국세청은 모 기업에서 직영점들에게 POS 데이터를 조작하라는 지시를 내려 비자금을 조성한다는 첩보를 입수, 모 기업의 직영점 A와 B를 압수 수색한다.

직영점 A에서는 별다른 조작 흔적을 발견하지 못하였지만, 직영점 B에서 압수수색을 진행하는 과정에서 소파밑에서  USB 하나를 발견한다. 하지만 분석 컴퓨터는 해당 USB를 인식하지 못하였다.

당신은 국세청 소속의 포렌식 전문가로 해당 USB를 복구하여 모 기업에서 직영점들에게 지시한 내용 증거와 POS 데이터를 조작한 증거를 찾아라.


 * 보고서의 수신처는 시험관리본부장으로 하라.


1. 디지털 포렌식 전문가가 현장에 도착하면 해야 할 일은?


2. 간혹 법정에서 상대 측 변호인이 증거의 무결성 훼손을 주장 할 때가 있다. 다음 두 경우에 관련하여 증거의 무결성을 입증 할 방법을 자세히 서술하여라.

 - 증거 수집 시

 - 증거 이동 시


3. USB를 복구 하고, 복구 방법을 자세히 서술하고 복구 된 상태를 캡쳐하여 보고서에 첨부하여라.


4. 모 기업에서 직영점들에게 POS 데이터를 조작하라는 지시를 내렸다는 증거를 찾아라.


5. POS 데이터 조작과 관련된 데이터를 모두 제시하여라.(제출)



[문제 파일 링크]

Forensic Test : http://naver.me/G0UEsWfi - ForensicsText.vol1.egg

http://naver.me/xd5ExzaZ - ForensicsText.vol2.egg

문제 파일이 분할 압축되어 있습니다. 두 파일 모두 받으셔서 압축을 해제 하셔서 문제를 푸시면 됩니다.

문제 다운로드 링크가 유효하지 않다면 개인적으로 메일을 보내주시기 바랍니다.


[간단한 시험 후기]

 실기시험 모집 몇일 전까지만 해도 시험장이 모자란다는 소리가 나오지 않았었는데 모집 일정 막바지에 접어드니 수험신청자들이 몰려 시험장이 두 군데로 늘어났었습니다. 저도 그래서 시험장이 바뀌었구요.. ㅠㅠ

그래서 제가 알기로는 수험자들이 100명이 넘었습니다. 시험날, 시험장에 도착해서 시험을 30분정도 봤을 때부터 제가 속해 있던 시험장에 대부분 분들은 한숨을 쉬셨습니다. 1,2번은 사실 답이 거의 정해져있는거라 외워서 가면 되지만 분석하는 건 그렇지 않기 때문이죠. 대부분 파티션 복구 부분에서 해매시는 것 같았습니다. 그런데 이번 문제는 파티션 복구를 하지 못하면 4,5번 문제를 절대로 풀 수 없는 문제이기 때문에 다른 분들이 유독 힘들어 하셨던 것 같았습니다. 또 많이 접해보지 않은 POS 데이터 조작에 관한 문제여서 POS 데이터 조작 증거를 찾는 부분에 있어서도 많은 분들이 어려워 했던 것 같았습니다.(시험 끝나고 엘리베이터를 타는데 이런 이야기를 들었어요 ^^;)

 사실 POS 데이터 조작, 이런 것들 몰라도 충분히 지문과 타임라인 분석만으로도 해당 문제는 풀 수 있었던 문제여서 포렌식을 제대로 공부만 했다면 어렵지 않았을 문제라 생각이 듭니다.



p.s - 업로드 한 파일은 임의로 제작한 문제 파일입니다. 문제 푸는데 필요한 증거파일은 임의로 만들어 넣어두었으니 문제 푸는데 지장없으실 것 같습니다. 실제 문제는 실제 업무에서 사용하는 USB처럼 꾸며졌으며, 국세청에서 직접 만든 문제라고 들었습니다. 그러니 증거파일을 찾는 것이 지금 업로드 한 파일보다는 조금 더 어려울 수 있습니다. 이 점 참고하시고 공부하시기 바랍니다. ^^

혹시, 자신이 작성한 보고서나 풀이방법이 맞는지 궁금하시다면 메일로 보고서 파일과 답안 파일을 보내주세요. 어느정도는 평가해 드릴 수 있습니다. 

저작자 표시 비영리 변경 금지
신고
  1. 이전 댓글 더보기
  2. 2014.08.08 22:38

    비밀댓글입니다

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2014.08.11 10:17 신고

      다운로드 링크를 재 링크 하였으니 다시 한번 확인해 보시기 바랍니다 ^^

  3. 2014.10.22 15:11

    비밀댓글입니다

  4. 2014.11.27 09:13

    비밀댓글입니다

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2014.12.11 11:09 신고

      pos 데이터는 제가 실제와 비슷하게 구현하기가 까다로워 아무런 값만 넣어두었습니다. 하지만 pos 데이터가 중요한 것이 아니라 pos 데이터가 담긴 파일이 수정되었다는 논리적 증명이 이루어져야 합니다.
      base64는 조금 잘못 접근하신 것 같네요... 내용은 인코딩, 디코딩을 떠나 정상적으로 보입니다. ^^

  5. 2014.11.28 00:58

    비밀댓글입니다

  6. 2014.12.04 13:24

    비밀댓글입니다

  7. Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2014.12.11 11:09 신고

    문제 다운로드 링크 복구해 두었습니다.

  8. 2015.01.18 19:10

    비밀댓글입니다

  9. 2015.02.25 12:32

    비밀댓글입니다

  10. 2015.03.12 01:09

    비밀댓글입니다

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2015.03.15 19:23 신고

      저는 시험 보기 전에 이미 운영체제, 컴퓨터구조 등의 공부를 해둬서 시험 볼때에는 e-포렌식 책만 보았습니다.

  11. 2015.05.18 16:39

    비밀댓글입니다

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2015.05.18 17:31 신고

      정답은 따로 작성해 둔 것이 없어 보내드릴 내용이 없네요 ㅠㅠ..

  12. 2015.05.26 11:41

    비밀댓글입니다

  13. 2015.05.28 01:36

    비밀댓글입니다

    • Favicon of http://maj3sty.tistory.com BlogIcon MaJ3stY 2015.06.04 12:57 신고

      saiwnsgud@gmail.com 메일로 연락주시면 됩니다 :-)

      다시 한번 내용을 정리하여 메일로 연락주세요~!

  14. 2015.06.12 16:41

    비밀댓글입니다

  15. 2015.10.11 03:33

    비밀댓글입니다

  16. BlogIcon HackedSniper 2016.03.02 22:29 신고

    저 다름이 아니라 위의 압축파일에 접근하려 하였으나 링크가 만료되었다고 합니다.
    혹시 pgh9812@gmail.com이나 pgh1032@naver.com으로 보내주시면 감사하겠습니다.

    ___________________________________________________________________________
    HackedSniper(KITRI BOB 4th Digital Forensic Track Trainee)
    pgh9812@gmail.com

  17. 2016.05.27 17:59

    비밀댓글입니다

  18. 감사합니다! 2016.11.17 14:19

    관리자의 승인을 기다리고 있는 댓글입니다

  19. 2016.12.07 22:05

    비밀댓글입니다

  20. 2016.12.07 22:06

    비밀댓글입니다

  21. 이동훈 2017.05.28 17:53 신고

    파일 링크가 만료되었다고 합니다.. 시험준비 간 큰 도움이 될 것 같습니다.
    꼭 보내주시면 감사하겠습니다.
    win1133@naver.com 입니다.

+ Recent posts