데이터 복구 원리에 대해 알아보자.

데이터 복구(Data Recovery)

현대 사회와 데이터에 관한 잡담(서론)

기술이 빠르게 발전하는 시대, 정보의 중요성은 더욱 부각되고 있습니다. 이러한 정보, 특히 디지털 데이터는 우리의 일상생활과 업무, 그리고 중요한 기록을 담고 있어 소중한 자산이 되기도 합니다.

 

그럼에도 불구하고 데이터를 쉽게 잃을 수 있는 상황이 빈번하게 발생합니다. 실수로 파일을 삭제하거나, 시스템의 오류로 중요한 정보를 잃어버린 경우, 무엇보다 먼저 떠오르는 것은 "이 데이터를 복구할 수 있을까?"입니다. 오늘은 이러한 고민을 덜어드릴 수 있도록, 데이터 복구의 기초적인 원리와 실제로 어떻게 작동하는지에 대해 상세히 설명하고자 합니다.

 

이 글을 통해 데이터 복구에 대한 기본적인 이해를 갖게 되신다면, 앞으로 데이터 손실 상황에서 더욱 빠르고 정확한 대응이 가능하실 것이라 확신합니다.

 

 

데이터 복구의 신비한 원리

Windows95 이후로 우리에게는 '휴지통'이라는 아주 편리한 기능이 제공되고 있습니다. 실수로 중요한 파일을 지워버렸다면, 다행히 이 휴지통에서 쉽게 복구가 가능합니다.

 

하지만 이게 마음에 들지 않아 'Shift' 키를 누르며 완전 삭제를 선택하는 분들도 꽤 계십니다. 이렇게 하면 디스크 공간도 아끼고, 휴지통을 따로 비우지 않아도 되는 이점이 있지만, 복구의 여지를 완전히 상실하게 됩니다.

 

파일을 삭제하면 어떤 일이 일어날까요? 실제로는 해당 파일 헤더의 첫 2바이트가 변경됩니다. 이런 작은 변화가 파일 시스템의 FAT(File Allocation Table)에 기록되고, 해당 파일은 '삭제됨'으로 표시됩니다. 여기서 중요한 것은, 눈에 보이지 않을 뿐 파일이 완전히 사라진 것은 아니라는 점입니다.

 

따라서, 새로운 파일이 그 자리를 차지하기 전까지는 파일 복구의 가능성이 있습니다. 복구 소프트웨어들은 이러한 헤더를 분석해 '삭제됨'으로 표시된 파일을 찾아내고, 헤더의 2바이트를 원래대로 복원하여 파일을 되살립니다.

 

물론, 복구 소프트웨어 간에도 능력에 차이가 있습니다. 헤더를 얼마나 빠르고 정확하게 스캔할 수 있는지, 분산된 파일 데이터를 얼마나 잘 복구할 수 있는지 등이 그 차이점이죠.

 

새로운 데이터에 의해 완전히 덮어 쓰인 파일은 복구하기 어렵습니다. 그래서 몇 가지 주의사항을 지키면 좋습니다.

 

1. 중요한 파일은 시스템 파티션에 저장하지 않는 것이 좋습니다. 왜냐하면, 시스템 동작 중에 언제든 데이터가 덮어 쓰일 가능성이 있기 때문입니다.

2. 파일을 실수로 지웠다면, 새로운 파일을 저장하거나 복사하는 등의 작업을 하지 않는 것이 좋습니다.

3. 파일 복구 소프트웨어를 미리 준비해 두고, 문제가 생기면 가능한 한 빨리 복구 작업을 실행해야 합니다.

4.. 이러한 지침을 따른다면, 복구가 더 효과적일 것입니다. 물론, 복구된 파일이 항상 100% 완전할 수는 없으므로, 복구 후에는 반드시 확인 작업이 필요합니다.

