6. 답안 제출 및 보고서 작성

시험에서 가장 중요한 것은 시험에서 요구하는 형태로 정확히 제출 하는 것입니다. 아무리 분석을 잘 했어도 제출을 정상적으로 하지 못하면 절대 합격할 수 없습니다. 따라서 문제지를 받으면 어떤 형태로 제출해야 하는 지를 꼼꼼히 확인한 뒤 제출해야 합니다.

1. 답안 제출 방법

• 디지털포렌식 2급 실기의 경우 기존의 다른 IT관련 시험과는 매우 다른 형태로 답안을 제출하게 됩니다. 한번 해보면 크게 어려울 거 없지만, 처음 하는 경우 시험장에서 당황하거나 요구 사항을 잘못 이해해서 잘못된 방식으로 답변 제출하는 경우도 자주 발생합니다.

• 아무리 답이 정확해도 저장해야하는 폴더명, 파일명 등을 잘못 저장한 경우 불이익을 받을 수 있으니 꼭 유의해야 합니다.

• 시험시작 시 받는 것

  • 분석대상 USB -> 절대로 이 USB를 연결할 때는 쓰기방지를 한 뒤 이미지 획득 후에는 절대 건들지 않습니다. 이 USB에 답안 저장하여 제출할 경우 무조건 불합격일 것입니다.(원본 훼손)

  • 답안 제출용 USB / CD

  • 문제지 : 답안 저장하는 방법(요구사항) 꼼꼼히 확인 ex) 무슨 폴더 밑에 1번 답안 작성, 의심파일은 어느 폴더에 넣을 것 등등.. 답안은 워드프로세서 프로그램(한글, word, ppt)을 이용하여 작성하여라. 파일명은 "수험번호"로 저장하라 또는 문제 번호로 저장하라 등...

    

(필수) USB로 제출하는 경우

1. 문제지에서 요구하는 형태로 답안제출용 USB에 문제별 폴더를 만들고 답안 보고서, 답안에 활용한 증거 파일들을 저장 합니다.

   
2. 요구사항에 맞는 파일 명으로 만들고 근거 자료 및 증거 파일을 다른 폴더에 저장합니다. 근거자료/증거파일을 USB에 저장할 때는 아래 4-1) 주요 증거 파일 제출을 참고하여 저장하는 것을 추천합니다.

   
3. (참고)문제 제출용 USB에 아래와 같은 내용이 들어가 있으며, 이미 들어 있는 문서에는 어느정도 주어진 증거분석 서식에 빈칸을 주고 채우는 경우도 있습니다.

   

   

(참고) CD로 제출하는 경우

• 최근에는 대부분 답안 제출도 USB로 하는 것으로 알고 있습니다. 다만 이전에는 CD에 답안 파일을 저장하여 제출하였습니다.

• 최근에는 CD를 사용할 일이 매우 적기 때문에 연습이 어려울 수 있으나 한번 정도 대충 이렇게 저장할 수 있다는 것 정도만 알고 있어도 시험장에서 대응이 될 것입니다. 윈도우의 기능을 이용하여 답안 제출용 파일을 저장하는 방법을 확인해보도록 하겠습니다.

1. 제출용 CD를 넣은 뒤 기다리면 내컴퓨터에서 아래와 CD/DVD 확인이 가능합니다.

   

2. 이 후 제출할 파일들을 선택 후 우클릭 → 보내기 - DVD 를 선택합니다.

   

3. 아래와 같이 디스크 제목, USB 또는 "CD/DVD 처럼 사용" 중에서 어떤 것을 할 것인지 물어볼 것 입니다. 시험지에서 아마 저장할 때 USB 처럼 사용 하라는 특별한 언급이 없다면 포렌식에서는 대부분 [CD/DVD 플레이어 처럼 사용]을 선택합니다. 이렇게 선택하는 이유는 저장되고 난 이후에 수정이 되지 않기 때문입니다.

   

   혹시 시험장에서 실수로 잘못 저장하거나, 이후에 새로 파일이 추가될 경우 손을 들고 CD를 추가로 요청하셔서 다시 하시는 걸 추천 드립니다.

4. 파일이 넘어가면 아래와 같이 + 모양이 붙은 채로 [디스크에 쓸 준비가 된 파일]이 나타납니다.

   
5. 제출할 모든 파일이 준비되었다면 아래와 같이 DVD를 선택 한 뒤 우클릭 - [디스크에 굽기]를 진행하여야 CD에 저장됩니다.

   

6. 디스크 제목은 시험지에서 요구에 맞게 저장해야 합니다.

   

   
7. 굽기가 완료되면 CD 플레이어에 따라 다르지만 자동으로 CD가 나오며 다시 CD를 넣어서 제대로 데이터가 들어갔는지 꼭 확인해야 합니다.

