디지털포렌식 2급 필기 준비 - 3과목

웹 브라우저가 저장하는 데이터 구분

항목	설명	출제 포인트
히스토리	방문한 URL, 시간 등	사이트 접속 시각 추적
쿠키(Cookie)	로그인 상태, 세션 식별자 등	자동 로그인 정보 추적
세션(Session)	브라우저 종료 시 탭 복구	현재 열린 사이트 복구 가능 여부
캐시(Cache)	이미지, CSS, JS 등 임시 저장	열람 사실 입증 가능
다운로드 기록	파일명, 경로, 시각	의심 파일 유입 추적
자동완성 정보	검색어, 입력폼 이력	사용자 행위 패턴 추정

 

브라우저 별 저장 파일 / 위치 특징

브라우저	파일 유형	저장 위치 (Windows 기준)	출제포인트
Chrome	History, Cookies, Login Data 등 (SQLite)	C:\\Users\\[사용자]\\AppData\\Local\\Google\\Chrome\\User Data\\Default\\	SQLite 형식, 경로 외우기
Firefox	places.sqlite, cookies.sqlite 등	C:\\Users\\[사용자]\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\[랜덤].default	Firefox는 .sqlite 다수 사용
Edge	Chromium 기반 이후 Chrome과 유사	동일 경로 내 Edge 폴더	구형 Edge와 신형 Edge 구분 주의

 

쿠키 VS 세션

항목	쿠키	세션
저장 위치	클라이언트(브라우저)	서버 또는 일시적 브라우저 메모리
만료 시점	설정된 시간 이후까지 유지	브라우저 종료 시 소멸
용도	로그인 유지, 광고 추적	사용자 인증/탭 유지
포렌식 활용	접속 시점 파악, 사용자 식별	종료 당시 열린 페이지 추정 가능

• 쿠키는 클라이언트, 세션은 서버 또는 휘발성

 

웹 브라우저 분석 도구

도구	용도	출제 포인트
Chrome History Viewer	History 파일 열람	SQLite 기반 분석
SQLite DB Viewer	대부분의 브라우저 내부 DB 분석	Web Data, Login Data 등도 SQLite
Belkasoft Evidence Center	자동화된 브라우저 데이터 분석	상용 포렌식 도구로 간혹 출제
Browser History Capturer	히스토리/탭/쿠키 캡처 도구	다양한 브라우저 지원 강조될 수 있음

 

웹 브라우저 관련 암기 포인트

• 웹 브라우저는 모든 것을 SQLite DB 파일로 저장한다 (Chrome, Firefox 기준)
• 세션 정보는 종료 시점 열려 있던 탭 확인에 유리하다
• 캐시 파일은 열람 여부의 증거가 될 수 있다 (이미지, JS, CSS 등)
• 자동완성 정보는 검색 키워드, ID/PW 힌트, 사용자 패턴을 추적 가능하다
• 웹 히스토리 분석은 사용자 타임라인 재구성에 유리하다

 

• Chrome의 웹 방문 기록은 History라는 SQLite DB에 저장된다
• 세션은 브라우저가 종료되면 소멸되며, 열린 탭 정보를 복구할 수 있다
• 쿠키는 로그인 상태, 사용자 추적 등에 활용되며, 클라이언트에 저장된다
• 자동완성 데이터는 폼 입력값 기록으로 포렌식 추적에 사용된다

 

전자우편 정의

전자우편(E-mail)은 인터넷을 통해 텍스트, 파일, 이미지 등을 다른 사람에게 전달하는 비동기식 통신 수단
→ 네트워크 기반에서 SMTP/POP3/IMAP 등의 프로토콜을 사용하여 메일 송수신

 

전자우편 송수신 구조

송신자 → SMTP 서버 → 수신자 메일서버(POP3 or IMAP) → 수신자 클라이언트

역할	프로토콜	설명
발신(보내기)	SMTP	Simple Mail Transfer Protocol, 메일 전송
수신(받기)	POP3	Post Office Protocol v3, 서버에서 메일을 다운로드 후 삭제
	IMAP	Internet Message Access Protocol, 서버에 메일을 남기고 동기화

 

 

