디지털포렌식은 눈에 보이지 않는 디지털 데이터를 다루기 때문에 디지털 데이터를 눈에 보이게 하는 도구가 필요하고, 도구에 의해 출력된 내용을 객관적으로 해석할 수 있는 사람이 필요하다. 도구는 CFTT와 같은 검증 체계나 타 도구와의 상호 검증을 통해 신뢰성이 확보되는 반면, 사람은 경력/이력이나 자격을 통해 신뢰성이 확보된다.
디지털포렌식 자격에는 관련 단체에서 만든 GCFA, GCFE(SANS GIAC), CHFI(EC-Council), CFCE(IACIS)를 비롯해 솔루션 벤더에서 만든 ACE(AccessData), EnCE(OpenText)가 널리 알려져 있다. 국내에도 민간자격으로 디지털포렌식전문가 자격이 존재한다.
취업 준비생이거나 진급을 위해 자격 취득이 필요한 상황이 아니기 때문에 자격에 큰 관심이 없었다. 2010년에 취득한 EnCE 자격도 연장없이 만료가 된지 오래다. 하지만 최근 XWF(X-Ways Forensics) 교육을 진행하면서 수강생들에게 XWF 자격인 X-PERT 취득에 대한 질문을 많이 받았고, 교육 과정에 X-PERT 취득 가이드까지 넣어 달라는 요청이 많아 급 관심이 생겨 응시까지 해보았다.
10년 전에는 포렌식 솔루션하면 EnCase, 포렌식 자격은 EnCE를 대부분 언급했지만 최근에는 AXIOM, XWF에 대한 교육 수요와 관심이 높아 해당 도구의 자격인 MCFE, X-PERT의 취득을 궁금해하는 사람이 많다. 나도 최근에는 메인은 XWF, 아티팩트는 AXIOM을 사용해 거의 모든 분석을 진행하고 있다.
# X-PERT
(X-Ways Professional in Evidence Recovery Techniques)
서론은 이만하고 X-PERT 응시에 대해 이야기해보자. X-PERT는 XWF의 전문성을 증명하는 자격으로 다음과 같은 세가지 응시 자격이 필요하다.
- 본인 혹은 고용주가 XWF 라이선스를 소유하고 있어 사용이 가능한 경우
- 영어 또는 독일어로 시험을 볼 수 있는 경우
- 지난 4년 내 XWF 공인 교육을 수강했거나 / XWF를 2년 이상 자습한 사용자(라이선스 구매날짜로 확인)로 CFCE, CCE, EnCE 자격을 가지고 있거나 그 밖에 관련 분야의 전문성을 입증할 만한 내용
XWF 공인 교육을 수강한 경험이 없기 때문에 2년 이상된 동글 ID와 간단한 프로필을 보내 응시 자격을 얻었다. 구입한지 2년이 지나지 않았지만 빠르게 취득하고 싶다면 온라인 강좌(GoToMeeting으로 진행됨)를 수강(약 150만원)하여 응시자격을 갖추면 된다.
온라인 응시 신청 폼에 정보를 입력하고 결제까지 마치면 cleverbridge로부터 링크가 포함된 결제 영수증이 도착한다. 응시료는 세금까지 포함해 32만원 정도다. 링크에 이메일 주소를 입력하면 입력한 메일로 시험 안내 메일이 도착한다. 시험 안내 메일에는 다음의 정보가 포함된다.
- 시험 이미지 및 해시 데이터베이스 다운로드 URL
- 시험절차 및 주의사항
- 시험 URL과 인증 코드
시험 URL에 접속해 이메일에 있는 코드를 입력하면 바로 해당 시점부터 3시간(180분) 동안 시험이 시작되므로 3시간 동안 오롯이 집중할 수 있는 환경을 만든 후 시작하자. XWF에 익숙하더라도 3시간이 결코 여유로운 시간은 아니다.
