| 2007-09-15, 05:45 AM | #1 |
|
Elite Member
 
Registered: Apr 2003
My Mac: AlbookG4 1,67Ghz 15"; iMac 500 Snow
Posts: 1,121
온라인
|
전문 업체의 하드 복구 원리?
요즘 정치 뉴스에 하드복구에 대한 기사가 심심치 않게 뜹니다.
일단 사족부터: 검찰이 바보같다는 생각이 들었습니다. 왜 하드를 압수합니까? 영장 받아서 정식으로 이메일 업체에 자료를 요구하면 되지 않습니까? 그런데 그 기사를 보면서 평소부터 궁금한게 있어서요. 기사의 요지는 - 저같은 비전문가가 이해하기로 - 결국 로우 포맷을 했으면 압수한 하드는 복구 불가능했다.. 입니다. 사용자는 깨끗이 삭제했다고 생각하지만 실상 어드레스를 지운 것이지 데이터 자체를 지운 것이 아니기 때문에 쉽게 복구할 수 있었다는 말입니다. 로우 포맷은 결국 일종의 덮어쓰기라면, 맥에서도 로우포맷하면 복구 불가능한 것 아닙니까? 그런데요, 우리 애포에서 여러번 하드복구 이야기가 나왔는데, 덮어쓴 데이터도 복구 전문업체에 맡기거나 하면 웬만큼 복구할 수 있다고 한 것 같아요. 그 원리가 어떻게 되는지 궁금해졌습니다. 이런 방면엔 애포에 전문가가 꽤 계실 것 같아서 문의합니다. (우리 애포 회원의 양식을 믿고, 불필요한 논쟁으로 번지지 않기를 바랍니다.) |
|
| 2007-09-15, 06:59 AM | #2 |
|
Senior Member
Registered: Jan 2006
My Mac: PowerMac G5 2GHz Dualcore, Macbook Pro 2.4GHz, iPod Touch 16GB
Posts: 290
오프라인
|
왜 하드를 압수합니까? 영장 받아서 정식으로 이메일 업체에 자료를 요구하면 되지 않습니까?
=> 그러게요. 왜 그리 어려운 수고를 하는지 저도 궁금하네요. 하긴 이메일 업체에서 일일히 다 로그를 남겨두진 않을테니 그럴수도 있겠지만.... 이메일내용 이외에도 하드에 들어있는 정보를 채취하기 위함이 아닐까용... 그리고 하드복구업체도 어느정도 한계가 있습니다. 무조건 된다는거 아니죠 뭐... 미국의 보안표준지침에 따르는 데이터삭제 방식(데이터를 삭제하고 지우고 다시 삭제하고 지우고... 이걸 30번인가 반복한다더라구요.)이라면 아마 복구 안될껄요. 어느 정도만 복구가 된다는거지 다 된다는거 아닙니다. ^^;; 제가 듣기로는 로우포맷 했는데 복구했다는 얘기는 아직 들어본 경우가 없는것 같습니다. 단순한 파일삭제나 포맷 정도라면 모르겠지만 로우포맷이나 보안인증을 받는 데이터삭제 방식까지 되돌리는 경우는 들어본 역사가 없어서요. |
|
|
| 2007-09-15, 07:51 AM | #3 |
|
Veteran Member
Registered: Jun 2006
My Mac: MacBook 2.0 White (1st Generation)
Posts: 647
오프라인
|
ㅋ gmail같은건 이메일 업체에 자료 요구도 못하죠...
주민번호 같은것도 없으니... 콕 찝어서 누구꺼라고 하지도 못하는데요 누구껀지 다 뒤지고 다니다가 제꺼 건드리면... 제가 국정원이고 검찰청이던 다 고발할껍니다... 이런 이유로... 하드 뒤지는게 더 쉽죠~ ^^; 이멜주소 정확히 모르면 영장청구도 어렵잖아요~
__________________
Macbook 2.0 White with 2GB RAM & WD 320GB HDD OS 10.5.5 & Windows XP SP3 (with Paralleles 4.0) dawoomi.tistory.com 너의 최선을 다해 불타 올라라! 나중에 새거 사게 되면 넌 SSD 달라줄께! 