※ 만약 제출용 CD케이스가 종이라면 수험번호 등을 적을 때 꼭 CD는 빼고 작성 합니다. CD가 들어 있는 상태에서 종이 위에 글자를 쓰면 CD가 긁혀 정상 동작 하지 않을 수 있습니다.

2. 주관식 답안 작성

• 일반적으로 시험 문제는 주관식으로 물어보며 해당 질문 별로 답안 문서 파일을 생성하여 해당 내용을 저장하게 됩니다.

• 문서 파일에 문제 작성 및 답안을 작성하고 필요시 표, 캡쳐 등을 추가 합니다.

• 주관식을 일반적으로 크게 아래 유형으로 출제되고 있으며 문제마다 문제의 갯수는 다를 수 있습니다.

  1. 사본 이미지 생성 과정 작성 문제: 쓰기방지부터 이미지 획득 하는 과정 작성 문제

  2. 파일시스템 복구 : 파일시스템 복구 과정 작성

  3. 기초 분석 : 시나리오와 상관없이 필요 시 파일시스템 복구 후 포렌식 도구를 이용하여 바로 확인이 가능한 분석 문제

     • 사본이미지 파일의 해시값

     • 설치된 운영체제 파일 시스템 종류 / 전체용량 / 클러스터크기 / 볼륨 시리얼 넘버 등..

     • 설치된 운영체제의 종류 / 할당된 IP / 네트워크 카드 제조사 등..

  4. 사건(시나리오) 관련 분석 : 시나리오상 주요 증거가 될 수 있는 분석 문제

     • 확장자 변경, 시그니처 훼손 등 파일을 정상적으로 확인한 내용

     • 메일, 특정시간에 특정 경로에 인터넷 접속 기록 등..

     • 특정 방법을 이용하여 외부로 유출한 로그 파일 등..

     • 암호를 찾아 복호화하여 시나리오와 관련된 주요 파일/내용 등..

  5. 절차 및 법 관련문제 : 디지털 포렌식 절차 및 형사소송법의 증거법 관련 주관식 질문

  6. 포렌식 기술관련 주관식 문제 : 시나리오와 상관 없는 포렌식 기술 주관식 문제

     • 윈도우에서 FAT32 파일을 휴지통 삭제할 때 파일시스템의 변화되는 부분

     • 윈도우에서 USB 연결시 변경되는 부분

  7. 디지털포렌식 분석 보고서 작성

     사실 주관식 출제된 문제의 답을 하나의 보고서 형태로 작성하는 것 포렌식 보고서라고도 볼 수 있습니다.

     • 다만, 최근 시험에서 포렌식 보고서에 작성하는 문제에 필수 내용을 포함하여 작성하라는 식의 문제가 출제되었으며, 필수 내용이 무엇인지는 알려주지 않은 듯 합니다. 즉, 사건과 포렌식 분석 전반에 걸쳐서 포렌식 전문가 관점에서 봤을 때 주요 내용을 작성하는 문제가 출제되고 있는 것으로 보입니다.

     • 그러나 디지털포렌식 보고서의 배점도 매번 다르고 보고서 작성이 미흡하다고 해서 시험 결과에 영향이 엄청나게 크지 않을 것입니다.

주관식 답안 작성 샘플

수집/분석/복구 과정을 작성하라. 말 그대로 수집/분석, 파일시스템 복구 과정 중에 주요 부분만을 캡쳐하고 간단히 설명합니다.

1. 기초 분석 관련 먼저 간략히 시험에서 요구하는 답변을 작성 후 필요 시 도구를 활용하여 해당 부분을 확인한 부분을 캡쳐하여 표시하여 왜 이렇게 작성하였는지 까지 작서하면 좋을 것 입니다. 절대 포렌식 도구가 보여주는 내용 전체를 복사 붙여넣기 하는 방식으로 하면 안됩니다. 시험에서 요구하는 문제의 정확 답안을 특정하여 작성 합니다.

   
2. 사건(시나리오) 관련 분석 주요 증거파일의 경우 주요 메타데이터와 해시값을 표시한 뒤 해당 파일이 이번 사건과 어떤 관련이 있으며 어떤 내용을 포함하고 있는지를 작성합니다.

   

3. 절차 및 법 관련 말그대로 문제를 작성 후 주관식으로 답안을 작성하면 됩니다. 최대한 본인이 아는 내용을 꼼꼼히 작성해야 합니다. 막상 혼자 연습을 해봐도 몇몇 부분이 기억이 잘 안날 수도 있고, 주요 키워드를 빼먹는 경우도 많을 것이기 때문에 나만의 모범 답안을 만들어 두시는 걸 추천합니다. 절차나 법 관련 답안 작성 시 최대한 많이 작성하다 보면 주요 키워드들이 포함될 수 있으니 포기하지 말고 작성해보시길 추천합니다. 아래 샘플 중 법조 부분도 정확히 알면 작성하여도 되지만 정확히 기억이 안날 경우 제외하여도 작성하여도 무방합니다.

