“삭제했는데 왜 남아 있죠?”에서 시작되는 이야기
포렌식은 한마디로 “디지털 흔적을 과학적으로 복원하고 해석하는 일”이에요. 누군가는 단순히 삭제한 파일을 되살리는 기술로만 생각하지만, 실제 현장에서는 훨씬 넓게 쓰입니다. 예를 들어 회사 내부 정보 유출, 랜섬웨어 감염 경로 추적, 직원 PC에서의 비정상 행위 확인, 휴대폰 메신저 대화의 타임라인 복원까지요.
흥미로운 건, 디지털 흔적은 생각보다 쉽게 남는다는 점이에요. 브라우저 기록, 시스템 로그, 레지스트리, 프리페치(prefetch), 최근 사용 문서, 클라우드 동기화 흔적 같은 것들이 대표적이죠. 그래서 “아무것도 안 했는데요?”라는 말과 “기록은 남아 있어요”가 동시에 성립하는 분야가 포렌식입니다.
오늘은 초보가 막막해하는 “툴을 뭘로 골라야 하고, 어떻게 쓰면 되는지”를 실무 흐름에 맞춰 정리해볼게요. 단, 주의할 점도 있어요. 포렌식은 법·윤리·절차와 강하게 연결되어 있어서, 개인 호기심으로 타인의 기기를 무단 분석하는 건 절대 금물입니다. 이 글은 합법적인 범위(자기 소유 장비, 회사 규정·동의 기반, 적법한 절차 등)에서 교육·업무 목적에 도움을 주려는 내용이에요.
1) 포렌식 툴 선택 전에 꼭 알아야 할 “목표”와 “증거 유형”
툴은 목적에 따라 성능이 갈립니다. 사진 편집을 하려는데 동영상 편집 프로그램을 고르면 힘들듯, 포렌식도 “내가 무엇을 증명/확인하려는지”부터 잡아야 해요. 보통 초보가 툴부터 사거나 설치했다가, 데이터가 안 보이거나 보고서가 안 나오거나, 절차가 꼬이는 경우가 많습니다.
목표를 3줄로 정의하면 툴 선택이 쉬워져요
아래 질문에 답해보세요.
- 어떤 기기/매체를 분석하나요? (Windows PC, Mac, Android, iPhone, 서버 로그, NAS, 클라우드 등)
- 무엇을 찾나요? (삭제 파일, USB 사용 흔적, 메신저 대화, 웹 접속, 악성코드 실행, 내부 반출 정황 등)
- 결과물을 누구에게 제출하나요? (내부 보고, 감사, 법무, 수사기관 협조, 고객사 제출 등)
증거 유형별로 요구되는 기능이 달라요
예를 들어 휴대폰 메신저 복원 중심이라면 모바일 포렌식 기능이 강한 제품이 유리하고, 서버 침해사고 분석이라면 메모리/로그/아티팩트 분석이 핵심이에요. NIST(미국 국립표준기술연구소)에서 발간한 디지털 포렌식 관련 가이드(NIST SP 800-86 등)에서도 “수집-보존-분석-보고”의 단계별 요구사항을 강조하는데, 툴은 이 단계들을 얼마나 안정적으로 지원하느냐가 포인트입니다.
2) 초보가 실패하지 않는 툴 분류: 상용 vs 오픈소스, 올인원 vs 전문툴
포렌식 툴은 크게 두 축으로 나눠 보면 이해가 빨라요. (1) 상용/오픈소스, (2) 올인원/전문툴. 현실에서는 “상용 올인원 + 오픈소스 전문툴 조합”이 가장 흔합니다.
상용 툴의 장점: 시간과 보고서
상용 툴은 보통 이미징(획득), 검증(해시), 아티팩트 파싱, 타임라인, 보고서까지 흐름이 매끄럽습니다. 특히 보고서 자동 생성과 법정/감사 대응 포맷이 필요하다면 강점이 커요. 대표적으로 많이 언급되는 계열은 다음과 같습니다(구체 선택은 예산/대상에 따라 달라요).
