윈도우 OS에서 파일이 '삭제된 시점'을 정확히 확인하는 포렌식 기술: 증거의 타임라인을 재구성하다

디지털 증거 분석에 있어 가장 중요한 질문 중 하나는 "언제 이 파일이 생성되고, 수정되었으며, 최종적으로 삭제되었는가?" 입니다. 단순한 파일 속성 정보만으로는 사용자가 파일을 삭제하거나 은폐하려 한 **정확한 시점(Timestamp)**을 파악하기 어렵습니다. 특히 윈도우 운영체제(OS) 환경에서 발생하는 기업 기밀 유출, 데이터 훼손, 사이버 범죄 등의 사건에서 **'파일 삭제 시점'**을 과학적으로 입증하는 것은 사건의 진실을 규명하고 법적 증거능력을 확보하는 데 결정적인 역할을 합니다.

 

본 글은 일반 사용자에게는 숨겨져 있는 **윈도우 OS의 아티팩트(Artifacts)**를 분석하여 파일이 삭제된 시점을 정확히 추적하는 디지털 포렌식 기술을 깊이 있게 다루어 보도록 하겠습니다.

 

---

1. 윈도우 파일 시스템과 '시간 정보'의 본질적 한계

일반적으로 윈도우 파일의 속성에서 보이는 시간 정보(생성, 수정, 접근 시간)는 사용자에 의해 쉽게 조작되거나, 시스템 운영 방식 때문에 정확하지 않을 수 있습니다. 특히, 파일을 휴지통을 거치지 않고 영구 삭제하거나 포맷하는 경우, 파일 시스템의 주요 흔적은 소실됩니다.

우리가 추적하려는 **'삭제 시점'**은 파일 시스템 구조 자체보다는, OS가 사용자의 행위를 기록하는 다양한 시스템 로그 파일 내에서 찾아야 합니다.

2. 파일 삭제 시점 추적의 핵심: 4대 윈도우 아티팩트 분석

파일 삭제 시점을 확인하기 위해 디지털 포렌식 전문가들이 집중적으로 분석하는 4가지 핵심 아티팩트가 있습니다. 이 아티팩트들은 사용자가 파일을 열거나, 실행하거나, 삭제하는 모든 행위를 시간 기록과 함께 저장합니다.

2.1. LNK 파일 (Shellbags Artifacts) 분석: '최종 접근 시점'을 넘어

LNK 파일은 사용자가 특정 파일이나 폴더에 접근했을 때 윈도우가 자동으로 생성하는 바로 가기 파일입니다. 이 파일들은 단순한 경로 정보를 넘어, 최종적으로 해당 파일이 접근되거나 실행된 시점을 기록합니다.

• LNK 파일의 시간 정보: LNK 파일 자체의 수정 시간은 원본 파일의 최종 접근 시간($Last Access Time)을 반영하는 경우가 많습니다.
• Decus Time: LNK 파일 내부에는 **'Decus Time'**이라는 별도의 시간 정보가 저장되는데, 이는 LNK 파일이 생성된 시점이나 참조된 시점을 UTC(협정 세계시) 기준으로 기록합니다. 이를 분석하여 삭제 직전의 파일 활동을 추적할 수 있습니다.
• Shellbags 연결: LNK 파일 분석은 종종 Shellbags (사용자가 탐색기에서 열었던 폴더의 크기, 위치, 보기 설정 등을 저장하는 레지스트리 키) 분석과 병행됩니다. Shellbags 기록의 변경 시점을 통해 해당 파일이 존재했던 폴더에 대한 최종 접근 시점을 파악하여 삭제 시점의 근사치를 추정합니다.

2.2. Jump Lists 분석: 삭제 직전의 사용 흔적

Jump Lists는 윈도우 7 이상 버전에서 특정 프로그램(예: 워드, 파워포인트)을 마우스 오른쪽 버튼으로 클릭했을 때 최근에 사용했던 파일 목록을 보여주는 기능입니다.

• 파일 구조: Jump Lists는 .automaticDestinations와 .customDestinations 확장자를 가지는 파일로 저장됩니다.
• 기록의 의미: 이 목록에는 사용자가 특정 프로그램을 통해 파일을 **'최종적으로 실행하거나 열었던 시각(Timestamp)'**이 매우 상세하게 기록됩니다. 파일이 삭제된 후에도 이 Jump Lists 아티팩트는 일정 기간 동안 남아있습니다.
• 삭제 시점 추론: 만약 파일 X가 Jump Lists에 기록된 시간(T) 이후에 윈도우 로그나 다른 아티팩트에서 더 이상 발견되지 않는다면, T 직후 시점이 삭제 시점일 가능성이 높습니다.

2.3. USN Journal ($UsnJrnl) 분석: NTFS 파일 시스템의 '거래 기록'

**USN Journal (Update Sequence Number Journal)**은 NTFS 파일 시스템의 핵심 기능으로, 파일 시스템에서 발생하는 모든 변경 사항(생성, 수정, 삭제, 이름 변경 등)을 순차적으로 기록하는 로그 파일입니다. 이는 파일 시스템의 '거래 장부'와 같습니다.

