KDFS Challenge 2025

2025. 10. 1.(수) ~ 2025. 10. 31.(금) 23:59 KST


KDFS Challenge 2025 소개

한국디지털포렌식학회에서 디지털포렌식 기술 발전과 관심 제고를 위해 2025 KDFS Challenge를 개최하오니 많은 참여 바랍니다.


신청 및 문제 배포 기간

2025. 10. 1.(수) ~ 2025. 10. 31.(금) 23:59 KST

주최 및 운영

(사)한국디지털포렌식학회

대회 기간

2025. 10. 1.(수) ~ 2025. 10. 31.(금) 23:59 KST

* 보고서 제출 : kdfs2025.submit@gmail.com

문제 출제

(주)플레인비트

결과 발표

2025. 11. 5.(수)

시상식

2025. 11. 10.(월)

참가 대상 (트랙 소개)

Hotel 1

일반 트랙

- 개인 또는 팀(4인 이하)으로 참가 가능
- 풀타임 학생이 아닌 종사자, 일반인


Hotel 2

학생 트랙

- 개인 또는 팀(4인 이하)으로 참가 가능
- 대학생, 풀타임 대학원생 등


Hotel 3

수사관 트랙

- 개인으로 참가 가능
- 경찰, 검찰, 특사경 등 수사기관 종사자

※ 경찰 내부 인원은 이진아 주무관에게 문의

시나리오

에스아이알 병원은 서울 본원과 부산 분원을 운영하고 있으며,
9월 29일(월)에 부산 분원 홈페이지 이용자로부터 접속 오류 신고가 접수되었다.

유지보수 업체의 점검 결과, 데이터베이스 내 테이블이 삭제된 상태이며 부산 분원의 웹 서버에서 웹셸 파일이 발견됐다.

서울 본원에서는 사고의 원인을 규명하고 재발을 방지하기 위해 사고 대응 포렌식 업체에 의뢰하기로 했으며,
해당 업체의 사고 대응 분석가인 당신은 유지보수 업체와의 인터뷰를 통해 다음과 같은 사항을 확인했다.

사고 인지 경위
  • 9/29(월) 오전 11시 경에 부산 분원 환자로부터 홈페이지 기능 비정상 인지
  • 부산/서울 모두 사용자 다수의 오류가 접수됨
  • 공격자로부터 9/29(월) 오후 12시 경에 금전을 요구하는 메일을 받음
  • 메일을 확인한 결과, 데이터베이스 전체가 유출된 것으로 판단됨

    • 금전 요구 메일 캡쳐본
조치 사항
  • 9/29(월) 오후 2시 경부터 홈페이지 유지보수 담당 업체 측에서 원격 점검 수행
  • 점검 결과 데이터베이스 내 테이블 전체가 삭제됨
  • 사고 인지 이후 부산 분원의 웹 로그를 조사한 결과, 웹셸 파일 1종이 확인되어 해당 파일은 삭제
시스템 운영 환경
  • 웹 서버는 총 2대(서울, 부산)로 운영되고 있음
  • RedHat 9버전을 사용하고 있으며, XFS 파일시스템으로 구성됨
  • 유지보수 시 유지보수 직원 PC를 통해 접속하고 있음
  • 서버 관리 계정의 비밀번호는 모두 동일하게 설정되어 있음
기타 참고 사항
  • 최근 서버를 클라우드로 이전했으며, 이전 당시 기존에 사용하던 웹 소스코드는 그대로 이전함
  • 과거에 침해사고가 발생한 이력은 없음
  • 침해사고 신고와 개인정보 유출 신고는 진행된 상태
문의 사항
  • 데이터베이스를 복구할 수 있는가?
  • 공격자가 서버에 침투한 원인은 무엇인가?
  • 내부 서버나 관리자 PC에 추가로 침투할 가능성이 존재하는가?
  • 데이터베이스 외에 서버 내 데이터가 유출된 정황이 존재하는가?
  • 사고 재발을 방지하기 위해 조치해야 하는 사항은 무엇인가?
  • 추후 서버나 시스템 보안을 강화하기 위해 후속으로 조치되어야 하는 사항은 무엇인가?

사고 대응 포렌식 업체의 관점에서 제공된 이미지 파일과 로그를 분석해 사고 원인을 규명하고,
공격자가 수행한 공격 행위를 식별해 보고서로 작성하세요.


[ 문제 파일 목록 ]  
  • 유지보수 관리 PC 이미지 파일 (35GB)
    - SHA1 : ACD89931EECCA043D08FC82C3CBF305F7DBB33F5

  • 서울 본원 웹 서버 이미지 파일 (30GB)
    - SHA1 : 5FD0553ACA71D474788BD1084FFDAAF8DAC79EC6

  • 부산 분원 웹 서버 이미지 파일 (30GB)
    - SHA1 : 335BE86C6F596B886114D1AAD5029A40147EDF29

  • 데이터베이스 로그 (456MB)
    - SHA1 : C51D8E337E66028E32BDB24FD733B6B007797378
1. 기술적 분석

[원인 규명]  로그·이미지 분석을 통해 침투 경로, 공격 기법(TTPs)을 정확히 식별했는가? (25점)

[전파 경로 분석]  내부 시스템의 확산 여부, DB 삭제/웹셸 생성 등의 공격 흐름을 구체적으로 기술했는가? (25점)

[공격자 행위 확인]  그밖의 공격자가 수행한 행위를 식별했는가? (10점)


2. 보고서 품질

[구조/가독성]  타임라인 기반 보고서 형식을 갖추고 흐름이 명확하게 작성되었는가? (10점)

[시각화/표현]  보고서의 이해를 돕기 위해 표, 그림, 타임라인 등을 통해 이해하기 쉽게 제시했는가? (5점)

  • 침해사고 개요도, 침해사고 타임라인 등

[판단 근거 제시]  객관적인 데이터(로그 등) 기반의 명확한 근거를 제시했는가? (10점)

3. 관리적·정책적
     대응 방안 제시

[재발 방지 방안]  동일 사고의 재발을 방지할 수 있는 방안이 제시되었는가? (5점)

[잔존 위협 제거 방안]  사고 이후 환경에 남아 있을 수 있는 위협 요소를 제거하기 위한 방안이 제안되었는가? (5점)

[탐지·모니터링 방안]  유사 사고 발생 시 공격자의 행위를 탐지하기 위한 위협 모니터링 방안이 제안되었는가? (5점)


주의 사항

대회 중 답안 공유 등과 같은 부정행위를 금지하며, 해당 사실이 확인된 경우 수상 대상에서 제외될 수 있습니다.

우수작 시상

대상 (1)

경찰청장상

상금 1,500,000원


최우수상 (1)

경찰청장상

상금 500,000원


우수상 (1)

(사)한국디지털포렌식
학회장상

상품

장려상 (1)

(사)한국디지털포렌식
학회장상

상품

- 심사는 각 트랙별로 진행되며, 수사관 트랙의 우수작 4편은 학회장상과 상품이 주어집니다.
- 수사관 트랙이지만 경찰 소속이 아닌 경우, 일반 트랙의 참가자들과 함께 심사 예정입니다.

F.A.Q