컴퓨터 포렌식(Computer Forensics)은 디지털 증거를 분석하고 추적하는 데 중요한 역할을 합니다. 특히, 파일이 삭제되었거나 저장 매체에 물리적으로 존재하지 않는 경우에도 메타데이터 분석을 통해 해당 파일의 흔적을 찾아낼 수 있습니다. 이번 글에서는 **$MFT(Master File Table)**와 $LogFile 메타데이터를 활용하여 파일 생성 및 삭제 기록을 분석하는 방법을 상세히 살펴보겠습니다.

1. PC 포렌식에서 메타데이터란 무엇인가?

메타데이터(Metadata)는 파일 자체에 포함된 데이터가 아니라 파일에 대한 정보를 설명하는 데이터입니다. 메타데이터는 다음과 같은 주요 정보를 포함합니다:

  • 파일 이름(File Name)
  • 파일 생성 시간(Creation Time)
  • 파일 수정 시간(Modification Time)
  • 파일 경로(File Path)
  • 파일 크기(Size)

이러한 메타데이터는 컴퓨터 포렌식에서 중요한 단서가 되며, 파일이 삭제되더라도 NTFS 파일 시스템의 메타데이터 구조를 통해 해당 파일의 정보를 추적할 수 있습니다.

2. $MFT와 $LogFile 메타데이터 분석의 핵심

NTFS(Windows NT File System)는 파일 시스템 구조 내에서 **$MFT(Master File Table)**와 $LogFile이라는 핵심 메타데이터 파일을 관리합니다. 이 두 파일은 모든 파일과 폴더의 메타데이터를 기록하며, 포렌식 분석에서 중요한 정보를 제공합니다.

$MFT(Master File Table)란?

$MFT는 NTFS 파일 시스템의 중심 역할을 하는 데이터베이스로, 디스크에 존재하는 모든 파일과 폴더의 메타데이터를 저장합니다. $MFT를 분석하면 다음과 같은 정보를 얻을 수 있습니다:

  • 파일 생성 시간
  • 파일 이름 및 확장자
  • 파일 경로
  • 파일 크기
  • 파일 속성(읽기 전용, 숨김 파일 등)

$LogFile이란?

$LogFile은 NTFS 파일 시스템의 저널(journal) 역할을 하며, 파일의 변경 기록을 저장합니다. 이는 디스크에 실제 데이터가 저장되기 전 또는 삭제된 후에도 중요한 정보를 제공합니다. $LogFile 분석을 통해 다음과 같은 정보를 추적할 수 있습니다:

  • 파일 변경 또는 삭제 시간
  • 관련 파일 이름 및 경로
  • 파일 활동 히스토리

3. 파일이 삭제된 경우, 포렌식 분석의 단계

PC 포렌식에서 파일이 삭제되었거나 저장 매체에서 찾을 수 없는 상황이 발생할 수 있습니다. 이때 $MFT와 $LogFile을 분석하여 다음 단계를 진행합니다.

1) $MFT 파일 데이터 파싱

  • $MFT는 NTFS 시스템에서 모든 파일과 폴더의 메타데이터를 저장합니다.
  • $MFT를 파싱(parse)하면 생성된 시간 순서대로 모든 파일의 목록을 확인할 수 있습니다.
  • 이를 통해 삭제된 파일의 파일 이름과 경로를 복구할 수 있습니다.

2) $LogFile 데이터 파싱

  • $LogFile은 파일 생성, 삭제, 수정과 같은 작업을 기록합니다.
  • $LogFile 분석을 통해 $MFT와 비슷한 파일 생성 시간대의 데이터를 확인하여 삭제된 파일의 흔적을 더욱 구체화할 수 있습니다.

4. PC 포렌식 도구로 $MFT와 $LogFile 분석하기

NTFS 파일 시스템의 $MFT와 $LogFile을 분석하려면 전문적인 포렌식 도구가 필요합니다. 아래는 대표적인 도구들입니다:

  1. FTK Imager: 디지털 포렌식 이미지 생성 및 분석에 사용되는 도구로, $MFT 데이터를 추출하여 분석할 수 있습니다.
  2. Autopsy: 오픈 소스 디지털 포렌식 플랫폼으로, $MFT와 $LogFile 데이터를 파싱하여 삭제된 파일을 추적할 수 있습니다.
  3. EnCase: 기업용 디지털 포렌식 소프트웨어로, 파일 시스템 메타데이터를 깊이 있게 분석하는 데 최적화되어 있습니다.

5. 포렌식 분석 시 유의사항

  • 파일 복구 가능성: 삭제된 파일이라 하더라도 $MFT와 $LogFile에 정보가 남아 있다면 복구가 가능합니다. 하지만 파일이 덮어씌워진 경우 일부 데이터 손실이 발생할 수 있습니다.
  • 정확한 타임라인 확보: $MFT와 $LogFile의 생성 시간 데이터를 조합하면 파일 활동의 타임라인을 보다 명확히 파악할 수 있습니다.
  • 법적 증거 채택: 포렌식 분석 결과는 법적 증거로 사용될 수 있으므로, 분석 도구의 신뢰성과 데이터 무결성을 보장해야 합니다.

6. 결론: 메타데이터 분석의 중요성

컴퓨터 PC 포렌식에서 $MFT와 $LogFile 메타데이터 분석은 삭제된 파일의 흔적을 추적하고 복구하는 데 핵심적인 역할을 합니다. 이러한 분석을 통해 파일 생성 시간, 파일 이름, 파일 경로 등 중요한 정보를 확보할 수 있으며, 디지털 증거를 강화할 수 있습니다.

삭제된 파일을 복구하거나 디지털 범죄를 해결해야 하는 상황이라면, $MFT와 $LogFile 분석이 필수적인 과정이라는 점을 잊지 마세요.

메타데이터 분석은 단순히 파일 시스템의 내부 구조를 이해하는 것에 그치지 않고, 디지털 증거 수집 및 복구, 심지어는 법적 증거로서의 역할까지 확장될 수 있습니다. 디지털 포렌식 전문가를 꿈꾸거나, 관련 사례를 연구하고 있다면 이번 기회에 $MFT와 $LogFile 메타데이터 분석 방법을 익혀보세요!