파일 시스템 포렌식 기법

파일 시스템 포렌식 기법

 

 

 

 

---

📌 1. 파일 시스템의 구조와 포렌식 분석의 필요성

키워드: 파일 시스템, 메타데이터, 디지털 증거

파일 시스템(File System)은 운영체제가 저장장치(HDD, SSD, USB 등)에 데이터를 저장하고 관리하는 방식을 정의한 구조다.
대표적으로 FAT, NTFS, exFAT, HFS+, APFS, EXT4 등이 있으며,
파일 생성, 수정, 삭제 기록과 같은 메타데이터를 저장해 사용자 활동을 간접적으로 복원할 수 있게 해준다.

파일 시스템 포렌식의 주요 중요성은 다음과 같다:

• 파일 생성·수정·삭제 시점 복원
  • MAC 타임스탬프(Modified, Accessed, Created) 추적
• 삭제 파일 복구 및 흔적 확보
  • 데이터 블록이 해제되더라도 포렌식 기법으로 내용 복구 가능
• 파일 조작 및 위조 탐지
  • 파일 복사, 수정, 이동 흔적 분석
• 디스크 남은 공간(Free Space) 및 슬랙(Slack Space) 분석
  • 삭제 흔적이나 숨겨진 데이터 조각을 복구

따라서 파일 시스템 포렌식은 명시적 데이터(파일) 뿐 아니라 암묵적 흔적(메타데이터, 비가시 데이터) 분석을 통해
디지털 사건의 숨은 사실을 밝혀내는 데 핵심적이다.

---

📌 2. 주요 파일 시스템별 포렌식 특성

키워드: FAT, NTFS, HFS+, APFS, EXT4 분석

포렌식 관점에서 각 파일 시스템은 독특한 특성과 분석 포인트를 가진다:

• FAT32 / exFAT
  • 주로 USB, 외장하드 등 이동식 저장장치에 사용
  • 파일 삭제 시 디렉토리 엔트리만 변경되므로 실제 데이터 복구율 높음
  • 타임스탬프 정보가 부정확할 수 있음
• NTFS (New Technology File System)
  • Windows 시스템 기본 파일 시스템
  • MFT(Master File Table)를 통해 파일 메타데이터, 할당된 클러스터, 복구 포인트 추출 가능
  • Alternate Data Stream(ADS)을 통한 데이터 은닉 가능성 존재
• HFS+ (Hierarchical File System Plus)
  • macOS 전통적 파일 시스템 (현재는 APFS로 전환 중)
  • Catalog File, Extents Overflow File 분석을 통한 파일 활동 추적 가능
• APFS (Apple File System)
  • 최신 macOS 및 iOS 기기 기본 파일 시스템
  • 스냅샷(Snapshot) 기능 존재 → 특정 시점의 전체 파일 상태 복원 가능
  • 파일 복사 없이 메타데이터만 수정하는 "Copy-on-Write" 구조 주의 필요
• EXT4 (Fourth Extended File System)
  • Linux 운영체제의 기본 파일 시스템
  • Inode 기반 메타데이터 구조로, 파일 생성/삭제 흔적 다층 분석 가능

각 파일 시스템별 특성을 이해하고, 메타데이터 복원 방법, 삭제 파일 처리 방식, 시간 기록 방식을 고려해 분석 전략을 수립해야 한다.

---

📌 3. 파일 시스템 포렌식 주요 분석 기법

키워드: 메타데이터 분석, 타임라인 복원, 슬랙 스페이스 분석

파일 시스템 포렌식에서 활용되는 주요 분석 기법은 다음과 같다:

• 메타데이터 복원 및 비교
  • 파일 시스템 내부에 저장된 생성일자, 최종 수정일자, 접근일자 추출
  • 의심 파일의 MAC 타임 간 불일치 여부 분석
• MFT 및 로그 파일 분석 (NTFS 기준)
  • $MFT, $LogFile, $UsnJrnl 등 NTFS 메타파일을 분석하여 삭제 및 변경 이력 추적
• 슬랙 스페이스 및 언할로케이티드(Unallocated) 영역 분석
  • 삭제된 파일 조각이나 미완성 데이터 복구
  • 디스크 할당 외 공간에 존재하는 숨겨진 데이터 추출
• 타임라인 분석(Timeline Reconstruction)
  • MAC 시간 데이터를 기반으로 사용자의 파일 접근·수정·삭제 흐름 복원
  • 이벤트 기반 로그와 연계하여 사건 시간대 정밀 복원
• 볼륨 섀도우 복원 (Volume Shadow Copy Analysis)
  • Windows 환경에서는 자동 생성된 섀도우 복사본을 분석해 과거 파일 상태 복원 가능

포렌식 분석 도구로는 Autopsy, Sleuth Kit(TSK), X-Ways Forensics, FTK Imager, EnCase 등이 활용된다.

---

📌 4. 파일 시스템 포렌식 수행 시 유의사항

키워드: 증거 보존, 시간대 주의, 파일 조작 탐지

파일 시스템 포렌식을 수행할 때 다음과 같은 사항을 반드시 고려해야 한다:

• 이미징 및 무결성 확보
  • 원본 디스크나 볼륨을 분석하기 전에 Write Blocker를 사용해 이미징 수행
  • 이미징 파일(예: E01, AFF)에 대한 해시값 기록
• 시간대(Time Zone) 설정
  • 시스템 타임존 설정이 다르면 타임스탬프 해석 오류 가능성 존재
  • UTC 기준 시간 변환 고려
• 조작 및 위조 탐지
  • 타임스탬프 위조 도구(Timestomp 등) 사용 가능성 검토
  • MFT 기록과 파일 메타데이터 비교를 통해 비정상 흔적 탐지
• 파일 복구의 증거성 확보
  • 복구된 파일은 원본과의 무결성 비교 및 복구 경로 기록이 필요

결론적으로 파일 시스템 포렌식은 디지털 증거의 생성, 수정, 삭제 전 과정을 복원하는 고난이도 작업이며,
메타데이터, 저장 구조, 시간 기록 체계에 대한 깊은 이해와 세심한 분석 능력이 요구된다.