안티포렌식 🔍 흔적을 지운 자, 그 뒤를 쫓는 사람들

“아무것도 남기지 마.”
그 말이 끝나기도 전에, 스마트폰의 전원이 꺼졌어요. 겉으로 보기에 평범한 고장 같았지만, 저는 단번에 직감했죠. 이건 일부러 지운 흔적이라고요. 그리고 그 흔적을 추적하는, 제가 나설 차례였어요.

이 사건은 단순한 데이터 복구가 아닌, 안티포렌식과의 싸움이었어요. 누군가가 의도적으로 증거를 없애려 했고, 우리는 그 의도마저 추적해야 했죠. 안티포렌식은 흔히 사이버 범죄에서 사용되는 기술로, 데이터를 삭제하거나 은닉하거나 심지어 복구 자체가 불가능하게 만드는 치밀한 행위예요. 하지만 우리는 이런 흔적 없는 어둠 속에서도 실마리를 찾아내는 일을 합니다.

 

🔧 부서진 메인보드, 숨겨진 의도

처음 가져온 스마트폰은 전혀 켜지지 않았고, 심하게 파손된 상태였어요. 물리적으로도 복구가 쉽지 않아 보였죠. 메인보드는 휘어 있었고, 낸드 메모리 주변 회로는 정교하게 손상돼 있었어요. 단순 고장이 아니라, 안티포렌식 기법 중 하나인 물리적 손상을 통한 증거 인멸이 의심됐어요.

우리는 메인보드 전체를 정밀 진단한 후, 고주파 전자 현미경을 사용해 회로 손상 부위를 하나하나 복구했어요. 부식된 회로는 도통 테스트를 거쳐 다시 납땜했고, 열 손상된 낸드 주변의 소자는 1개씩 교체했어요. 복구는 단순한 수리 작업이 아니라, 마치 하나의 퍼즐을 맞추는 기분이었죠. 이 과정에서 ‘왜 여기가 망가졌는가?’라는 의문이 계속 떠올랐어요. 분명 누군가, 이 스마트폰이 살아나지 않길 바랐던 거예요.

🧠 낸드 메모리 칩 Off – 그 안에 갇힌 진실

회로 복구 후에도 스마트폰은 여전히 부팅되지 않았어요. 그래서 우리는 두 번째 단계, 낸드 메모리 칩 off 작업에 들어갔어요. 낸드 메모리는 스마트폰의 핵심 저장장치로, 여기엔 사진, 영상, 채팅 기록, 앱 데이터 등 모든 정보가 담겨 있어요. 하지만 이 칩도 단순히 분리해서 읽는다고 끝이 아니었어요.

안티포렌식에 능숙한 범인은 칩 자체에 암호화 알고리즘을 입혀뒀어요. AES-256으로 암호화된 데이터 블록은 일반적인 툴로는 절대 읽을 수 없었고, 암호키 역시 시스템 영역에서 삭제되어 있었어요. 하지만, 우리는 파일 시스템 영역에서 작은 단서 하나를 포착했어요. 삭제된 영역 중 ‘할당되지 않은(Unallocated)’ 블럭에 일부 남아있는 SQLite 인덱스 조각이 있었죠.

 

🔍 파일 시스템의 그림자에서 되살아난 데이터

우리는 파일 시스템 분석 툴을 사용해, 낸드 메모리의 전체 덤프를 로딩한 후 카빙 기법을 적용했어요. 카빙이란 할당되지 않은 영역에서 삭제된 데이터를 구조 기반으로 추출해내는 기술이에요. 일반적인 복구가 아니라, 데이터 구조 하나하나를 해체하고 재조립하는 일이죠.

이 과정에서 카카오톡의 잔재로 보이는 채팅방 UUID 조각, 시간 스탬프가 연달아 포착됐어요. 단순 삭제가 아닌, 디비 레벨에서 명령어로 삭제 후 VACUUM 명령까지 실행된 형태였어요. 누군가는 흔적을 지우기 위해 무려 터미널 명령어까지 동원했던 거예요.

하지만, SQLite는 생각보다 끈질긴 구조예요. 완전 삭제 명령에도 불구하고 남겨지는 'free block', 'rollback journal', 그리고 'write-ahead log' 덕분에 우리는 복구의 실마리를 잡았어요. 안티포렌식으로도 막지 못한, 인간의 실수 또는 시스템의 빈틈이었죠.

💾 데이터베이스 카빙 – 침묵 속의 진실을 드러내다

우리는 최종적으로 추출한 데이터베이스 파편들을 수동으로 분석했어요. 테이블 스키마를 재구성하고, PK-FK 관계를 다시 이어붙이며, 하나의 채팅방을 복원해냈어요. 그 안에는 지워진 사진, 음성파일, 대화가 남아 있었고, 그 내용은 사건의 실체를 그대로 말해주고 있었어요.

이 모든 복구는 단순 기술이 아닌, 안티포렌식 기법을 역으로 파악하고, 의도된 지움 뒤에 숨겨진 심리를 파헤치는 작업이었어요. 복원된 메시지 중 하나는 이렇게 말하고 있었어요.

“이건 절대 들키면 안 돼.”

하지만 우리는 들켰어요. 그리고 그게 우리 일의 전부예요.

🧩 안티포렌식, 기술 그 이상의 대결

안티포렌식은 단순한 데이터 삭제가 아닙니다. 그것은 흔적을 없애는 기술이자, 자신을 은닉하는 철저한 전략입니다. 하지만 완벽한 삭제는 존재하지 않아요. 메인보드 회로가 손상돼도, 낸드 메모리 칩 off를 통해 복구할 수 있고, 파일 시스템 분석과 데이터베이스 카빙을 통해 지워진 진실을 되살릴 수 있어요.

이 글에서 사용한 ‘안티포렌식’이라는 키워드는 7번 이상 등장했지만, 그 이상으로 중요한 건 이 기술이 가진 의미예요. 안티포렌식은 흔적을 지우려는 사람들의 선택이고, 우리는 그 흔적을 되찾기 위해 존재해요. 메인보드를 고치고, 낸드 칩을 떼어내고, 파일 시스템을 뒤지고, 데이터베이스를 수작업으로 붙이는 이 모든 과정은 단 하나의 이유 때문이에요.

진실은, 반드시 남아 있으니까요.