   

3. 디지털 포렌식 분석 보고서

• 디지털 포렌식 분석 보고서는 디지털 증거물의 수집, 분석, 결과 요약을 체계적으로 정리한 문서로, 법적 또는 조사 업무에 필요한 디지털 증거 분석 결과를 기록하고 설명하는 문서입니다.

• 디지털 증거의 최종 산출물은 분석 보고서입니다. 따라서 디지털포렌식에서 분석 보고서는 매우 중요한 항목이며 이 보고서를 실제로 확인하는 사람들은 비전공자일 확률도 매우 높습니다. 사건과 관련하여 간략히 정리된 내용은 물론 디지털포렌식 전문가 관점에서 포함되어야 할 상세 항목들을 잘 정리해야 합니다. 분석 대상 마다, 사건마다 주요하게 포함되어야 할 항목들이 다를 수 있고, 조사/수사 기관마다 다른 보고서 형태를 가집니다. 다만 시험에서는 정해진 양식 없이 비교적 간략히 작성하여도 무방하기 때문에 큰 부담 없이 작성 하시면 됩니다.

디지털 포렌식 분석 보고서는 뭘까? (참고)

1. 목적

   • 디지털 증거의 무결성 보장 및 신뢰성 확보: 수집, 분석된 디지털 증거가 변조되지 않았고, 무결성을 유지하고 있음을 입증하기 위해 보고서에는 모든 과정과 절차가 상세히 기록됩니다.

   • 사건과의 연관성 및 분석 결과 제시: 증거물에서 발견된 정보가 사건과 어떻게 연관되는지, 그리고 분석 결과가 무엇을 의미 하는지에 대한 명확한 설명을 통해 수사 또는 법정에서의 증거 가치와 연관성을 강조합니다.

   • 법적 절차 및 증거의 효력 검증: 법정에서 증거로 인정받기 위해서는 수집, 분석, 보관의 각 단계가 적법한 절차에 따라 이루어졌음을 보고서를 통해 증명해야 합니다.

   • 분석 결과의 이해를 돕기 위한 설명 및 요약: 포렌식 전문가가 아닌 일반 조사관, 변호사, 판사 등이 이해할 수 있도록 분석 절차와 결과를 명확하게 설명하고, 각 분석 내용에 대한 해석을 제공합니다.

2. 디지털 포렌식 분석 보고서의 구성 요소 일반적으로 디지털 포렌식 분석 보고서는 다음과 같은 주요 구성 요소를 포함합니다.

   1. 서론 및 개요

      • 사건 개요 및 분석 목적

      • 조사 및 분석 요청 정보

      • 분석 대상(디지털 증거)의 기본 정보 (예: USB, 하드 디스크, 이메일 등)

   2. 증거물 수집 및 무결성 검증

      • 증거 수집 일시, 담당자, 수집 환경

      • 증거물의 해시값 생성 및 무결성 검증 절차

      • 수집 도구 및 방법 설명

   3. 기본 정보 분석

      • 디지털 증거의 기본 구조 분석

      • 파티션 구조, 파일 시스템 정보, 장치 연결 정보 등

   4. 증거물의 세부 분석

      • 주요 파일, 폴더, 시스템 로그 분석

      • 사용 흔적, 삭제 기록, 복구 가능 여부

      • 특정 시간대의 활동 내역 및 타임라인 분석

   5. 기술적 분석

      • 파일 편집, 타임스탬프 조작, 암호화, 은닉 기법 사용 여부

      • 악성코드, 비정상 파일 및 이벤트 탐지

   6. 결론 및 요약

      • 분석 결과의 사건과의 연관성

      • 증거물의 무결성과 법적 효력 검토

      • 최종 의견 및 제안

   7. 부록

      • 분석에 사용된 도구 목록

      • 해시값 및 이미지 파일 목록

      • 분석 관련 스크린샷 및 참고 자료

3. 디지털 포렌식 분석 보고서의 작성 시 유의 사항 디지털 포렌식 보고서를 작성할 때에는 다음의 요소들을 고려하여야 합니다.

   • 무결성 및 신뢰성 확보: 증거물의 수집, 분석, 보관 과정에서의 무결성을 입증하기 위해, 각 절차에 대한 상세한 기록을 남겨야 합니다.

   • 법적 절차 준수: 법원이나 수사기관에서 사용할 수 있는 증거물로 인정받기 위해, 각 단계가 법적 절차에 맞게 수행되었는지를 명확히 해야 합니다.

   • 명확한 서술 및 해석: 포렌식 전문가가 아닌 사람도 이해할 수 있도록 명확하고 간결하게 결과를 서술해야 합니다. 특히, 사건과의 연관성을 강조하여 보고서의 가독성을 높이는 것이 중요합니다.

