EnCE Phase I 사전 지식
EnCE(EnCase Certified Examiner) 자격증 시험은 필기와 실기 두가지 단계로 구분된다. 필기 시험에서 80% 이상 득점을 해야 실기 시험에 도전할 수 있는 기회가 주어진다. 정보처리기사, 정보보안기사 등 국내에서 "국가공인" 타이틀을 달고 발급 중인 국가공인 기술 자격증조차도 합격선이 60%라는 사실에 비추어 보면, 일개 벤더 자격증이 요구하는 수준 치고는 꽤나 높은 듯 하다. 그렇다고 해서 필기 시험의 난이도가 낮은 것도 아니기 때문에 300 달러라는 거금이 증발되지 않도록 철처하게 준비하는 것이 좋다.
Phase I 은 총 174개 문항(해외 수험자 기준)을 두 시간 동안 풀이하도록 진행된다. 평가 범위는 「DF120 - Foundations in Digitial Forensics with EnCase」 와 「DF210 - Building an Investigation with EnCase」 강의에서 다루는 내용을 중점으로 출제 되기 때문에 수월하다고 생각 될 수 있지만, 이 두 개의 강좌를 통해 숙지해야 하는 지식의 범주는 단순히 EnCase 조작법을 넘어서 NTFS, FAT 등의 파일 시스템 및 디지털 포렌식 기초/활용 까지 포함되기 때문에 결코 만만하지 않다. 그리고 이 모든 범주를 아우르는 지식을 습득한 상태로 한 문제 당 1분이 채 안되는 시간의 촉박함을 안고 178 문항 중 80% 이상의 득점을 해야 하니.. 적당한 긴장감을 안고 시험에 응시해야 한다.
시험에 필요한 지식의 도메인은 OpenText 홈페이지에서 간단히 확인 할 수 있다. 「DF120」 와 「DF210」 강의에서 다루지 않는 내용은 출제되지 않기 때문에, 해당 강의들에서 제공하는 내용을 충실히 학습하면 테스트를 수월하게 진행할 수 있다. 또는 OpenText 의 국내 파트너사인 '제트코'에서 관련 정보를 구할 수 있다.
EnCE Phase I 출제 유형
국내에서 EnCE Phase I 와 관련된 정보를 찾는 것은 쉽지 않다. CCNA, CEH 등의 자격증을 취득하기 위해 많은 사람들이 찾는 덤프 또한 EnCE Phase I 관련 자료는 거의 없다. 따라서 오랜 시간을 투자해야 인터넷에서 간신히 발굴해 낼 수 옛날 자료들과 「EnCase Computer Foreniscs - The Offical EnCE: EnCase Certified Examiner Study Guide」 책에 수록되어 있는 문제들을 풀면서 준비하는 것이 최선이다.
이 책에는 「DF120」 와 「DF210」 에서 다루는 내용이 전반적으로 상세히 기술되어 있을 뿐만 아니라 Phase I 테스트를 대비하기 위한 문제 및 해설도 수록되어 있기 때문에, 시험 정보를 전혀 찾을 수 없어 막막한 사람들에게 최고의 선택지가 될 수 있다고 말할 수 있다.
A hard drive has been formatted as NTFS and Windows XP was installed. The user used fdisk to remove all partitions from that drive. Nothing else was done. You have imaged the drive and have opened the evidence file with EnCase. What would be the best way to examine this hard drive?
NTFS로 포멧된 하드디스크의 모든 파티션이 사용자에 의해 제거되었다. 이 하드디스크를 이미징 한 후 증거 파일 포멧으로 추출하고 EnCase를 이용해서 열었을 때, 이를 조사하기 위한 가장 좋은 방법은 무엇인가?
한글 번역은 어느 정도의 의역이 다분히 들어가 있음을 양해 바란다. 위의 문제는 인터넷에서 구한 덤프에 있는 문제를 약간 변형한 것인데, 실제 Phase I 테스트도 이와 비슷한 맥락으로 출제된다. 이 세 줄짜리 간단한 문제를 풀이하기 위해서 파일 시스템 및 디지털 포렌식 기초 지식이 필요할 뿐만 아니라 EnCase 사용법 또한 숙지하고 있어야 함을 확인할 수 있다.
이 문제의 정답은 분석 초기 단계에서 디스크 상의 제거된 파티션이 존재하는지 확인한 후, EnCase의 "Add Partition" 기능을 사용하여 복구하는 것인데, 너무 걱정할 필요 없이 4지선다의 보기가 주어진다는 점을 충분히 활용하자.
If cluster number 10 in the FAT contains the number 55, this means:
FAT 파일 시스템에서 FAT의 10번 클러스터에 55가 담겨 있다면, 이는 무엇을 의미하는가?
FAT 파일 시스템에 대한 지식이 숙지되어 있지 않다면 풀 수 없는 문제이다. Phase I 에서는 이렇게 파일 시스템에 대한 기초 및 상세 지식을 묻는 문제가 다수 출제된다. 따라서 '파일 시스템' 이라는 지식 도메인에 대해서 대충 알고 넘어가는 수준이 아니라 한 바이트씩 실제로 뜯어보고 확인하는 수준의 실습이 수반되어야 수월하게 풀이 할 수 있다.
FAT 상의 각각의 엔트리(FAT entry)는 '할당 상태(allocated state)'와 '클러스터 런(cluster run)'을 명시하기 때문에, 정답은 10번 클러스터가 사용 중이고 해당 파일은 55번 클러스터로 연결된다는 내용을 선택하면 된다.
You are conducting an investigation and have encountered a computer that is running in the field. The operating system is Windows XP. A software program is currently running and is visible on the screen. You should:
현장 조사 중 실행 중인 컴퓨터를 확인하였다. 소프트웨어 프로그램이 현재 실행 중이고, 스크린에 가시적으로 보여지는 상태이다. 어떠한 조치를 해야 하는가?
파일 시스템 및 디지털 포렌식의 기술적인 부분만 출제 되는 것이 아니다. 실무에서 디지털 포렌식을 수행하는 수사관으로써 조치해야 하는 방법론 등에 대해서도 숙지하고 있어야 한다. 문제에서는 현장 조사를 나간 수사관의 행동 요령에 대해 묻고 있는데, 정답은 현재 화면에 가시적으로 실행중인 프로그램은 반드시 사진으로 남겨둬야 한다는 내용이다.
지금까지 EnCE Phase I 필기 시험 유형에 대해서 간략하게 알아보았다. 일개 벤더 자격증 시험이 필기/실기 두 단계로 나뉘어진 것도 일반적이지 않은데, 각각의 단계의 난이도 또한 무시 못할 정도라는 것을 확인하였다. 시험 1회 응시에 300 달러 정도 되는 거금이 크게 아깝지 않다면 여러번 응시해서 좋은 성과를 기대하는 것도 나쁘지 않은 방법이지만, OpenText에서는 시험 탈락자에게 2달이라는 자숙의 시간을 두고 있기 때문에 이마저도 여의치 않다.
따라서 파일 시스템, 디지털 포렌식 기초 및 응용, 그리고 EnCase 조작법 및 활용법까지 충분히 숙지한 상태로 시험에 응시해서 깔끔하게 Phase II 로 넘어가는 것이 최선이라고 생각한다.
'Certificate Info. > EnCE (EnCase Certified Examiner)' 카테고리의 다른 글
| EnCE (EnCase Certified Examiner) 자격증 응시요건 확인하기 (0) | 2022.03.21 |
|---|---|
| EnCE (EnCase Certified Examiner) 자격증의 가치 (0) | 2021.07.29 |