아마도 무결성 입증시 USB별로 해시값이 다른 경우에 대한 이슈를 해결하기 위함인 것 같다.

• EnCase 전자 라이센스를 인증하는 방법에 대해 설명되어 있었다. 이미 라이센스가 적용되어 있어서 시험과는 크게 상관없었다.

시험 전까지는 변별력을 위해 나올 문항들 중에서 자신없는 부분을 정리한 노트 외우기로 시간을 떼웠다.

그리고 여러분이 궁금해 할 시험 유형은 다음과 같았다.

1. 포렌식 절차 및 법률, CoC, 파일시스템 해석 문제는 알려진 것과 거의 유사하게 출제되었다.

2. 의외로 아티팩트 분석이 발목을 붙잡았다. EnCase 혹은 자신이 사용하는 도구의 기능을 세세하게 아는 사람만이 해당 문항을 해결했을 것이다.

3. 변별력을 위한 문항은 마찬가지의 의외로 법률파트에서 나왔다. 문항을 복원하면 다음과 같다.

(to be continued..)