• 정밀한 기록: USN Journal은 파일이 **'삭제되었을 때(Reason Code: DATA_OVERWRITE, FILE_DELETE)'**의 시점과 파일의 **'Inode 번호'**를 기록합니다. 이 기록은 매우 정밀하여 초 단위의 정확도를 가집니다.
• 단점: USN Journal은 디스크의 크기 제한으로 인해 오래된 기록은 자동으로 덮어씌워지므로(Wrap Around), 삭제 시점이 오래되었다면 기록이 남아있지 않을 수 있습니다.
• 포렌식 활용: 포렌식 도구(예: Axiom, EnCase)를 사용하여 디스크 이미지 내의 $UsnJrnl 파일을 추출하고 분석하여, 파일이 삭제된 직후의 USN 기록을 찾아 삭제 시점을 확정합니다.

2.4. Prefetch 파일 분석: 프로그램 실행 직전의 파일 접근

Prefetch 파일 (.pf) 은 윈도우 OS가 프로그램의 로딩 속도를 높이기 위해, 해당 프로그램 실행 시 필요한 파일 경로와 접근 시간 정보를 미리 저장해 두는 파일입니다.

• 삭제된 파일 추적: 특정 프로그램(예: 파일 관리자, 압축 프로그램)이 실행될 때, 삭제된 파일의 경로를 참조했다면 Prefetch 파일에 그 흔적이 남습니다.
• 최종 실행 시점: Prefetch 파일 자체의 메타데이터는 해당 프로그램이 최종 실행된 시점을 기록하고 있습니다. 만약 삭제 관련 작업을 수행하는 프로그램(예: cmd.exe 또는 특정 클리너 프로그램)의 Prefetch 파일 수정 시간이 삭제 시점과 일치한다면 중요한 간접 증거가 됩니다.

3. 법적 증거능력 확보를 위한 '타임라인 재구성'

파일 삭제 시점을 법적 증거로 제출하기 위해서는 단 하나의 아티팩트 분석 결과만으로는 부족합니다. 포렌식 분석의 핵심은 여러 아티팩트에서 추출된 시간 정보를 상호 비교하고 교차 검증하여 일관된 **'사건의 타임라인'**을 재구성하는 것입니다.

아티팩트	기록 내용	시간 정확도	삭제 시점 확인 기여도
USN Journal	파일 삭제/수정/생성 이벤트	초 단위	매우 높음 (직접적인 삭제 기록)
LNK 파일	원본 파일 최종 접근 시각	분 단위	높음 (삭제 직전의 행위 추적)
Jump Lists	프로그램별 파일 실행/접근 시각	분/초 단위	높음 (삭제 직후에도 남아있는 사용 흔적)
Prefetch	프로그램 실행 시점 및 관련 파일 접근	분 단위	중간 (삭제에 사용된 프로그램 실행 시점 파악)
레지스트리	Shellbags, UserAssist 등	분 단위	중간 (폴더 접근 및 프로그램 사용 기록)

타임라인 재구성 절차:

1. 데이터 추출: 전문 포렌식 도구(FTK, Axiom 등)를 사용하여 윈도우 이미지 파일에서 모든 아티팩트 데이터(LNK, Jump Lists, USN Journal 등)를 추출합니다.
2. UTC 표준화: 모든 추출된 시간 정보를 UTC(협정 세계시) 기준으로 통일하여 시간대 차이로 인한 오류를 방지합니다.
3. 이벤트 매핑: 특정 파일과 관련된 모든 이벤트(접근, 실행, 삭제 기록)를 단일 타임라인에 매핑합니다.
4. 결론 도출: 모든 아티팩트에서 해당 파일의 활동이 멈추고, USN Journal에서 삭제 기록이 확인된 시점을 **'최종 삭제 시점'**으로 확정합니다.

4. 실무에서의 고려 사항: Anti-Forensics 방어

파일 삭제 시점을 정확히 확인하려는 과정은 종종 Anti-Forensics 기법을 사용한 방어와 맞닥뜨립니다. 파일을 삭제할 때 포렌식 도구에 의해 추적되지 않도록 관련 아티팩트를 의도적으로 수정하거나 삭제하려는 시도가 있을 수 있습니다.

• 전문 삭제 도구 사용: 특정 삭제 도구는 파일 삭제와 동시에 LNK 파일, Jump Lists, Prefetch 파일까지 정리하려 시도합니다.
• 대응 전략: 포렌식 전문가는 파일 시스템의 로그 영역이나 삭제된 파일의 메타데이터 흔적에서 삭제 도구의 실행 기록($UsnJrnl)이나 레지스트리(UserAssist) 기록을 찾아, '아티팩트 삭제 행위' 자체를 또 다른 증거로 활용하여 삭제 시점을 추정합니다.

5. 결론: 윈도우 삭제 시점 확인은 고도의 과학적 분석

윈도우 OS에서 파일이 삭제된 시점을 확인하는 것은 단순한 복구 프로그램으로는 불가능합니다. 이는 NTFS 파일 시스템의 깊은 구조와 윈도우 OS의 사용자 활동 로깅 메커니즘을 완벽하게 이해하고, USN Journal, LNK, Jump Lists 등의 아티팩트를 상호 교차 분석하는 고도의 디지털 포렌식 기술을 필요로 합니다.

이러한 과학적이고 체계적인 분석을 통해서만, 법적 증거능력을 갖춘 파일 삭제 시점을 정확히 입증할 수 있으며, 사건의 진실을 규명하는 데 결정적인 기여를 할 수 있습니다.

 

 

밤 9시까지 근무합니다. 포렌식이 필요하시면 편하게 연락주세요.