디지털포렌식 증거 수집과 파일시스템 구조

디지털 포렌식은 흔히 "삭제된 파일을 복원하는 기술"로 오해되곤 하지만, 실제로는 파일이 저장되고 관리되는 구조 자체, 즉 파일시스템에 대한 이해가 사건 해결의 열쇠가 된다.

파일시스템은 단순히 데이터를 저장하는 공간이 아니라, 사용자의 모든 활동 흔적을 고스란히 담아내는 디지털 흔적의 보고다.

삭제된 파일, 시간 정보, 접근 로그, 파일 조작 이력 등은 모두 파일시스템의 메타데이터에 숨겨져 있으며, 이를 정확히 해석할 수 있어야만 사건의 진실에 접근할 수 있다. 따라서 디지털 증거 확보에서 파일시스템 구조를 깊이 이해하는 것은 포렌식 분석의 첫걸음이라 할 수 있다.

 

파일시스템이란 무엇인가: 개념과 구조

파일시스템은 운영체제가 하드디스크, SSD, USB 등 저장 장치에 파일을 저장하고 검색할 수 있도록 도와주는 체계적인 구조다. 일반적으로 사용되는 파일시스템에는 FAT(File Allocation Table), NTFS(New Technology File System), EXT(Extended File System), APFS 등이 있으며, 각각의 구조는 다르지만 공통적으로 파일 이름, 크기, 위치, 생성/수정/접근 시간 등의 정보를 포함한다. 이 구조는 사용자가 저장하거나 삭제한 모든 파일에 대한 정보를 기록하기 때문에, 포렌식 분석에서는 표면에 보이지 않는 파일까지 추적할 수 있는 단서를 제공한다. 예를 들어, 사용자가 어떤 파일을 삭제하더라도 그 흔적은 MFT(Master File Table) 또는 디렉토리 엔트리에 남아 있어, 복구 및 분석이 가능하다.

FAT, NTFS, EXT 등 주요 파일시스템의 특징과 포렌식 활용

파일시스템마다 구조가 다르기 때문에, 사건 수사 시 사용하는 분석 기법도 달라진다.

• FAT32는 디스크 공간을 작은 블록으로 나누어 사용하며, 파일이 어느 블록에 저장되어 있는지 테이블 형식으로 기록한다. 간단한 구조로 인해 복구는 쉬운 편이지만, 보안성은 낮다.
• NTFS는 윈도우 운영체제에서 주로 사용되며, MFT를 중심으로 파일의 모든 정보를 기록한다. 삭제된 파일의 MFT 레코드가 '할당되지 않음' 상태로 남아 있는 동안에는 높은 확률로 복구가 가능하다.
• EXT4는 리눅스 환경에서 널리 쓰이며, 저널링 기능을 통해 데이터 무결성을 유지한다. 이 파일시스템은 inode를 기반으로 파일 속성과 위치를 추적하기 때문에 메타데이터 분석에 유리하다.

포렌식에서는 각 파일시스템의 구조를 기반으로 디스크 이미징, 무결성 검증, 삭제 파일 복구, 타임스탬프 추출 등이 이루어진다.

삭제된 파일에서 디지털 증거를 확보하는 방식

디지털 포렌식에서 가장 자주 활용되는 기술 중 하나가 바로 삭제된 파일 복구다. 사용자가 파일을 삭제해도 실제 데이터는 곧바로 제거되지 않으며, 단지 파일시스템 상에서 “이 공간은 이제 사용 가능하다”라고 표시할 뿐이다. 이 때문에 데이터가 덮어쓰이지 않는 한, 원본 내용이 고스란히 남아 있을 수 있다. 포렌식 분석가는 디스크 이미지에서 해당 영역을 정밀 스캔하여 삭제된 파일의 조각을 복원하고, 이를 통해 중요한 증거를 확보한다. 또한, 복구된 파일의 내용 외에도 원래 저장 위치, 최종 접근 시간, 파일 확장자 변경 여부 등을 함께 분석해 사건의 맥락을 재구성한다.

타임스탬프, 메타데이터 분석을 통한 사건 재구성

파일시스템은 각 파일에 대한 상세한 시간 정보, 즉 타임스탬프(생성 시간, 수정 시간, 마지막 접근 시간 등)를 기록한다.