   • 객관성 및 중립성 유지: 분석 보고서는 객관적으로 증거를 설명하고 해석해야 하며, 어떠한 편견이나 추정도 포함되지 않아야 합니다.

4. 디지털 포렌식 분석 보고서의 활용 예

   • 법정 증거 제출: 법적 소송에서 디지털 증거를 법정에서 사용하기 위해 제출할 때, 분석 보고서는 해당 증거의 신뢰성을 보장합니다.

   • 내부 조사 및 감사: 기업 내부의 보안 사고, 데이터 유출 사건 등을 조사할 때 분석 결과를 설명하는 문서로 활용됩니다.

   • 수사 기관 간 협조: 수사 기관이나 조사 기관 간의 증거물 전달 및 분석 협조를 할 때 보고서를 통해 분석 결과를 공유하고 협력할 수 있습니다.

디지털 포렌식 보고서는 단순히 기술적 분석 결과를 나열하는 문서가 아니라, 사건과의 연관성, 법적 효력, 그리고 무결성을 명확히 입증할 수 있는 체계적인 문서이므로, 작성 시 각 단계의 절차와 결과 해석을 신중하게 기록하는 것이 중요합니다.

-> 라고 ChatGPT가 답변해주네요. 다 맞는 말이며, 디지털 포렌식의 산출물인 디지털포렌식 분석 보고서는 이렇게나 중요 합니다.

• 디지털 포렌식 2급 실기시험에서의 분석 보고서

  • 기존에는 디지털 포렌식 2급 실기 시험 수준에서는 문서 작성 프로그램을 이용하여 주관식 문제와답을 작성하는 방식이였습니다. 사실 시험에서 요구하는 디지털 포렌식 분석 보고서의 경우 문제 + 답안을 적당한 목차에 맞춰서 작성하면 되는 수준으로 작성하여도 큰 문제는 없습니다.

  • 기술적으로 분석은 잘 하는데 실제 시험에서 많이 떨어지는 분들 중에 가장 많은 이유가 분석 보고서 작성 때문인 경우도 발생합니다. 본인은 분석을 하였기 때문에 잘 아는 내용이지만, 비전공자 혹은 처음 보는 사람이 보고서를 볼 때 이해가 어려울 수 있기 때문에 최대한 쉽게, 친절하게 작성해야 합니다.

  • 보고서 작성을 비교적 많이 해보지 않은 학생의 경우 특히나 많은 실수를 하게 됩니다. 주요 의심 파일 분석을 다 하였는데도 시험 결과에서는 탈락하는 경우가 발생하며 충분한 피드백을 하지 않으면 다음번에 시험을 치뤄도 동일한 이유로 탈락하고, 본인은 무엇이 부족 했는지 알기 어려운 경우도 많이 발생 합니다.

  • 따라서 정석은 아닌 최소한 필요한 부분 정도는 간략히 살펴보고 연습 해보시는 걸 추천합니다. 그리고 포렌식 전문가 입장에서 필요하다고 생각하는 부분은 가능한 꼭 포함해야 합니다. (ex) 해시값, 시간값 등..

3-1) 기본 목차

• 당연히 정석은 아니고 정답인 것도 아닙니다. 다만 아래 내용들은 시험 환경에서 해야 할 최소한의 보고서 목차에 들어가야 할 부분이라고 생각하시고 진행하시는 걸 추천합니다.

• 주요 증거 파일에 대해서 보고서에 포함 할 경우 메타 데이터 정보 + Hash 값을 포함합니다.

1. 서론

   1. 사건 개요

      • 사건 개요(시나리오) 및 분석 목적

   2. 증거 매체 정보 (증거대상 USB 관련 내용)

      • 분석 대상의 매체의 기본 정보 - USB 벤더명, 시리얼 넘버, 용량 등

      • 증거물 수집 관련 - 증거 수집 일시, 담당자, 수집 환경 - 증거물의 해시값 생성 및 무결성 검증 절차 (쓰기방지 과정 및 이미지 획득 과정) - 수집 도구 명칭

   3. 기초 분석 내역

      • 분석을 통해 확인되는 주요 증거 파일 분석 결과 및 스크린샷

      • 분석 결과 요약(결론 부분 요약, 비전공자가 이해 되도록 최대한 쉽게 작성)

      • 주요 증거 원본 파일의 메타데이터 및 해시값 (경로, 용량, 수정/생성/접근 시간)

2. 본론

   1. 상세수집 과정(설명 및 스크린샷 포함)

      1. 쓰기방지 과정

      2. 원본 대상의 해시값

   2. 상세 분석 과정 (설명 및 스크린샷 포함 - 모든 과정 다 스샷이 아닌 주요 부분에서 스샷 및 설명)