E-mail 구성요소

요소	설명
헤더(Header)	송신자(From), 수신자(To), 경유 서버(Received), 시간(Date) 등
본문(Body)	텍스트, HTML, 이미지, 첨부파일 등
첨부파일	바이너리 파일 포함 가능 (zip, exe, pdf 등)

• 헤더 분석은 발신지 조작 여부 탐지에 매우 중요

 

저장형식 및 경로

구분	형식	예시 경로/ 파일
Outlook	PST / OST	C:\\Users\\user\\AppData\\Local\\Microsoft\\Outlook
Thunderbird	MBOX	C:\\Users\\user\\AppData\\Roaming\\Thunderbird\\Profiles
Gmail	웹 기반 서버 저장	다운로드 시 EML / HTML 형태

 

포렌식 분석 포인트

• 헤더분석 : Received 필드 → 메일 경유지 확인, IP 주소 추적
• 위조 여부 분석 : Return-Path, Message-ID 불일치 여부
• 첨부파일 분석 : 악성코드 삽입,문서 위장 여부
• 본문 내용 : 피싱 링크 포함 여부, 외부 스크립트 확인
• 삭제 메일 복구 : MBOX 또는 PST 분석을 통한 논리 삭제 복원 가능
• 타임라인 추적 : 수신/발신 시간 기반으로 사건 순서 재구성

 

프로토콜 비교

항목	SMTP	POP3	IMAP
역할	메일 전송	수신 후 다운로드	수신 후 서버 보관
연결 유지	X	짧음	유지 가능
디바이스 동기화	X	안 됨	O
서버에서 삭제	X	O	X
포렌식 활용	경로 확인	서버 연결 이력	메일 원본 추출 유리

• POP3는 수신 후 삭제, IMAP은 서버에 메일을 남긴다

 

저장 형식 / 파일

환경	저장 방식	파일 예시
Outlook	PST/OST	.pst, .ost
Thunderbird	MBOX	.mbox, 무확장
Gmail	서버 기반	다운로드 시 .eml, .html

 

주요 응용프로그램 유형

구분	대표 예시	설명
메신저	카카오톡, 라인, WhatsApp, Skype, Discord	텍스트, 이미지, 파일, 음성/영상 통화 가능
클라우드 스토리지	Google Drive, Dropbox, OneDrive	파일 업/다운로드 및 자동 동기화
문서 편집기	Microsoft Office, 한글, Notepad	문서 내용 + 메타데이터 포함
멀티미디어	곰플레이어, VLC, Photoshop 등	이미지, 영상, 디자인 관련 파일 및 캐시

 

메신저 프로그램

항목	설명
저장 위치	C:\\Users\\사용자\\AppData\\Roaming\\ 하위 경로
데이터 유형	메시지 DB, 전송 파일, 캐시 이미지
흔적 예시	카카오톡의 KakaoTalk.db, WhatsApp의 msgstore.db
포렌식 포인트	메시지 시간, 내용, 송수신자, 전송된 파일, 삭제 여부
주의	모바일 버전과 PC 버전의 경로와 저장 구조 다름

 

클라우드 프로그램

항목	설명
저장 경로	Google Drive: DriveFS, Dropbox: Dropbox\\filecache
분석 대상	업/다운로드 기록, 로그인 기록, 최근 액세스
로그 파일	Dropbox: log.txt, OneDrive: SyncDiagnostics.log
포렌식 포인트	업로드된 파일의 시점, 삭제 흔적, 동기화 시도

• 클라우드의 흔적은 로컬에서도 확인 가능함

 

문서 편집 프로그램

항목	설명
저장 위치	Documents, AppData\\Roaming\\Microsoft\\Word 등
분석 포인트	자동 저장 파일(.asd), 임시파일(~.tmp), 복구파일(~WRL)
메타데이터	작성자, 수정 시각, 소프트웨어 버전 등
포렌식 활용	문서 최초 생성자, 작성 시간 추적 / 변경 여부 확인

 

