디포2급실기책 실습 - 3.5

3.5. 첨단국가의 초석, 방위산업 기술유출 사건을 규명하라.

1. 사건 내용

• 방위산업체인 A항공산업에서는 한국형 전투기용 첨단장비 개발 프로젝트를 진행하고 있다. 그런데 최근 진행 중인 프로젝트 자료 일부가 유출된 정황이 감지되었다.
• A항공산업에서는 그 동안 임직원(협력업체 포함)을 대상으로 정보유출방지교육을 실시하고, USB메모리 등 이동식 저장매체의 반출입을 일체 금지하고 있었다.
• 2015.11.10 오후 퇴근시간에 협력업체 직원 김유출 연구원이 보안검색대에서 적발되었고, 호주머니에서 USB메모리가 발견되었다.
• 김유출 연구원은 USB메모리를 자신의 개인자료를 저장하는데 사용하였을 뿐 A항공산업의 자료를 저장하는데는 사용하지 않았다고 일체 범행을 부인하고 있다.
• A항공산업 감사팀은 김유출 연구원으로부터 동의를 얻어 USB메모리가 A항공산업의 프로젝트 자료 유출에 사용되었는지 여부를 분석하기로 하였다.

2. 사건 정보

• 유출된 것으로 파악된 프로젝트 자료파일의 SHA1 Hash 값 : b1a245cc18308ba8c5eb71dfc8728e2ee6e5bf46
• b1a245cc18308ba8c5eb71dfc8728e2ee6e5bf46
• 분석대상 : 김유출 연구원이 소지한 USB메모리 1개

3. 문제

3-1) 증거물(USB메모리)에 대하여 디지털 증거사본을 생성하고 증거사본의 무결성을 증명하시오. (증거사본과 관련 파일은 제공한 DVD-ROM에 포함하여 제출하시오) 20점

• 논리적 디스크 쓰기금지
• 사본이미지 생성

3-2) 증거사본으로부터 파악된 매체정보에서 파일시스템 종류, 전체용량, 총섹터수, 볼륨시리얼번호, 클러스터 크기 정보를 찾아 그 근거를 기술하시오.

3-3) 본 사건 관련 A 항공산업에서 유출된 것으로 파악된 사진파일의 존재 여부를 분석하고, 그 자료의 시그니처 정보, 섹터 위치, 시간정보, 파일 크기, 파일이름이 저장된 영역을 찾아 기술하시오.

문제에서 제시한 SHA-1 Hash 값을 Condition - SHA-1 검색을 통해 일치하는 파일을 확인하였으며, 해당 파일은 'IMG_101.jpg' 파일의 확장자가 변경된 압축파일 내에 다른 항공관련 자료들과 같이 위치한 것을 확인하였다.