디지털 포렌식을 위한 데이터 복원 기술
상태바
디지털 포렌식을 위한 데이터 복원 기술
  • 이승윤 기자
  • 승인 2019.04.23 13:49
  • 댓글 0
이 기사를 공유합니다

[CCTV뉴스=이승윤 기자] 컴퓨터 하드디스크나 디지털기기의 스토리지가 TB급 이상으로 대용량화됨에 따라, 사용자 실수나 컴퓨터 오작동 혹은 해킹 등으로 인한 저장된 데이터의 소실이 과거에 비해 더욱 큰 문제가 되고 있다. 데이터 복원 기술은 개인, 기업, 공공기관, 교육기관, 군부대 등 다양한 보안 분야에서 데이터 안정화의 기반을 구현하는 데 활용되고 있다.

데이터 복원의 핵심 기술은 GPT의 구조와 엔트리 분석, 파괴된 RAID 구조 복원 과정을 거쳐 완성된다. 이런 소실된 데이터를 복원하는 기술은 사이버 범죄수사(Digital Forensics, 디지털 포렌식)에서 데이터의 해킹 경로를 탐지하거나, 디지털 증거의 수집/복구/분석 등 다양한 부분에 적용되고 있다.

▲사이버 범죄수사에서 데이터의 해킹경로 탐지

▲이미지 파일 카빙(Image File Carving) 같은 디지털 증거수집/증거

복구(증거 데이터 획득)/증거분석

▲디지털 증거를 확보하기 위한 디지털 포렌식 기술에 응용

▲사건사고 예방과 사후증거 활용 등 사회안전망 구축을 위한 CCTV

▲시스템의 훼손된 영상을 복원하는 기술에 응용

다양한 저장장치(하드디스크, USB 등)의 데이터 복원을 통해 복원된 디지털 증거는 사이버 범죄수사에서 법적인 효력을 갖고 있어 매우 중요한 기술이다. 이에 관련 기술시장을 선점함으로써 정보지원 기업의 매출 중대 등 커다란 경제적 효과를 얻을 수 있어 데이터 복원과 관련된 보다 선진화된 기술개발이 필요하다.

데이터복원 관련 핵심기술은 GPT(GUID Partition Table) 분석, GPT의 구조와 엔트리 분석, 파괴된 RAID 구조 복원, HEX 에디터를 이용한 16진수로 된 엔트리 구조 분석을 거쳐 완성된다. 최근에는 사건사고 예방이나 사후증거 활용 등 사회안전망 구축을 위한 CCTV 시스템의 훼손된 영상을 복원하는 기술에도 응용되면서 보안 산업분야의 데이터 복원 기술을 견인하고 있다.

데이터 복원 기술의 핵심

먼저 MBR과 GPT 엔트리의 분석 기술에 대해 알아보자. 윈도우에서 사용하는 디스크의 형식은 MBR 디스크, GPT 디스크, 기본 디스크, 동적 디스크 등 4가지가 있다. MBR 디스크는 전통적인 BIOS 방식의 시스템에서 사용되는 디스크 형식이며, GPT 디스크는 EFI 방식의 시스템에서 사용되는 디스크 형식이다.

이들의 차이점은 디스크에 관한 정보를 담는 데 MBR을 사용하느냐 GPT를 사용하느냐에 따라 BIOS(Basic Input/Output System), EFI(Extensible Firmware Interface), MBR(Master Boot Record), GPT(GUID(Globally Unique Identifier) Partition Table)로 구분된다. MBR 디스크는 PC의 BIOS에서 기본적으로 사용하는 디스크 형식으로 MBR과 파티션 테이블의 구조는 다음과 같다

▲PC의 BIOS에는 컴퓨터의 하드웨어를 체크하고 부팅할 수 있는 프로그램이 설치돼 있다.

전체 기사를 보시려면 로그인 필요

로그인 또는 회원가입을 해주세요. (회원만 열람가능)

로그인 회원가입


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.