포렌식 공통 분석 포인트

항목	설명
자동 저장 / 임시파일	예상치 못한 종료 시 남는 흔적 (복구 가능)
레지스트리 흔적	실행 프로그램 기록, 최근 사용 문서 경로 (RecentDocs, UserAssist)
Prefetch 파일	실행 시간 및 실행 경로 확인 (.pf)
Thumbnail Cache	열어본 이미지/문서의 썸네일 파일 존재 가능
로그 파일	각 프로그램 별 운영 로그 (성공/실패, 동기화, 오류 등)

 

네트워크의 정의

네트워크(Network)는 두 대 이상의 컴퓨터 또는 장치가 서로 정보를 주고받을 수 있는 연결 구조를 의미

• 네트워크는 자원 공유, 통신, 협업 등을 목적으로 구성됨
• 인터넷(Internet)도 가장 대표적인 글로벌 네트워크

 

네트워크 구성요소

구성 요소	설명
호스트(Host)	데이터를 송/수신하는 컴퓨터, 장치
네트워크 인터페이스	NIC, 무선랜카드 등 네트워크 연결 장치
매체(Media)	데이터를 전송하는 물리 경로 (UTP, 광케이블, 무선 등)
프로토콜	통신 규칙 (TCP/IP, HTTP, DNS 등)
라우터/스위치	데이터를 전달·중계하는 네트워크 장비

 

데이터 전송 방식

구분	설명	예시
유니캐스트	한 송신자 → 한 수신자	웹 브라우징, 이메일
멀티캐스트	한 송신자 → 일부 그룹 수신자	IPTV, 온라인 강의
브로드캐스트	한 송신자 → 모든 장치	ARP 요청, DHCP

• 브로드캐스트는 동일 네트워크 대역 전체에 전송

 

OSI 7계층 모델

계층	설명	대표 프로토콜 / 기능
7. 응용계층	사용자 인터페이스	HTTP, FTP, SMTP
6. 표현계층	인코딩, 암호화, 압축	JPEG, MPEG, TLS
5. 세션계층	연결 유지 및 관리	NetBIOS, RPC
4. 전송계층	데이터 전송 제어	TCP, UDP
3. 네트워크계층	경로 설정, IP 주소	IP, ICMP, ARP
2. 데이터링크계층	MAC 주소, 프레임	이더넷, 스위치
1. 물리계층	전기적 신호, 비트 전송	UTP, 광케이블, 허브

 

• TCP는 전송계층, IP는 네트워크계층
• MAC 주소는 데이터링크 계층, 물리 주소

TCP/IP 4계층 모델

계층	설명	OSI 매핑
응용계층	사용자 서비스 제공	OSI 5~7계층
전송계층	데이터 세그먼트 전송	OSI 4계층
인터넷계층	IP 기반 라우팅	OSI 3계층
네트워크 액세스 계층	프레임 구성, 실제 전송	OSI 1~2계층

 

주요 주소 체계

주소 종류	설명	예시
IP 주소	네트워크 내 장치 식별 (논리주소)	192.168.0.1
MAC 주소	장치 고유 식별 (물리주소)	00-14-22-01-23-45
포트 번호	애플리케이션 식별	80(HTTP), 443(HTTPS), 22(SSH)

• MAC은 이더넷 카드에 부여된 주소 → 변경 불가한 하드웨어 주소

네트워크 분류 기준

네트워크는 범위, 구성 장비, 목적에 따라 여러 가지로 분류

• 범위(거리): LAN, MAN, WAN, PAN 등
• 접근 방식: 전용망 vs 공용망
• 보안 수준: 내부망, 외부망, VPN

 

주요 네트워크 유형 비교표

유형	의미	특징	대표 예시	시험 포인트
LAN (Local Area Network)	근거리 통신망	한 건물/사무실 등 좁은 범위	회사 내부망, PC방, 가정용 공유기	내부망으로 가장 일반적
WAN (Wide Area Network)	광역 통신망	도시, 국가 단위 이상 규모	인터넷, KT 망, ISP 백본	인터넷 = 대표적 WAN
MAN (Metropolitan Area Network)	도시권 통신망	수 km ~ 수십 km	대학교 캠퍼스망	LAN과 WAN의 중간 규모
PAN (Personal Area Network)	개인 통신망	수 m 이내	블루투스, 무선 키보드	장치 간 초근거리 통신
VPN (Virtual Private Network)	가상 사설망	공용망 위에 사설망 구현	기업 외부 접속 시 VPN 사용	암호화, 터널링, 보안 통신

