파일 시스템 분석으로 복구한 마지막 흔적

그가 사라진 날, 스마트폰만 남았다

그날은 유난히 조용했다. 평소처럼 퇴근하던 그는 집에 도착하지 않았다. 전화도 꺼져 있었고, 위치 공유도 끊겼다. 아내는 불안에 떨며 그의 스마트폰을 경찰에 제출했다. 다행히 차량 내에서 발견된 그 기기는 외관상 손상은 없었지만, 전원이 켜지지 않았다.

“혹시, 이 안에 무언가 남아 있을까요?”

그녀의 목소리에는 간절함이 담겨 있었다. 남편의 마지막 흔적이라도 찾고 싶다는 간절함. 그리고 이 모든 단서의 출발점은 파일 시스템 분석이었다.

 

---

서사 – 낸드 메모리 속 잊힌 시간

사건은 디지털 포렌식 전문가에게로 넘어왔다. 첫 단계는 낸드(NAND) 플래시 메모리의 물리적 복제였다. 스마트폰 메모리는 내부의 eMMC 또는 UFS 구조를 기반으로 한 고속 낸드 메모리로 구성되며, 이곳에는 단순한 사진이나 영상뿐만 아니라 시스템 로그, 앱 캐시, 삭제된 데이터의 파편까지 숨어 있다.

전문가는 데이터베이스 카빙(database carving) 기법으로 낸드 메모리를 이미지화하고, 그 내부의 파일 시스템 분석을 시작했다. 대상 기기의 운영체제는 안드로이드였으며, EXT4 파일 시스템 구조를 기반으로 했다. EXT4는 로그 기반 저널링 파일 시스템으로, 삭제된 파일의 메타데이터나 inode 정보가 아티팩트 형태로 남아 있는 경우가 많다.

그리고 바로 그 아티팩트가, 진실의 실마리를 제공했다.

---

핵심 발견 – 타임라인을 잇는 조각들

초기 분석에서는 아무것도 나오지 않았다. 영상도, 사진도, 최근 사용 앱 기록도 모호했다. 하지만 전문가가 분석을 확장한 끝에, /data/system/ 디렉토리 내 위치 기록 캐시와 /data/misc/location/의 로그 조각에서 GPS 이동 경로 데이터가 복구되었다. 이 데이터는 단순한 지리 정보가 아니었다.

스마트폰의 위치 기록과 함께 남겨져 있던 Deleted SQLite DB 파편 안에는, 사용자가 최근 검색한 경로와 목적지가 포함되어 있었다. 분석된 로그에 따르면, 그는 평소 출근과는 전혀 다른 방향으로 2시간가량 움직였다. 해당 경로는 사건 발생 추정 시각과 정확히 일치했다.

더 놀라운 것은 /data/media/0/DCIM/.thumbnails 경로에서 복원된 썸네일 이미지였다. 정식 사진은 삭제되어 있었지만, 캐시된 미리보기 이미지에서 누군가의 모습이 흐릿하게 포착되었다. 그리고 그 시간, 그 장소, 그 사람은 현재 조사 대상자 목록에 있는 인물과 일치했다.

이렇듯, 파일 시스템 분석은 단순히 저장된 파일을 넘어서 삭제되었지만 지워지지 않은 흔적들, 즉 ‘디지털 그림자’를 추적하는 데에 그 진가를 발휘한다.

---

정보 제공 – 파일 시스템 분석이란 무엇인가?

파일 시스템 분석이란, 디지털 장치에 저장된 데이터의 논리적 구조와 그 내부의 메타데이터, 아티팩트, 삭제 파일 등을 분석하여 유의미한 정보를 복원하는 기술을 말합니다.

주요 분석 대상

• 파일 할당 테이블(FAT) 및 inode 구조 분석
• 삭제된 파일의 메타데이터 및 잔존 데이터 추출
• 캐시, 썸네일, 임시 파일 복구
• 앱 사용 이력 추적 (예: SNS, 메신저)
• 시간 기반 타임라인 재구성

이러한 분석은 주로 EXT, NTFS, APFS, exFAT 등의 파일 시스템에서 이루어지며, 스마트폰, 노트북, CCTV, USB 등 거의 모든 디지털 저장 장치에 적용 가능합니다.

고급 분석: 낸드 메모리 + 파일 시스템 아티팩트

• 낸드 메모리 데이터베이스 카빙: 비정상 종료된 데이터베이스 복구
• Journal 분석: 저널링 시스템에서 남은 미기록 데이터 추적
• Slack Space 추출: 파일 크기와 실제 할당 블록 간 차이에 숨겨진 데이터

---

반복 키워드 SEO 최적화 및 문맥화

• 본문 전반에 걸쳐 파일 시스템 분석이라는 키워드를 8회 이상 자연스럽게 삽입했습니다.
• 독창적 사례 중심 글 전개로 일반적인 기술 블로그와의 변별력 확보
• 감정 몰입형 도입과 실제 사건 기반 스토리텔링으로 독자 이탈 방지
• 정보 전달 후 실전 활용 팁까지 제공하는 구조로 SEO 체류 시간 향상 기대

---

결말 – 기술이 말하는 진실

그녀는 복원된 데이터를 통해 남편의 마지막 이동 경로를 확인했다. 추적 결과, 그는 사고가 아니라 의도된 만남 후 실종된 것으로 밝혀졌고, 결국 한 인물의 자백으로 진실이 드러났다.

“그 파일은 이미 삭제했어요.”
그가 말한 삭제는, 기술 앞에 아무런 의미가 없었다. 파일 시스템 분석은 그렇게 침묵한 기기를 다시 말하게 만들었다.

---

실전 팁 – 디지털 증거 수집 시 주의사항

1. 디지털 기기를 켜거나 조작하지 말 것
2. 포렌식 전용 이미지 백업 우선
3. 낸드 메모리 물리 복제 가능 여부 확인
4. 시스템 루팅 또는 초기화는 증거 파괴 가능성 존재
5. 전문 분석기관에 의뢰 시 로그 유지 요청 필수

---

📌 요약

• 파일 시스템 분석은 삭제되었지만 지워지지 않은 흔적을 찾는 기술입니다.
• 낸드 메모리의 카빙과 아티팩트 분석을 통해 사건의 타임라인과 인물 관계를 추적할 수 있습니다.
• 단순한 복구를 넘어, 디지털 증거의 핵심이 될 수 있습니다.