|
|
|
| 2007-09-15, 07:54 AM | #4 |
|
Elite Member
Registered: Apr 2003
My Mac: AlbookG4 1,67Ghz 15"; iMac 500 Snow
Posts: 1,121
온라인
|
30번 정도 랜덤 숫자열을 반복해서 지우고 쓰고 하면 복구가 안된다... 그렇다면 한 두 번 지우고 쓰고 하면 복구가 될 가능성이 퍽 높단 말로 들려셔요. 그런데 로우 포맷은 결국 한 번 덮어쓰는 것과 같지 않습니까? 이에 관해서 옛날부터 좀 알고 싶었어요. 어떤 원리로 이렇게 되는 것인지요. |
|
|
| 2007-09-15, 08:54 AM | #5 |
|
New Member
Registered: Jul 2007
My Mac: 맥북 Core2Duo + ipod 5.5세대 30G
Posts: 8
오프라인
|
제가 아는 내용만 간단히 쓰면..
파일시스템을 구축할때 각 파일들은 헤드+데이터와 같은 구조를 가지게 됩니다. 실제로 파일들은 각 헤드들을 서로 가리키는 연결리스트로 이루어져 있는 것입니다. 파일을 삭제하면 실제로 모든 데이터 영역을 지우는것이 아니라 헤드의 정보를 지워서 서로 참조가 되지 않게 하는 구조로 되어 있는 것입니다. 만약에 원래 있었던 데이터가 사용하던 영역이 다른 파일로 덮여 쓰이지 않는다면 원래 데이터는 거의 남아있는 것입니다. 학교 다닐때 배운 내용을 기억해서 쓴 것이라 사실과 다를 수 있습니다^^;;;;; |
|
|
| 2007-09-15, 10:12 AM | #6 |
|
Elite Member
Registered: Oct 2001
My Mac: new MacBook Pro 2.4G Core2Duo, PowerMac G4 933Mhz
Posts: 3,232
오프라인
|
이 경우, 이메일 업체의 하드에도 메일이 삭제되어 있을텐데, 그렇다면, 마찬가지로 이메일 업체의 하드도 복구해야 할텐데, 그건 아닌것 같군요. 물론 정기적인 백업을 하긴 할텐데, 그게 장기적인 데이타의 보존을 목표로 하지는 않을 겁니다.
__________________
::::: mono*log ::::: |
|
|
| 2007-09-17, 12:51 AM | #7 |
|
Senior Member
Registered: Jul 2004
My Mac: Macbook Pro Core2Duo 2.2Ghz
Posts: 368
오프라인
|
일반적인 하이레벨(논리적)포맷은 데이터를 날리지 않기 때문에, 복구 시작점만 있으면
복구가 됩니다. 포맷시에 항상 복구용 데이터를 남기고 포맷 하는 것으로 알고 있습니다. 그러나 로우레벨 포맷은 물리적인 정보를 전부 다시 구성하는 것이기 때문에, 이 때부터는 복구가 상당히 힘들어집니다. 다른 하드디스크로 덤프(하드디스크 내용을 모두 복사하는것)를 떠서 복구하기가 사실상 불가능하기 때문에, 데이터가 유실될 확률도 월등히 높다고 합니다. OSX 내의 Disk Utility에서 30번 덮어쓰는 방식은 로우레벨포맷과는 차이가 있습니다. 로우레벨 포맷은 데이터를 읽어낼 수 있는 확률은 있는 반면, 물리적 정보가 모두 다시 씌여졌기 때문에 실질적으로 사람이 복구작업하기가 만만치가 않다고 합니다. 이와는 다르게 Disk Utility의 보안옵션 포맷은 실제로 기계에서 읽어낼 수 있는 확률을 월등하게 낮추는 방법입니다.
__________________
다시 맥으로 회귀한 기현군! |
|
|
| 2007-09-17, 02:41 PM | #8 |
|
Senior Member
Registered: Aug 2006
My Mac: .
