디지털 포렌식 파트 출제 특징
디지털 포렌식은 최근 시험에서 출제 비중이 높아지고 있는 파트입니다. 포렌식의 기본 원칙, 디지털 증거의 법적 효력 요건, Chain of Custody, 주요 로그 분석 기법을 중심으로 학습하세요.
【기출 토픽 1】 디지털 포렌식의 기본 원칙
기출 문제 예시: 디지털 포렌식의 기본 원칙 중 원본 증거의 변경 없이 증거를 수집하고 분석해야 한다는 원칙은?
- ① 재현성의 원칙
- ② 무결성의 원칙 ✅
- ③ 신속성의 원칙
- ④ 연계 보관성의 원칙
해설: 포렌식 5대 원칙: ①정당성(적법한 절차), ②재현성(동일 환경 동일 결과), ③신속성(휘발성 데이터 우선 수집), ④연계보관성(Chain of Custody), ⑤무결성(증거 변경 없음). 특히 원본 디스크 대신 이미지 복사본으로 분석하는 것이 무결성 원칙의 핵심입니다.
【기출 토픽 2】 Chain of Custody (연계 보관성)
기출 문제 예시: 디지털 증거가 수집된 시점부터 법정 제출까지 증거의 취급·이동·보관 이력을 기록하는 절차는?
- ① 해시 검증
- ② Chain of Custody(연계 보관성) ✅
- ③ 라이브 포렌식
- ④ 타임라인 분석
해설: Chain of Custody는 증거가 누가, 언제, 어디서, 어떻게 취급했는지 모든 이력을 빠짐없이 기록하는 것입니다. 이 기록이 끊기면 법정에서 증거 능력이 부정될 수 있습니다. 증거 수집 후 해시값 기록으로 무결성을 함께 증명합니다.
【기출 토픽 3】 휘발성 데이터 수집 순서
기출 문제 예시: 디지털 포렌식에서 휘발성이 높은 순서대로 증거를 수집해야 한다. 다음 중 가장 먼저 수집해야 할 데이터는?
- ① 하드디스크 이미지
- ② 레지스트리 정보
- ③ CPU 레지스터 및 캐시 ✅
- ④ 임시 파일
해설: 휘발성 순서(높음→낮음): CPU 레지스터/캐시 → 메인 메모리(RAM) → 네트워크 연결 상태 → 실행 중 프로세스 → 하드디스크 → 백업 미디어. 시스템 종료 시 사라지는 데이터를 먼저 수집해야 합니다.
【기출 토픽 4】 윈도우 로그 분석
기출 문제 예시: 윈도우 시스템에서 로그인 성공·실패, 계정 생성 등 보안 관련 이벤트를 기록하는 로그는?
- ① 시스템 로그
- ② 응용 프로그램 로그
- ③ 보안 로그 ✅
- ④ 설치 로그
해설: 윈도우 이벤트 로그 종류: 시스템(OS 오류/경고), 응용프로그램(앱 관련), 보안(로그인·권한 변경·계정 관리), 설치(소프트웨어 설치). 침해 조사 시 보안 로그의 이벤트 ID 4625(로그인 실패), 4624(성공), 4720(계정 생성)이 핵심입니다.
디지털 포렌식 최종 정리
포렌식 5대 원칙의 명칭과 의미, Chain of Custody 개념, 휘발성 데이터 수집 우선순위, 주요 로그 유형을 정확히 암기하세요. 법적 증거 효력을 위한 무결성 검증(해시값)과 연계 보관성은 시험 단골 주제입니다.