디지털포렌식전문가 2급 실기 시험 후기 (2019-11-30)

11월 30일에 디지털포렌식전문가 2급 실기를 치렀다.
주최측인 한국포렌식학회에서 발행한 실기 책을 공부하고 갔는데,
사실 그 책에 있는 기출문제 7개는 다 동일한 형식이어서 큰 도움은 안 됐다.
올해부터 문제 유형이 많이 바뀌었다는 후기들이 있길래 어떻게 나올까 했는데 확실히 책보다 더 어렵게 나왔다. 
좋게 말하면 변별력 있게 문제가 나오는 추세고, 나쁘게 말하면 책 팔아먹고 뒤통수 치는..
기억에 의존해서 문제 내용을 공유해본다. (디테일한 건 틀릴 수도 있음)

시나리오

북한의 지령을 받은 것으로 추정되는 김공작은 드론을 이용해서 국가시설을 촬영하다가 발각되었고,
그의 집에서 USB 메모리 1개를 획득하였다. 혐의를 입증하기 위해 USB 메모리를 분석해라.

문제

1. USB 증거 획득 절차 (10점)
   WriteBlock 설정하고 USB 메모리 이미징하는 절차

2. 복구한 파티션 정보 (파일시스템, 총 섹터 수, 클러스터 크기 등 ) (5점)
   USB 논리 드라이브는 총 3개였는데 그중 하나는 윈도우에서 정상적으로 열리지 않았다.
   VBR이 날라간 FAT32 파일시스템이어서 백업VBR에서 VBR을 복사해와 복구했다.

3. 안티포렌식 흔적 찾기  (10점)
   USB에 설치된 윈도우 시스템 안에 TrueCrypt, BC Wipe 같은 안티포렌식 도구들이 설치돼 있으며,
   BC Wipe를 돌렸을 때 생성되는 무작위 파일들의 흔적도 있다.

4. 용의자 김공작의 작전 계획서 찾기 (10점)
   계획서.docx를 워드로 열어보면 열리지 않지만 zip 파일로 변경후 열어보면 안에 드론작전계획서.docx가 있다.
   
5. 김공작이 북한에서 하달받은 명령을 찾기 (10점)
   지령서.jpg는 JPG헤더 2바이트가 0으로 채워져있다. 정상 JPG헤더로 변경해주면 열린다.

6. 김공작 비상연락망 찾기 (10점)
   '연락' 키워드 검색 시 $UsnJrnl에 동무연락망.jpg라는 파일이 있었다는 것을 확인 가능하다.
   이 파일은 포렌식 도구를 이용해 카빙하면 복구가 된다.

7. 드론이 전송한 데이터를 찾고 분석하기 (20점)
   복구한 파티션 안에 DJI Viewer라는 파일이 있는데 형식을 분석해보면,
   [촬영시간정보1] + [JPG1] + .. + [촬영시간정보4] + [JPG4] 처럼
   촬영시간 정보와 JPG 파일이 이어져 있는 데이터파일이다. 
   따라서 4개의 JPG 파일과 촬영시간 획득이 가능하다. 

8. 형사소송법  (15점)
   (1) 제122조(영장집행과 참여권자에의 통지) 
   (2) 제121조(영장집행과 당사자의 참여) 
   (3) 제123조(영장의 집행과 책임자의 참여) 

9. 기타 법 (10점)
   (1) 북한 찬양 문서 파일은 전문증거인가?
   (2) ?  
   (3) ?