데이터 손실의 이유

파티션: 하드 디스크 데이터를 저장하는 기본 단위는 섹터입니다, 책의 한 페이지라고 생각하면 됩니다. 사용자는 하드 디스크를 효율적으로 관리하기 위해 파티션을 생성해야 합니다. 만약 파티션 테이블이 손상되면, 해당 파티션은 손실됩니다. 이때 사용자는 데이터의 특성을 토대로 파티션의 크기와 위치를 재계산하여 파티션 테이블에 정보를 입력하면, 손실된 파티션이 복구됩니다.

파일 할당 테이블: 파티션을 생성한 뒤, 사용자는 데이터를 저장하기 위해 파티션을 포맷해야 합니다. 파일 할당 테이블은 각 파일의 속성과 크기, 그리고 데이터 영역에서의 위치를 기록합니다. 파일 할당 테이블이 손상되면, 시스템은 파일을 찾을 수 없으므로 파일이 손실된 것으로 판단합니다.

 

삭제: 사용자가 파일을 하드 디스크에 저장할 때, 시스템은 파일 할당 테이블에 파일 이름, 파일 크기 등의 정보를 기록합니다. 그런 다음, 데이터 영역에 실제 파일 내용을 작성하면 파일 저장 작업이 완료됩니다. 사용자가 파일을 삭제할 때, 시스템은 파일 할당 테이블에서 파일 앞에 삭제 플래그를 작성하여 다른 파일이 그 공간을 사용할 수 있도록 합니다.

 

포맷: 포맷도 삭제와 마찬가지로 파일 할당 테이블만을 조작합니다. 하지만 포맷은 모든 파일에 삭제 플래그를 추가하거나 파일 할당 테이블을 비웁니다. 따라서 시스템은 하드 드라이브가 비어 있다고 판단합니다. 실제로는 데이터 영역에 손상을 주지 않습니다.

 

주의 사항: 데이터 복구 전문가들은 종종 분실된 파일이 덮어 쓰이지 않았다면 복구가 가능하다고 말합니다. 즉, 삭제나 포맷 작업 후에 새로운 데이터를 그 위치에 저장하면 원래의 데이터는 덮어 쓰입니다.

 

 

스마트폰 데이터 복구 원리(Smartphone Data Recovery Principles)

모바일에서 데이터 복구 원리는?

우선 뉴스에서 많이 나온 '포렌식'이라는 용어에 대해 알아봐야 합니다. 모바일 포렌식은 스마트폰, 태블릿, GPS 장치 등의 모바일 기기로부터 데이터를 추출하고 분석하는 과정을 의미합니다. 이는 범죄 수사, 민사 소송, 기업 보안, 개인 데이터 복구 등 다양한 목적으로 사용될 수 있습니다. 그러나 디바이스의 암호화, 데이터 분할, 클라우드 동기화, 안티-포렌식 기술 등 여러 어려움도 존재합니다.

 

논리적 수집

논리적 수집은 모바일 포렌식에서 가장 기본적이고 흔히 사용되는 데이터 복구 방법입니다. 이 방법은 디바이스를 컴퓨터나 포렌식 도구에 연결하여 파일 시스템에서 접근 가능한 파일과 폴더를 복사하는 것입니다. 논리적 수집은 연락처, 메시지, 통화 기록, 사진, 동영상, 문서, 앱 등의 데이터를 복구할 수 있지만, 삭제된 데이터나 숨겨진 데이터, 암호화된 데이터 등은 접근할 수 없습니다.

 

물리적 수집

물리적 수집은 더 고급스러운 데이터 복구 방법으로, 디바이스의 보안 메커니즘을 우회하여 전체 메모리의 비트별 복사본을 만듭니다. 이 방법은 삭제되거나 덮어 쓰인 데이터, 암호화된 데이터, 메모리나 캐시에 저장된 데이터 등을 복구할 수 있습니다. 그러나 특수 도구와 전문 기술이 필요하며, 하드웨어나 소프트웨어의 제한으로 인해 일부 디바이스에서는 실행이 불가능할 수 있습니다.