      1. 주요 증거 파일 찾고 분석한 과정 - 앞의 문제의 답안을 작성하는 과정 또는 주요 증거 파일의 분석 흐름에 맞게 순서 정리 - (필요시) 파일시스템 복구 과정 - (필요시) 분석 대상 시스템 정보(윈도우 버전, 설치 시간, IP 등 간단한 정보)

      2. 주요 파일의 경우 메타데이터 정리(파일명, 경로, 용량, 수정/생성/접근 시간, 해시값)

3. 결론

   1. 분석 결과

      1. 수집된 증거물과 사건과의 연관성 파일

      2. 분석 결과 및 의미

   2. 최종 의견

      1. 간단한 분석 결과 의견

      2. (필요시)분석 한계점 및 추가 분석 필요성 여부

• 위의 목차가 필수나 정답은 아니지만 개개인이 연습 할 때 대략적인 자신만의 목차, 구조를 작성하는 연습해두셔야 시험에서 빠짐없이 그리고 빠르게 작성이 될 것입니다.

• 스크린샷을 첨부하고 설명하는 것도 상당한 시간이 소요되기 때문에 충분히 연습해두셔야 합니다. (시험장에서 시험 시작 하자마자 주변에서는 키보드를 열심히 두드리는 소리가 들릴 것입니다. -> 대부분 주관식 답변 준비, 보고서 작성 준비를 하는 것일 거에요!)

• 증거 파일 종류, 사건의 성격에 따라 목차는 달라질 수 있으나 대부분 시험에서는 USB 가 주요 증거 파일이 되고, USB에는 최근 대부분 운영체제 정보 등도 포함하고 있습니다.

3-2) 포함해야 할 내용

• 시험에서 디지털포렌식 보고서 작성 시 상세분석 내역에서 단순히 파일명만 작성하기 보다 디지털포렌식 전문가 관점에서 해당 파일을 추후에 검증 및 재현할 때 필요한 정보를 함께 포함하는 것을 추천합니다.

1. 원본 저장 매체 관련

   • 이미지 파일명

   • 크기

   • 해시값 (MD5, SHA/SHA256/SHA512 등..) 가능한 해시값 2개를 함께 표시하는 것을 추천

   • 식별번호(SerialNumber)

   • 제품명 -> (사실 FTK Imager / EnCase로 이미지 획득 후 로그 파일의 내용 중 대부분을 포함하면 됩니다.)

2. 주요 증거 파일 관련

   • 파일명

   • 크기

   • 경로

   • 시간 관련 정보(수정/접근/생성시간 Modify/Access/Create , MAC타임)

   • 해시값

3. 아티팩트 분석

   1. 분석 파일 명

   2. 분석 파일 경로

   3. 분석 결과(스크린샷)

2-3) 분석 보고서 샘플

• 분석 보고서 샘플로 아래의 경우 표를 많이 사용하였으나 꼭 표로 표현할 필요는 없으나 내용이 읽기 쉽고 빠짐 없이 잘 포함되어 있으면 됩니다.

간단한 분석 보고서 샘플(참고)

1. 표지

   

2. 사건 개요 및 수집 내역 (꼭 표가 아니여도 무방합니다.) - 외형의 경우 시험에서는 실제 USB를 촬영할 수 없기에 간단한 설명으로도 충분.(필수아님)

   
3. 기초 분석 내역

   

4. 상세 분석 내역 주요 증거파일 관련하여 표시할 경우 파일명, 해시값, 기타 메타데이터(용량, 경로, 시간 정보 등)을 함께 표시해주고 추후에 최종 정리에 활용

   

   

   

   
5. 분석 결과

   

• 이전 시험에서는 답안 제출용 USB에 분석 보고서 양식이 있고 빈칸을 채우는 형식의 문제도 출제된 것으로 알고 있습니다. 이렇듯, 분석 보고서 작성의 경우 계속해서 다양한 방식으로 출제되고 있고, 문제마다 다르기는 하나 큰 틀은 비슷할 것이기 때문에 조금만 연습해보시면 충분히 대응할 수 있을 것입니다.

4. 주요 증거(근거) 파일의 저장

4-1) 주요 증거 파일 제출

• 문제해결 과정에서 분석대상이 되는 주요 증거 파일 또는 근거 파일의 경우 시험지에서 작성된 요구사항에 맞춰 저장하여 제출하면 됩니다.

• 간단하게 포렌식 도구로 추출 한 뒤 복사 붙여넣기(이동하기 또한 동일한 방식) 등을 통해 특정 폴더에 저장하여 제출하면 됩니다. 즉, 파일을 추출하여 한 폴더에 모은다음 최종 제출용 저장 매체에 저장하면 됩니다.