시험 안내 메일까지 받고 바쁜 일로 보름간 잊고 있다 주말에 시험이나 볼까하고 회사에 가서 커피 한잔을 탄 후 이미지를 다운받고 가벼운 마음으로 시험을 시작했다. 문제는 8 개였지만 세부 문제까지 하면 대략 15개 정도였다. 개별 답안은 문제 유형에 따라 이메일로 서술하거나 첨부파일로 증명해야 하고 최종적으로 활동 로그(activity log)를 포함한 보고서를 생성해 제출해야 한다.
먼저, 이메일에 서술형 답안을 제출한다는 점은 정형화가 안되므로 모두 수동으로 채점한다는 사실을 알 수 있다. 또한, 보고서에 활동 로그가 들어가야 하기 때문에 실제 문제를 풀지 않고 답안만 제출하면 채점자가 이를 적발할 수 있다. 과연 XWF 다운 방식 아닌가? 그 동안 XWF와 관련해 여러 번 교육도 진행했고, 몇 년동안 메인 분석 도구로 사용해왔기에 시험을 위한 준비는 전혀하지 않았다. 한편으로 현재의 수준도 시험해보고 싶었기에 가벼운 마음으로 시작했는데 문제를 쭉 훑어본 결과 바로 든 생각은 “아! 이거 떨어지겠는데… 그냥 경험삼아 해보고 다음에 제대로 다시 해볼까?” 였다. 게다가 시작 버튼을 누른 순간부터 180분이 카운트다운되어 가슴이 뛰기 시작했다.
당황한 이유는 다수의 문제가 윈도우/리눅스 기본 이해를 바탕으로 XWF의 기능을 활용해 해결해야 하는데 주로 쓰던 XWF의 기능이 아닌 기능을 써야했기 때문이다. 그래서 초반에 이런 저런 기능을 다시 써보고 매뉴얼도 찾아보다가 시간을 보니 벌써 90분이 지나가 버렸다. 그리하여 부랴부랴 답을 작성하기 시작했고 5분을 남기고서야 최종 제출을 했다. 참으로 오랜만에 긴장한 상태에서 집중을 해본 시간이었다.
실제 분석하면서 매번 쓰던 기능 위주로만 써왔던지라 당황했지만 매뉴얼대로 모든 기능을 하나씩 익힌 사용자라면 어렵지 않게 문제를 풀 수 있을 것이다. 다만, 가볍게 생각한다면 응시료의 20% 할인을 받고 재응시해야 할 수도 있다. 물론 나도 2주 후의 결과에 따라 재응시해야 할 수도 있다. 재응시하면 다시 한번 포스팅을 하겠다(^^;).
아직까지 응시했던 사람과 이야기를 나눠보지 않아 확인은 못했지만 주어진 이미지나 파일을 활용하지 않은 문제가 있는 것으로 보아 응시자마다 문제가 다르게 제시될 가능성도 있다. 전체적인 시험 문제 구성이나 설계에 고민을 많이 한 흔적이 느껴지고 생각할 점도 많기 때문에 XWF를 분석에 활용하는 사용자라면 X-PERT 시험 응시는 결코 낭비되는 시간이 아닐 것이다.
마지막으로 시험을 칠 계획이라면 다음을 꼭 기억하자.
- XWF를 사용해보면 RVS가 잘 동작하지 않는 경우가 종종 있다. 그러므로 RVS 후 결과가 제대로 안나오면 다시 RVS를 새롭게 생성한 후 문제 풀이를 시작하자.
- 3시간 동안 오롯이 시험에만 집중할 수 있는 환경을 갖추고 시작하자.
- 이메일로 답안을 제출하기 때문에 명확하고 간결하게 답안을 작성하는 편이 좋다.
- 윈도우 뿐만아니라 리눅스에 대한 이해도 필요하다.
- 샘플 혹은 포렌식 이미지를 풀 때 온전히 XWF만으로 해결해보자(보고서 작성까지).
그럼에도 불구하고 응시가 두렵다면 PLAINBIT+의 AXWF 과정을 수강하자. XWF의 고급 활용 기법과 X-PERT 취득 시 필요한 기능을 연습해볼 수 있는 실전 케이스 분석을 경험해볼 수 있다.
X-PERT 시험과 관련해 보다 자세한 내용은 다음 사이트를 참고하자.
– http://www.x-pert.eu/