 

클라우드 수집

클라우드 수집은 상대적으로 새롭게 등장한 데이터 복구 방법입니다. 이 방법은 iCloud, Google Drive, Dropbox, WhatsApp 등 디바이스가 연결된 클라우드 서비스에서 데이터를 접근합니다. 이를 통해 디바이스 자체에는 없는 이전 버전의 파일, 삭제된 파일, 클라우드에만 저장된 파일 등을 복구할 수 있습니다. 하지만 이 방법은 사용자의 자격 증명이나 권한이 필요하며, 클라우드 서비스의 정책과 설정에 따라 완전하거나 정확하지 않을 수 있습니다.

 

JTAG 및 칩 제거

JTAG와 칩 제거는 데이터 복구의 극단적인 방법입니다. 이들은 다른 방법이 실패하거나 실행이 불가능할 때 마지막 수단으로 사용됩니다. JTAG는 회로 기판에 특정 포인트에 와이어를 연결하고, 특수 도구를 사용하여 메모리 칩에서 데이터를 읽습니다. 칩 제거는 메모리 칩을 물리적으로 제거하여 데이터를 읽는 방법입니다. 두 방법 모두 고급 기술과 장비가 필요하며, 디바이스나 데이터를 영구히 손상시킬 위험이 있습니다.

 

데이터 분석 및 해석

마지막으로, 데이터 분석과 해석은 모바일 포렌식에서 가장 중요한 단계입니다. 이 과정에서는 복구된 데이터를 검토하고 시간 정보, 위치, 신원, 활동, 증거 등의 의미 있는 정보를 추출합니다. 데이터 분석과 해석은 수동으로 또는 파싱, 디코딩, 필터링, 검색, 보고 등을 자동화할 수 있는 소프트웨어 도구를 사용하여 수행할 수 있습니다.

 

 

데이터 복구 원리 정리표

구분	PC	스마트폰
논리적 복구	파일 시스템을 통해 접근 가능한 데이터를 복구합니다. 예: 연락처, 메시지, 사진, 문서 등	파일 시스템 또는 앱 데이터를 통해 접근 가능한 정보를 복구합니다. 예: 메시지, 사진, 앱 데이터 등
물리적 복구	하드 드라이브의 비트별 이미지를 만들어 데이터를 복구합니다. 전문 도구 필요.	NAND 플래시 메모리의 비트별 이미지를 추출합니다. Rooting 또는 Jailbreaking이 필요할 수 있습니다.
파티션 복구	손상된 MBR, GPT를 복구하여 파티션 정보를 복원합니다.	일반적으로 파티션 복구는 사용되지 않으나, 고급 복구에서는 EMMC 파티션 정보를 복구할 수 있습니다.
클라우드 복구	클라우드 백업으로부터 데이터를 복구합니다. 예: Google Drive, Dropbox	iCloud, Google Drive 등에서 백업된 데이터를 복구합니다.
특수한 복구 방법	RAID 복구, 가상 머신 복구 등	Chip-off 방법, JTAG, ISP 방법 등

위의 표를 참고하시면 좀 더 쉽고 간단하게 이해가 가실 겁니다.

참고사항

1. 논리적 복구와 물리적 복구는 전문적인 소프트웨어나 하드웨어 도구가 필요할 수 있습니다. 또한, 스마트폰의 경우 Rooting 또는 Jailbreaking이 필요할 수 있는데, 이는 보안 위험을 수반할 수 있습니다.

2. 파티션 복구에서는 PC의 경우 MBR(Master Boot Record)나 GPT(GUID Partition Table)를 복구하는 것이 일반적입니다. 스마트폰에서는 이러한 파티션 복구가 일반적이지 않지만, 고급 복구에서 EMMC 파티션 정보를 복구할 수 있다고 설명되어 있습니다. 이는 매우 전문적인 작업입니다.

 

3. 클라우드 복구에서 사용자의 인증 정보가 필요합니다. 이는 보안 문제로 이어질 수 있으므로 신중해야 합니다.

 

4. 특수한 복구 방법, 예를 들어 Chip-off 방법, JTAG, ISP 방법 등은 매우 전문적인 지식과 도구가 필요하며, 잘못하면 디바이스를 손상시킬 수 있습니다.

 

 

 

SSD 인식 안될 때 해결하는 방법(외장 케이스)

 

SSD 써멀패드 과연 효과가 있는 것일까?