이를 통해 '파일이 언제 생성되었고, 마지막으로 누가 열었는지' 등을 추적할 수 있다.

특히 윈도우 NTFS는 Standard Information과 File Name이라는 두 개의 타임스탬프 세트를 유지하기 때문에, 악의적인 조작 시도를 감지할 수 있는 강력한 증거가 된다. 메타데이터 분석은 사용자가 보지 못하는 숨겨진 정보, 예를 들어 USB를 통해 복사된 흔적, 특정 사용자 계정의 파일 접근 이력 등도 파악할 수 있어 포렌식 보고서의 신뢰성을 높인다. 실제 수사에서는 이 타임라인 분석을 통해 범행 시간대를 좁히거나, 피의자의 주장과 모순되는 기술적 증거를 제시하는 데 사용된다.

 실무 적용 사례: 파일시스템이 결정적 역할을 한 포렌식 분석

실제 사건에서도 파일시스템 기반 분석이 결정적인 역할을 하는 경우가 많다. 예를 들어, 한 공공기관에서는 내부 문서 유출 사고가 발생했는데, 가해자가 해당 파일을 삭제한 후 흔적을 지운 상태였다. 하지만 디지털 포렌식 분석을 통해 삭제된 파일의 MFT 잔존 정보를 확인하고, 파일이 외부 USB로 복사된 정황까지 밝혀냈다.

또 다른 기업 내부자 정보 유출 사건에서는, 파일시스템 로그 분석을 통해 특정 계정이 업무 시간 외에 접근했던 내역을 포착해 증거로 활용했다. 이처럼 눈에 보이지 않는 파일시스템 정보를 읽어내는 능력이 범인의 거짓 진술을 바로잡고 사건의 전모를 규명하는 데 핵심이 된다.

미래 전망: 파일시스템 분석의 기술 진화와 과제

점점 더 많은 디지털 기기가 SSD, 클라우드, 모바일 기반 스토리지를 사용하게 되면서 파일시스템 구조 또한 복잡하고 다양해지고 있다. SSD의 TRIM 기능처럼 데이터를 물리적으로 빠르게 제거하는 기능은 증거 확보를 더 어렵게 만들고 있으며, 클라우드 저장소는 로컬 파일시스템 분석만으로는 한계에 부딪히게 한다. 이에 따라 포렌식 전문가들은 전통적인 분석 기법 외에도, 클라우드 로그 연동, 모바일 DB 분석, 파일시스템 가상화 등 새로운 분석 역량을 요구받고 있다. 향후 디지털 포렌식은 이러한 다양한 저장 구조에 대응하기 위한 파일시스템 구조의 세밀한 해석 능력, 그리고 AI 기반 자동 분석 기술이 융합된 형태로 진화할 것이다.

디지털 흔적은 파일시스템이 기억한다

디지털 포렌식에서 파일시스템은 단순한 기술 요소가 아니라, 범행을 입증할 수 있는 '디지털 진술서'와도 같다. 사용자는 파일을 삭제했을지라도, 파일시스템은 그 흔적을 남기며 진실을 말해준다. 따라서 사건의 실체에 접근하기 위해서는 이 파일시스템의 구조를 정확히 이해하고, 메타데이터를 해석할 수 있는 전문성이 필수적이다. 앞으로 포렌식 분석 기술이 아무리 발전하더라도, 그 기반에는 반드시 '파일시스템을 읽는 능력'이 자리 잡고 있어야 할 것이다.

또한 사건 당사자의 의도적 은폐 행위나 조작 시도 역시 파일시스템 분석을 통해 드러날 수 있기 때문에, 이는 단순 기술을 넘어선 디지털 진실 추적의 핵심 도구라고 볼 수 있다. 앞으로 디지털 환경이 더욱 복잡해질수록, 포렌식 전문가에게 요구되는 것은 단순한 복구 기술이 아닌, 파일시스템의 동작 원리까지 이해하고 그 속에 감춰진 '보이지 않는 진실'을 읽어내는 통찰력이다. 파일시스템은 오늘도 묵묵히 사건의 흔적을 저장하고 있으며, 우리는 그것을 해독할 줄 알아야 한다.