디지털 포렌식 원리, 데이터 복구 방법
최근 많은 디지털 범죄 및 증거 복구를 위해 경찰,검찰 및 다양한 업체에서 디지털 포렌식을 통해 스마트폰이나 노트북,컴퓨터에 저장된 다양한 디지털 자료들을 복구하는 사례들을 접할 수 있습니다.
그럼 이러한 디지털 포렌식이 무엇이고, 원리와 파일들을 복구하는 방법에 대해 알아보겠습니다.
포렌식이란?
라틴어 포럼으로부터 유래된 단어로, 법정,재판이라는 뜻을 가진 단어입니다.
이와 같은 단어에서 유추할 수 있듯이 전자기기와 같은 제품으로부터 법정,재판에 쓰이기위한 자료를 모으기 위한 과정이 곧 포렌식이라는 것을 알 수 있습니다.
이러한 디지털 포렌식으로 얻어진 다양한 자료들은 증거로써 채택되고 사용되어집니다.
디지털 포렌식 사례
최근 고 박원순 서울시장의 스마트폰을 디지털 휴대폰 포렌식을 통해 업무용 휴대전화의 내용을 복구하고 비밀번호를 뚫어 저장된 내용을 증거로 만들기 위해 진행한다는 사례가 있었습니다.
또한, 국정농단 사태로 시끄러웠던 최순실의 증거수집까지도 태블릿PC의 포렌식을 통해 증거자료를 수집해 국정농단의 증거를 뽑아낼 수 있었습니다.
그리고 많은 국민의 분노를 샀던 텔레그램의 n번방 또한 디지털 포렌식을 통해 그동안 삭제됐던 자료들을 복구하여 증거자료로 제출하기도 하였습니다.
이렇게 한참 전에 지워진 파일도 모두 복구해내는 디지털 포렌식의 원리와 복구방법은 어떻게 되는 것일까요??
첫번째. 삭제된 파일이 복구되는 이유
컴퓨터나 스마트폰 등 각종 전자기기에서 사용자가 파일을 삭제하면 그 즉시 파일이 사라지게 됩니다.
하지만 그 사라진 파일은 우리 눈에만 보이지 않게 사라졌을뿐이지 모든 전자기기는 휴지통으로 우선적으로 파일을 넘기게 됩니다.
그럼 휴지통에서 지우면 사라지는 것인가? 하지만, 그 또한 휴지통에서 지우더라도 실제로는 파일 경로만 지워진 것이지 실제 파일 내용은 아직 컴퓨터,스마트폰 내부에 남아있습니다.
완전히 삭제되는 시점은 기기의 용량이 완전히 꽉 찬 상태에서 새로운 파일이 추가된다면 이때 옛날 자료부터 지워가면서 새로운 파일을 추가하는 것입니다.
이러한 일련의 과정은 운영체제 자체에서 수행되는 분야이다보니 개인이 직접 완전삭제를 하기에는 어려움이 있습니다.
(만약 완전삭제를 할 필요가 있다면, 스마트폰의 경우 간단한 어플리케이션을 통해 덮어쓰기 하는 과정을 거친다면 일부 완전삭제가 이루어지기도 합니다.)
두번째. 사용기록 분석과정
경.검찰에서 수사 과정에서 포렌식을 통해 증거자료를 수집한다면 컴퓨터와 전자기기의 모든 자료를 수집하게 됩니다.
언제.어디서 저장장치를 연결했나, 사이트 접속기록, 다운로드내역, 파일 옮긴내역 등 다양한 자료들을 통해 증거자료를 수집합니다.
그럼 어디서 이러한 자료들이 나오게 되는것일까요?
바로 레지트스리입니다. 컴퓨터를 다루다보면 종종 레지스트리 파일을 보기도 하는데요, 이러한 레지스트리에는 수많은 컴퓨터의 자료가 담겨있습니다.
또한, 레지스트리의 내용은 일반인들은 해석하기 힘들고 어떤 자료에 본인이 찾고자하는 자료가 담겨있는지 찾기 어려워 조작이 힘들기도합니다.
그리고 각종 캐쉬와 임시파일 및 로그데이터들은 자동적으로 전자기기를 사용하면 생기는 자료들이기 떄문에 자체적으로 백업하는 로그들이 포렌식 복구에 핵심적인 역할을 한다고 볼 수 있습니다.