인프런 커뮤니티 질문&답변

안녕하세요 dhkim084님!

보고서 작성법에 대한 내용은 [섹션 11~13] 실습 시나리오 1~3 영상에서 자세하게 다루고 있으며,
해당 실습 시나리오에 대한 보고서 예시를 수업자료로 함께 올려드렸습니다.
제가 올려드린 보고서 예시는 보시는 분들을 위해서 '매우 자세하게' 작성을 한 경우이고,
실제 시험에서 이렇게 작성하기에는 시간상 어려움이 있기때문에, 전체적인 작성 방법을 자세히 본다 생각하시고 실제 시험에서는 핵심적인 부분들만 작성을 한다 생각을 해주세요~

보고서 작성과 관련해서 몇가지만 간단히 말씀을 드리면,
1) 시험에서의 보고서 작성
- 말씀해주신것처럼 지금까지는 보고서 작성 서식을 따로 주지 않는 자유형식이었습니다.
그러다보니 처음 시험 보시는 분들은 증거를 찾는 과정도 쉽진 않지만 보고서를 작성하는 방법도
어려울수밖에 없는데, 시험 전에 충분한 연습이 필요합니다.

- 제가 올려드린 보고서는 어디까지나 예시일뿐입니다.(물론 조금 과하게 자세한 편인점 참고해주세요)
시험때마다 보고서 작성 방법이 조금씩 다를수 있는데, 시험장에서 안내하는 내용을 정확히 확인하시고
그에 맞게 작성을 해주세요.
예를 들어 보고서 파일을 하나로 하느냐, 문제별로 하느냐의 방법이 달랐던 적이 있습니다.
21회 시험의 경우 하나의 보고서 파일에 모든 문제의 답을 작성하는 형태였던것으로 보이는데
과거에는 문제별로 각각의 보고서 파일을 작성해서 제출한 적도 있습니다.
이 부분은 안내에 따라서 작성을 해주세요~

2) 보고서 작성시 기본 구조
- 문제내용 + 문제에서 요구하는 답을 찾기 위한 과정 설명(+과정 중 중요 부분에 대한 캡쳐 이미지 삽입)
+ 결론(문제에서 요구한 답)
- 예) 문제1. 홍길동이 기술을 유출한 방법은 무엇인가?

① 답안지에 문제 내용 타이핑
예) [문제1. 홍길동이 기술을 유출한 방법은 무엇인가?] or [문제1]
> 문제 전체를 적을지, 아니면 '문제1'로 간단히 적을지는 선택의 문제로 크게 중요하진 않습니다만
되도록 전체를 한 번 써주시는것을 권해드립니다.(시간이 없다면 '문제1'만 쓰셔도 됩니다)

② 답을 찾는 과정을 순서대로 정리
- 증거탐색을 하면서 수집한 내용들을 정리해서 순서대로 써주시고, 그 과정중 중요한 부분들에 대해서
찾아낸 증거를 캡쳐해서 이미지로 중간중간 붙여주시고, 파일의 정보(파일명,저장위치,용량, hash값 등)
를 간략하게 표로 정리해서 붙여주세요.
- 증거 탐색 중 관련된것으로 추정되는 내용을 하나씩 찾으실때마다 보고서를 바로 작성하기에는 매우 어렵
고, 또 이미 앞에서 작성한 내용을 수정해야할 가능성이 매우 높기때문에, 그때마다 바로 작성하시기보다는
증거탐색을 통해서 발견한 내용들을 알아볼수 있을정도로만 메모장 등에 간략하게 정리만 해놓으시고 어느
정도 정리가 된다면 찾아낸 증거들을 논리적 연결할 수 있도록 순서대로 정리해서 보고서에 작성을 하시는
게 좋습니다.
- 예)
> 찾아낸 증거 : 이메일, FTP 접속&파일 전송 로그, 비밀번호가 걸려있는 압축파일
홍길동이 A와 이메일을 주고 받았는데, 메일 내용중 자료전송 방법에 대한 내용을 얘기한 부분과
비밀번호로 추정되는 특정한 텍스트 등을 언급한 것을 찾았고,
FTP 프로그램이 설치된 흔적과 함께 FTP 로그파일이 있어서 확인해보니 특정 FTP 서버에 접속한 기록
(일시, IP 주소 등)과 유출된 자료로 의심되는 파일의 전송기록이 있었으며,
증거 USB에 안에 FTP로 전송한 파일과 동일한 파일명 또는 동일한 용량을 갖는 파일을 발견했다고 가정
> 이렇게 찾아낸 증거들은 처음에는 이게 어떤 문제(댓가인지, 유출방법인지 등)와 연결되는 증거인지 확정
할수 없기때문에 우선은 메모장등에 간략하게 기록만 해놓고 어느정도 연결이 된다면 그때 보고서 작성
을 해주세요.
> 보고서 작성
1) 홍길동이 A와 주고 받은 이메일