 

VPN (Virtual Private Network)

공용 네트워크(인터넷)를 통해 보안이 확보된 사설망을 구축하는 기술

항목	설명
기능	IP/데이터 암호화, 인증, 터널링
주요 프로토콜	PPTP, L2TP, IPsec, SSL VPN
사용 목적	재택근무, 기업 내 망 외부 접속, 보안 접속
포렌식 시점	원격 접속 흔적, VPN IP 추적 등

• VPN 사용 시 IP는 사설망 → VPN 서버 → 외부망으로 라우팅됨

 

시험에 자주 나오는 구분 포인트

구분 기준	항목	외워야 할 포인트
거리 기준	PAN < LAN < MAN < WAN	범위 순서 꼭 암기!
목적 기준	VPN	보안 목적, 터널링, 암호화 통신
인프라 기준	LAN/WAN	LAN은 사설망, WAN은 공용망 중심
대표 기술	VPN	IPsec, SSL 기반 암호화 채널 구성

• LAN은 근거리, WAN은 광역 → 거리 기준 문제 자주 출제
• VPN은 보안 터널링 → 암호화, 사설망 연결 기술로 출제
• PAN은 블루투스 등 개인 장치 연결망 → 항상 단거리로 구분
• MAN은 도시권 → 대학교, 캠퍼스 등 사례 중심 출제

 

네트워크 보안의 개요

네트워크 보안이란 정보를 전송하는 경로와 장치 사이의 무결성, 기밀성, 가용성(3요소)를 보장하기 위한 기술과 정책 의미

 

 

보안 위협 요소

요소	설명	대표 행위
기밀성(Confidentiality)	인가된 사용자만 정보 접근 가능	암호화, 접근 제어
무결성(Integrity)	정보가 변조되지 않도록 보장	해시, 디지털 서명
가용성(Availability)	언제든 서비스에 정상 접근 가능	DDoS 방지, 이중화

• 기밀성-암호화, 무결성-해시, 가용성-DDoS 대응 

 

주요 보안 장비 및 기술

 

• 방화벽 (Firewall)

항목	설명
기능	허용/차단 규칙 기반으로 트래픽 제어
종류	패킷 필터링, 상태 기반 검사(SPI), 애플리케이션 계층
위치	네트워크 경계 지점 (내부/외부 망 사이)

방화벽은 트래픽을 차단하는 장비, 애플리케이션 계층까지 분석 가능한 방화벽은 WAF

• IDS / IPS

구분	IDS (침입 탐지 시스템)	IPS (침입 방지 시스템)
역할	침입 시도 탐지	침입 시도 차단
반응	수동 경고 (로그/알림)	능동 차단 (트래픽 종료 등)
위치	내부망 감시용	방화벽처럼 실시간 필터링 가능

IDS는 수동 탐지, IPS는 능동 차단

• VPN : 보안 통신을 위한 가상 사설망 구성 – 암호화 + 터널링

특징	설명
암호화	SSL, IPsec 등
터널링	데이터가 외부망에 노출되지 않도록 암호화된 통로 제공
사용 예시	재택근무, 원격 접속, 기업망 외부 보호 등

• 암호화 기술

방식	설명	알고리즘 예시
대칭키 암호화	같은 키로 암복호화	AES, DES
비대칭키 암호화	공개키/개인키로 나눔	RSA, ECC
해시(Hash)	복호화 불가, 무결성 검증	SHA-256, MD5

대칭키는 속도 빠름, 비대칭키는 보안성 높음 

• 인증 방식

인증 종류	설명
1요소 인증	ID + 비밀번호
2요소 인증	비밀번호 + OTP(휴대폰)
3요소 인증	생체인식(지문, 홍채 등) 포함

MFA(Multi Factor Authentication) = 복합 인증

 

스니핑(Sniffing)

