인프런 커뮤니티 질문&답변

안녕하세요 꾸기님!

우선 전체적인 과정에 대해서 잘 알고 계신것 같습니다 !

혹시라도 오해가 있을 수 있어서 몇 가지만 말씀을 드리면(써주신내용에 추가로 적겠습니다~)

1) 시험 시작 전까지 '컴퓨터 전원' X

2) 이름 기입 시, 불합격이니 반드시 수험번호만 작성

3) 보고서 작성 프로그램은 HWP, WORD 중 택 1

>> 1)~3)에 대한 내용은 과거에 일반적인 내용이었으나 최근 시험이 많이 바뀌고 있고, 시험장에서 안내해주는 내용들에 대해서는 시험내용보다 오히려 확인이 더 어려워서(당연히 시험 문제가 더 중요하고 기억이 잘 남다보니 이러한 부분은 잘 기억이 안날수 있거든요) 위의 내용이 그대로 유지가 되는지, 아니면 조금씩 변화가 있는지 확인이 안되고 있습니다.

기본적으로는 어느정도 비슷할거라 생각되는데, 반드시 시험장에서 안내문 또는 감독관이 지시하는 내용을 정확히 확인하셔서 그에 맞게 해주세요!

4) 제출 파일 모두(기타 임시 저장 파일 포함) C 드라이브 제외 타 파티션에 저장하고 실기 시험용 폴더 생성(수험번호 폴더 하위 문제 1, 2, 3... 폴더 생성)

>> 과거에는 데스크탑으로 시험을 진행했으나 최근의 시험 진행 방법을 들어봤을때 노트북으로 시험을 보는것으로 알고 있습니다. 그 노트북의 파티션이 단일 이었는지, 아니면 OS 파티션과 데이터 저장 파티션이 나뉘어진 멀티 파티션이었는지에 대한 내용을 확인이 되고 있지 않으나, 단일 파티션일 가능성이 높다고 생각됩니다. 그랬을 경우에는 과거처럼 재부팅시에 지정된 시점으로 돌리는 프로그램을 더이상 사용하지 않을 가능성이 있어 보입니다.

특히 제가 시험 절차 안내강의에서 말씀드렸던 내용들은 실기 시험을 대학교의 전산실 같은 곳에서 진행을 했기때문에, 다시 말해서 시험을 위해 준비된 컴퓨터가 아니다보니 다수의 컴퓨터 관리를 위해서 위에 말씀 드린 방식으로 되돌리는 형태로 관리가 되는 곳이 많았지만, 최근 실기 시험에서는 시험만을 위한 장소를 마련하고
그에 맞게 노트북을 대량으로 임차(정확하진 않지만 렌탈하지 않았을까 합니다)하는 점 등을 생각해보면
단일 파티션으로, 재부팅시 지정된 백업의 상태로 되돌릴 가능성은 조금 낮아 보입니다.

물론 영상에서도 말씀드렸지만, 멀티 파티션의 경우 되도록 OS 설치가 안된 다른 파티션(용량체크후에)을 여전히 권해드리고, 단일 파티션이라고 해도 당황할 필요없이 '단일 파티션이구나'라고 생각하고 그대로 진행하시면 될것 같습니다 !
또한 시험용 폴더를 생성하고, 그 아래에 문제번호별로 폴더를 만드는 것도 정리를 한번에 깔끔하게 진행하고자 권해드리는 방법일뿐, 각자 스타일에 맞게 편하게 하시면 됩니다! 물론 이부분도 시험 안내시에 특정 방식으로 제출을 하라 (예: 수험번호 폴더를 만들고 그 안에 모든 파일을 한번에 넣어서 제출하라)는 지시가 있다면 그에 맞게 해주시고요!

5) 쓰기 방지 설정 전까지 절대 증거 USB 연결 금지

>> 최근 시험에서는 시나리오상 실제 증거인 원본 USB를 제공하지 않았습니다.
증거 원본을 이미징한 사본 이미지 파일을 담은 (단순 저장용) USB를 제공하였는데,
개인적으로는 앞으로 이런 경우가 더 많아질것으로 보입니다.(물론 섞이기도 하겠지만요)
원본인 증거 USB 수십~수백개를 제작하는것도 꽤 일이거든요 ;;
그래서 21회 시험처럼 사본을 단순히 저장해서 주는 형태가 앞으로도 또 있을것으로 보이며,
그래도 한번씩은 쓰기방지와 이미징, 해시값 산출등 기본적인 부분을 체크하기 위해서 증거 원본 USB를 주는 경우도 있을것 같긴합니다. 이 부분은 시나리오 등을 정확히 확인하셔서 지급받은 USB가 증거 원본인지, 또는 단순히 사본을 담은 USB인지, 증거제출용 USB인지를 반드시 확인하셔야합니다!
(마음이 급하면 순간 헷갈려서 엉뚱한 USB를 연결하고 되돌릴수 없는 상황이 벌어질수도 있으니까요)

6) 시나리오 진행하며 틈틈히 캡처 및 메모장에 연관 내용 작성해가며 진행

>> 절대 잊지 마시고 차분히 그때마다 캡처 및 간단하게 정리해주세요! 이건 당연히 아시겠지만 그만큼 중요합니다. 저도 강의 촬영하면서 계속 깜빡하거든요. 당장 뭔가를 찾았으니 그 흔적을 계속 추적해서 몰입하게 되는데 그러다보면 캡처를 항상 까먹습니다. 나중에 다시 하려면 그만큼 시간을 잡아먹다보니 저처럼 흔적을 하나 찾았다고 흥분해서 쭉쭉 앞만보고 달리지 않도록, 조금은 차분하게 그때그때 중요한 내용들은 캡처 및 간단하게 정리하는것 잊지마세요~

꾸기님이 질문주신 내용중에 덧붙일 내용이 있는것만 말씀을 드렸습니다
(위에 없는 내용은 꾸기님 말씀하신대로 하시면 충분합니다 !)

