휴대폰ㆍ디카ㆍPMP 문자ㆍ사진도 되살려

영원히 지우는 '파이널이레이저'도 눈길

"PC에서 데이터가 갑자기 사라졌네." 직장인 A씨는 발을 동동 구른다.

대학생 B씨도 휴대폰에 여태껏 저장해 놓았던 전화번호나 사진 등이 날아갔다고 어쩔 줄 모른다.

주변에서 흔히 볼 수 있는 모습이다.

하지만 사라졌다고 해서 사라진 게 아니다.

완벽하게 사라졌다고 생각하는 이메일과 파일을 되살려내거나 손상된 디지털 기기에 저장했던 정보를 되살리는 마법 같은 기술이 있기 때문이다.

또 반대로 '정말로' 사라지게 하는 마법도 존재한다.

신정아씨 사건을 계기로 PC에서 사라진 데이터를 살려내는 '디지털 포렌식(Digaital forensic)'과 관련한 기술과 제품이 주목받고 있다.

'포렌식'이란 '수사'라는 뜻으로 디지털 포렌식이란 디지털과 관련한 수사를 말한다.

대검찰청과 경찰청 등에서 사용하고 있는 포렌식 툴을 독점 생산하고 있는 기업 '파이널데이터'를 통해 디지털 기기 데이터 복구 솔루션과 영구 삭제 솔루션의 기술이 어디까지 와 있는지 알아보자.

◆포맷해도 삭제해도 복구할 수 있다

주목받는 PC 데이터복구ㆍ영구삭제 솔루션…지운 e메일ㆍ파일 '없앤 흔적'까지 복원
윈도가 깔려 있는 PC에서는 개인용 복구 솔루션 '파이널데이터 스탠더드 2.0'을 사용하면 휴지통을 비운 경우나 포맷을 한 경우,바이러스 등으로 인해 파일이 삭제된 경우 등 사라진 데이터를 대부분 복구할 수 있다.

개인용만 있는 게 아니다.

사라진 이메일 복구 기능과 손상된 오피스파일 치료 기능까지 갖춘 기업용 '파이널데이터 엔터프라이즈 2.0'도 있다.

대검찰청,국가정보원,경찰청 등 수사·정보기관에 납품하는 '파이널 포렌식'은 디지털 포렌식의 전 과정을 가능하게 해 주는 국내 유일한 제품이다.

디지털 포렌식의 과정은 수사 준비(파일검색 및 복구용 소프트웨어 등 수사도구 확보)→디지털 증거 수집(원본 증거의 무결성 유지 위해 사본(이미지) 확보,데이터 복사 등)→이송 및 보관→분석 및 조사(디스크 검색,파일 복구,파일 확장자 변경 등 조작 여부 식별,파일 암호 풀기,휴대폰 등 분석)→결과 보고서 작성의 과정을 거친다.

가장 중요한 일은 정상파일,손상된 파일,삭제 파일을 일일이 스캔하고 디스크의 모든 영역을 검색하는 것이다.

이후 디스크의 변형을 막기 위해(마치 법의학자가 머리카락 등의 증거물을 봉투에 담아가는 것처럼) 동일한 사본(이미지)을 뜨는 기능을 사용한다.

다음은 파일 확장자별 분류 기능이다.

확보한 디스크 등 증거물 안에 저장된 모든 파일을 확장자별로 구분한다.

동시에 이 파일이 생성된 날짜,파일을 사용한 날짜,바뀐 날짜,삭제된 날짜 등도 그대로 드러난다.

◆하드디스크든 플래시메모리든 모두 복구한다
주목받는 PC 데이터복구ㆍ영구삭제 솔루션…지운 e메일ㆍ파일 '없앤 흔적'까지 복원
파이널 포렌식은 아웃룩,아웃룩 익스프레스 등 이메일 파일 분석에 최적화된 도구다.

