SSD 포렌식 사례

 

의뢰인 정OO씨의 SSD복구의 건

df_ssd

본 의뢰인은 사기죄 등으로 조사받던 중 무죄입증에 중요한 단서를 담고 있는 데이터를 실수로 삭제하자 이에 대한 복구를 법무법인 평강의 디지털포렌식팀에 의뢰하게 되었습니다.

해당 의뢰인께서는 스토리지 장치로 SSD를 사용하고 있었고, 일반적으로 SSD의 삭제데이터는 복구에 굉장히 난점이 많아, 복구업체 가운데에는 SSD 복구의뢰를 받지 않는 경우도 있습니다.

 

우선 저희 디지털포렌식팀에서는 해당 SSD에서의 TRIM기능의 활성화 여부를 확인해보았습니다. TRIM기능이 활성화되어있지 않는다면 복구확률이 대폭 상승하기 때문입니다.

하지만 안타깝게도 의뢰인의 SSD(SanDisk 128G)는  TRIM 기능을 지원하고 있었던데다가, 사용하는 운영체제 또한 자동적으로 TRIM기능을 활성화 하는 최신 운영체제를 사용하고 있었습니다.

(만약 Windows 7 버전 미만이었다면 TRIM이 자동으로 활성화되지 아니하였을 것입니다.)

저희 포렌식팀은 데이터의 일부라도 건지기 위하여 가능한 빨리 해당 SSD의 이미지를 획득하여 이에 대하여 전문복구장비와 여러 포렌식도구를 적용하였으나, 많은 양의 데이터가 소실된 상태였습니다.

그러나 이미지에 대한 거듭된 분석을 통해 파편화된 데이터 중 일부를 복구해낼 수 있었고, 검사의 주장을 탄핵하는 증거로써 이를 활용할 수 있어 의뢰인에게 큰 도움이 되어드릴 수 있었습니다.

 

※ SSD의 TRIM기능?

1. 트림(TRIM) 기능이란?

운영체제에서 삭제된 파일들을 파악하여 SSD 상에서도 실제 해당 파일들을 미리미리 지우는 기능.

2. 트림(TRIM) 사용의 이유

TRIM 기능은 SSD의 성능 향상을 위해 쓰입니다. TRIM기능은 데이터를 미리 삭제하는 기능일 뿐인데 왜 이렇게 미리 데이터를 삭제하여야 SSD의 성능이 향상되냐면, SSD 메모리는 HDD와 달리 이미 데이터가 있는 공간에 다른 데이터를 ‘덮어쓰기’를 할 수 없기 때문입니다. ‘덮어쓰기’가 안 된다면, 데이터 기록에 앞서 데이터를 지우는 것이 선행되어야 하는데, 문제는 SSD 메모리는 지우는 시간이 읽고/쓰는 시간에 비하여 10배~100배 가까이 느립니다. 결국 SSD의 약점인 느린 ‘지우는 시간’을 보완하기 위하여, 미리미리 지워두는 것이 TRIM 기능의 요체입니다.

 

 

error: 컨텐츠 보호 중