2008년 호주 중고 하드디스크 잔존 데이터 조사: 인프라 위험 경고

초록

경매로 구매한 기업용 하드디스크 100여 대를 포렌식 분석한 결과, 포맷된 드라이브에서도 중요한 인프라 정보가 복구되었으며, 데이터 삭제 미비가 심각한 보안 위협임을 확인했다.

상세 분석

본 연구는 2008년 호주 내 여러 경매 사이트에서 기업용 하드디스크(용량 500 GB~2 TB)를 무작위로 120대 확보한 뒤, 물리적 및 논리적 포렌식 절차를 적용하였다. 먼저 표면 검사와 SMART 데이터 확인으로 드라이브 상태를 파악하고, 파일 시스템이 남아 있는 경우 FTK Imager와 EnCase를 이용해 파일 리스트와 메타데이터를 추출하였다. 포맷 처리된 경우에는 디스크 이미지 생성 후, 데이터 복구 툴인 R-Studio와 PhotoRec을 활용해 섹터 단위 복구를 수행하였다.

분석 결과, 전체 드라이브 중 68%가 완전 삭제되지 않았으며, 그 중 42%는 포맷 후에도 복구 가능한 파일이 존재했다. 특히 15대(≈12%)에서는 전력망 운영, 통신망 관리, 금융 시스템 등 국가 핵심 인프라와 직접 연관된 문서, 설정 파일, 데이터베이스 백업이 발견되었다. 복구된 파일에는 IP 주소, VPN 인증서, 시스템 로그, 설계 도면 등이 포함돼 있었으며, 일부는 암호화되지 않은 평문 형태였다.

기술적으로는 현대 포맷(예: NTFS, ext4)에서도 삭제된 파일이 메타데이터에 남아 있어, 섹터 재배열이나 TRIM 명령이 적용되지 않은 경우 복구가 가능함을 재확인했다. 또한, SSD가 아닌 전통적인 HDD에서는 물리적 디스크 회전과 헤드 이동 특성 때문에 데이터 잔존이 더 크게 나타났다.

보안 관점에서 가장 큰 문제는 기업들이 데이터 파기 정책을 수립하지 않거나, 포맷만으로 충분하다고 오인하는 점이다. 특히 정부·공공기관이 제공하는 서비스와 연계된 데이터가 외부에 노출될 경우, 사이버 공격자는 복구된 정보를 활용해 침투 경로를 설계하거나 사회공학 공격을 전개할 위험이 있다.

연구는 또한 현재 호주 내 데이터 파기 규제(예: Privacy Act)와 실제 현장 실행 간의 격차를 지적한다. 법적 제재가 약하고, 기업 내부 감시 체계가 미비한 상황에서 데이터 잔존 문제는 지속적으로 악화될 것으로 전망된다.

결론적으로, 포렌식 복구 기술이 고도화된 만큼, 데이터 삭제 역시 물리적 파괴(디가우징)나 다단계 암호화·덮어쓰기와 같은 확실한 방법을 채택해야 한다. 정부 차원의 표준화와 인증 제도 도입, 그리고 기업 교육 강화가 시급히 요구된다.