Posts: 261
오프라인
|
Disk formatting - Wikipedia, the free encyclopedia 자주 착각하는 것이 'High level formatting은 meta data라고 하는 file의 정보만을 지우고, Low level formatting은 file내용도 지우는 것이다'는 것인데, 사실 이 둘은 모두 High level formatting입니다. meta data만을 지우는 것을 Windows에서는 Quick format, Mac에서는 'Don't Erase Data'라는 옵션으로 제공하고 있습니다. 조금 더 자세히 보면 Windows에서는 Quick format이 아닐때도 data를 지우지(write) 않고 검사(verify)만 합니다. Format의 사전적 의미가 Erase와 어떻게 다른지를 생각해 보면 당연한 내용입니다. Low level format도 data의 삭제가 아닌 문제가 생긴 HDD의 초기화 작업에 해당합니다. 예를 들어, 과거 HDD내부의 정보기록 원판(platter)를 금속으로 만들었을 때, 열에 의해 팽창, 수축을 하는 특성으로 HDD의 sector, cluster등의 위치가 바뀌는 현상이 있었습니다. 이것을 바뀌고 난 다음의 위치로 재구성 해 주는 작업이 low level format입니다. 오늘날 유리(정말로 두드리면 깨집니다.)등의 뛰어난 소재를 사용하는 등 문제가 개선되고 나서는 지원하지 않거나 형식상 있는 정도로 사용할 필요가 없는 기능입니다. 즉 Disk Utility에있는 Zero Out Data, 7, 35-Pass Erase는 Low level format과는 전혀 관계 없고 사실상 format도 아닙니다. |
|
|
| 2007-09-17, 02:56 PM | #9 |
|
Elite Member
Registered: Feb 2002
My Mac: intel iMac 20"; iPod mini (Blue); Airport Express
Posts: 2,470
오프라인
|
이메일 서버회사에 따라 정책이 다르거나, 아니면 영장청구 방법이 회사에 서버기록을 열어보자는것보다는 개인소지물 압류가 더 쉬울수도 있다는 생각도 해봅니다.
그리고 회사메일의 경우 법적으로 문제가 될수도 있어서 (미국의 경우) 서버차원에서는 절대 지우지 않는걸로 알고 있는데요, 용량의 문제가 생길 경우 오래된 메일은 아카이브를 해주는 또 제3의 업체에 맡기기도 합니다. 미국에서는 기업단위의 소송에 걸릴 경우 (불공정거래나 회계부정등등), 상대방측에서 관련된 모든 이메일을 제출하라고 부탁하는데 이걸 다 들어주지 않으면 재판에서 상당히 불리합니다. 미국의 대형 로펌의 기업소송담당 1, 2년차 병아리 변호사들의 업무중 상당부분이 수천, 수만개의 이메일을 읽고 분류하는거라는...후후.  연애 이메일 들키지 않는 법이라는 글도 어디선가 나돌아다니더군요. 피씨용었는데, 미 국방성 수준으로 지워주는 유틸리티와, 폴더 숨김 유틸의 조합으로 하면 거의 불가능하다는데요. 맥용으로도 있을것 같습니다. 가장 좋은 방법은 프리즌브레이크의 석호필처럼 하드를 뜯어서 강물에 버리는것 (이것도 결국 들키긴 했죠), 그리고 더 나아가서는 하드를 불태우는게 아닐까요? ^^
__________________
Stranger in a Strange Land |
|
|
| 2007-09-17, 04:38 PM | #10 |
|
Elite Member
Registered: Apr 2003
My Mac: MacBook Pro 15.4" 2.0 GHz at work, MacMini Core2Duo 1.67GHz at home, MacBook "Brick" 2.0+iPhone EDGE on the road
Posts: 1,500
오프라인
|
 이미 미국 영구 유럽 정부 등등이 개인 이메일을 모두 저장해두고 있습니다. 법에 저촉되지 않냐구요? 미국 정부는 영국민을, 영국 정부는 미국민을 감시하고 있으니 교묘하게 잘 하고 있답니다. 그러니까 혹시 이메일 유실되면 해당정부에 요청하세요. 백업 데이터 내놓으라고. ㅋ |
|
|
| 2007-09-17, 04:43 PM | #11 |
|
Elite Member
Registered: Apr 2007
My Mac: MacBook C2D 2.0
Posts: 1,067
오프라인
|
 |
|
|
| 2007-09-18, 08:15 AM | #12 |
|
Senior Member
Registered: Aug 2004
My Mac: iMac G4 15" 1GHz, iMac C2D 24"
Posts: 304
오프라인
|
미군에서는 하드 디스크의 자성을 없애는 방법까지 사용한다고 하지만 한국에는 해당 장비가 없다고 하던데요. 결국 어떻게 처리하는지는 기억이 안나네요.. ^^;
|
|
|
| 2007-09-19, 07:15 AM | #13 |
|
Member
Registered: Feb 2004
My Mac: Macbook White 2.1GHz
Posts: 99
오프라인
|
뭐... 하드디스크를 하드웨어적으로 초기화시키겠죠. ㅋ
껍데기 뜯고, 망치와 정으로 원래의 자연의 형태로 말이죠. 갑자기 군대에서 물건 짱박으려고, 비닐봉지에 물건 담아서 땅에 파묻던 생각이 나는건 왜일까요?