네트워크 상의 패킷을 몰래 도청(감청)하는 공격

항목	내용
목적	로그인 정보, 세션 쿠키 등 탈취
대상	암호화되지 않은 패킷 (예: HTTP, FTP)
도구	Wireshark, tcpdump, Cain&Abel 등
방어	암호화 통신(HTTPS, SSH) 사용, 스위치 환경 설정 강화
포렌식 포인트	공격자는 네트워크 인터페이스를 promiscuous 모드로 설정함

• 스니핑은 네트워크 상에서 패킷을 감청하는 수동적 공격

 

스푸핑(Spoofing)

IP, MAC, DNS 등 주소 정보를 위조해 공격자가 정상 장치인 척 가장하는 공격

유형	설명	목적
IP 스푸핑	IP 주소 위조	접근제어 우회
ARP 스푸핑	ARP 응답 위조	MITM, 패킷 탈취
MAC 스푸핑	MAC 주소 변경	장비 인증 우회
DNS 스푸핑	도메인 이름의 IP를 위조	피싱 사이트 유도 등

• 스푸핑 = 신분 위조
• ARP 스푸핑은 로컬망 내 MITM 공격의 전제 조건

 

DDoS 공격 (Distributed Denial of Service)

여러 대의 좀비PC가 동시에 특정 서버에 과부하를 일으켜 서비스 거부 상태로 만드는 공격

항목	설명
특징	대량의 비정상 트래픽을 유입시켜 정상 사용 방해
공격자	C&C 서버에서 감염된 **봇(Bot)**을 제어
대표 도구	LOIC, HOIC, Mirai 등
방어	IDS/IPS, 트래픽 제한, CDN 활용 등
포렌식 포인트	패킷 캡처 시 동일 목적지에 비정상 포트 다량 요청 확인 가능

• DDoS는 가용성을 해치는 대표적 공격

 

MITM (Man-In-The-Middle)

통신 중간에서 제3자가 정보를 가로채거나 변조하는 공격

방법	설명
ARP 스푸핑 활용	공격자가 송신자와 수신자 사이의 ARP 정보를 위조
SSL Stripping	HTTPS → HTTP로 다운그레이드 후 도청
패킷 중간 수정	전송 중인 정보 변조 가능
방어	서버 인증서 확인, VPN, SSL 고정(HSTS)

• MITM은 암호화되지 않은 통신에서 특히 취약

 

포트 스캐닝 (Port Scanning)

공격자가 시스템에 열려 있는 포트를 탐색하여 취약한 서비스 확인

항목	설명
도구	nmap, netcat 등
목적	어떤 서비스가 열려 있는지 파악
공격 흐름	포트 확인 → 버전 확인 → 취약점 존재 여부 확인
탐지 기법	IDS/IPS에서 다수의 포트 요청 탐지 시도 기록됨

• 정찰 단계에서 수행되는 대표 공격기법

 

리플레이 공격 (Replay Attack)

정상 사용자의 세션이나 인증 정보를 재전송하여 인증을 우회하는 공격

| 방식 | 이미 캡처한 인증 정보를 그대로 다시 보내기 | | 방어 | 세션 토큰 무작위화, OTP, 타임스탬프 도입 |

• 정상 요청을 복사해 되풀이 → 타임스탬프 없을 때 위협적

 

네트워크 포렌식이란?

네트워크를 통해 전송된 데이터나 연결 기록을 수집·분석하여 사건의 실체를 규명하는 디지털 포렌식 분야

• 핵심은 “실시간/과거의 통신 흐름을 복원하고, 해당 통신의 증거를 확보”하는 것

 

증거 수집 대상

항목	설명
패킷 데이터	네트워크를 흐른 실제 데이터 (내용, 헤더 등 포함)
로그 파일	시스템, 방화벽, IDS/IPS, 웹서버 등에서 생성한 기록
접속 기록	사용자의 접속 시간, IP, MAC 주소, 포트 등
세션 정보	통신 세션의 시작/종료 시점, 인증 이력 등
DNS 쿼리 기록	접속한 도메인 이름, 변조된 DNS 응답 추적 가능

 

수집 방법 및 도구

• 패킷 캡처 (실시간 수집)

