삭제된 파일은 왜 복구될까?

삭제된 파일은 왜 복구될까?

 

 

 

 

---

📌 1. 파일 삭제의 진짜 의미

키워드: 파일 삭제, 논리적 삭제, 실제 삭제, 운영체제 동작 방식

우리가 일상적으로 사용하는 컴퓨터나 스마트폰에서 파일을 ‘삭제’하면, 대부분의 사람들은 그 파일이 완전히 사라졌다고 생각한다. 하지만 디지털 포렌식 관점에서 ‘삭제’란 단순히 그 **파일을 가리키는 포인터(주소 정보)**를 제거하는 행위일 뿐, 실제 데이터 자체가 완전히 사라지는 것은 아니다. 이를 **논리적 삭제(Logical Deletion)**라고 하며, 운영체제는 단지 해당 공간이 ‘비어 있음’으로 표시되었음을 기록하고, 새 데이터를 저장할 때 그 공간을 덮어쓰게 된다.

예를 들어, Windows의 NTFS 파일 시스템에서는 파일의 정보가 **MFT(Master File Table)**에 기록되며, 사용자가 삭제 명령을 내릴 경우, 이 항목이 비활성화 처리될 뿐 물리적으로 하드디스크에서 즉시 제거되지는 않는다. 이로 인해 파일의 본문은 여전히 디스크 내에 존재할 수 있으며, 이 상태에서 전문 포렌식 도구를 사용하면 데이터를 다시 추출할 수 있다. 이러한 작동 원리는 대부분의 파일 시스템에 공통적으로 존재하며, 디지털 포렌식 분석가들은 이 점을 활용해 삭제된 파일을 복구하거나 사건 당시의 파일 행적을 추적할 수 있다.

---

📌 2. 삭제 후에도 남아 있는 흔적들

키워드: 데이터 잔류, 클러스터, 캐시, 로그 파일, 메타데이터

삭제된 파일은 본문뿐만 아니라 다양한 경로를 통해 흔적을 남긴다. 가장 기본적인 흔적은 할당 해제된 클러스터에 남은 실제 데이터 조각들이다. 이는 파일이 삭제되었더라도, 해당 공간에 새로운 데이터가 덮이지 않는 한, 원래 내용이 그대로 존재할 수 있음을 의미한다. 또한 Windows 시스템은 작업 속도를 높이기 위해 다양한 **캐시(Cache)**와 임시 파일, 시스템 로그를 생성하는데, 이들에도 삭제된 파일의 흔적이 담겨 있는 경우가 많다.

특히 중요한 것은 **메타데이터(Metadata)**다. 파일이 삭제되어도, 생성 시간, 수정 시간, 마지막 접근 시간 등의 정보는 시스템 내 다른 위치에 남아 있을 수 있다. 예를 들어 MFT 항목이 지워졌다고 해도, 파일 시스템의 저널링 기능이나 로그 백업에서 이 정보를 되살릴 수 있다. 또한 윈도우의 ‘최근 사용 문서 목록’, 레지스트리 기록, 썸네일 캐시 등에도 과거에 존재했던 파일의 이름과 경로, 확장자 정보가 남을 수 있다. 이러한 조각 정보를 종합하면, 설령 본문 데이터가 일부 손상되었더라도 해당 파일이 존재했음을 입증할 수 있는 간접 증거로 활용할 수 있다.

---

📌 3. 파일 복구의 원리와 주요 도구

키워드: 파일 복구 도구, 비트 단위 복원, 해시값, FTK, Autopsy

삭제된 파일을 복구하는 기본 원리는 덮어쓰기 되지 않은 데이터를 비트 단위로 분석해 원래 구조로 복원하는 것이다. 이때 복원 대상은 단순한 텍스트 파일일 수도 있고, 이미지, 영상, 압축 파일, 실행 파일 등 다양할 수 있다. 포렌식 분석가는 특정 파일 서명(파일 헤더)을 기준으로 저장 장치에서 연속적인 비트를 탐색하고, 파일이 시작되는 지점과 종료되는 지점을 식별하여 복구를 시도한다.

대표적인 파일 복구 도구로는 FTK(Forensic Toolkit), EnCase, Autopsy, Recuva 등이 있다. FTK나 Autopsy는 디지털 포렌식 전용 도구로, 삭제 파일 복구뿐 아니라, 메타데이터 분석, 타임라인 복원, 해시값 비교 등을 통합적으로 수행할 수 있는 기능을 제공한다. 이 도구들은 디스크 전체를 이미지로 추출한 후, 이를 기반으로 분석하며, 분석 대상 데이터의 무결성을 유지하기 위해 **해시값(MD5, SHA-1 등)**을 사용해 정합성을 확인한다. 분석 결과는 PDF 또는 HTML 형태의 보고서로 자동 생성할 수 있어, 법정 제출용 증거 자료로 활용되기에도 적합하다.

---

📌 4. 복구를 방해하는 기술과 포렌식의 대응 전략

키워드: 데이터 덮어쓰기, 보안 삭제, 반포렌식, 제로 필, 무작위 패턴

물론 모든 삭제 파일이 100% 복구되는 것은 아니다. 복구를 어렵게 만들기 위한 기술도 존재하는데, 이를 **반포렌식(Anti-Forensics)**이라고 부른다. 대표적인 방식은 데이터 덮어쓰기다. 일반 삭제가 논리적 삭제라면, 보안 삭제는 물리적 삭제에 가까운 행위다. 예를 들어 ‘제로 필(zero fill)’은 삭제된 공간에 ‘0’을 반복적으로 덮어쓰는 방식이며, ‘랜덤 패턴 덮어쓰기’는 데이터를 무작위 패턴으로 여러 번 씌워 흔적을 지우는 방식이다.

이러한 방법을 통해 파일의 본문뿐 아니라 메타데이터까지 지워버릴 경우, 복구 확률은 급격히 낮아진다. 하지만 포렌식 전문가는 여전히 다양한 간접 증거를 활용해 삭제 시점이나 그 사실 자체를 밝혀낼 수 있다. 예를 들어 삭제 직전의 사용자 활동 로그, 시스템 이벤트 로그, 외장 저장장치 연결 이력, 클라우드 동기화 기록 등을 통해 관련 파일이 존재했다는 정황을 재구성할 수 있다. 특히 기업 범죄나 내부 정보 유출과 같은 사건에서는 이러한 정황 증거들이 사건 해결의 열쇠가 되기도 한다. 따라서 포렌식 분석가는 복구 그 자체뿐 아니라, 삭제 행위의 흔적을 찾아내는 것에도 주력해야 한다.