본문 바로가기

[+] Information/[-] Certificate

[디지털 포렌식 전문가 2급] 실기 시험 문제

국세청은 모 기업에서 직영점들에게 POS 데이터를 조작하라는 지시를 내려 비자금을 조성한다는 첩보를 입수, 모 기업의 직영점 A와 B를 압수 수색한다.

직영점 A에서는 별다른 조작 흔적을 발견하지 못하였지만, 직영점 B에서 압수수색을 진행하는 과정에서 소파밑에서  USB 하나를 발견한다. 하지만 분석 컴퓨터는 해당 USB를 인식하지 못하였다.

당신은 국세청 소속의 포렌식 전문가로 해당 USB를 복구하여 모 기업에서 직영점들에게 지시한 내용 증거와 POS 데이터를 조작한 증거를 찾아라.


 * 보고서의 수신처는 시험관리본부장으로 하라.


1. 디지털 포렌식 전문가가 현장에 도착하면 해야 할 일은?


2. 간혹 법정에서 상대 측 변호인이 증거의 무결성 훼손을 주장 할 때가 있다. 다음 두 경우에 관련하여 증거의 무결성을 입증 할 방법을 자세히 서술하여라.

 - 증거 수집 시

 - 증거 이동 시


3. USB를 복구 하고, 복구 방법을 자세히 서술하고 복구 된 상태를 캡쳐하여 보고서에 첨부하여라.


4. 모 기업에서 직영점들에게 POS 데이터를 조작하라는 지시를 내렸다는 증거를 찾아라.


5. POS 데이터 조작과 관련된 데이터를 모두 제시하여라.(제출)



[문제 파일 링크]

Forensic Test : https://drive.google.com/file/d/1veE0cPHyHQNPOIWHnm0TyayXeCPSgq-X/view?usp=sharing - ForensicsText.vol1.egg

https://drive.google.com/file/d/1gWuQiUMRr55wGxZn-7F3NzxjNrZAHc5l/view?usp=sharing- ForensicsText.vol2.egg

문제 파일이 분할 압축되어 있습니다. 두 파일 모두 받으셔서 압축을 해제 하셔서 문제를 푸시면 됩니다.

문제 다운로드 링크가 유효하지 않다면 개인적으로 메일을 보내주시기 바랍니다.


[간단한 시험 후기]

 실기시험 모집 몇일 전까지만 해도 시험장이 모자란다는 소리가 나오지 않았었는데 모집 일정 막바지에 접어드니 수험신청자들이 몰려 시험장이 두 군데로 늘어났었습니다. 저도 그래서 시험장이 바뀌었구요.. ㅠㅠ

그래서 제가 알기로는 수험자들이 100명이 넘었습니다. 시험날, 시험장에 도착해서 시험을 30분정도 봤을 때부터 제가 속해 있던 시험장에 대부분 분들은 한숨을 쉬셨습니다. 1,2번은 사실 답이 거의 정해져있는거라 외워서 가면 되지만 분석하는 건 그렇지 않기 때문이죠. 대부분 파티션 복구 부분에서 해매시는 것 같았습니다. 그런데 이번 문제는 파티션 복구를 하지 못하면 4,5번 문제를 절대로 풀 수 없는 문제이기 때문에 다른 분들이 유독 힘들어 하셨던 것 같았습니다. 또 많이 접해보지 않은 POS 데이터 조작에 관한 문제여서 POS 데이터 조작 증거를 찾는 부분에 있어서도 많은 분들이 어려워 했던 것 같았습니다.(시험 끝나고 엘리베이터를 타는데 이런 이야기를 들었어요 ^^;)

 사실 POS 데이터 조작, 이런 것들 몰라도 충분히 지문과 타임라인 분석만으로도 해당 문제는 풀 수 있었던 문제여서 포렌식을 제대로 공부만 했다면 어렵지 않았을 문제라 생각이 듭니다.



p.s - 업로드 한 파일은 임의로 제작한 문제 파일입니다. 문제 푸는데 필요한 증거파일은 임의로 만들어 넣어두었으니 문제 푸는데 지장없으실 것 같습니다. 실제 문제는 실제 업무에서 사용하는 USB처럼 꾸며졌으며, 국세청에서 직접 만든 문제라고 들었습니다. 그러니 증거파일을 찾는 것이 지금 업로드 한 파일보다는 조금 더 어려울 수 있습니다. 이 점 참고하시고 공부하시기 바랍니다. ^^

혹시, 자신이 작성한 보고서나 풀이방법이 맞는지 궁금하시다면 메일로 보고서 파일과 답안 파일을 보내주세요. 어느정도는 평가해 드릴 수 있습니다.