포렌식 : 삭제한 파일, 카톡대화 어떻게 복구하나?

 

 

 

안녕하세요!

오늘 다뤄볼 주제는 삭제한 파일도 복구한다는 디지털 포렌식입니다^^

이미 삭제하고 컴퓨터 안에 흔적조차 남기지 않은 파일, 경찰은 어떻게 복구해서 법원에 증거물로 제출하는 걸까요?

오늘 이 시간을 통해서 구체적으로 알아봅시다!

 

포렌식이란?

포렌식이란 단어 사전적으로 살펴보면 법정에서 사용할 수 있는 법의학, 과학수사 자체를 말합니다.

사전적으로 보면 매우 광범위해 보이죠?

쉽게 표현하면, 법정에서 사용할 수 있는 과학수사를 말해요!

이렇게 사전적으로 보면 파일 복구랑 무슨 연관이 있나 생각하실 것 같네요

 

포렌식이 거론되는 이유

현대사회는 인터넷 보급이 증가하면서 그에 따라 컴퓨터 관련 범죄도 증가 하는 것을 여러분도 알고 계실 거예요 ㅎㅎ

1999년에는 민족민주혁명당 사건이라 해서 경찰이 북한 간첩에 대해 법정에 영상을 증거물로 제출했지만, 경찰이 영상을 재생하여 파일의 해시함수 결과가 원본과 달라져 판사가 증거물로 불인정 했던 사건이 있었습니다.

쉽게 말하면 원본 파일이 변조됐다는 것이죠!

그만큼 데이터 파일은 쉽게 변질된다는 의미입니다.

이후 경찰은 어떻게 하면 법적 효력으로 인정받을 수 있을까? 연구하게 되었습니다.

이 과정 중에서 디지털 포렌식이라는 개념이 생기게 되었죠.

이 디지털 포렌식이 우리가 흔히 아는 파일을 복구시키는 포렌식의 개념으로 자리 잡게 되었습니다^^

 

 

 

 

디지털 포렌식의 조건

1.획득 : 원본 파일은 변조하지 말 것

2. 보관 : 증거 채택 후 ,

재판 진행 중에는 건들지 말 것

3. 보고서 : 획득, 분석, 보관 중에

모든 과정을 기록

4. 적법절차 따를 것

5. 재현 가능할 것

6. 담당자와 책임자가 명확할 것

 

디지털 포렌식의 개념이 생기고 이후 2006년에 일심회 재판이 있게 되는데, 국정원이 간첩을 발견하여 경찰이 북한의 지령 파일을 찾아 법정에 증거물로 제출한 사건입니다.

이때 최초로 데이터 증거가 인정받게 되니, 매우 중요한 사건이 되겠죠?

2015년에는 이에 관련하여 형사소송법이 개정되어 본격적인 디지털 포렌식 수사기법이 시작되었습니다.

 

정리해보면!

포렌식이란 법정에서 사용할 수 있는 과학수사와 수집 분석 방법의 전체적인 것을 의미하는 한 것이고, 디지털 포렌식은 포렌식의 하위 범주로서 디지털 관련 수집, 분석, 보관하는 것이 되겠습니다

 

 

그럼 왜 포렌식 하면 삭제된 카카오톡 대화, 컴퓨터 파일 복구가 생각날까요?

디지털 포렌식 절차 중 데이터 복구가 증거 수집 영역에 포함되기 때문입니다!

데이터 복구 기법에는 이렇게 있습니다.

1. 삭제 파일 복구

2. USB 접속기록 분석

 

 

 

파일 복구가 가능한 이유!

HDD 하드디스크는 우리가 파일을 삭제할 때 우리 눈에 안보이고 삭제한 만큼 용량이 늘어난 것처럼 보이지만 사실 겉보기에만 삭제처리하고 안 보이게 한 척, 용량 확보된 척 만 한다고 합니다.

휴지통에서 완전히 삭제해도 삭제 안 되는 것이죠!

파일이 있던 자리에 다른 데이터가 덮어쓰지 않는 한 삭제가 안 되는 것이죠.

 

쉽게 말하면 파일은 다른 파일이 덮어쓰기를 통해서만 이전 파일을 삭제한다는 것입니다!

그렇기 때문에 경찰이 HDD를 읽어들일때, 우리가 삭제했다고 생각했던 파일을 쉽게 가져올 수 있는 것입니다^^

 

하지만 SSD 경우에는 가비지 콜렉션이라 해서 메모리의 불필요한 영역을 자동적으로 청소해주기 때문에 HDD보다 복구하는데 월등히 어렵다고 하는데요~

이는 SSD 성능이 저하되는 것을 방지하기 위해서라고 합니다.