컴퓨터에서 파일을 삭제했다고 해서 그 파일이 완전히 사라진 것은 아니다. 이는 구형 기계식 하드 드라이브는 물론, SSD나 플래시 드라이브 모두에 적용된다. 그러나 반대로, 데이터가 저장 장치에 남아 있다고 해서 삭제된 파일, 손상된 파일, 또는 기타 이유로 잃어버린 파일을 항상 복구할 수 있는 것은 아니다.

이제 몇 가지 오해를 풀어보겠다. 파일 삭제 시 실제로 어떤 일이 발생하는지, 저장 장치의 유형에 따라 무엇이 다른지, 가능하다면 삭제된 파일을 복구하는 방법, 그리고 파일을 영구적으로 삭제되지 않도록 보호하는 방법을 함께 알아보자.

파일을 삭제하면 일어나는 일

저장 장치를 공공 도서관으로 상상해 보자. 각 파일은 도서관의 선반에 보관된 책과 같다. 윈도우 같은 운영체제는 모든 항목의 색인을 보관하고 있기 때문에 각 책의 위치를 알고 있다. 사용자가 특정 파일에 액세스하고 싶다면? 운영체제는 저장 장치에 있는 해당 파일의 위치를 가리키는 포인터를 가지고 있으며, 이 포인터를 통해 파일을 검색한다.

파일을 삭제하면 책을 폐기하는 것이 아니라 운영체제가 그 책에 대한 포인터를 삭제한다. 운영 체제 입장에서는 해당 책이나 그 위치에 대해 더 이상 알지 못하지만, 실제 책은 여전히 선반에 그대로 남아 있다. 기술적으로 말하면, 운영체제가 해당 책을 알지 못하더라도 전체 도서관을 검색해 그런 ‘잃어버린’ 책을 찾아내고 ‘복구’할 수 있다.

즉, PC에서 파일을 삭제할 때 운영체제는 저장 장치의 해당 섹터를 ‘재사용 가능’으로 표시한다. 드라이브에 저장된 데이터를 완전히 삭제하려면 안전한 삭제 도구나 파일 분쇄 도구를 사용해 물리적으로 데이터를 덮어써야 한다. 그전까지는 드라이브에 저장된 데이터는 ‘삭제됨’으로 표시되어 있지만, 여전히 복구할 수 있는 상태다.

저장 장치 유형별 데이터 복구 용이성

저장 장치 유형에 대해 알아보겠다. 다양한 유형의 드라이브에서 데이터 복구에 대해 알아야 할 사항은 다음과 같다.

• 하드디스크 드라이브. 회전하는 자기 플래터가 있는 전통적인 HDD는 데이터 복구가 쉽다. 고의로 데이터를 손상시키지 않는 한, 데이터를 덮어쓰지 않았다면, 기계식 HDD에서 삭제된 파일을 복구하는 것은 간단하다.
• SSD. 최신 SSD는 TRIM을 지원한다. TRIM은 삭제하는 즉시 데이터를 정리하는 기능이다. TRIM은 기본적으로 활성화되어 있지만, 비활성화할 수도 있다. TRIM이 활성화되어 있으면, 삭제된 파일은 거의 즉시 물리적으로 사라지므로, 데이터 복구가 불가능하지는 않더라도 매우 어렵다.
• USB 드라이브, SD 카드 및 마이크로 SD 카드. 많은 사용자가 생각하지 못한 중요한 사항이 있다. 최신 USB 플래시 드라이브 및 SD/마이크로 SD 카드는 TRIM 명령을 지원하지 않는다. 따라서 기술적으로는 내부 SSD와 같은 SSD지만 USB 드라이브 또는 SD/마이크로 SD 카드에서 삭제된 데이터는 대부분 복구할 수 있다. 일부 외장 SSD는 TRIM을 지원할 수 있는데, 이는 SSD 및 하드웨어에 따라 다르다.

또한, 암호화된 드라이브가 여기에서 중요한 해결책이라는 점도 주목할 만하다. 드라이브가 비트로커 같은 것으로 암호화되어 있는 경우(윈도우 프로의 비트로커 기능 또는 윈도우 홈의 기본 비트로커 기능) 암호화 키가 없으면 파일을 복구할 수 없다. 데이터가 디스크에 남아 있더라도 암호화 키가 없으면 해독할 수 없는 무의미한 데이터로만 보인다. 이 부분에서 암호화가 매우 중요한 역할을 하는데, 현재 존재하는 파일을 보호하는 것뿐 아니라 삭제된 파일도 보호하기 때문이다.

드라이브에서 데이터를 복구하는 방법

복구하려는 저장 드라이브가 있다면, 첫 번째 단계는 해당 드라이브를 즉시 사용 중지하는 것이다. 드라이브에 새로운 데이터를 작성할 때마다 복구하려는 데이터를 부분적으로 또는 완전히 덮어쓸 수 있다.

