파일 시스템(FAT, NTFS) 이해하기

파일 시스템(FAT, NTFS) 이해하기

 

 

 

 

 

---

📌 1. 파일 시스템이란 무엇인가?

키워드: 파일 시스템, 데이터 저장, 운영체제, 디지털 구조

파일 시스템(File System)은 운영체제가 디지털 저장 장치에 데이터를 효율적으로 저장하고, 이를 사용자와 프로그램이 접근할 수 있도록 구조화하는 체계를 말한다. 쉽게 말해, 하드디스크나 USB, SSD 등에 파일을 어떤 방식으로 저장하고 관리할지를 정의하는 틀이며, 디지털 포렌식에서는 분석의 기초가 되는 중요한 기술 요소다. 파일 시스템이 없으면 저장장치는 단순한 비트(bit)의 집합에 불과하며, 사용자나 프로그램은 데이터를 구분하거나 검색할 수 없다.

파일 시스템은 데이터를 블록 단위로 나누어 저장하고, 각 블록이 어떤 파일에 속해 있는지를 인덱싱하는 방식으로 작동한다. 또한 파일 이름, 생성 및 수정 시간, 접근 권한, 크기 등의 **메타데이터(Metadata)**를 함께 기록하여 파일 관리와 접근을 용이하게 만든다. 운영체제는 이 구조를 이해하고 있어야 정상적으로 작동하며, 파일 시스템이 손상되면 데이터가 무용지물이 될 수 있다. 따라서 디지털 포렌식 분석가는 파일 시스템의 작동 원리, 구조, 특성에 대한 깊은 이해를 바탕으로 데이터 복구 및 증거 분석을 수행해야 한다.

---

📌 2. FAT 파일 시스템의 개요와 특징

키워드: FAT, 파일 할당 테이블, 호환성, 삭제 파일 복구

FAT(File Allocation Table) 파일 시스템은 1977년 마이크로소프트가 개발한 가장 오래된 파일 시스템 중 하나로, 현재까지도 USB, 디지털 카메라, 일부 외장 하드 등에서 사용되고 있다. FAT에는 여러 버전이 존재하며, 대표적으로 FAT12, FAT16, FAT32가 있다. 이 파일 시스템의 핵심 구조는 ‘파일 할당 테이블’이라는 중앙 인덱스이다. 이 테이블은 파일이 어떤 클러스터에 저장되어 있는지를 기록하며, 파일의 연속적인 위치 정보를 추적하는 데 사용된다.

FAT는 단순한 구조와 높은 호환성 덕분에 다양한 운영체제와 장치에서 사용 가능하다는 장점이 있다. 하지만 보안이나 복잡한 권한 제어 기능은 거의 없으며, 4GB 이상의 단일 파일을 저장할 수 없는 제한도 존재한다. 디지털 포렌식에서 FAT 파일 시스템은 삭제 파일 복구가 비교적 쉬운 편에 속한다. 삭제 시 파일의 첫 문자만 제거되고 나머지 데이터는 그대로 유지되는 경우가 많아, 복구 도구를 이용해 손쉽게 내용을 되살릴 수 있다. 그러나 이 단순함은 동시에 포렌식 분석자가 정확한 파일 연결 관계와 시간 정보 분석을 수행할 때 장애 요인이 되기도 한다.

---

📌 3. NTFS 파일 시스템의 구조와 포렌식 가치

키워드: NTFS, MFT, 메타데이터, 저널링, 고급 권한 제어

NTFS(New Technology File System)는 마이크로소프트가 Windows NT 계열 운영체제를 위해 개발한 고급 파일 시스템이다. NTFS는 FAT보다 훨씬 더 강력하고 정교한 데이터 관리 기능을 제공하며, 현대 포렌식 분석에서 가장 많이 다루어지는 파일 시스템이기도 하다. NTFS의 핵심 구조는 **MFT(Master File Table)**로, 시스템에 존재하는 모든 파일과 디렉토리에 대한 정보를 담고 있는 메타데이터 테이블이다. MFT는 파일의 이름, 경로, 크기, 속성, 시간 정보(생성, 수정, 접근 시간) 등을 관리하며, 파일 내용 자체를 작게 쪼개어 저장하기도 한다.

NTFS는 저널링 기능을 통해 시스템 오류나 예기치 못한 종료 시에도 파일 시스템의 무결성을 일정 수준 유지할 수 있도록 설계되어 있다. 또한 파일 수준의 **접근 제어 리스트(ACL)**를 지원해 보안성도 높다. 포렌식 관점에서 NTFS는 분석 가능한 정보가 매우 풍부하며, MFT 항목이나 로그 기록을 통해 사용자의 행위를 시계열로 추적할 수 있다. 또한 **Alternate Data Stream(ADS)**와 같은 숨겨진 데이터 저장소가 존재해 분석자의 고급 탐지 능력을 요구한다. 삭제된 파일의 흔적, 로그, 미가시 파일 등의 데이터를 통해 사건의 단서를 찾는 데 매우 유용한 파일 시스템이다.

---

📌 4. FAT vs NTFS: 포렌식 분석 관점에서의 비교

키워드: FAT vs NTFS, 분석 난이도, 복구 가능성, 포렌식 전략

FAT와 NTFS는 구조적으로 많은 차이를 가지며, 포렌식 분석 시에도 각각의 특성에 따라 분석 전략과 복구 기법이 달라진다. FAT는 구조가 단순하여 삭제된 파일을 복구하기 용이하나, 메타데이터 정보가 적고, 시간이 지남에 따라 클러스터가 덮어쓰기 되면 복구가 어려워진다. 반면, NTFS는 복잡한 메타데이터와 다양한 시스템 로그를 통해 복구 가능성이 높고, 사용자의 상세한 활동 내역까지 분석할 수 있는 장점이 있다.

하지만 NTFS는 구조가 복잡하고, ADS나 컴프레션(압축), EFS(암호화) 등의 기능으로 인해 반포렌식 기술이 많이 적용될 수 있다. 예를 들어, 악성코드가 ADS에 숨겨져 있을 경우 일반 탐지 도구로는 발견이 어렵다. 반대로 FAT는 이러한 고급 기능이 없기 때문에 분석 난이도는 낮지만, 수집 가능한 정보량도 제한된다. 따라서 포렌식 분석가는 저장 장치의 파일 시스템을 식별한 뒤, 그에 적합한 도구와 전략을 수립해야 한다. 결국 FAT는 빠르고 간단한 복구에 적합하고, NTFS는 정밀하고 심층적인 분석에 적합한 파일 시스템이라 할 수 있다.