올려드린 시나리오를 3시간내에 마무리 하셨다는 말씀은, 보고서 까지 다 작성하고 실제 시험처럼 USB에 증거파일을 담아서 제출할 준비까지가 3시간 이내라는 말씀이시죠? 정말 잘하시는것 같은데요? :)

물론 시나리오에 있는 문제들은 최근 시험에 비해서 옛날(?) 문제이기도 하고, 시험에 나오는 문제들처럼 질적인 면에서 여러모로 부족한 문제이긴 하지만 오히려 실제 시험보다 더 꼬아서 복잡하게 한 내용들도 있다보니 3시간내로 하셨다면 준비를 잘 하고 계신것 같다는 생각이 듭니다.

다만 최근 새로운 유형이 계속 출제 되고 있다보니 앞의 내용들을 탄탄히 하셨다면 남은 기간동안은 새로운 유형들을 조금 더 여러번 해보시면서 익숙해지시면 더 도움이 되실것 같아요.

물론 제가 추가강의로 올려드린 내용들이 말그대로 제 생각에 중요하다 하는 부분들을 몇 개만 올려드린것이다보니 전혀 나오지 않을수도 있지만, 어쨌든 혹시 모르니 익숙해질 필요는 있어 보이거든요.

그리고 준비에 가장 공을 들이셔야 할 부분이 있습니다.

바로 "멘탈" 입니다.

너무 당연한 이야기이기도 하고, 또 한편으로는 '준비해야지' 한다고 되는것도 아닌것은 맞는데
굳이 말씀을 드리는 이유는, 시험장에서는 정말 온갖 상황과 변수가 많습니다.

• 노트북 다운

• 프로그램 에러

• 증거를 저장하거나 캡처, 메모한 파일이 어디있는지 못 찾는 경우 (한번 안보이면 급해져서 더 못찾죠)

• autopsy의 경우 생각보다 오래 걸리는 분석시간 ( 이부분은 많은 분들이 말씀해주셨는데, 제가 동일한 이미지 파일을 분석을 해보질 못해서 과연 그 이미지 파일이 정말 시간이 오래걸릴만한 이미지 인지, 아니면 노트북의 문제인지, 아니면 기타 다른 문제인지 확인할 방법이 없어서 말씀드리기가 매우 어려우나, autopsy가 너무 오래걸렸다는 분이 조금 있는것으로 봐서는 처음부터 어느정도 생각은 해야할것 같습니다. 분석할 이미지 파일의 용량이 꽤 있어 보인다면, 처음부터 모든 인제스트 모듈 한번에 돌리지 말고, 필수적인것부터 돌린 후에 필요시에 추가로 다른 인제스트 모듈을 돌리는것도 하나의 방법이 될수도 있습니다.)

• 처음보는 프로그램, 또는 처음보는 유형의 문제 등

정말 사람 멘탈을 흔들만한 상황들이 너무 많은데, 이에 대한 정신적인 준비(?)도 필요해보입니다.

특히 지난 20회, 21회처럼 새로운 프로그램이나 새로운 유형의 문제가 나왔을때의 당황스러움이 시험 내내 미치는 영향을 매우 크거든요.

제가 영상에서 항상 말씀드리는것처럼 '이걸 해결 못하면 정말 아무것도 할수 없다' 류의 문제들이라면
당연히 어떻게든 해결을 해야겠지만, 반대로 이 문제를 해결못해도 다른것은 풀수 있다면 우선은 풀 수 있는것부터 해결하시고, 보고서도 어느정도 정리가 된 상태에서 남는시간에 해결해야합니다.(남는시간에도 해결을 못한다면 이미 찾은것들이라도 제출은 해야하니까요)

처음 잘 모르는 새로운 유형의 문제가 나와서 멘붕에 빠지면, 이걸 반드시 해결해야하는지 아니면 쿨하게 넘기고 다른것부터 할지에 대한 판단을 하기보다는 보통은 거기에 매달리는 경우가 많거든요.

당황하지 말고, 반드시 해결해야하는 문제인지 아닌지에 대해서 판단 하셔서 안되는 건 쿨하게 넘어갈줄도 아는 멘탈관리가 반드시 필요합니다!!!!!

쓰다보니 잡담처럼 되어버렸네요 😉

아무튼 약 2주정도 남았는데, 잘 준비하셔서 좋은 결과 있으시길 진심으로 기원합니다.

궁금하신점이 있다면 언제든지 질문 주시면 최대한 빠르게 답변 드리겠습니다~