디지털포렌식 전문가 2급 17회 실기 후기
Table of Contents
시험준비
디포전 2급 17회 시험은 2021년 11월 27일에 진행됐다. (필기는 특별히 남는 기억이 없어서 후기 작성 안했다.)
회사 퇴근하면 아무것도 하기 싫어져서 시험 전날까지 기출 문제도 안보다가 시험장으로 가는 버스 안에서 실기 시험에 나오는 법 관련 부분만 열심히 봤다. 그 전까지 시험 문제가 어떻게 나오는 지도 잘 몰랐다. 시험장에서 문제지 받고서야 '아 이렇게 나오는구나' 했다.
시험장이 대학교 실습실이었는데 컴퓨터 사양이 좋진 않았다. 마우스는 클릭이 자꾸 씹혀서 시험 전에 바꿔달라고 했다. 감독관님이 돌아다니면서 장비에 문제 있으면 말하라길래 바로 요청했다. 대충 5명 넘는 인원이 마우스 교체한 듯. 좋지도 못한 컴퓨터에 뭔가 많이 깔린 탓인지 속도도 느렸다. 리소스 제일 많이 잡아먹는 알약 프로세스 죽이니까 한결 낫더라. Autopsy로 이미지 분석 돌리니까 디스크 사용량이 100% 찍으면서 또 느려지길래 Autopsy는 키워드 서치 하나 돌리고 바로 버렸다. 단순히 그냥 느린 게 아니라 워드가 자동저장하다가 막히니까 죽어버릴 정도였다.
실기 시험은 문제지와 문제 USB, 답지 USB가 들어있는 서류 봉투를 개개인에게 배부한다. 문제지에는 안내사항과 시나리오, 문제가 적혀있는데 총 10쪽에 이른다. 특히 안내사항엔 답지 USB에 답지 파일과 근거 자료 파일을 어떻게 저장해야 하는지가 적혀있다. 시험 시간은 3시간가량 되니 문제 USB 이미징 뜨는 동안에 안내사항을 천천히 꼼꼼하게 읽어보길 바란다.
실기 시험에 사용하는 분석 도구는 실기시험용 컴퓨터에 미리 저장되어 있다. 시험 시작과 동시에 설치하거나 사용하면 된다. 보통 운영 측에서 바탕화면에 복사해두는 거 같은데 만약 분석 도구들이 담긴 폴더가 안보일 경우 감독관에게 분석 도구 폴더가 없다고 말하면 된다. 그럼 분석 도구가 담긴 USB를 주는데 파일 모두 그대로 바탕화면에 복사하면 된다. 이거 몰랐으면 시험 못 볼 뻔 했다. 처음엔 인터넷에서 필요한 도구 다운받아서 푸는 건가 했는데 인터넷이 끊겨 있더라. 다른 사람들 바탕화면엔 분석 도구 폴더가 있는데 나만 없길래 창피함을 무릅쓰고 감독관에게 말했더니 자기들이 깜빡한 모양이었다.
기본으로 제공해주는 도구도 꽤 다양하다. 필요하다면 사전에 신청해서 자기가 쓰는 도구를 추가로 가져올 수 있는 모양이던데 1급은 몰라도 2급 실기 시험은 기본으로 제공하는 분석 도구로도 충분하다. FTK Imager, EnCase, KFOLT도 있고, HxD도 있고, EML 보는 Mail Viewer란 애도 있고 등등 문제 푸는데 차고 넘칠 정도다. 난 FTK Imager, HxD, Mail Viewer, Autopsy 4개 썼다.
문제
문제는 10갠가 11개 정도 나왔다. 마지막 4문제는 모두 법 관련 문제였다. 각 문제들이 기억은 안 나는데 1번은 국룰인 '사본 생성 과정을 서술하시오'였고, 2번 부터는 숨겨진 데이터를 찾는 문제였다. 시나리오는 산업 기밀을 유출한 직원의 USB 메모리를 분석하여 누구와 공모해 어떤 기밀을 유출했고, 그에 대한 보상은 무엇인지 찾는 문제였다.
이번 실기 문제에 주어진 문제 USB에는 총 4개의 볼륨이 있었는데 그 중 2개만 정상 인식되는 상태였다. 윈도우가 참 위험한 게 VBR이 없으니까 이 볼륨 사용하고 싶으면 포맷하라는 메시지 박스를 띄운다. 잘못 클릭해서 포맷되면 문제 못 푸니까 절대 당황하지 말자. 그러라고 이 글을 작성한 것이다.
