이미징 사본 생성할때 문의드립니다.

안녕하세요! 답변 감사드립니다.

제 기억에 작년 실기 시험볼 때는 증거USB 내에 2개의 증거 파일(vmdk파일이랑 피의자usb)이 있었던 것으로 기억하는데요.

이럴 때는 한번에 사본 이미징을 받는 게 아니라 각각 받는게 맞겠죠??

안녕하세요 deepdive182님!

지난 21회 시험의 경우가 조금 특이했습니다.

얼마전까지만해도 실제 증거 USB를 제공하고 그 USB를 직접 이미징을 하는게 기본이었는데

21회시험에서는 USB를 제공하지 않고(정확히는 증거 USB 원본),

증거물을 이미징한 이미지파일을 제공했었던것으로 보입니다.

말씀하신 vmdk 파일과 용의자의 usb를 이미징한 이미징사본 파일을 처음부터 제공을 했기때문에 수험자가 직접 이미징할 필요가 없는 경우였습니다.

이미징과 관련해서 조금 헷갈려하시는것 같아서 보충설명을 드리자면,

이미징(복제)을 해야하는 경우는 시험장에서

'이 USB가 용의자 A의 책상에서 발견된 USB이다'

'용의자 B의 노트북 가방에서 USB 1개를 발견하였다'

처럼 수색과정에서 USB를 발견하였고, 이를 증거로써 (USB라는 저장매체를) 수집을 한 상태이며

수집한 증거 USB를 분석하기 위해서 [수험자에게 직접 증거 USB 원본을 준] 경우에는

이미징을 해야합니다.

하지만 21회 시험처럼 시나리오상에서

[~ USB를 발견하였고, ~지방경찰청 디지털포렌식랩 C 경위는 수집한 이 USB를 이미징하여 사본을 생성하였다]

또는

[~가상PC에 사용하는 가상 이미지 파일을 압수하였고, USB를 발견하게 되어 USB 이미징 사본 파일을 압수하였다]

위의 2가지 예시처럼 이미 사본을 생성한 경우에는

생성한 이미징 파일을 수험자에게 제공하기때문에 다시 이미징을 할 필요가 없습니다.

다시 말해서, 이미징을 해야하는 과정을 시나리오상에서 이미 진행한 것으로 설정하였기때문에

수험자는 그 과정을 스킵하고 바로 분석을 시작할수 있다는 이야기겠죠?

그래서 시나리오의 내용과 시험에 제공되는 USB가 어떤 USB인지를 잘 확인을 해주셔야합니다.

21회 시험의 경우 제가 알기로는 USB가 제공되었으나 이는 증거 USB 원본이 아닌,

단순히 시험을 치루기 위해 제공된 vmdk파일과 usb의 이미지파일을 제공하기 위한 단순 저장용 USB였던 것으로 알고 있습니다. 이런 경우에는 기본적으로 이 USB를 이미징하실 필요는 없겠죠

(제가 기본적이라고 말씀드리는건, 상황에 따라서는 그럼에도 불구하고 이미징을 할수도 있다는 의미인데 이건 시나리오나 출제자가 어떤형태로 출제를 했냐에 따라서 달라질 가능성이 있어서 말씀드리는 부분입니다)

시험장에서 수험자에게 제공된 USB가 시나리오 등을 통해서 확인해봤을때

1) 증거 USB 원본인 경우 : 쓰기방지 > 이미징 > 이미징 후 원본 USB제거 > 분석

2) 단순히 이미지 파일을 저장하여 전달하는 용도의 USB 인 경우(증거 USB 원본이 아닌경우)

: 이미징 하실필요없이 바로 분석 진행!

이렇게 나눠서 생각을 해주셔야할것 같아요.

중요한점은 받으신 USB가 증거 원본인지, 아니면 단순히 파일을 담아서 제공하기 위한 용도인지를 시나리오나 시험장에서의 안내에 따라서 판단하신 후에 진행을 하셔야한다는 점입니다!

이해가 되셨을까요?

혹시 잘 이해가 안되신다면 언제든지 다시 질문 주시면 더 자세히 말씀드리겠습니다 :)

아.. 그랬군요! 이해했습니다. 자세한 답변 정말 감사드립니다!!!