CFReDS - Data Leakage Case 개요

포렌식을 공부하다보면 포렌식에 대한 여러가지 챌린지, 대회도 있는데
어떤 공부를 하고 대회 준비를 해야할 지 막막하다.

이런 고민을 할때 적합한 문제 풀이로는 아래 링크에서 문제를 다운받아 풀어보는 것을 추천한다.
포렌식에 대한 기초적인 지식들을 실습을 통해 접근할 수 있다.
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

※ 파일명을 클릭하고 다운을 받으려면 페이지로 넘어가는데 이것은 파일 내용이 웹 브라우저에서 보이는 것이다.
따라서 Window PowerShell 을 이용하여 다운 받도록 하자
ex) Invoke-WebRequest -Uri "다운받을 URL 주소" -Outfile "저장할 파일 위치"
PS. 리눅스는 wget 명령어 이용

각설하고 Data Leakage Case (정보 유출 사고) 시나리오를 살펴보자.

[시나리오]

'Iaman Informer'는 최첨단 기술과 도구들을 개발하는 유명한 국제 회사 OOO에서 기술 개발 부서의 매니저로 근무하고 있었다.

어느 날 'Mr. Informant'가 사업차 방문했던 곳에서 'Spy Conspirator'로부터 최신 기술과 관련된 민감한 정보를 유출하겠다는 제의를 받았다. 실제로 'Mr. Informant'는 경쟁사 직원이었고, 'Mr. Informant'는 거액의 제의를 받아들이기로 하고 구체적인 유출 계획을 수립하기 시작했다.

'Mr. Informant'은 유출 계획을 숨기기 위해 고의적인 노력을 했다. 그는 'Mr. Conspirator'와 업무상 관계처럼 이메일 서비스를 이용해 그것에 대해 논의했다. 그는 또한 개인 클라우드 스토리지를 통해 기밀 정보의 샘플을 보냈다.

'Mr. Conspirator'는 샘플 데이터를 받은 뒤 나머지(대량) 데이터를 저장하는 저장 장치를 직접 배송해 달라고 요청했다. 결국 'Mr. Informant'은 그의 저장 장치를 빼앗으려 했지만, 회사 보안 검색대에서 그와 그의 장치들이 탐지되었다. 그리고 그는 회사 자료를 유출한 혐의를 받았다.

보안검색대에서는 그의 기기(USB 메모리, CD)들을 잠시 점검(보호된 휴대용 쓰기 방지)했지만 유출 흔적은 없었다. 그리고 곧바로 디지털 포렌식 실험실로 옮겨져 추가 분석을 했다.

[회사의 정보 보안 정책에는 다음이 포함된다.]
  1. 기밀 전자 파일은 인증된 외장 스토리지 장치와 보안 네트워크 드라이브에 저장 및 보관해야 한다.
  2. 기밀 문서 및 전자 파일은 적절한 권한이 있어야 오전 10시부터 오후 16시까지 허용된 시간 범위 내에서만 액세스 할 수 있다.
  3. 노트북, 휴대용 스토리지, 스마트 기기 등 비인가 전자 기기는 회사 내 반입이 불가능하다.
  4. 모든 직원은 '보안 체크포인트' 시스템을 통과해야 한다.
  5. HDD, SSD, USB 메모리 스틱 및 CD/DVD와 같은 모든 저장 장치는 '보안 검사점' 규칙에 따라 금지된다.

또한 내부 및 외부 네트워크를 별도로 관리하고 정보 보안을 위해 DRM(Digital Rights Management) / DLP(Data Loss Prevention) 솔루션을 사용했지만, 'Mr. Informant'은 이를 우회할 수 있는 충분한 권한을 가지고 있었다. 또한 그는 IT에 관심이 많았고 디지털 포렌식에 대한 지식도 약간 있었다.

이 시나리오에서 데이터 유출의 증거와 용의자의 전자기기에서 생성되었을 수 있는 모든 데이터 증거를 찾아라.