삭제된 이메일 안의 메시지를 되살려 하나하나 확인할 수 있을 뿐 아니라 첨부파일까지 되살려낼 수 있다.

신정아씨와 변양균씨가 주고받은 이메일의 실체가 드러난 것은 이 단계에서다.

레지스트리·확장자 변조·암호파일 분석 기능 역시 이 툴 안에 있다.

레지스트리 분석을 통해 최근 열어본 파일,최근 연결한 네트워크 등의 정보를 분석할 수 있고 암호가 설정돼 있는 파일도 분석할 수 있다(암호 크랙).

확장자를 변조해 의도적으로 숨기려 했던 파일의 변형 내력도 조사 대상이다.

이는 해커가 트로이목마 등 악성코드를 사용해 파일의 확장자명을 변경시킨 것을 잡아내는 데에도 쓰인다.

'키워드 검색' 기능은 포렌식 과정의 백미다.

삭제된 파일 단위의 검색뿐 아니라 특정 키워드를 포함한 삭제된 파일을 샅샅이 찾아주는 것이다.

'사랑하는'을 입력하면 이를 포함하고 있던 삭제된 이메일이나 파일이 그대로 드러난다.

파이널데이터의 파이널 포렌식은 포렌식의 마지막 과정인 '보고서 작성'도 자동으로 해준다.

파이널모바일포렌식이란 제품도 있다.

이는 부호분할다중접속(CDMA) 기반 휴대폰,디지털 카메라,PMP 등 모바일 기기 안에 있는 모든 것들을 되살려주는 것이다.

이는 '데이터액세스키트'를 해당 모바일 기기에 꽂거나 모바일 기기 안의 회로판에 있는 플래시메모리를 떼어내 직접 분석하는 두 가지 방식으로 이뤄진다.

이를 사용하면 문자메시지,통화기록,음성메시지,전화번호부,사진,동영상,MP3,인터넷 접속 기록까지 모두 복구할 수 있다.

포렌식 툴의 한계도 있다.

로 레벨 포맷(Raw Level Format)을 하거나 하드에 물리적인 손상이 가해진다면 일부분의 복구가 불가능할 수도 있다.

미국 등 일부 국가에서는 이 한계를 극복한 포렌식 툴도 나와 있는 것으로 알려져 있다.

◆완전히 지워 버리는 파이널 이레이저

주목받는 PC 데이터복구ㆍ영구삭제 솔루션…지운 e메일ㆍ파일 '없앤 흔적'까지 복원
반대로 다시는 복구하지 못하게 파일을 완전히 지워 버리는 '파이널이레이저'라는 소프트웨어도 있다.

파일 단위는 물론 디스크 단위의 영구 삭제까지 해주는 제품이다.

이는 파일 저장 원리를 이용한 파일의 복구 기술을 그대로 '역이용'한 것이라 생각하면 된다.

즉 하드 내에 삭제된 파일의 인덱스까지 말끔하게 없애 내용뿐 아니라 공간 자체를 비움으로써 삭제 파일을 찾을 수 없게 만들어 버린다.

기밀자료 유출을 걱정하는 기업들은 이 솔루션을 사용해 해당 자료를 완전히 지워 버릴 수 있다.

이 제품은 삼성그룹,현대자동차,SK텔레콤,한화그룹 등 국내 대기업군뿐 아니라 한국은행,산업은행 등 공공기관에도 납품되고 있다.

노키아,인텔 등 글로벌 기업도 이 제품을 쓴다.

개인에게는 판매하지 않으며 특정 기업에 대한 제품 사용 라이선스를 주는 방식으로 서비스한다.

영구 삭제 소프트웨어로는 하드 등에 자기장을 쏴서 복구가 불가능하게 만드는 디가우저(Degausser)라는 하드웨어 장비가 있다.

복구 및 포렌식 솔루션의 경쟁 제품으로는 미국 가이던스 소프트웨어사의 인케이스(Encase)라는 제품이 있다.

이해성 기자 ihs@hankyung.com