SSD와 HDD 포렌식 분석, 구조부터 복구 가능성까지 완전 해부

디지털 장치에서 흔적을 찾는 일은 이제 수사나 감사에서 빠질 수 없는 과정이 되었다.

그중에서도 저장장치에 남아 있는 정보는 핵심 증거로 활용되곤 한다.

하지만 저장 방식이 바뀌면서, 같은 파일 삭제라도 장치에 따라 복구 가능성이나 흔적이 남는 방식에 큰 차이가 생기고 있다.

과거에는 대부분의 컴퓨터가 하드디스크(HDD)를 사용했기 때문에,

삭제된 파일도 일정 부분 복원이 가능했고, 구조도 비교적 단순해서 분석이 용이했다.

하지만 최근에는 SSD(Solid State Drive)의 보급이 빠르게 확산되면서, 포렌식 분석이 훨씬 더 복잡한 양상을 보이고 있다.

SSD는 성능 측면에서 뛰어나지만, 내부 작동 방식이 HDD와는 전혀 다르다.

이러한 차이점은 단순한 기술적 이슈를 넘어, 증거 확보 가능성과도 직결된다.

이 글에서는 HDD와 SSD의 포렌식 분석에서 어떤 점들이 달라지는지,

실제 분석 환경에서 어떤 대응이 필요한지를 상세하게 정리해 본다.

구조의 차이가 만드는 결정적 분석 방식의 변화

하드디스크는 자성을 기반으로 데이터를 기록하는 장치다.

내부에 회전하는 플래터와 읽기/쓰기 헤드가 존재하며, 저장 위치는 섹터 단위로 나뉜다.

이러한 물리적인 구조는 파일이 삭제되어도 실제 내용이 장치에 남아 있는 경우가 많아,

전문가가 이를 복원하는 데 유리하다.

이에 비해 SSD는 데이터를 전기적으로 기록하는 반도체 기반 저장장치다.

내부에는 셀 단위의 플래시 메모리가 존재하며,

특정 셀에 반복적인 쓰기가 집중되지 않도록 자동 분산 기능이 작동한다.

이러한 구조는 ‘웨어 레벨링(Wear Leveling)’이라 불리는 기술을 통해 이루어지며,

데이터가 저장될 위치는 항상 바뀐다.

이 장치는 또한 ‘Garbage Collection’이라는 기능을 사용해 사용되지 않는 셀을 정리하고,

필요에 따라 이전 데이터를 지운다.

즉, SSD는 성능을 위해 데이터를 끊임없이 재배치하고 정리하는데,

이로 인해 삭제된 파일의 흔적이 오래 남지 않는다.

포렌식 전문가 입장에서는 분석 대상이 매우 불안정하고 예측이 어렵다는 점에서 큰 도전이 된다.

삭제 후 흔적 잔존성에서 드러나는 극명한 차이

HDD에서 파일을 지우면,

운영체제는 단순히 해당 파일의 위치 정보를 제거할 뿐,

제 내용은 물리적으로 디스크에 남는다.

이런 구조 덕분에 삭제된 이후에도 전문 복구 도구를 통해 상당량의 데이터를 복원할 수 있다.

하지만 SSD는 전혀 다른 작동 원리를 따른다.

사용자가 파일을 지우면 운영체제는 ‘TRIM’이라는 명령을 내려 해당 영역을 정리하도록 SSD에 지시한다.

그 결과, SSD는 해당 블록을 비워도 된다고 판단하고,

곧이어 백그라운드에서 Garbage Collection을 통해 실제 데이터를 제거한다.

이러한 작동 방식은 SSD의 성능 유지를 위한 것이지만, 포렌식 측면에서는 큰 제약이 된다.

삭제 후 복원 가능한 시간이 매우 짧고, 이미 데이터가 완전히 지워졌다면 어떤 도구를 사용해도 복구가 어렵다.

게다가 SSD는 데이터가 저장되는 위치가 지속적으로 바뀌기 때문에,

동일한 파일이라도 분석 시점에는 위치나 흔적이 전혀 다를 수 있다.