4-2) (참고) 주요 증거 파일 제출 시 생각해볼 점

---

잠깐! 이 부분에 대해서 지금까지는 문제가 되지는 않으나 포렌식 전문가 관점에서 생각해볼 점을 살펴보도록 하겠습니다

(참고)추출한 주요 증거 파일에 대한 메타데이터 관련하여 생각해볼 것..

1. 한 가지 테스트를 해보도록 하겠습니다. FTK Imager, Autopsy, EnCase에서 파일을 추출할 경우 해당 파일을 잠깐 살펴보겠습니다. NTFS 파일시스템에서 주요 증거 파일을 하나 추출 해보도록 하겠습니다. (아무 파일이나 상관없음) [FTK Imager]

   

   [Autopsy]

   

   [EnCase]

   
2. 동일한 파일을 추출해서 살펴보겠습니다. 다른 포렌식 도구이지만 같은 파일을 추출했기 때문에 같은 데이터를 갖고, 이 데이터 영역을 Hash 해보면 모두 동일한 Hash값을 갖고 있습니다.

   
3. 그렇다면 우클릭 - 속성을 통해 시간정보를 비교해보겠습니다. EnCase와 FTK Imager에서 추출한 파일의 시간 값은동일하지만 Autopsy 파일의 시간 정보가 다릅니다. 추출한 파일 시간이 저장되네요.

   

4. 정리하면, 증거 파일의 Data 영역을 동일하지만, 해당 파일의 메타데이터(파일명, 크기, 속성, 시간값 등)는 다른 값을 보여주고 있습니다. 그리고 이렇게 추출한 파일들을 복사해서 증거 제출용 USB에 복사 붙여넣기 한다고 생각해보겠습니다. 위 파일 3개를 복사하여 새로운 폴더에 붙여넣기 할 경우 아래 그림과 같이 만든 날짜, 액세스한 날짜가 복사 붙여넣기한 날짜로 변경됩니다.

   

   즉, 여러분들이 시험에서 증거 파일을 하나의 폴더에 모아 두었다가 USB에 복사 붙여넣기 할 경우 해당 파일의 메타데이터 부분은 복사한 시간 값으로 변경될 것 입니다.

5. 그렇다면, 어떻게 저장해야 원본 파일의 메타데이터를 유지할 수 있을까? 모든 분석이 끝나고 최종적으로 파일을 제출할 때, FTK Imager, EnCase에서 주요증거 파일 추출을 증거제출용 USB의 증거 파일 폴더를 대상으로 직접 선택하여 추출 할 수 있습니다. (USB의 경우 가능, CD/DVD는 해당 안 됨) [FTK Imager]

   

   [EnCase]

   
6. 정리하면 기본적으로 복사 붙여넣기를 통해 증거파일을 제출하는 것은 기술적 관점에서 봤을때 어떤 의미인지 이해하고 있어야 합니다. FTK Imager, EnCase 포렌식 도구에서 파일을 추출할 경우 메타데이터도 함께 감안하여 추출되는 경우도 있고 그렇지 않은 경우도 있습니다. Autopsy 는 메타데이터 부분을 감안하여 추출하는 것이 아닌 데이터 영역을 단순 복사 붙여넣기 방식으로 파일을 생성하기 때문에 추출하는 시점의 시간정보로 파일을 생성합니다.(도구의 특성) 이러한 파일을 복사 붙여넣기 하여 증거로 제출할 저장매체에 저장할 경우 증거파일의 메타데이터에 영향이 있다는 것은 확실히 인지하고 있어야 합니다. 그렇다면 이렇게 제출한 증거 파일의 경우 메타데이터가 다르기 때문에 증거로 사용할 수 없는 걸까? 당연히 증거로 사용 가능할 것 입니다. 이미 확보한 증거 사본 이미지가 있고 필요시 언제든 메타 데이터를 다시 확인할 수 있기 때문에 제출 시 크게 중요하지 않는 것도 사실입니다. 다만 포렌식 전문가 입장에서 이점을 명확히 알고 있어야 하며, 만약 증거가 시간과 같은 메타데이터가 매우 중요한 사안이라면 분석 보고서 등에도 충분히 이 부분에 대해 설명할 필요성은 있고, 추후에 증언을 해야 할 경우 상대방 측에서 메타데이터가 다른 점을 이야기 할 경우 잘 설명 할 수 있어야 합니다.

(참고) FAT 파일시스템에서 NTFS 파일시스템에 추출할 경우

1. FAT32, exFAT 파일시스템에서 파일을 추출해서 비교해 보도록 하겠습니다. 추출하여 저장할 파일시스템은 일반적으로 윈도우에서 사용하는 NTFS 입니다. (여러분의 PC도 대부분 바탕화면 저장하면 NTFS일 것 입니다.) [FTK Imager]

   

   [Autopsy]

   

   [EnCase]

   
2. 아래 파일들을 살펴보면 또 다른 시간값을 보여주고 있습니다. - Autopsy 의 경우 도구에서 표시하는 시간과 상관 없이 추출 한 시간을 표시하고 있습니다.

