아이폰 데이터 복구의 핵심은 **APFS(Apple File System)**라는 특수한 파일 시스템을 정밀하게 이해하고 해석하는 데 있습니다. 단순히 ‘삭제된 파일을 찾는다’는 차원이 아니라, 파일이 저장·삭제·갱신되는 내부 구조를 추적하는 과정이죠.
① APFS 메타데이터 구조 분석
-
아이폰은 iOS 10.3 이후부터 기본적으로 APFS를 사용합니다.
-
APFS에는 컨테이너 → 볼륨 → 오브젝트 구조가 있으며, 모든 파일은 노드(node) 단위의 메타데이터로 관리됩니다.
-
파일이 삭제되면, 실제 데이터는 즉시 지워지지 않고 **카탈로그 파일(catalog file)**과 인덱스 포인터에서 참조가 해제될 뿐, 본문 데이터는 **비할당 영역(unallocated space)**에 남아 있습니다.
-
포렌식 분석가는 이 메타데이터 구조를 직접 읽어 삭제 전의 파일 경로, 생성·수정 시간, 크기 등을 복원합니다.
② 비할당(Unallocated) 영역 추적
-
삭제된 파일은 새로운 데이터가 덮어쓰기 전까지 NAND 메모리의 비할당 영역에 그대로 남아 있을 수 있습니다.
-
이때 **시그니처 기반 검색(Signature-based carving)**을 통해 JPEG, MP4, SQLite DB 같은 파일 헤더를 인식하고, 조각난 데이터를 재조립합니다.
-
예를 들어 카카오톡의 메시지 DB(
kakaotalk.db)가 삭제되더라도, SQLite의 Page Header, Record Format 등을 기준으로 저널링(journaling) 영역까지 복구할 수 있습니다.
③ 저널(Journal) 및 스냅샷 분석
-
APFS는 파일 변경 이력을 관리하기 위해 저널 파일과 스냅샷(snapshot) 기능을 사용합니다.
-
저널에는 최근의 쓰기 작업 기록이 남아 있어, 파일 삭제 직전 상태의 데이터를 역추적할 수 있습니다.
-
스냅샷은 iOS 업데이트나 백업 시 자동으로 생성되는 경우가 많아, 실수로 삭제된 데이터를 복구하는 중요한 단서가 됩니다.
④ 시간 정보(Timestamps)와 사건 연관성
-
포렌식 복구 과정에서는 단순한 ‘파일 복원’이 아니라 시간 정보 해석이 중요합니다.
-
APFS 메타데이터에는
ctime(생성),mtime(수정),atime(접근) 기록이 저장되어 있으며, 이 타임라인은 민·형사 사건에서 “언제 어떤 데이터가 사용되었는가”를 입증하는 핵심 증거가 됩니다. -
예를 들어 협박 메시지가 삭제된 시점과, 가해자가 알리바이를 주장한 시각이 불일치한다면, 복구된 데이터가 유죄 입증에 직접 연결될 수 있습니다.
👉 요약하면, 파일 시스템 분석은 아이폰 데이터 복구의 뼈대이자 증거의 신뢰성을 보장하는 기초 작업입니다. 단순 복구 툴로는 불가능한 정밀한 과정으로, 법정에서도 “조작이 아님”을 입증할 수 있는 근거가 되죠.
