티스토리 뷰

IT 정보

전체 파일 시스템(FFS) 휴대폰 포렌식|Full File System 추출과 삭제 데이터 복구

파주 다올 포렌식 2026. 2. 12. 15:05
반응형

목차

  1. 전체 파일 시스템(FFS)이란 무엇인가
  2. 휴대폰 포렌식과 FFS의 차이점
  3. 왜 Full File System 추출이 중요한가
  4. FFS에서 확인 가능한 데이터 범위
  5. FFS 휴대폰 포렌식 분석 절차
  6. 실제 사건에서의 FFS 활용 사례
  7. FFS 추출이 어려운 경우와 한계
  8. 마무리: 부분 추출과 전체 추출의 결정적 차이

1. 전체 파일 시스템(FFS)이란 무엇인가

전체 파일 시스템(FFS, Full File System)이란
휴대폰 내부 저장소의 전체 구조와 데이터 영역을 통째로 추출하는 방식을 말합니다.

일반적인 논리 추출(Logical Extraction)이
사용자가 볼 수 있는 데이터 위주라면,

FFS는

  • 시스템 영역
  • 앱 데이터베이스(DB)
  • 삭제 영역(Unallocated Space)
  • 캐시 및 로그 파일

까지 포함하는 심층 포렌식 추출 방식입니다.

2. 휴대폰 포렌식과 FFS의 차이점

휴대폰 포렌식에는 여러 단계가 있습니다.

구분논리 추출전체 파일 시스템(FFS)
접근 범위 사용자 데이터 중심 저장소 전체 구조
삭제 데이터 제한적 복구 가능성 높음
분석 깊이 기본 분석 심층 분석
활용 사건 일반 분쟁 형사·중대 사건

즉, FFS는 가장 정밀한 휴대폰 포렌식 방식 중 하나입니다.

3. 왜 Full File System 추출이 중요한가

최근 사건에서는 단순 메시지 복구만으로는 부족한 경우가 많습니다.

예를 들어:

  • 삭제된 카카오톡 대화
  • 앱 사용 흔적 은폐
  • 보안 앱 사용 기록
  • 특정 파일 임시 저장 기록

이러한 데이터는
일반 추출로는 확인이 어렵지만
FFS 휴대폰 포렌식을 통해 분석 가능합니다.

특히 형사 사건이나 기업 내부 조사에서는
데이터의 “존재 여부” 자체가 쟁점이 되기 때문에
전체 파일 시스템 분석이 필요합니다.

 

4. FFS에서 확인 가능한 데이터 범위

Full File System 추출을 통해 다음과 같은 정보 확인이 가능합니다.

① 메신저 DB 분석

  • 카카오톡, 텔레그램, 위챗 등
  • 삭제 메시지 잔존 데이터
  • 대화 시간·수정 기록

② 앱 로그 및 시스템 기록

  • 앱 설치·삭제 기록
  • 사용 시간 로그
  • 로그인 흔적

③ 미할당 영역 분석

  • 삭제된 사진·영상 파일 조각
  • 과거 파일 흔적

④ 설정 및 보안 정보

  • 잠금 해제 시도 기록
  • 계정 연동 정보

이처럼 FFS는 단순 복구를 넘어
행위 패턴 분석까지 가능하게 합니다.

5. FFS 휴대폰 포렌식 분석 절차

일반적인 분석 과정은 다음과 같습니다.

  1. 원본 기기 보존
  2. 보안 우회 및 접근 권한 확보
  3. 전체 파일 시스템 이미지 추출
  4. 해시값 생성 및 무결성 확보
  5. 데이터 파싱 및 DB 분석
  6. 타임라인 재구성
  7. 분석 보고서 작성

이 과정은 기술적 전문성이 요구되며,
절차적 적법성도 매우 중요합니다.

 

6. 실제 사건에서의 FFS 활용 사례

사례 1: 삭제된 대화 복구 사건

피의자가 메신저 대화를 모두 삭제
→ FFS 분석으로 DB 잔존 데이터 확인
→ 공모 정황 입증

사례 2: 기업 기밀 유출 사건

파일 삭제 후 초기화 시도
→ 미할당 영역 분석으로 문서 조각 복구

사례 3: 무고 사건 대응

상대방이 일부 대화만 제출
→ FFS 분석으로 전체 맥락 재구성

이처럼 FFS는
“숨겼다고 생각한 기록”을 추적하는 방식입니다.

7. FFS 추출이 어려운 경우와 한계

다만 모든 휴대폰이
Full File System 추출이 가능한 것은 아닙니다.

  • 최신 OS 보안 강화
  • 암호화 구조
  • 칩셋 보안 영역 제한
  • 물리적 손상

기종과 운영체제 버전에 따라
접근 가능 범위가 달라질 수 있습니다.

따라서 사전 기술 검토가 필수입니다.

8. 마무리: 부분 추출과 전체 추출의 결정적 차이

휴대폰 포렌식에서 가장 큰 차이는
“보이는 데이터만 볼 것인가”
“저장 구조 전체를 분석할 것인가”입니다.

전체 파일 시스템(FFS) 분석은
단순 복구가 아닌
디지털 행위의 흔적을 구조적으로 추적하는 과정입니다.

중대한 사건이나
삭제·은폐가 의심되는 경우라면
FFS 기반 휴대폰 포렌식이 필요한지
검토해볼 필요가 있습니다.

 

 

 

반응형

'IT 정보' 카테고리의 다른 글

횡령죄 증거 수집 방법|휴대폰 포렌식으로 입증하는 업무상 횡령  (0) 2026.02.11
Google Cloud Takeout 포렌식 분석 사례  (0) 2026.02.10
카카오톡으로 나눈 대화 내용의 백업된 파일 증거 제출 및 포렌식 기술 방법  (0) 2026.02.09
암호화된 컨테이너 및 보안 메시지에서 증거 추출과 텔레그램 증거 수집 분석  (0) 2026.02.08
업무상배임과 포렌식 증거 수집 방법  (0) 2026.02.07
포렌식 전문 장비가 밝혀낸 휴대폰 속 성폭력범죄의 진실  (0) 2026.02.06
컴퓨터 포렌식으로 복구하는 디지털 증거: 텔레그램·카카오톡 복구부터 암호 해독까지  (0) 2025.12.11
학교 폭력과 명예훼손, 카카오톡 복구로 진실을 밝히는 방법  (1) 2025.11.20