[파일 정보 : 파일명 / 저장위치 / Hash값 등]
[홍길동과 A의 이메일 주소정보]
홍길동이 A와 주고 받은 다수의 이메일을 발견했고, 홍길동이 24.6.1. 13:00에 A에게
'어떻게 보내드릴까요?' 라는 내용의 메일을 발송하였고 24.6.2. 03:00에 A가 이에 대한 답장으로
'123.456.789.1 :8080' 라는 ip 주소를 보내왔다.
또한 24.6.2. 22:00에 홍길동이 A에게 다시 'pw:1234'라는 이메일을 발송한게 확인되었다.

[이메일 내용 캡처 이미지]

2) 유출된 것으로 추정되는 파일

[파일 정보 : 파일명 / 저장위치 / Hash값 등]

asdf.zip 파일을 발견하였고, 압축해제를 시도했으나 비밀번호가 걸려있었다.
홍길동이 A에게 보낸 메일중 'pw:1234'라는 내용을 비밀번호로 입력하니 접근이 가능했고
압축되어있는 파일은 유출된것으로 보이는 설계도면이 다수 확인되었다.

[압축 파일 해제 후 확인되는 설계도면 캡쳐 이미지]

3) FTP Log

[파일 정보 : 파일명 / 저장위치 / Hash값 등]
FTP Log 파일 확인결과, 24.6.2 21:33에 'hong123' 이라는 ID로 '123.456.789.1 :8080' 접속을
했고, 24.6.2. 21:35에 'asdf.zip'파일을 업로드하였으며, 업로드한 파일의 용량은
1,358,569,123 Bytes로 유출된 것으로 추정되는 'asdf.zip' 파일과 파일명 및 용량이 동일하였다.

[ FTP logfile 캡처 : 위의 내용을 확인 할 수 있는 접속일시, id, 업로드 자료 등이 나온 부분]

③ 정리

- 앞에서 언급한 각각의 증거들을 간략하게 연결해서 정리

- 홍길동은 A와 이메일을 통해 전달 방법을 문의했고, 24.6.2. 03:00에 A는 '123,456.789.1:8080'이라는 ip주소를 보내왔는데, 이 ip주소는 24.6.2. 21:33에 'hong123'이라는 ID로 접속한 FTP의 주소와 동일했으며, 24.6.2. 21:35에 용량이 1,358,569,123 bytes인 'asdf.zip'파일을 업로드 한 것을 ftp log 분석을 통해 확인할 수 있었다. 업로드 한 asdf.zip 파일은 홍길동의 USB에 동일한 파일명과 용량을 가진 파일이 존재하였고, 이 파일을 암호화된 압축 파일로 비밀번호는 홍길동이 24.6.2. 22:00에 A에게 보낸 이메일에서 확인한 'pw:1234'와 동일하였으며, 압축 해제 후 확인한 파일들은 설계도면이 발견되었는데, 이는 유출된 자료로 추정된다.

간략하게 써봤는데 이해가 되실까요?

문제마다 물어보는 내용이 다르고, 그에 따른 답안을 찾는 접근방법도 조금씩 다르겠지만, 큰 그림으로 보면 이런 식으로 정리를 해주시면 될 것 같습니다.

자세한 내용은 시나리오 1~3 강의에 수업자료로 보고서를 같이 올려드렸으니 참고해주시고,
단순히 한 번 보기만 하면 크게 도움이 안됩니다. 여러번 직접 작성을 해보셔야 시험장에서 보고서에 어떻게 써야할지 몰라서 시간을 낭비하는 일을 막을수 있습니다. 꼭 작성하는 연습을 해주세요!