인프런 커뮤니티 질문&답변

toooooooo08님의 프로필 이미지

작성한 질문수

디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)

쓰기방지 문의

해결된 질문

24.06.28 11:04 작성

·

238

0

안녕하세요 강사님

문의드리고자 글 작성합니다!

 

실험장에서 쓰기방지 안한채로 usb꽂으면 그대로 실격일까요 아니면 해결방안이 있을까요?

혹 정말 법정증거용으로 제출해야 할 일이 생길시 쓰기방지 안하고 작업, 증거제출시 구제방안이 없는걸까요?

 

답변 2

2

nstyxn님의 프로필 이미지
nstyxn
지식공유자

2024. 06. 28. 11:47

안녕하세요 toooooooo08님!

결론부터 말씀드리면, 문제가 안될 가능성이 더 높습니다.

시험장에서 가장 먼저, 또 자주 실수할 수 있는 부분이 쓰기방지를 안한 상태로 증거 USB 원본을 연결하는건데,

물론 이론적으로는 당연히 매우 위험한 일이고, 또 그 자체로로 시작하기도전에 무결성이 깨지는 참사를 가져올수있는 점은 맞습니다.

설령 무결성이 깨지지 않았더라도 전 과정을 녹화하다보니 그 자체로도 문제가 될수 있고요.

그렇기 때문에 반드시 지켜야하는 절차이긴 한데,

단순히 연결 자체만으로 무결성이 깨질 가능성은 조금 낮아보입니다.

물론 무결성이라는 말이 데이터의 변조가 일어났느냐와 함께 절차적인 부분도 포함이 되기때문에

엄밀히 말하면 문제가 있는거지만,

적어도 시험에서는 어떻게든 해볼 수는 있습니다

여기에서 가장 큰 변수가 있는데,

'증거 사본을 생성하고 무결성을 입증하라'

- 이런 문제의 경우 Hash값을 산출해서 보고서에 함께 제출을 해야하는데, 만약 무결성이 깨졌다면

hash값이 출제자가 알고 있는것과 다르게 산출이 되겠죠 이 경우는 어쩔수가 없이 문제가 됩니다.

 

하지만 위의 경우처럼 증거매체 자체에 대한 무결성을 입증하는 문제가 아니라면
단순히 USB를 연결한 자체로 그 안에 있는 모든 파일들이 변조되는것은 아니기때문에
설령 증거매체에 대한 무결성을 입증하지 못하더라도 다른 문제들은 진행을 할 수 가 있습니다.

 

실제로 제가 시험을 봤을때도, 저도 처음 시험이었고, 디지털 포렌식을 공부한지 얼마되지 않은 상태였기때문에 모든게 익숙하지 않던 상황이라서 시험이 시작하고 저도 모르게 자연스럽게(?) 쓰기방지 작업 전에 증거 USB를 연결했다가 아차 싶어 바로 USB를 뺀 후, 쓰기방지 후에 다시 연결한 경험이 있습니다.

오래전 일이라 그 당시 사본이미지 생성후에 무결성을 입증하라 라는 문제가 있었는지 기억이 조금 가물가물하지만(아마 그 당시에는 있었을것 같아요), 어쨌든 합격을 했습니다.

(증거매체의 무결성 입증 문제가 있었다면 hash값이 다르게 나와서 감점을 당했는지, 아니면 hash값이 변하지 않아서 그대로 배점을 다 받았는지 알수는 없지만요)

 

그러니 혹시라도 시험장에서 증거 매체 원본을 이미징 해야하는 경우라면, 실수로 쓰기방지전에 연결을 했다고 하더라도 즉시 빼시고, 쓰기방지 단계를 거쳐서 다시 진행하시면 될것 같습니다.

이럴경우 처음부터 당황해서 흔들리기 쉬운데, 동요하지 마시고 차분히 진행해주세요!

설령 거기에서 문제가 생겨서 감점이 된다고 하더라도, 합격/불합격은 다 해봐야 아는거니

최대한 신경쓰지마시고 차분히 진행해주세요!

(보고서에는 당연히 그런 실수까지 적을 필요는 없겠죠 :))


 

0

toooooooo08님의 프로필 이미지
toooooooo08
질문자

2024. 06. 28. 14:05

넵 걱정이 덜어졌습니다. 그래도 실수안하도록 참고하겠습니다! 감사합니다!