Chris Hoffman / Foundry

두 번째 단계는 파일 복구 도구를 실행해 드라이브에서 삭제된 파일의 비트를 스캔하는 것이다. 고전적인 무료 파일 복구 프로그램인 리쿠바(Recuva) 앱은 잘 작동하고 간단하다. 마이크로소프트도 자체 윈도우 파일 복구 도구를 보유하고 있지만, 명령줄 도구이다. 이 외에도 많은 파일 복구 도구가 있다.

데이터가 업무에 필수적인 경우라면, 예를 들어, CEO의 하나밖에 없는 중요 비즈니스 계획 파일을 삭제했거나 감성적 가치가 있는 대체 불가능한 개인 사진 모음집을 삭제했다면, 전문 데이터 포렌식 서비스를 이용하는 것도 진지하게 고려하는 것이 좋다.

데이터 복구를 방지하는 방법

데이터 복구를 막고 싶다면 가장 좋은 방법은 암호화다. 이걸로 끝이다. 암호화 키가 없으면 삭제된 파일을 복구할 수 없다.

데이터를 기존의 하드 드라이브, USB 플래시 드라이브 또는 SD/마이크로 SD 카드에 저장하고, 그 데이터가 암호화되어 있지 않은 경우(솔직히 플래시 드라이브와 SD/마이크로 SD 카드를 암호화해 사용하는 경우는 거의 없다)는 삭제된 파일을 실제로 삭제하는 보안 삭제 도구를 사용하는 것이 좋다. 이레이저(Eraser)나 블리치비트(BleachBit) 같은 도구가 저장 장치에 있는 개별 파일을 덮어쓰기에 적합하다.

Chris Hoffman / Foundry

더 좋은 방법은 USB 플래시 드라이브 또는 SD/마이크로 SD 카드 전체에 0 또는 임의의 비트를 기록해 저장된 모든 데이터를 삭제하는 도구를 사용하는 것이다. 이렇게 하면 아무것도 복구할 수 없다. 물론, 플래시 스토리지는 쓰기 횟수가 제한되어 있으므로 이 작업을 항상 수행할 필요는 없다. 삭제해야 할 중요한 파일이 있는 경우에만 사용하는 것이 좋다. 이레이저나 디스크 와이프(Disk Wipe)는 모두 이런 방식으로 드라이브를 지울 수 있다.

물리적 해결책도 있다: 그냥 드라이브 자체를 파괴하는 것이다. 실제로 군대가 핵 발사 코드나 다른 중요한 데이터를 저장한 드라이브를 소각로에 던지는 경우가 있다. 5달러짜리 USB 드라이브에 정말 민감한 정보가 있다면, 디지털 방식으로 지우는 것보다 물리적으로 파괴하는 것이 더 안전할 수 있다.

백업과 클라우드에도 남아있는 데이터

백업과 클라우드는 사용 중인 저장 장치에만 중요한 것이 아니다. 최신 윈도우 컴퓨터는 파일을 하나의 로컬 저장 장치의 특정 폴더에 그냥 보관하지 않는다. 대부분은 데이터를 백업해 클라우드와 같은 다른 곳에 저장한다(PC에서 원드라이브를 어떻게 구성했는지에 따라 다르다). 윈도우에서는 원드라이브가 기본적으로 데스크톱, 문서, 사진, 음악 및 비디오 폴더를 동기화한다.

구글 포토가 설치된 안드로이드 폰이나 아이클라우드가 설치된 아이폰도 마찬가지다. 파일을 삭제했다고 생각했지만, 그 파일의 사본이 다른 곳에 숨어 있을 수 있으며, 누군가가 백업에서 그 파일을 찾아내거나 클라우드 스토리지 서비스의 휴지통에서 찾을 수도 있다. 클라우드 서비스는 파일 삭제 후 최대 30일 동안 보관되는 경우가 일반적이다. 따라서 물리적 저장 장치에서 특정 파일이 복구되지 않도록 확인하려면 다른 저장 위치도 고려해야 한다.

주의를 기울여야 하는 파일과 데이터

여기서 중요한 점은 삭제된 파일이 반드시 사라진 것은 아니라는 것이다. 운영체제는 파일을 삭제된 것으로 표시할 수 있지만, 파일은 여전히 저장 장치에 남아 있을 수 있다. 단, 저장 장치가 TRIM과 같은 기능을 지원해 파일이 삭제될 때 메모리를 실제로 지우는 경우를 제외한다.

한편, 파일은 한 위치(예를 들어, PC의 SSD)에서 삭제됐지만 다른 위치(예를 들어, 원드라이브 또는 구글 포토)에 백업으로 남아 있을 수도 있다. 반면, 파일이 암호화되어 있다면 복구 가능 여부는 그다지 중요하지 않다. 어쨌든 올바른 암호화 키가 없으면 파일을 읽을 수 없기 때문이다.

사용자가 할 수 있는 일은 이 모든 것이 어떻게 작동하는지 최대한 이해하고, 암호화로 데이터를 보호하고, 안전한 장소에 안전한 방법으로 저장하고, 필요할 때를 대비해 백업하는 등 데이터에 대해 경계를 늦추지 않는 것이다.
dl-itworldkorea@foundryco.com