__________________
나는 스피드레이서보다, 강철수염!!!이 더 재미있다. |
|
|
| 2007-09-19, 11:16 AM | #14 |
|
New Member
Registered: Aug 2007
My Mac: MacBook
Posts: 14
오프라인
|
디지털 포렌식 기술이라는건데요.
우선 웹메일은 전의 기사로 봐서 신xx씨의 경우 웹메일이 아닌 일반 메일(POP3)를 쓴것 같습니다. 아마 동국대 교수이니 학교 메일을 썼겠죠. 그런 메일서버의 메일정보를 백업하는 경우는 거의 없습니다. 둘째 디스크복구에 대한건데 이런류의 기술을 포렌식이라고 합니다. 저도 기사를 보고 좀 의아스러운게 (기자가 좀 잘못안듯 싶습니다) 로우포맷했다고 복구 불가능하게 되지 않습니다. 포렌식 기술이 쉬운건 다른분 말씀대로 삭제시 실제로 파일을 삭제하지 않고 시작부분만 지웁니다. 그래서 비교적 간단히 데이터를 복구할 수 있습니다만 이건 정말 기본적인것이고 하드디스크에 데이터가 저장이 되면 자기장이라는게 형성이 됩니다. 그럼 데이터를 지웠다고 해도 그 자기장은 그대로 남아있기때문에 그 자기장을 분석해서 데이터 복구를 할 수 있습니다. 그래서 비행기가 폭파했다고 해도 디스크부분만 온전하면 데이터를 복구할 수 있습니다. 그럼 그 자기장마저 없애려면 어떻게 해야 하나? 미국 CIA인가? 국방성인가 잘 기억은 안나지만 전체포맷을 7번(정확한 수치는 기억이 안납니다.)을 하면 복구가 불가능하다고 합니다. (뭐~ 소문엔 그 기관에서 포맷을 11번까지 해도 복구할 수 있는 장비가 있다고는 합니다만 믿거나 말거나) 그외 좀 쉽게 처리할 수 있는게 3번 지우는걸로 흔적을 없앨 수 있는데 정확히는 기억이 안나지만 대충 적어 보면 그 데이터의 보수로 한번 엎어쓰고 난수값으로 엎어쓰고 또 한번이 뭔지는 잘 기억이 안나네요. 아마 시중에 나와 있는 안전삭제 프로그램은 대부분 이 기법으로 삭제를 할겁니다. 이것 마저 귀찮으면 자기장제거기 장치가 있습니다. 그걸 이용하면 아헤 하드디스크를 완전히 폐기할 수 있 습니다. (장비 가격이 만만치 않죠. 대신) 아~ 이런 기법은 포렌식에나 쓰이는거구 (한국에서 이런 장비와 기술자가 있는지는 모르겠습니다.) 일반 복구 업체는 디스크의 데이터를 그대로 읽어와서 (Raw 데이터 형태로 읽어옵니다. 특정 파티션에 얽매이지 않고) 직접 하나 하나 분석해서 복구하는걸로 알고 있습니다. 그래서 그 업체에게 맡기면 하드디스크를 분해를 해야합니다. |
|
|
| 2007-09-19, 11:49 AM | #15 |
|
Veteran Member
Registered: Mar 2005
My Mac: MBP 2.2, MP 2.1, iMac 2.4, iPhone 3G, ibook G3 700
Posts: 848
오프라인
|
뭐... 저희 회사는 법률회사라 좀 자료가 예민한게 많아서리... 폐기돼는 하드를 어찌 할가 하다가...
그냥 사막에 가져가서 총으로 과녁 삼아서 쏴 버리고 남는건 쓰래기통으로... 그나마 권총으로는 잘 않돼서 AK로 쏴버린다는... ㅋㅋㅋ 정말 안맞는다는... AK로 어떻게 사람을 저격한다는건지 원... 그래도 복구한다면 할말은 없지만 그비용이면 차라리 해킹을... ^^ 나중에 사진을 한번 올릴께요... ㅋㅋㅋ
__________________
 ,  , 
|
|
|