- 디스크/PC 포렌식: EnCase, FTK, X-Ways Forensics 등
- 모바일 포렌식: Cellebrite UFED, Magnet AXIOM, Oxygen Forensic Detective 등
- 엔드포인트/사고대응: Velociraptor, KAPE(수집) + 분석툴 조합 등(오픈소스/무료 포함)
오픈소스/무료 툴의 장점: 유연함과 검증 가능성
오픈소스는 “내가 무엇을 하는지”를 더 깊게 이해하게 해줘요. 또한 특정 아티팩트나 파일시스템에서 상용 툴이 놓친 부분을 메꿀 때도 유용합니다. 다만, 도입과 운영은 조금 더 손이 가고, 결과를 보고서로 예쁘게 정리하는 건 별도 작업이 필요할 수 있어요.
- 디스크 분석: Autopsy(Sleuth Kit), The Sleuth Kit, dd/dc3dd, Guymager(이미징)
- 로그/타임라인: Plaso(log2timeline), Timesketch
- 메모리 포렌식: Volatility, Rekall
- 윈도우 아티팩트: Eric Zimmerman 도구 모음(Registry Explorer, EvtxECmd 등)
올인원 vs 전문툴: “한 방에 해결”은 생각보다 어려워요
올인원은 편하지만, 모든 상황을 완벽히 커버하진 못합니다. 예를 들어 올인원에서 메신저 파싱이 약하면 전문 모바일 툴이 필요하고, 특정 로그 형식은 별도 파서가 더 정확할 수 있어요. 그래서 초보일수록 “올인원 하나로 끝내려 하기”보다, 자주 쓰는 전문툴 2~3개를 조합하는 습관이 좋습니다.
3) 실무 흐름으로 배우는 툴 활용: 수집(획득) → 보존 → 분석 → 보고
포렌식에서 가장 중요한 건 “정확한 결과”뿐 아니라 “그 결과가 신뢰받는 과정”입니다. 아무리 분석을 잘해도 수집 단계가 엉망이면 전체가 흔들려요. 그래서 툴 사용법을 외우기보다, 흐름을 먼저 잡는 게 훨씬 빠른 길입니다.
수집(획득): 원본 훼손을 막는 장치와 습관
가능하면 원본은 그대로 두고, 이미지(복제본)를 만들어 분석하는 게 기본이에요. 이때 많이 쓰는 개념이 ‘Write Blocker(쓰기 차단)’와 ‘해시(Hash) 검증’입니다.
- 쓰기 차단: 원본 디스크에 쓰기 작업이 일어나지 않게 하드웨어/소프트웨어로 차단
- 이미징: dd, dc3dd, Guymager, FTK Imager 등으로 RAW/E01 등 포맷으로 획득
- 해시 검증: MD5/SHA-1/SHA-256 등으로 원본과 이미지 동일성 입증(최근엔 SHA-256 선호)
팁 하나: “이미지 만들고 해시 찍고, 그 해시 값을 작업노트와 보고서에 남기기”만 습관화해도 초보 티가 확 줄어듭니다.
분석: 아티팩트 중심으로 접근하면 길을 잃지 않아요
초보가 흔히 하는 실수가 “검색창에 키워드만 넣고 끝내기”예요. 물론 키워드 검색도 유용하지만, 포렌식은 보통 아티팩트(Artifacts) 기반으로 접근해야 재현성과 설명력이 좋아집니다.
- Windows 흔적: 이벤트 로그(EVTX), 레지스트리, 프리페치, 점프리스트, LNK, 브라우저 히스토리
- 사용 흔적: USB 연결 기록, 최근 실행 프로그램, 계정 로그인 이벤트, RDP 접속 기록
- 파일 흔적: MFT/USN Journal(NTFS), 삭제 파일 복구, 타임스탬프 조작 여부
예를 들어 “USB로 자료 반출이 있었나?”를 확인하려면, 단순히 파일 존재 여부만 보는 게 아니라 USB 연결 시간, 드라이브 시리얼, 접근한 파일의 경로, 해당 시간대 로그인 사용자를 함께 엮어서 타임라인을 만들면 훨씬 설득력 있어요.
