• 증거 파일 다운로드

  • (OLD) - https://cfreds-archive.nist.gov/data_leakage_case/data-leakage-case.html
  • (NEW) - https://cfreds.nist.gov/all/NIST/DataLeakageCase

• 실습 자료 다운로드

  • 강의교안 - http://naver.me/xC6VvuY7
  • 실습도구 - http://naver.me/x8lwaMxY
  • 추가 실습 도구
    • FTK Imager
    • Windows Search Analyzer

• 시나리오

‘Iaman Informant’는 최첨단 기술을 가지고 장치를 개발 중인 글로벌 회사 000의 기술개발부서 관리자로 일해왔다.

어느 날, ‘Mr. Informant’는 ‘Spy Conspirator’로부터 최신 기술과 관련된 기밀 정보의 유출 제안을 받았다. ‘Mr. Conspirator’는 경쟁 회사의 직원이었으나 많은 돈을 준다는 제안에 넘어가 'Mr. Informant'는 상세한 유출 계획을 수립하기 시작했다.

‘Mr. Informant’는 유출 계획을 숨기기 위해 신중을 기했다. 그는 ‘Mr. Conspirator’와 비즈니스 관계인것처럼 메일을 이용해 커뮤니케이션을 했고, 개인 클라우드 스토리지를 통해 기밀 정보의 샘플을 보냈다.

샘플을 받은 ‘Mr. Conspirator’는 남은(많은 양의) 데이터를 저장장치를 통해 직접 전달해 달라고 요청했다. 데이터 전달 후 저장장치를 없애려고 했으나 보안검색대에서 탐지되었고, 회사는 그를 유출 용의자로 의심하였다.

보안검색대에서 저장장치를 간단히 검사했지만 유출 흔적은 발견되지 않았다. 이후 추가 분석을 위해 포렌식 랩으로 전달되었다.

• 회사 내부 정책

1. 기밀 전자 파일은 승인된 외부저장장치 및 보안 네트워크 드라이브에 저장하고 보관해야 함.
2. 기밀 전자 파일은 오전 10시 부터 오후 4시 까지 허용된 시간에만 접근할 수 있음.
3. 노트북, 휴대용 저장장치, 스마트 장치와 같은 비인가 장치는 회사 반입금지.
4. 모든 직원은 “보안 검색대”를 통과해야 함.
5. HDD, SSD, USB, CD/DVD와 같은 모든 저장장치는 “보안검색대“ 규칙에 따라 반입금지

• 기타 정보 • 내부/외부망 분리 • DRM, DLP를 사용 중이지만 ‘Mr. Informant’는 해제할 수 있는 충분한 권한을 가지고 있음 • ‘Mr. Informant’는 IT와 포렌식에 관심이 높음

• Timeline

Timeline_1일차.xlsx

Timeline_2일차.xlsx

Timeline_3일차.xlsx

Timeline_4일차.xlsx

Timeline_5일차.xlsx

• 풀이

# 1일차 (완료)

# 2일차 (완료)