   

   [FTK Imager] FTK Imager에서 표시하고 있는 시간 정보와 추출한 파일의 시간 정보에서 차이가 발생합니다. 다만 추출한 시간을 살펴보면 만든 날짜, 수정한 시간의 경우 9시간을 더한 값을 보여줍니다. 다만 접근 날짜 시간 정보를 보면 전혀 다른 값을 보여주고 있습니다.

   

   [EnCase] EnCase의 경우 시간 정보와 추출된 파일 또한 동일한 시간정보를 표시해주고 있습니다.

   
3. FAT 파일시스템의 경우 접근시간을 저장하는 영역이 없고 접근 날짜만 저장합니다. 위에서 실습 한 추출한 파일이 저장된 파일시스템은 NTFS이며, NTFS에는 접근시간을 저장하는 영역이 있습니다. 완전히 동일한 메타데이터를 포함하여 추출하기 위해선 기존의 파일시스템과 추출한 파일이 저장되는 파일시스템이 동일해야 하는데 이렇게 다른 경우에는 포렌식 도구에 따라 다른 메타데이터 형태로 저장될 수 있는 것 입니다. 또한 FTK Imager에서 추출한 시간과 EnCase에서 추출한 시간이 다릅니다. 무엇이 정확한 시간값일까요? 기술적으로 보면 NTFS 의 경우 "1601년 1월 1일 00:00:00" 기준으로 경과한 시간을 기준으로 시간값을 저장합니다. 그리고 UTC +0 기준으로 저장됩니다. 윈도우에서 우리가 볼 때는 이 시간에 +9 해서 한국시로 변환하여 보고 있는 것입니다. 반면 exFAT의 경우 MS-Dos 변환 방식으로 현재 시간을 32bit로 변환하여 저장하여 기록합니다. 이때, 운영체제 마다 다르지만 utc +9(표준한국시)를 적용한 값을 저장할 수도 있고 아닐 수도 있습니다. 그러나 일반적으로 해당 PC에서 설정된 지역시간을 저장하고 있는 것으로 보입니다. 이런 이유로 EnCase에서는 exFAT 의 경우 표시 타임존의 값을 변경하더라도 파일시스템에 저장된 값(Local Time) 그대로를 보여주고 있습니다.

   

   반면 FTK Imager에서는 추출 할 경우 속성에서 utc+9를 적용해서 보여주고 있습니다. 엑세스한 날짜의 경우 추출한 시간을 보여줍니다.

   

   EnCase이 경우 이러한 상황을 감안하여 추출, 저장하여 주고 FTK Imager에서는 로컬 시간을 더하여 추출해주고 있어 차이가 발생합니다.

• 위에서는 메타데이터 영역 중 시간 값만 비교했지만, 메타데이터 중 NTFS에는 있지만, FAT에는 없는 속성이 있을 수도 있고, 우리가 제출할 CD의 파일시스템에는 날짜 시간 중 일부만 저장 영역이 있는데 원본 증거가 저장된 파일시스템에는 더 많은 정보가 있는 경우가 발생할 수 있습니다. 또한 포렌식 도구마다 이렇게 파일을 추출하여 확인하고자 할 때 메타데이터 영역을 최대한 지키는 경우가 있는 반면, 구조상 그러기 어려울 수도 있는 것입니다. Autopsy의 경우 리눅스 환경에서 발전 하였기 때문에 Windows, NTFS 관련 분석 기능이 상대적으로 약한 것이 현실입니다. 물론 점점 발전하고는 있습니다!

• 포렌식에 있어서 복구나 해시값이 당연히 중요합니다. 다만 해시는 보통 데이터 영역을 대상으로 계산합니다. 다만, 포렌식 전문가로서 추가적으로 이렇게 파일을 단순히 복사만 하는 것만으로도 파일의 메타데이터 영역이 다른 것은 당연하고, 원본 이미지에서 파일을 추출하여 저장할 때 원본 대상의 파일시스템, 추출하여 저장할 파일시스템 간의 차이점으로 인해 발생하는 부분, 이러한 것들은 도구에서는 어떻게 해주는 지를 이해하는 것도 전문가로서 확실히 인지하고 있어야 할 부분입니다. -> 자격증 수준에서 이 정도까지 시험에 나오는건 아니니 참고로 만 살펴봅시다.

4-3) (참고) 논리 이미지 파일 제출

• 시험에서 출제된 적은 없는 것으로 알고 있으나 실무에서 디지털 증거를 물리이미징 획득이 아닌 사건과 관련된 특정 파일들을 수집하는 경우 논리이미징 방식으로 수집을 하고 있습니다.