보고: ‘기술’보다 ‘설명’이 결과를 살립니다
현업에서 보고서는 종종 법무/감사/경영진이 읽어요. 이때 중요한 건 “재현 가능한 근거”와 “이해 가능한 문장”입니다. 상용 툴은 보고서 템플릿이 강점이지만, 오픈소스 조합을 쓰더라도 아래 요소는 꼭 갖추는 걸 추천합니다.
- 대상 정보: 기기 모델, OS, 저장장치 정보, 식별값(시리얼 등)
- 절차: 수집 방법, 사용 툴/버전, 해시 값, 분석 범위
- 핵심 발견: 무엇을, 언제, 누가, 어떻게 했는지(타임라인 중심)
- 한계와 가정: 암호화 미해제, 클라우드 미접근, 로그 보존기간 초과 등
4) 상황별 툴 조합 레시피: PC·모바일·침해사고·내부조사
“이 경우엔 어떤 툴을 같이 쓰면 좋을까요?”가 실제로 가장 많이 나오는 질문이에요. 아래는 초보가 따라 하기 쉬운 조합 예시입니다. (조직 정책·예산·합법성에 따라 조정하세요.)
사례 A: Windows PC에서 퇴사자 자료 유출 의심
목표는 보통 “외부 저장장치 사용 + 파일 접근 + 전송 흔적”을 시간순으로 엮는 거예요.
- 획득: FTK Imager 또는 Guymager로 디스크 이미지 생성 + 해시
- 아티팩트 추출: Eric Zimmerman 도구(EvtxECmd, RECmd 등)로 이벤트/레지스트리 파싱
- 타임라인: Plaso로 타임라인 생성 후 Timesketch로 시각화(또는 상용 툴 타임라인 기능)
- 검증: USBSTOR, SetupAPI 로그, 최근 문서/점프리스트로 교차 확인
실무 팁: 한 가지 근거만으로 결론 내리기보다 “서로 다른 출처 2~3개가 같은 시간대를 가리키는지”를 꼭 확인하세요.
사례 B: 스마트폰에서 메신저 대화/사진 유출 경로 확인
모바일은 OS 제약과 암호화가 강해서, 전문 상용 툴이 시간을 크게 줄여줍니다. 다만 기기 상태(잠금 해제 가능 여부, OS 버전)에 따라 가능한 수집 방식이 달라요.
- 수집 방식: 논리/파일시스템/물리 추출 중 가능한 방식 선택
- 분석 포인트: 메신저 DB, 첨부파일 캐시, 공유(Share) 기록, 클라우드 동기화 흔적
- 주의: iOS/Android는 버전별로 추출 가능 범위가 크게 달라 사전 체크리스트가 필수
참고로 Verizon의 DBIR(데이터 침해 조사 보고서) 같은 연례 보고서에서는 “사람의 실수(자격증명 관리, 잘못된 공유 등)”가 반복적으로 큰 비중을 차지한다고 언급되곤 해요. 모바일에서도 ‘누가 어떤 앱으로 공유했는지’ 같은 사용자 행위가 핵심 단서가 되는 경우가 많습니다.
사례 C: 랜섬웨어/침해사고 초기 대응(포렌식+IR 경계)
침해사고에서는 속도가 중요하지만, 동시에 증거 보존도 중요해요. 그래서 “신속 수집 도구 + 메모리/로그 분석” 조합이 자주 쓰입니다.
- 신속 수집: KAPE, Velociraptor로 엔드포인트 아티팩트/로그 빠르게 수집
- 메모리: Volatility로 프로세스/네트워크 연결/주입 흔적 확인
- 로그: Windows 이벤트 로그 + EDR 로그 + 방화벽/프록시 로그를 시간축으로 통합
- 목표: 최초 침투 지점, 실행된 페이로드, lateral movement 흔적, 데이터 유출 여부
5) 툴보다 중요한 품질관리: 검증, 재현, 체인 오브 커스터디
포렌식은 “툴이 알아서 결론을 내주는 작업”이 아니라, “결론을 방어 가능한 형태로 쌓아 올리는 작업”에 가까워요. 그래서 초보일수록 아래 3가지를 습관으로 만들면 성장 속도가 빨라집니다.