FTK로 이미징 뜨고 확인해보니 인식되지 않는 2개 볼륨의 VBR이 모두 삭제되어 있었다. 그래서 USB 이미지 하나 더 복사해서 VBR 복구본 만들고 그걸 FTK로 열어서 분석했다. 하나는 NTFS였고 다른 하나는 FAT였다. 두 파일 시스템 VBR 복구 방법은 꼭 공부하고 가자. 다 까먹은 줄 알았는데 그래도 감이 남아있었나보다.
- #1 FAT - File Allocate Table
https://geun-yeong.tistory.com/75
USB를 복구하고 나서는 기밀을 유출한 직원에게 접근한 이는 누구인지, 내부 직원 중 누구와 공모했는지, 유출한 기밀은 무엇인지 같은 건 DOCX 같은 문서 파일을 ZIP으로 변환하면 그 안에 들어있다던가, JPG 파일 트레일러 뒷부분에 ZIP 파일 데이터를 넣어둔다던가, JPG 파일 헤더 2바이트를 NULL로 바꿔 정상적으로 보이지 못하게 한다던가, JPG 파일인데 확장자를 EXE로 바꿔놓는 정도였다. 다만 이러한 파일들을 찾는 과정은 좀 노가다였다.
가장 어려웠던 건 유출한 기밀을 찾는 문제였는데, JPG 파일 트레일러 뒤에 숨겨진 압축 파일의 비밀번호를 찾아 압축 해제하면 GHO 파일이 나온다. 이 GHO 파일마저도 암호화 되어 있어, 이 비밀번호를 찾는데 좀 애먹었다. 시험 종료 30분 남기고 비밀번호 찾아서 풀고 그 안에 숨겨진 기밀파일 찾아서 부랴부랴 답지 적었었다. 비밀번호는 헤더 망가뜨린 JPG에 숨어있거나 XLSX 같은 파일 어딘가에 숨어있었다. 이 비밀번호 찾을 때 Autopsy 키워드 서치 딱 한 번 쓰고 바로 버렸다.
나머지는 법 관련된 질문이었는데 전문증거를 증거로 쓸 수 있도록 할 수 있는 예외법칙이랑 참여권 보장, 압수수색영장 집행 중 별건정보 발견 시 취해야 할 행동, 나머지 하나는 기억이 안 난다.
후기
전부 다 풀긴 했는데, 법 문제는 조금 자신이 없다... 분석 문제는 쉬운 난이도의 포렌식 CTF 문제 풀고 라이트업 쓰는 기분이었다. 딱히 즐겨하는 편은 아니었는데 포렌식 CTF 문제 풀던게 도움이 많이 됐다. 한편으로는 전공자라도 이런 CTF 문제 안 풀어봤다면 꽤나 힘들 거 같다는 느낌이었다. 법이야 달달 외우면 된다지만 저렇게 숨겨진 데이터 찾고, VBR 복구하고, JPG 헤더 복구하고 하는 건 CTF 문제 아니면 접하기 쉽지 않으니까. 저런 거 어떻게 풀어야할 지 캐치하는 센스도 기를 겸 포렌식 CTF 문제 몇개 풀어보는 것도 디포전 실기 준비에 큰 도움이 될 것이다.
꿀팁일지 모르겠는데 시험 시간이 3시간이긴 하지만 문제 풀다보면 생각보다 부족하다. 중간중간 좀 오래 걸리는 작업(Autopsy 케이스 분석 돌린다던가)이 생기면 뒤에 법 문제 미리 작성하다가 작업 끝나면 다시 문제 푸는 식으로 시간을 유연하게 운영하길 추천한다.
덤으로 문제를 보고 관련 증거 자료를 찾으면 제일 베스트지만 오히려 그 과정에서 다른 문제의 증거 자료를 찾는 경우가 더 많다. 그럴 땐 과감하게 증거 자료에 해당하는 문제를 풀자. 문제 순서대로 풀지 않아도 문제 푸는덴 지장 없더라.
필기 접수비가 5만원, 실기 접수비가 15만원, 자격증 유지 교육도 돈 좀 들어가던데 참 비싼 자격증같다. 실기 시험 한 번 치려면 컴퓨터 딸린 실습실 빌려야 하고 인당 USB 2개(문제, 답지)씩 줘야하고 하니 돈 많이 들어가는 건 이해가는데... 한번에 못 붙으면 또 손 벌벌 떨면서 15만원 결제해야 하니 한번에 붙을 수 있도록 준비 잘 해서 가도록 하자.
자격증이 제법 까리하다.