포렌식 전문가 2급 LAB-1 가상문제 - 문제 5번

5번 문제

​기밀 자료가 외부로 유출된 정황이 포착되었다. 유출된 것으로 파악된 HASH 값을 비교하여 외부로 유출된 증거를 찾아 기술하라. 

 

유출된 것으로 파악된 SHA1 HASH 값 :

9C088248BC5949EDED955D148DDCE9C7B05A5643

​AFD283635AC2DA958C2DC7DFE07DCA5C22E65094

 

이번 디지털 포렌식전문가 2급 6회 실기시험은 총 5문제가 출제되었다. 이제 마지막

5번문제를 풀이 해보겠다.

5번문제는 유출된 것으로 파악된 HASH 값을 비교하여 기밀 자료가 외부로 유출된 정황을 기술하는 문제다. 즉 위 HASH 값의 자료가 외부로 유출이 되었다는 것을 증명해야 한다는 뜻이다. 이번 문제는 Filezilla 라는 프로그램을 이용하여 전송된 흔적을 찾는 문제이다.

 

이번 문제 역시 문제해결에 관한 가이드를 제시하겠다. 문제 복구를 제대로 하지 못하였지만, 이 방법대로 하면 문제해결에 어려움은 없을 것이다. 

 

=====================================================================

​

​

이번 문제는 외부로 유출된 흔적이므로 log 를 찾아서 증명을 해야 한다.

사본이미지의 File 들을 검색해보면 Filezilla 라는 프로그램이 발견되는걸 확인할 수 있다. 실제 이번 실기시험도 Filezilla 프로그램을 사용하여 외부로 유출한 방법을 사용했다. 이제 어떤 프로그램을 써서 외부로 유출을 하였는지 확인을 하였다.

​그러므로 상단 탭에서 Search 탭으로 이동한다. 

​

​

Search Term 란에 .log 를 입력하고 오른쪽에 Add 를 클릭한다.

그럼 Search Items​ 에 검색할 파일명이 입력되며 아래 View Cumulative Results ?

를 클릭한다. 역시 log 확장자로 끝나는 모든 파일을 검색한다는 의미가 된다.

 ​

 

위 화면이 나타나면 OK 를 클릭한다. 그럼 log 확장자로 끝나는 모든 파일을 검색한다.

​

​

실제 문제는 검색이 완료되면​ FileZilla.log 파일이 검색된다. 현재 본인이 복원을 잘 못하여 검색이 안되는 것을 뿐이다. 실제 문제에서는 .log 를 검색하면 해당 부분에

FileZilla.log 파일이 검색되는걸 확인할 수 있다.

​이제부터가 중요하다. 이 log 파일을 잘 분석해야 한다.

​

일단 log 파일을 검색하였다면 그 파일은 외부로 유출된 증거물 파일에 해당하므로 ​

log 파일을 선택하고 우클릭 - Export File 을 실행하여 답안지 폴더에다가 따로

빼놓아야 한다. 왜냐하면 증거물로 제출해야하는 log 파일이며, 이 log 파일에 외부로 유출된 흔적이 남아 있기 때문이다.

​

현재로선 log 파일을 확인할 수 없으나 서술을 통해 답을 기술하는 방법을 알아 보겠다.

​

자, 이제 log 파일을 Export File 을 실행하여 외부로 복원을 하여 txt 파일을 실행

하면 FileZilla 를 통해 외부로 업로드, 다운로드 된 기록이 나타난다.​

​

실제 문제에선 log 기록들이 많이 나온다. 다양한 IP 주소도 나오며 업로드, 다운로드

현황도 다 나타나있다.

​log 기록들을 분석하다보면....

자 우선 생각해볼게 증거물로 의심되는 파일은 IMAGE_001.jpg 였다.

이 파일은 Zip 파일을 jpg로 바꾼 파일이며 확장자를 jpg로 변환하면 안에 기밀 자료가 압축되어 있는걸 확인할 수 있다.

​

즉 log 기록에서 IMAGE_001.jpg 가 외부 IP 로 업로드된 정황을 찾으면 된다.

실제 log 기록을 기억하면 증거물 파일 IMAGE_001.jpg 가 다른 IP 주소로 UPLOAD 된 결과를 확인할 수 있다.

​그럼 이 IMAGE_001.jpg 를 IMAGE_001.zip 로 바꾸면 안에 또 다른 jpg 파일이 들어 있다. 이 또 다른 jpg 파일이 증거물 파일이 된다.

이 파일의 이름은 Image_00700.jpg , Image_00734.jpg 가 된다.

​

​해당 문제에서 유출된 것으로 파악된 SHA1 HASH 값 :

 

9C088248BC5949EDED955D148DDCE9C7B05A5643

​AFD283635AC2DA958C2DC7DFE07DCA5C22E65094

​

위 HASH 값의 자료가 유출된 것으로 파악하였다.

그럼 이제 Image_00700.jpg , Image_00734.jpg 의 SHA1 HASH 값을 살펴보자.

File Items 에서 해당 파일, 즉 ​Image_00700.jpg , Image_00734.jpg 파일을 찾아보면

SHA1 HASH 값을 파악할 수 있다.

 

 

위와 같이 Image_00700.jpg , Image_00734.jpg 파일의 ​SAH1 HASH 값과

유출된 것으로 파악된 SHA1 HASH 값이 일치하는걸 확인할 수 있다.

​

즉 외부 IP로 UPLOAD 된 IMAGE_001.jpg 가 외부로 유출된 기밀자료가 된다.