1) 교차 검증: 한 툴 결과를 다른 방식으로 확인
예를 들어 이벤트 로그 파싱 결과는 다른 파서로 한 번 더 확인하거나, 타임라인에 찍힌 시간은 원본 로그에서 해당 레코드를 직접 확인하는 식이죠. 상용 툴이든 오픈소스든 파싱 오류나 해석 차이는 언제든 생길 수 있어요.
2) 재현 가능성: “내가 한 작업”을 남이 따라 할 수 있게
- 사용 툴/버전 기록
- 분석한 이미지/파일의 해시
- 필터 조건, 검색 키워드, 제외 규칙
- 시간대(Timezone) 설정과 변환 기준
특히 시간대 설정은 초보가 가장 자주 놓치는 함정이에요. UTC로 저장되는 로그와 로컬 시간으로 보이는 이벤트가 섞이면 타임라인이 뒤틀릴 수 있습니다.
3) 체인 오브 커스터디: 누가 언제 무엇을 어떻게 보관했나
법적 분쟁이나 감사로 갈 가능성이 있다면, 증거를 누가 인수했고 어디에 보관했고 언제 접근했는지 기록이 필요합니다. 조직마다 양식은 다르지만 “증거 인수인계 기록 + 접근 통제 + 변경 불가 저장”이 핵심이에요.
6) 초보를 위한 학습 로드맵과 실전 연습 방법(현실적으로)
포렌식은 범위가 넓어서 “어디서부터 시작해야 할지”가 제일 어렵죠. 그래서 학습도 사건 흐름처럼 쪼개는 게 좋아요.
단계별 로드맵
- 1단계: 파일시스템/기본(NTFS, 타임스탬프, 해시, 이미징)
- 2단계: Windows 아티팩트(이벤트 로그, 레지스트리, 프리페치, LNK/점프리스트)
- 3단계: 타임라인(Plaso/Timesketch 또는 상용 타임라인)로 사건 서사 만들기
- 4단계: 모바일 기초(백업 구조, 앱 데이터, 권한/암호화 이해)
- 5단계: 침해사고 연계(메모리/네트워크/EDR 로그 상관분석)
연습 데이터는 어디서 구하나요?
실제 타인 데이터로 연습하면 안 되고, 공개된 교육용 이미지나 CTF/챌린지 데이터를 활용하는 게 안전해요. 디지털 포렌식 교육 커뮤니티나 대학/기관에서 제공하는 샘플 케이스가 꽤 있습니다. 또한 가상머신에 Windows를 설치하고, 일부러 USB 연결/파일 생성/브라우징/프로그램 실행을 해본 뒤 “내가 만든 사건”을 스스로 분석해보는 방식이 가장 확실합니다.
초보가 자주 겪는 문제와 해결 접근
- 문제: 툴에서 데이터가 안 보임 → 해결: 수집 방식(논리/물리), 권한, 암호화(BitLocker/FileVault) 여부 점검
- 문제: 시간 순서가 이상함 → 해결: 타임존/서머타임, 로그별 시간 형식(UTC/Local) 확인
- 문제: “증거”로 말하기 애매함 → 해결: 단일 흔적이 아닌 다중 아티팩트로 교차 검증
- 문제: 보고서가 장황함 → 해결: 결론-근거-절차-부록(원본 캡처/해시) 구조로 정리
실수로 지운 채팅? 간편한 카카오톡 복구로 해결해요 😊
툴은 도구, 신뢰는 절차에서 나온다
포렌식에서 툴 선택은 분명 중요하지만, 더 중요한 건 “어떤 목표로 어떤 증거를 어떤 절차로 다룰지”예요. 초보라면 (1) 대상/목표를 먼저 좁히고, (2) 수집-보존-분석-보고 흐름을 지키고, (3) 교차 검증과 기록을 습관화하는 것만으로도 결과의 품질이 확 달라집니다.
마지막으로 정리하면, 추천하는 방향은 이거예요. “올인원 툴로 큰 그림을 잡고, 오픈소스/전문툴로 근거를 단단히 보강하고, 보고서는 타임라인과 재현성으로 설득한다.” 이 3가지만 기억해도 다음 케이스부터는 훨씬 덜 헤매실 거예요.
