3. 파티션과 파일시스템 복구

이번장은 단순 이론으로 실기에 크게 중요한 내용은 없으니 편하게 읽어만 보고 가는 장입니다.

1. 파티션

• 파티션은 간단하게 하나의 저장매체에 섹터 단위로 구역을 나누는 것입니다. 구역을 나누려는 이유는 무엇일까요? 파티션별로 파일시스템을 구성하려고 하는 게 가장 큰 목적입니다. 그럼, 파일시스템은 무엇일까요?

2. 파일시스템

• 파일시스템은 저장매체 어딘가에 파일을 저장하고 생성하고, 삭제하는 등 관리하기 위한 구조입니다. 운영체제는 이 구조를 이용하여 탐색기 등을 이용하여 파일에 접근하고, 저장된 데이터 영역을 읽을 수 있게 됩니다. 윈도우는 탐색기를 통해 우리가 파일에 접근하고, 복사하고 삭제하는 등을 할 수 있게 해주는 것입니다. 우리가 USB 같은 것을 포맷할 때 NTFS, FAT32 등이 바로 파일시스템에 해당합니다. 이후에 상세히 알아보도록 합시다. 그리고 파티션과 파일시스템과 친해지면 무엇을 할 수 있는지도 뒤에서 알아보도록 합시다.

3. 디지털포렌식, 자격시험에서 파티션과 파일시스템

• 기본적으로 파일은 bit의 나열로 여러 가지 데이터를 저장하고 있습니다. 보통 디지털 증거는 파일 형태가 매우 많으며, 이를 저장매체에 저장하고, 관리하고 삭제했을 때 복구를 위해선 이러한 파일시스템 구조를 정확히 알고 있어야 합니다.

• 디지털포렌식 2급 시험에서는 꾸준히 파일시스템 일부를 훼손하고, 이를 복구하는 문제가 계속 출제되고 있으니 무조건 필수로 숙지해야합니다. 다만 파일시스템도 깊게 들어가면 한도 끝도 없지만, 파일시스템의 기본이 되는 VBR부분을 훼손하는 문제가 출제되고 있습니다.

  파일시스템 복구가 되지 않으면, 포렌식 도구에서 파일들에 대한 접근이 되지 않으며 대량의 파일 중에서 중요한 증거 파일을 빠르게 찾아야 하는 문제를 해결할 수 없습니다.

• 실제 시험에서 많은 분들이 파일시스템 복구를 하지 못해서 4시간 동안 제대로 분석도 못하고 시험을 종료하는 경우가 많습니다. 복구가 안 되면 나머지 문제들은 손을 쓸 수 없으니 잘 인지하고 시험에 대응해 보도록 합시다.

3줄 요약

1. 파티션은 저장매체를 섹터 단위로 나눈 구역이다.

2. NTFS, FAT32와 같은 파일시스템이 있으며, 파티션 영역에 위치한다.

3. 파일시스템을 복구하지 못하면 시험에서 거의 무조건 합격할 수 없다.