퇴사자 증거수집 디지털포렌식 : 파일 삭제 및 정보유출 흔적 분석파일 삭제의 발자국을 찾아서SSD데이터는 사라져도 흔적은 남는다다음 동영상subjectauthor
죄송합니다. 문제가 발생했습니다. 다시 시도해 주세요.
화면을 돌리거나 터치로 움직여 보세요SSD에서 사용자가 삭제한 파일은 복원 불가능해도 사용자가 어떤 파일을 삭제했는지 그 흔적은 찾아낼 수 있다. 또한, 삭제 전 외부로 빼돌린 파일들 또한 확인할 수 있다.​​우리는 흔히 컴퓨터에서 파일을 삭제하고 휴지통까지 비우면, 그 파일은 영원히 사라진다고 믿습니다. 특히 최신 노트북이나 데스크탑에 장착된 증거수집 빠른 속도의 SSD(Solid State Drive)를 사용한다면, 기술적으로 데이터는 순식간에 '0'으로 덮어씌워져 복구가 불가능해지는 것이 사실입니다.​하지만 최근 저희가 분석한 한 포렌식 사례는 흥미로운 교훈을 줍니다. 파일의 '내용'은 사라질 수 있어도, 파일의 '역사'는 컴퓨터 깊숙한 곳에 문신처럼 남아있다는 사실입니다.​오늘은 회사에서 퇴사한 직원이 회사의 중요한 파일들을 임의로 삭제하고 삭제하기 전 자료를 외부 USB에 저장해 나간 실제 사례(개인정보 보호를 위해 각색됨)를 통해, 왜 "파일 삭제"가 "완벽한 은폐"가 될 증거수집 수 없는지, 현대 디지털 포렌식이 어떻게 보이지 않는 증거 데이터를 찾아내는지 알아보겠습니다.​1. SSD는 완전 범죄의 도구일까?과거의 하드 디스크(HDD)는 우리가 지우개로 글씨를 지워도 자국이 남듯, 데이터를 삭제해도 실제로는 흔적이 남아있어 복구가 비교적 쉬웠습니다. 하지만 요즘 쓰이는 SSD는 다릅니다. SSD에는 '트림(TRIM)'이라는 기능이 있습니다.​트림(TRIM)이란? 여러분이 파일을 삭제하면, 운영체제는 SSD에게 "이 데이터는 이제 필요 없어"라고 신호를 보냅니다. 그러면 SSD는 성능 유지를 위해 그 즉시 해당 공간을 깨끗하게 청소(소거)해 증거수집 버립니다.​저희가 분석한 사례에서도 조사 대상자는 중요 문서를 삭제했고, 포렌식 장비로 복구를 시도했지만 단 하나의 파일도 복구되지 않았습니다. 트림 기능이 완벽하게 작동했기 때문입니다. 여기까지 보면 증거 인멸에 성공한 것처럼 보입니다.​2. 분석가의 눈 : 파일이 아니라 '일기장'을 본다파일 자체가 사라졌다면, 포렌식 전문가는 무엇을 볼까요? 바로 윈도우 운영체제가 몰래 기록해 둔 '사용자 활동 일지(Artifacts)'를 봅니다. 컴퓨터는 사용자의 편의를 위해, 그리고 시스템 관리를 위해 당신이 무엇을 했는지 끊임없이 증거수집 기록합니다.​이 사건에서 결정적인 역할을 한 것은 다음 두 가지였습니다.​A. 점프 목록 (Jump Lists)여러분이 작업 표시줄의 엑셀이나 워드 아이콘을 마우스 오른쪽 버튼으로 누르면 '최근 항목'이 뜨는 것을 보셨을 겁니다. 이것이 바로 점프 목록입니다.​발견된 사실 : 실제 파일은 삭제되어 없었지만, 점프 목록 데이터베이스 안에는 "2024년 감사보고서.hwp", "사퇴서.docx", "소송관련자료.pdf" 같은 파일명과 함께, 사용자가 이 파일을 언제 마지막으로 열어봤는지에 대한 기록이 초 단위까지 남아있었습니다.​B. 바로가기 파일 (LNK Files)파일을 증거수집 열 때 윈도우는 자동으로 '바로가기(LNK)' 파일을 생성하여 숨겨진 폴더에 저장합니다. 원본 파일을 지워도, 이 바로가기 파일은 그대로 남아있는 경우가 많습니다.​발견된 사실 : 삭제된 파일들의 바로가기 파일이 대거 발견되었습니다. 이를 통해 파일이 원래 어디에 저장되어 있었는지, 파일의 크기는 얼마였는지까지 확인할 수 있었습니다.​3. "파일은 없지만, 당신이 가졌던 것은 증명할 수 있습니다"결과적으로 분석관은 실제 파일은 찾지 못했지만, "어떤 파일 103개가 존재했었고, 사용자가 이를 열람했으며, 현재는 삭제되었다"는 사실을 증거수집 완벽하게 입증했습니다.​여기에 더해, USB 연결 기록을 분석해보니 파일이 삭제되기 직전에 대용량의 데이터가 외장 하드로 복사된 흔적까지 발견되었습니다. "자료를 외부로 빼돌리고 PC의 원본은 지웠다"는 스토리가 완성되는 순간입니다.​4. 결론 : 디지털 발자국은 지워지지 않는다이 사례는 우리에게 중요한 시사점을 줍니다.​기술의 발전 : SSD의 트림 기능은 개인정보 보호 측면에서는 긍정적입니다. 중고로 PC를 팔 때 데이터가 쉽게 복구되지 않기 때문입니다.​포렌식의 진화 : 하지만 범죄나 부정행위를 숨기기 위해 파일을 지우는 증거수집 것은 더 이상 통하지 않습니다. 포렌식 기술은 사라진 데이터를 찾는 것을 넘어, 남겨진 흔적들을 조합하여 '과거의 행위'를 재구성하는 단계로 진화했기 때문입니다.​핵심 요약 : 퇴사직원 등 컴퓨터 사용자가 파일을 삭제하고 자료를 외부로 유출시킨 증거는 파일이 완전 삭제되어 복원이 되지 않더라도, 그 디지털 흔적은 남아 사용자의 범죄 행위에 대한 증거를 수집할 수 있습니다.​퇴사자가 회사에 파일 삭제 등으로 업무 지장을 초래하거나중요한 정보를 유출한 증거 수집이 필요할 땐(주)스마트데이터복구SDR서울특별시 증거수집 서초구 효령로 430 젤존빌딩 403호​