왜냐하면 이 IMAGE_001.jpg 는 IMAGE_001.zip 를 변조시킨 파일로 원래 파일인

IMAGE_001.zip 로 복원하면 압축파일 안에 ​Image_00700.jpg , Image_00734.jpg

두 파일이 나타난다.

 

​이 두 파일의 SHA1 HASH 값은 유출된 것으로 파악된 SHA1 HASH 값과 동일함을

증명하였고, 그럼으로서 IMAGE_001.zip 를 변조시킨 IAMGE_001.zip 파일이

외부 IP 로 UPLOAD 된 log 기록을 분석하여 증명함으로서 기밀 자료가 외부로

유출된 정황을 증명하게 된 것이다.

​

이제 모든 문제를 해결하였고 증명 또한 기술 하였다.

제일 중요한 답안지 작성을 알아보겠다.

​

시험장에 가면 파티션이 C와 D로 나누어져 있다. 그럼 D 에다가 답안지를 작성하고 증거물을 보관해야 한다. 간혹 저장을 안하고 시스템이 에러가 생겨서 답안지가 저장안되어 날라가버리면 그건 100% 본인책임이다. 시험 시작전에 점검시간도 주고,

답안지 저장요령도 알려주므로...

​

한문제 한문제 기술이 끝날때마다 무조건 저장하면서 풀어야 하며 D 파티션에다가 저장을 한다.

 

​

이런식으로 1번-5번 폴더를 만들어 각각 문제에 해당하는 답안지를 각 폴더에 저장한다.

1번문제는 사본이미지 생성이므로 생성한 사본이미지,HASH 값, 그리고 그에 대한

기술을 word 파일로 작성해서 저장해 넣는다.

답안지는 word 파일로 작성하는게 제일 좋다. hwp 는 비추이며, 무조근 word 를 사용해서 답안지를 작성해야 한다. 왜냐하면 분석 프로그램에서 복사해서 붙여넣을때

호환이 잘되며 hwp 는 무언가 안맞고 깨지며 시간을 낭비할 수 있으므로 처음부터

word 프로그램을 이용하여 답안지를 작성한다.

2번문제 역시 답안지 작성, 3번문제는 답안지 작성과 증거파일도 같이 저장...

5번문제 역시 답안지 작성, log 파일 저장

 이렇게 각 문제의 폴더마다 답안지와 추출한 증거파일을 함께 저장한다.

​

​답안지와 증거파일이 모두 저장되면 이 폴더 5개를 드래그하여 오른쪽 버튼에서

보내기 -> CD/DVD 로 보내기 이런 탭이 뜬다. 지금 본인의 본체에는 DVD-ROM 이

없어서 안나타나지, 시험장에선 나타난다.

그럼 그냥 CD/DVD 보내기를 선택하면 된다. 따로 버닝 프로그램(CD 굽는 프로그램)을 사용안해도 이렇게 Windows 에서 제공하는 방법으로도 충분히 DVD 를 구울수가 있다.

​

그리고 구울때 2가지의 옵션이 나타난다. 중요한건

USB 플래시 용도.. 이걸 선택하면 안된다는 것이다. 이걸 선택하면 DVD 를 USB 플래시처럼 사용한다는 의미이며, 시간이 엄청 오래 걸린다.

옵션이 2가지인데, 이 옵션 아닌 옵션을 선택하면 바로 5분안에 DVD 가 구워진다.

무조건 절대,, 시험장에서 USB 플래시... 이 옵션을 선택해서 구우면 안된다는 뜻이며

감독관들도 이 부분에 관해서 상세히 설명을 해준다.​

​

자. 그럼 DVD가 완벽히 구워졌다면 다시 한번 확인을 하고, 이제 DVD, 시험문제지,

증거물 USB 를 제출하고 퇴실을 하면 된다.

시험 시간은 09:00 ~ 13:00 총 4시간이며 12:00 까지는 무조건 있어야 한다.

본인은 11:30분에 문제를 다풀고 최종 확인 및 DVD 까지 굽고 12:00 에 퇴실을 했다.

자신도 있었기에 더 볼 시간이 아깝다는 생각에 DVD 굽고 확인하고 바로 퇴실을 했다.

​

시험 중간에 1명씩 교대로 화장실을 갔다올 수 있다. 본인도 한번 갔다 왔다.

뭐 화장실에 가도 컷닝할 기회는 없다. 답도 있는것도 아니며...​

 

=====================================================================​

​

이번 포렌식 전문가 2급 실기를 취득하면서 느낀게 참 많다.

공부를 마음먹은지 반년이 약간 지났지만, 서적을 두루 섭렵하고, 스스로 파일시스템 공부도 했으며, 이제 더 전문가가 되기위해 로펌에 포렌식 연구원으로 입사를 했다.

​

연구원 직책을 하면서 향후 포렌식으로 의뢰가 들어오면 그 의뢰에 대한 분석 및 의견

제시 등 내가 할 일이 되며 이 경험은 돈주고도 못하는 소중한 경험인 것이다.

​

로펌이라 그런지 다양한 판례를 접해 아직 포렌식 전문가가 많이 필요할 것이라고 느껴지며, 진짜 전문가로 발돋움할 수 있는 기회라고 믿으며, 다양한 실력으로 발전할 수 있는 소중한 기회라고 믿고 있다.

​

노력하며 준비하는 자에겐 길이 열린다는 걸 새삼 느낀 2015년이 었다.