디지털 포렌식에서 사라지지 않는 데이터의 흔적

디지털 포렌식 분석에서 가장 흥미로운 개념 중 하나는
사용자가 “삭제했다”고 생각한 데이터가
실제로는 다른 형태로 남아 있는 경우입니다.

그 중심에 있는 것이 바로 **WAL 파일(Write-Ahead Logging)**과
임시 데이터의 지속성입니다.
본 글에서는 WAL 파일의 구조와 역할,
그리고 임시 데이터가 어떻게 포렌식 증거로 활용되는지를
실무 관점에서 살펴보겠습니다.

WAL 파일이란 무엇인가

WAL 파일은 데이터베이스 시스템에서
트랜잭션 안정성과 무결성을 보장하기 위해 사용되는 로그 파일입니다.

특히 SQLite 데이터베이스에서 WAL 모드는
모바일 앱과 메신저, 브라우저 데이터 저장에 널리 활용됩니다.

WAL 방식의 핵심 개념은 다음과 같습니다.

  • 데이터 변경 사항을 먼저 WAL 파일에 기록

  • 이후 메인 데이터베이스(DB)에 반영

  • 시스템 장애 발생 시 WAL을 통해 복구 가능

이 구조 덕분에
메인 DB에서 데이터가 삭제되거나 변경돼도
WAL 파일에는 과거 상태의 데이터가 남을 가능성이 존재합니다.

SQLite WAL 구조의 특징

SQLite에서 WAL 모드가 활성화되면
기본 DB 파일 외에 다음 파일이 함께 생성됩니다.

  • database.db : 메인 데이터베이스

  • database.db-wal : WAL 파일

  • database.db-shm : 공유 메모리 파일

이 중 WAL 파일
아직 메인 DB에 반영되지 않은 데이터 변경 내역을 저장합니다.

포렌식 관점에서 중요한 특징은 다음과 같습니다.

  • 삭제된 레코드의 이전 상태가 남아 있을 수 있음

  • 커밋되지 않은 트랜잭션 데이터 존재 가능

  • 메인 DB보다 더 많은 기록 정보 포함 가능

WAL 파일과 삭제 데이터의 관계

사용자가 앱에서 메시지나 기록을 삭제해도
그 데이터가 즉시 완전히 사라지는 것은 아닙니다.

특히 SQLite WAL 환경에서는
다음과 같은 상황이 자주 발생합니다.

  • 메인 DB에서는 삭제 처리

  • WAL 파일에는 삭제 이전 데이터가 잔존

  • 체크포인트 이전까지 데이터 유지

이로 인해 포렌식 분석에서는
메인 DB보다 WAL 파일이 더 중요한 증거 원천이 되기도 합니다.

임시 데이터란 무엇인가

임시 데이터는
시스템이나 애플리케이션이 작업 중 생성하는
비영구적 목적의 데이터를 의미합니다.

대표적인 예는 다음과 같습니다.

  • 캐시 파일

  • 임시 로그 파일

  • 자동 저장 데이터

  • 메모리 덤프

이러한 데이터는
사용자가 인식하지 못하는 사이에 생성·저장되며,
의도와 달리 상당 기간 유지되는 경우가 많습니다.

임시 데이터의 지속성 문제

이론적으로 임시 데이터는
작업 종료 후 삭제되는 것이 원칙입니다.

그러나 실제 환경에서는
다음과 같은 이유로 임시 데이터가 장기간 남아 있게 됩니다.

  • 앱 비정상 종료

  • 시스템 강제 종료

  • 저장 공간 부족

  • 캐시 정리 미실행

이로 인해 임시 데이터는
디지털 포렌식에서 중요한 행위 흔적이 됩니다.

포렌식 관점에서 WAL과 임시 데이터의 가치

디지털 포렌식 분석에서는
WAL 파일과 임시 데이터가 다음과 같은 역할을 합니다.

  • 삭제된 메시지·기록 복원 가능성 제공

  • 사용자 행위 타임라인 재구성

  • 데이터 조작 여부 검증

  • 메인 DB 분석 결과 보완

특히 메신저 앱, SNS, 브라우저 분석에서는
WAL 파일이 결정적 증거로 작용한 사례도 다수 존재합니다.

실제 분석 사례에서의 활용

실무 포렌식 사례를 보면
메인 데이터베이스에서는 아무런 기록이 없었지만,
WAL 파일 분석을 통해
삭제된 메시지 일부와 타임스탬프가 확인된 경우가 있습니다.

법원 역시
“데이터 삭제 이후에도 남아 있던 로그와 임시 데이터는
증거 능력을 부정할 수 없다”는 취지로
판단한 사례들이 존재합니다.

WAL 파일 분석 시 주의사항

WAL 파일과 임시 데이터 분석 시에는
다음과 같은 점을 반드시 고려해야 합니다.

  • 원본 훼손 방지 및 무결성 유지

  • 분석 시점의 시스템 상태 고려

  • 메인 DB와의 상호 비교

  • 단독 증거 사용의 위험성

항상 다른 디지털 증거와 함께 종합 분석하는 것이 중요합니다.

마무리

WAL 파일과 임시 데이터는
사용자가 의도적으로 남긴 정보가 아니지만,
오히려 그 점 때문에
디지털 포렌식에서는 매우 신뢰도 높은 자료가 됩니다.

“삭제했다”는 인식과 달리,
데이터는 형태를 바꿔 계속 남아 있습니다.

WAL 파일과 임시 데이터의 지속성을 이해하는 것은
현대 디지털 포렌식 분석의 핵심이라고 할 수 있습니다.