• 증거 파일들을 논리이미징한 뒤 제출 시 포함하는 것도 좋은 방법이라고 생각합니다. 그러나 시험 문제 요구사항에 굳이 포함해야 할 이유가 없다면 포함하지 않아도 무방합니다. 다만 실무에서는 포렌식 증거분석 보고서에서 논리이미징 파일에 대한 정보도 포함하고 경우가 많습니다.

FTK Imager, Encase 를 이용한 논리이미지 생성

4-3.1) FTK Imager를 이용한 논리이미징 획득

1. FTK Imager를 이용하여 논리이미징을 해보겠습니다. 모든 이미지를 추가한 뒤 증거로 의심스런 파일들 모두 선택 후 우클릭 [Add to Custom Content Image]를 선택합니다.

   

   이후 Create Image를 선택하여 논리이미징을 만들 수 있습니다. 물리이미징 방식처럼 경로와 파일명을 지정한 뒤 Image Fragment Size를 지정해야 저장이 됩니다.

   

2. 생성한 논리 이미징를 추가하여 불러오면 원본 이미지에 있던 파일시스템에 구조에 메타데이터 또한 동일한 형태로 저장되어 있고 필요 시 추출도 가능합니다. 이렇게 추출한 ~.ad1 논리이미징 파일을 답안 제출 파일에도 포함하는 것도 좋은 방법입니다.

   
3. 추가적으로 파일의 해시값을 추출하여 csv 형태의 파일로도 추출하여 포렌식 분석 보고서 또는 전자증거수집목록 작성, 또는 해시값 검색에도 필요시 활용할 수 있습니다.

   

4-3.2) EnCase를 이용한 논리이미징 획득

1. EnCase에서는 먼저 추출할 파일을 북마크로 설정한 뒤에 추출하는 것이 편리합니다. 먼저 추출하고자 하는 파일을 체크 한 뒤 우클릭 - Bookmark - Selected Items를 선택합니다.

   

   이후 북마크할 폴더명을 설정합니다. View - Bookmarks 에서 확인이 가능합니다.

   

   북마크에서 우클릭 Review - Package 에서 Export 를 선택 한 뒤 Tags 부분을 모두 체크 해제 한 뒤 원하는 경로를 지정하여 저장합니다.

   

2. Add Evidence - Add - Evidence File에서 논리이미징을 추가하거나 View - Evidence 창에서 추출한 논리이미징 파일을 드래그하면 논리이미징을 추가 할 수 있습니다.

   

   내부구조를 확인할 수 있으며 필요시 파일을 추출할 수 있습니다.

   

   즉, 이 논리이미징 파일을 답안 제출 파일에 포함하여 것도 좋은 방법입니다.

3. 또는 경로 구조 없이 단순하게 파일만을 추출하는 방법으로는 해당 파일들을 선택 후 우클릭 Acquire - Create Logical Evidence File을 선택하여 논리이미징 파일로 만들 수 있습니다.

   

   

   다만 이렇게 추출할 경우 아래와 같이 원본 이미지의 경로 정보는 포함되지 않습니다.

   

• FTK Imager, EnCase에서 추출하는 논리이미징 파일시스템 이외에도 Raw 구조로 FAT32, NTFS 파일시스템 구조에 맞춰 추출하는 포렌식 도구들도 있습니다.

  이렇듯, 논리이미징 파일의 종류는 정해진 것이 없다보니 도구마다 다른 경우가 많습니다. 그럼에도 이렇게 많이 활용하는 FTK Imager, EnCase 와 같이 알려진 포렌식 도구로부터 추출된 논리이미징 파일은 충분히 증거로서 활용 가능 할 것입니다.

• 이렇게 포렌식 도구의 정확성을 어느정도 검증은 매우 중요한 요소이며, 미국의 기술 표준과 측정에 관한 연구와 개발을 담당하는 NIST(National Institute of Standards and Technology 라는 미국 미국 정부 산하 기관에서 여러가지 포렌식 도구에 대해 테스트 및 검증 결과를 공유하고 있습니다. https://www.nist.gov/itl/ssd/software-quality-group/computer-forensics-tool-testing-program-cftt/cftt-technical/disk > 여기서 EnCase, FTK Imager 테스트 결과를 참고 할 수 있습니다. 이렇듯 포렌식 도구에 관하여 포렌식 분석보고서에서 이러한 내용을 포함한다면 신뢰성을 높이는데 도움이 될 것입니다.

답안 제출은 매우 중요하나 연습 때 많은 시간을 투자할만한 것은 사실 아닙니다. 대신 스크린샷 캡쳐 및 보고서 작성은 어느정도 연습이 필요한 것은 사실이며, 주관식이나 디지털증거분석보고서 작성 시 최대한 쉽고 친절히 작성하는 것이 매우 중요합니다. 이런 점을 참고하여 연습 해보시는 것을 추천 드립니다.