Wireshark	실시간 패킷 분석, TCP 스트림 재조합
tcpdump	CLI 기반 패킷 캡처 도구 (리눅스 기본 탑재)
Snort	침입 탐지 기능 포함된 패킷 분석 도구
NetworkMiner	패킷 파일에서 이미지/파일 추출 가능

PCAP 파일(.pcap) 로 저장되어 분석에 사용됨

• 로그 분석 (사후 수집)

방화벽 로그	허용/차단 IP/포트 기록
웹서버 로그	요청 URL, 응답 코드, 클라이언트 IP
시스템 로그	로그인/로그아웃, 실행 명령 등
DNS 로그	도메인 요청 및 응답 내역 추적

로그는 행위 타임라인 복원과 연관 분석에 핵심

 

분석 포인트

분석 대상	분석 목적
TCP 3-way handshake	정상 통신 여부 확인 (SYN, SYN-ACK, ACK)
포트/프로토콜 분석	특정 포트를 통한 공격 확인
IP/MAC 추적	공격자 또는 피해자의 단말 식별
도메인/IP 연결 이력	피싱, C&C 서버 통신 여부 확인
파일 전송 여부	의심 파일 전송, 다운로드 내역 복원

 

도구 요약 정리

도구	목적	특징
Wireshark	실시간 분석	GUI, 다양한 프로토콜 지원
tcpdump	CLI 캡처	리눅스 기본 도구
Snort	IDS + 로그 수집	탐지 + 저장 겸용
NetworkMiner	포렌식 특화	패킷 내 이미지/파일 추출
Bro/Zeek	고급 로그 기반 네트워크 분석

 

웹 브라우저 관련 추가 개념

개념	설명	출제 포인트
Private Browsing (시크릿 모드)	방문 기록, 쿠키 등을 저장하지 않는 모드	기록이 저장되지 않지만, RAM 흔적은 존재함
Session Restore 기능	강제 종료 후 탭 복구 기능	세션 파일 분석 가능 → forensic 관점
브라우저 확장 프로그램	플러그인/애드온	악성 코드, 백도어의 은신처로 사용됨

 

이메일 관련 추가 개념

개념	설명	출제 포인트
이메일 인코딩 방식	MIME, Base64 등	첨부파일/본문 암호화 형식 분석 필요
SMTP 인증	이메일 서버 전송 시 사용자 인증	인증 우회 공격, 스푸핑 공격 출제 가능
스팸/피싱 메일 분석	위장 도메인, 유사 이메일 주소	이메일 헤더의 Return-Path가 From과 다르면 스푸핑

 

메신저/클라우드 앱 추가 개념

개념	설명	출제 포인트
자동 로그인 기능	사용자 세션 유지 여부	쿠키, Token 저장 여부로 확인
클라우드 삭제 복원	Google Drive, Dropbox는 복구 기능 있음	삭제했지만 복원 가능 → 증거 은닉 실패
PC 메신저 vs 모바일 메신저 구조 차이	저장 위치 및 암호화 방식 다름	시험에서는 파일명 차이, OS별 저장 위치

 

네트워크 기본/보안 추가 개념

개념	설명	출제 포인트
DHCP(Dynamic Host Configuration Protocol)	IP 자동 할당 프로토콜	브로드캐스트 방식, 포트 67/68 사용
DNS 요청/응답 포트	DNS는 UDP 53 사용 (가끔 TCP)	공격 유형으로 DNS 스푸핑/캐시 포이즈닝
TCP vs UDP 전송 방식	TCP는 신뢰성 보장, UDP는 비연결	VoIP는 UDP 사용 → 지연보다 속도 중요
NAT(Network Address Translation)	사설 IP ↔ 공인 IP 매핑	VPN, 포트 포워딩 등과 함께

 

포렌식/로그 관련 고난도 개념

개념	설명	출제 포인트
Syslog	네트워크 장비 통합 로그 시스템	로그 수집은 중앙 Syslog 서버 활용 가능
로그 위조 탐지	타임스탬프 불일치, 형식 불일치 등	로그 조작 시 LastWriteTime 분석 필요
NetFlow	흐름 기반 트래픽 기록 방식	IDS/Firewall 외의 추적 수단