핵심 인사이트 (3줄 요약)

  • 메타데이터 파괴 시 복구: 파일의 목차(MFT 등)가 삭제되거나 포맷된 상황에서도, 디스크에 남은 원시 바이너리 데이터를 바탕으로 파일을 복구하는 포렌식 기술입니다.
  • 시그니처 기반 추출: 파일 고유의 시작점(헤더)과 끝점(푸터) 패턴을 스캔하여 두 지점 사이의 데이터 덩어리(페이로드)를 도려내어(Carving) 원본을 재조립합니다.
  • 네트워크 덤프 적용: 하드디스크뿐만 아니라 네트워크 패킷 덤프(PCAP) 파일에도 적용되어, 분할 전송된 악성코드나 은닉된 파일을 추출해 낼 수 있습니다.

Ⅰ. 기존 파일 시스템 삭제의 진실 (속임수)

  • 윈도우(NTFS, FAT32)에서 파일을 삭제(Delete)하면 파일 내용이 지워질까요? 아닙니다.
  • MFT (목차 장부): 도서관의 색인표(목차)에서 이름만 화이트로 지워버릴 뿐, 실제 책(데이터)은 하드디스크 서고에 그대로 남아있습니다.
  • 포렌식의 한계: 그래서 보통은 목차 장부의 화이트 칠한 자국만 복구하면 파일이 통째로 튀어나옵니다(Undelete). 하지만 해커가 고의로 목차 장부(MFT)를 전기톱으로 찢어발기거나, 디스크를 통째로 포맷하면 윈도우는 책이 어디 있는지 평생 찾지 못합니다.

📢 섹션 요약 비유: 일반적인 파일 삭제는 도서관에서 책의 위치가 적힌 인덱스 카드만 버리는 것과 같습니다. 책 자체는 서고 어딘가에 온전히 남아 있습니다.

Ⅱ. 파일 카빙 (File Carving)의 개념 🌟

  • 개념: "조각(Carve)하다"라는 뜻입니다. 파일 시스템의 메타데이터(목차 장부, 파일 이름, 크기 정보 등)가 완전히 파괴되어 의존할 수 없을 때, 저장 매체의 원시 데이터(Raw Binary 0과 1) 찌꺼기 바닥부터 맨땅에 헤딩하듯 스캔하여, 파일 고유의 '헤더(머리 시그니처)'와 '푸터(꼬리 시그니처)' 패턴만을 찾아내 강제로 덩어리를 도려내어 파일을 원상 복구(재조립)하는 극한의 디지털 포렌식 기술입니다.
┌─────────────────────────────────────────────────────────────┐
│                 손상된 하드 디스크 / PCAP 덤프              │
├─────────┬─────────┬───────────────────────┬─────────┬───────┤
│ 임의    │ 헤더    │     파일 페이로드     │ 푸터    │ 쓰레기│
│ 바이너리│ (FF D8) │     (이미지 데이터)   │ (FF D9) │ 데이터│
├─────────┴─────────┴───────────────────────┴─────────┴───────┤
│         ▲                                 ▲                 │
│         │                                 │                 │
│         └──────── 카빙(Carving) 프로세스 ─┘                 │
│                 (정확한 블록 추출)                          │
└─────────────────────────────────────────────────────────────┘

📢 섹션 요약 비유: 도서관 건물이 무너져 인덱스 카드가 다 타버렸을 때, 쓰레기 더미를 뒤지며 "옛날 옛적에"로 시작해서 "행복하게 살았습니다"로 끝나는 뭉치를 가위로 오려내어 하나의 동화책으로 억지로 복원하는 좀비 부활술입니다.

Ⅲ. 파일 카빙의 3단계 부활 마법 및 네트워크 적용 🌟

1. 헤더/푸터 시그니처 매칭 (유전자 스캔) 🌟

세상 모든 파일은 머리와 꼬리에 자기만의 지문(매직 넘버)을 가집니다.

  • JPEG 사진: 머리는 무조건 FF D8 FF E0, 꼬리는 무조건 FF D9로 끝납니다.
  • PDF 문서: 머리는 무조건 %PDF-(헥사값 25 50 44 46 2D)로 시작합니다.
  • 포렌식 툴(Scalpel, Foremost 등)이 하드디스크 전체를 1바이트씩 싹 훑으며 이 마법의 숫자(시그니처)가 나타나는지 쌍심지를 켜고 스캔합니다.

