파일 시스템 포렌식 – NTFS와 FAT의 구조적 차이

파일 시스템 포렌식 – NTFS와 FAT의 구조적 차이

 

 

 

---

📌 1. 파일 시스템 포렌식의 개요

키워드: 파일 시스템, 디지털 증거, 데이터 복구, 구조 분석

파일 시스템 포렌식은 하드디스크, USB, SSD, 메모리 카드 등 저장장치에 적용된 파일 시스템 구조를 기반으로 데이터의 저장·삭제·변경 이력을 분석하는 디지털 포렌식 기법이다. 저장장치에 파일이 어떤 방식으로 기록되고 관리되는지를 이해하면, 삭제된 파일의 복구, 접근 시각의 추적, 은닉 파일 탐지 등 다양한 수사적 분석이 가능해진다.

대표적인 파일 시스템으로는 FAT(File Allocation Table) 계열과 **NTFS(New Technology File System)**가 있다. FAT는 오래된 시스템이나 외장 저장매체(USB, SD카드)에서 여전히 사용되고 있고, NTFS는 대부분의 Windows 운영체제에서 표준으로 사용된다.
각 파일 시스템은 파일 저장 방식, 메타데이터 처리, 클러스터 할당, 타임스탬프 기록 방식 등이 다르기 때문에, 분석 방법 또한 다르게 접근해야 한다.

파일 시스템 포렌식은 단순히 ‘파일이 있다/없다’를 확인하는 수준을 넘어, 파일이 언제 생성되고 삭제되었는지, 어떤 경로로 이동했는지, 실제 내용이 어떤 상태로 남아 있는지를 분석하여 디지털 타임라인과 사용자의 행위를 복원하는 데 활용된다.

---

📌 2. FAT 파일 시스템의 구조와 포렌식 특성

키워드: FAT16, FAT32, 디렉터리 엔트리, 클러스터 체인, 삭제 파일 복구

FAT 파일 시스템은 MS-DOS 시절부터 사용된 구조로, 현재는 FAT12, FAT16, FAT32 형태로 발전되었다. 가장 큰 특징은 **파일 할당 테이블(File Allocation Table)**을 사용하여, 각 파일이 어떤 클러스터(저장 단위)에 저장되었는지를 기록하고 관리한다. FAT의 구조는 단순하여 분석이 용이하지만, 메타데이터 보존 측면에서는 다소 제한적이다.

FAT에서는 디렉터리 엔트리(Directory Entry)에 파일 이름, 크기, 생성/수정 시각, 시작 클러스터 번호 등이 저장된다. 파일이 삭제되면 실제 데이터는 지워지지 않고, 디렉터리 엔트리의 첫 글자가 E5로 변경되어 삭제 상태로 마킹된다. 이 때문에 FAT 포렌식에서는 디렉터리 엔트리만 유지되어 있다면 삭제된 파일의 복구 가능성이 높다.

또한 FAT는 클러스터 체인 구조를 사용하므로, 체인의 단절 여부나 중복 클러스터 사용 여부를 통해 파일 손상 여부나 시스템 오류를 분석할 수 있다. 그러나 FAT는 타임스탬프 조작에 취약하고, 파일 권한 개념이 없어, 악성코드 은닉이나 파일 조작이 비교적 쉽게 이루어질 수 있다는 단점이 있다. 포렌식 분석가는 이러한 구조적 특성을 바탕으로 사용자의 흔적 복원, 삭제 파일 복구, 악성 파일 추적을 수행할 수 있다.

---

📌 3. NTFS 파일 시스템의 구조와 포렌식 기법

키워드: MFT, $LogFile, $MFTMirr, Alternate Data Stream, USN Journal

NTFS는 Windows NT 이후부터 사용된 고급 파일 시스템으로, 보안, 안정성, 대용량 지원, 메타데이터 보존 측면에서 FAT보다 훨씬 정교한 구조를 갖는다. NTFS의 핵심은 **MFT(Master File Table)**이며, 저장 장치 내의 모든 파일과 디렉터리는 MFT 항목 하나로 관리된다. 각 항목은 파일의 이름, 경로, 크기, 권한, 타임스탬프뿐 아니라, 파일 내용 자체도 저장할 수 있어 파일과 메타데이터가 결합된 구조를 가지고 있다.

NTFS는 다음과 같은 구조를 통해 포렌식에 매우 유용한 정보를 제공한다:

• $MFT: 파일의 존재 유무뿐 아니라, 이전 파일의 잔재도 분석 가능
• $LogFile: 파일 시스템 수준에서 발생한 변경 이력 기록 (예: 생성, 삭제, 이름 변경)
• $MFTMirr: MFT 손상 시 복구를 위한 미러링
• $Bitmap: 클러스터 사용 현황
• USN Journal: 사용자 또는 시스템의 파일 접근, 수정, 삭제 이력을 상세히 기록
• Alternate Data Stream (ADS): 파일에 숨겨진 데이터 저장 가능 (포렌식 분석에서 중요한 은닉 기법)

NTFS는 타임스탬프도 다양한 형식을 기록하는데, 생성(Created), 수정(Modified), 열람(Accessed), MFT 수정(MFT Modified) 시각을 각각 따로 관리한다. 이를 통해 파일 위조 여부나 행위 시점의 교차 분석이 가능하다. 또한 ADS를 악용해 파일 내부에 숨겨진 명령어나 악성코드를 탐지하는 것도 NTFS 포렌식에서 매우 중요한 작업이다.

---

📌 4. NTFS와 FAT의 비교 및 포렌식 대응 전략

키워드: FAT vs NTFS, 데이터 보존성, 복구 가능성, 은닉 탐지, 대응 전략

FAT와 NTFS는 파일 시스템 구조뿐만 아니라, 포렌식 분석 측면에서도 뚜렷한 차이를 보인다.

항목FATNTFS

메타데이터 저장	단순 (디렉터리 엔트리 중심)	정교함 (MFT 중심)
삭제 파일 복구	용이	어려움 (MFT 덮이면 불가능)
파일 권한 관리	없음	있음 (ACL 기반)
타임스탬프 기록	제한적	4가지 이상 시각 기록
은닉 기법	상대적으로 단순	ADS 등 고급 은닉 가능
안정성	파일 시스템 오류 취약	저널링 및 복구 기능 탑재

FAT는 복구가 쉬운 반면 조작이나 은폐에 취약하고, NTFS는 보안성이 뛰어난 대신 분석 복잡도가 높고 자동화 도구의 활용이 필수적이다. 따라서 포렌식 분석가는 디스크 이미지를 확보한 후 먼저 파일 시스템을 식별하고, 해당 구조에 맞는 분석 도구와 절차를 적용해야 한다.

실무에서는 X-Ways Forensics, EnCase, Autopsy, FTK, Sleuth Kit 등 다양한 툴을 통해 MFT 파싱, USN 분석, FAT 엔트리 복구 등을 자동화하고 있으며, 분석 결과를 기반으로 사건 시간대, 파일 위조 가능성, 은닉 행위 여부를 종합적으로 판단한다.
앞으로는 SSD TRIM 기능, 클라우드 동기화, 파일 시스템 내 AI 탐지 기능 등이 추가됨에 따라 포렌식 분석자는 변화하는 저장 구조에 대한 지속적인 학습과 실무 경험이 필수적이다.