디포실기책 실습 - 3.7
1) 사건 내용
2015년 (주)참좋아 제약사는 다국적 제약사에 신약기술을 수출하여 8조원의 계약을 이루어내며 대박신화의 주인공이 되었다. 그러나 (주)참좋아 제약사는 2016.10. 말경 갑작스럽게 독일(주)Drogen 제약사로부터 계약관련 권리반환을 통보받았다고 공시하였다. 이날 (주)참좋아 제약사의 주가는 하한가로 급락하였다.
한편, 금융당국은 공시전에 이러한 정보가 사전 유출되어 시장질서 교란행위가 있었다는 언론보도 자료를 통해 불공정거래 의혹이 제기됨에 따라 조사를 착수
조사결과, (주)참좋아 제약사의 직원 김유출의 독일 (주)Drogen 제약사 측으로부터 기술수출 계약이 철회되었다는 악재성 미공개 정보를 사전에 입수하고 증권사 펀드매니저 등에게 이를 유출하였고, 추가하락을 예상한 국내기관투자자들의 대규모 공매도 거래에 활용된 것으로 추정하고 있다.
이에 따라 금융당국은 검찰과 함께 합동수사팀을 편성하여 법원으로부터 압수,수색, 검증영장을 발부받아 2016.11.26 (주)참좋아 제약사 직원 김유출의 사무실을 압수수색하였다. 디지털 포렌식 전문가로서 당신은 사무실 내 김유출 직원의 책상 서랍에서 발견된 USB메모리의 분석을 통해 미공개 공시정보의 사전 유출 증거를 찾아야 한다.
2) 사건 정보
d6b1b724527323f9873224f7286566e4b86d54ac
3) 문제
3-1) 증거물 USB메모리에 대하여 디지털 증거사본을 생성하고 증거사본의 무결성을 증명하시오. (증거사본과 관련 파일은 제공한 DVD-ROM에 포함하여 제출하시오) 20점
: FTK Imager를 통하여 생성 (E01 파일)
3-2) 증거사본으로 부터 파악된 매체저보에서 파일시스템의 종류, 물리디스크 전체용량, 물리디스크 총섹터수, 볼륨시리얼번호, 단위 클러스터 크기 정보를 찾아 그 근거를 기술.
| 구분 | 값 |
|---|---|
| 증거 USB 시리얼 번호 | A216-3E97 |
| 증거 USB 모델 | USB Flash Disk |
| 전체 섹터 수 | 7,975,296 섹터 |
| 섹터 당 바이트 크기 | 512 Bytes |
| 파일시스템 | FAT32 |
| 볼륨 전체 가용용량 | 4,066,574,336 Bytes (3.8GB) |
| 볼륨 시리얼 번호 | 9319000001420289 |
| 클러스터 당 섹터 수 | 4 섹터 (4 * 512 = 2048 Bytes) |
| 디스크 전체 용량 | 4,083,351,552 Bytes (3.8GB) |
3-3) 본 사건 관련 미공개 공시정보 사전유출에 사용된 파일을 찾고 해당 파일의 시그니처 정보, 파일이 시작되는 섹터의 위치 정보, 시간속성 정보, 파일의 크기, 파일시스템 상에서 파일명과 속성 정보가 저장된 곳(Directory Entry)의 위치를 찾고 그 내용을 기술하시오.