2. 도려내기 (Carving / Payload 추출)

  • 스캔하다가 FF D8 FF E0를 발견했습니다! "아! 여기서부터 사진 1장 시작이다!"
  • 쭉 긁어모으다 FF D9를 발견했습니다. "오케이! 여기까지가 사진 끝이다!"
  • 그 시작과 끝 사이의 0과 1 덩어리(Payload)를 칼로 푹 도려내어, 복구사진_1.jpg라는 이름을 대충 붙여서 살려냅니다. 원본 파일 이름(내사진.jpg)은 영영 찾을 수 없지만, 사진 내용(얼굴)은 100% 완벽하게 부활합니다.

3. 네트워크 포렌식 융합 (PCAP 카빙) 🌟 실무 핵심 🌟

이 기술은 하드디스크뿐만 아니라 허공을 날아다니는 **네트워크 통신망(PCAP 패킷 덤프)**에도 미치도록 똑같이 쓰입니다.

  • 네트워크 스니핑 덤프: 보안팀이 해커의 공격 패킷 수만 개를 .pcap 파일로 녹화(덤프)해 뒀습니다.
  • 해커가 사내망으로 몰래 전송한 악성코드(멀웨어) 파일이 100개의 패킷으로 잘기잘기 찢어져 숨어있습니다.
  • 보안 툴(Network Miner, Wireshark)이 이 PCAP 파일을 카빙(Carving)하여, 100개의 찢어진 패킷 속에 숨은 악성코드(EXE)의 뼈다귀(MZ 헤더 4D 5A)를 찾아내 퍼즐처럼 재조립합니다. 허공에 증발한 악성코드 파일이 내 바탕화면에 온전한 .exe 파일로 '뿅' 하고 강제 복원됩니다.

📢 섹션 요약 비유: 파일 카빙은 찢어진 종이 조각이 흩날리는 폭풍 속에서, 머리와 꼬리 퍼즐 조각만 보고 중간 조각들을 긁어모아 원본 그림을 완성해 내는 집념의 마법입니다. 이 마법은 땅바닥(하드디스크)뿐만 아니라 허공의 바람(네트워크 패킷) 속에서도 똑같이 통합니다.

Ⅳ. 카빙 기술의 한계 (조각 단편화의 늪)

  • 하드디스크에 파일이 1, 2, 3 순서대로 예쁘게 연속해서 저장되어 있으면 복구가 쉽습니다.
  • 하지만 하드디스크를 오래 써서 파일이 1번, 저 멀리 5번, 저 멀리 10번 위치에 조각조각 찢어져 저장된 상태(단편화, Fragmentation)에서 목차 장부가 날아갔다면?
  • 머리와 꼬리를 찾더라도 중간 허리가 엉뚱한 파일 찌꺼기랑 섞여서 사진의 절반이 흑백으로 깨지는(복구 실패) 현상이 발생합니다. 이 조각난 퍼즐을 맞추는 고도화된 '스마트 카빙' 알고리즘이 포렌식 학계의 최대 과제입니다.

📢 섹션 요약 비유: 예쁘게 썰려진 샌드위치는 앞뒤 빵만 찾으면 중간 재료가 그대로 딸려오지만, 믹서기에 갈려 엉망으로 섞인 샌드위치 조각들(단편화) 사이에서 완벽한 하나를 재조립하는 것은 극도로 어려운 일입니다.

👶 어린이를 위한 3줄 비유 설명

  1. 파일 카빙이란?: 이름표가 떨어져 누군지 모르는 장난감 부품 산더미 속에서, 로봇 머리와 다리 모양만 보고 중간 몸통을 찾아서 강제로 조립해 내는 기술이에요!
  2. 어떻게 찾나요?: 모든 파일은 고유의 시작(머리)과 끝(꼬리) 모양을 가지고 있어요. 이 특별한 지문을 찾아내서 그 사이의 덩어리를 뚝 떼어내는 거예요.
  3. 어디에 쓰이나요?: 나쁜 해커가 증거를 지우려고 하드디스크를 포맷하거나 인터넷으로 몰래 악성코드를 보냈을 때, 남은 찌꺼기들을 모아 원래 형태를 짠! 하고 부활시키는 데 쓰인답니다.