이런 불확실성은 삭제된 데이터 복구 자체를 어렵게 만들 뿐 아니라,

데이터가 있었는지를 입증하는 것조차 난관으로 바뀐다.

증거로 활용 가능한 정보의 범위와 법적 신뢰도

포렌식 분석은 단순한 복구 기술을 넘어,

실제 법적 절차에서 증거로 채택될 수 있는 데이터를 확보하는 과정이다.

따라서 분석 대상 장치의 구조, 수집 경로, 원본성 유지 여부가 매우 중요한 판단 기준이 된다.

하드디스크는 구조가 단순한 만큼 파일 메타데이터, 접근 시간, 수정 기록 등 다양한 부가 정보를 함께 보존한다.

또한 삭제 이후에도 잔존 정보가 남기 쉬워, 증거로 사용할 수 있는 데이터의 폭이 넓다.

SSD는 반면에 삭제와 동시에 정보가 사라질 가능성이 높고, 메타데이터 역시 빠르게 정리되기 때문에 복원 자체가 어렵다.

그로 인해 디지털 증거의 확보가 실패로 끝날 가능성이 높아진다.

또한 SSD 장치는 단순히 컴퓨터에 연결하는 것만으로도 TRIM 명령이 실행될 수 있어,

분석자가 장치를 다루는 초기 단계부터 매우 신중하게 접근해야 한다.

쓰기 방지 장치를 사용하고, 이미지 백업 후 원본을 분리하는 절차는 필수다.

분석 전략의 변화와 현실적인 접근 방식

과거처럼 단순히 삭제된 파일을 복구하는 방식으로는 SSD 환경에서 원하는 결과를 얻기 어렵다.

이제는 직접적인 데이터 대신 간접적 흔적을 추적하는 방식이 주를 이루게 되었다.

대표적인 예로는 운영체제 캐시, 사용자 설정 정보, 브라우저 히스토리, 이벤트 로그 등이 있다.

이런 정보는 파일 삭제 이후에도 일정 시간 동안 남아 있으며, 사용자 활동을 유추하는 데 활용된다.

SSD를 대상으로 한 분석에서는 무엇보다도 ‘시간’이 중요하다.

삭제 후 복구 가능한 시간이 짧기 때문에,

장치를 확보하자마자 바로 이미지 백업을 떠야 한다.

이때 쓰기 방지 장치를 통해 장치에 변경이 가해지지 않도록 막는 것이 필수다.

실제 분석에 사용되는 도구 역시 SSD에 특화된 것이어야 한다.

대표적으로 FTK, X-Ways, Magnet AXIOM 등이 있으며,

이들 도구는 SSD의 특성을 이해하고 효율적으로 분석할 수 있도록 설계되어 있다.

포렌식 분석가는 이제 단순히 데이터를 찾는 역할을 넘어서,

저장장치의 특성을 이해하고 분석 전략을 유연하게 조절할 수 있어야 한다.

또한 상황에 따라 클라우드 백업 기록, 네트워크 로그, 동기화 시스템의 흔적까지 분석 범위를 확장해야 한다.

장치가 증거 확보의 방향을 바꾼다

SSD와 HDD는 저장 매체라는 점에서는 같지만,

실제 데이터 처리 방식은 완전히 다르다.

이 차이는 분석자가 어떤 전략을 취해야 하는지를 근본적으로 바꾸며, 증거 확보 가능성도 좌우한다.

하드디스크는 여전히 삭제된 데이터를 복원하거나 추적하기에 유리한 환경을 제공한다.

반면 SSD는 설계 구조상 흔적이 빠르게 사라지는 특성을 갖고 있어,

분석에는 훨씬 더 많은 기술적 대응이 필요하다.

포렌식 분석을 담당하는 사람이라면,

저장 장치의 종류에 따라 어떤 방식으로 접근해야 할지 정확히 이해하고 있어야 한다.

이 글이 그러한 기술적 판단에 도움이 되었기를 바란다.