최근 박근혜 대통령의 비선실세 최순실 씨가 각종 국정에 개입했다는 ‘최순실 게이트’로 대한민국이 떠들썩하다. 지난 10월 24일 JTBC가 최초로 공개한 최 씨의 태블릿 PC는 박 대통령이 취임한 2013년 신년사부터 대북원칙이 담긴 2014년 독일 드레스덴 공대 연설문 등 외교 및 안보에 중요한 자료가 담겨있어 이번 게이트의 결정적 증거가 됐다.
JTBC의 보도 하루 뒤, 검찰은 최 씨의 것으로 추정되는 태블릿 PC를 확보해 삭제된 파일들을 분석했다. 태블릿 PC의 실사용자가 최 씨가 맞는지, 공개된 문건이 정말 최 씨에 의해 수정된 것이 맞는지 진위 여부를 밝히기 위해서다. 중차대한 사건인 만큼 추가 증거 확보에 이목이 집중된 상황에서, 10월 28일 검찰은 “복구할 만한 것은 다 복구했는데, 수사에 참고할 만한 유의미한 파일은 별로 없었다”고 밝혔다.
초기화시켰다면 주요문서 복구 가능성 높아
정말 유의미한 파일이 없었을까. 이를 알기 위해서는 검찰이 복구할 수 있는 자료가 무엇이었는지 알아야 한다. JTBC는 입수한 태블릿 PC가 삼성전자에서 2012년 초에 제조한 모델이라고 밝혔다. 2012년에 삼성전자가 출시한 태블릿 PC 모델의 90% 이상은 안드로이드 기반의 PC였으며, 윈도우 기반의 PC도 있었다. 운영체제로 PC를 구분한 이유는 운영체제에 따라 데이터를 삭제하거나 초기화하는 방식이 다르기 때문이다. 우선 안드로이드 기반의 태블릿 PC부터 알아보자. 데이터 복구 전문기업 명정보기술에서 갤럭시 PC 복구를 전담하는 윤영종 엔지니어는 “버전에 따라 차이는 있지만, 안드로이드 기기를 초기화시켰다면 99% 복구가 불가능하다”며 “높은 버전의 안드로이드는 초기화를 시키면 저장된 파일의 헥사코드를 모두 0으로 덮어쓰기 때문”이라고 말했다.

헥사코드란 컴퓨터가 0과 1만을 이용해 저장한 정보를 사용자가 좀 더 알아보기 쉽도록 16진법으로 표현한 값이다. 우리가 저장하는 모든 파일의 정보는 모두 이 헥사코드로 저장된다. 이 정보가 얼마나 남아있느냐에 따라 복구 가능 여부가 결정된다. 이 코드가 모두 0으로 변해 있으면, 이전의 정보는 절대 살릴 수 없다. 윤 엔지니어는 “단, 갤럭시 S2와 같은 안드로이드 초기 모델은 예외”라고 말했다. 그가 말한 건 안드로이드 버전 4.0 미만인 모델이다. 안드로이드 버전 4.0 모델이 출시된 건 2011년 말로 본격적으로 기기에 적용된 건 2012년부터다.
안드로이드 4.0 버전을 기준으로 파일시스템에 변화가 생겼다. 보통 파일시스템은 정상적인 기기 구동에 필요한 저장공간(파티션)과 어플리케이션 정보가 저장되는 데이터 파티션, 그리고 사용자가 작성하는 파일의 정보가 들어가는 유저 파티션으로 이뤄져있다. 현재 생산되는 안드로이드 태블릿 PC는 데이터 파티션과 유저 파티션이 하나로 합쳐져 있다. 초기화를 시키면 합쳐진 파티션의 정보가 모두 삭제되면서 사용자가 작성한 파일의 정보가 전혀 남지 않는다. 복구가 불가능하다.
하지만 안드로이드 4.0 이전 버전들은 파일시스템이 다르다. 데이터 파티션과 유저 파티션이 분리돼 있어 초기화를 하면 데이터 파티션의 정보만 지워진다. 유저 파티션의 데이터는 복구가 가능하다. 윤 엔지니어는 “문자나 전화번호부는 데이터 파티션에 저장되는 정보이기 때문에 복구가 불가능하지만, 사용자가 찍은 사진, 영상, 작성한 문서 등 유저 파티션에 저장되는 정보는 복구할 수 있다”고 말했다. 공교롭게도 최 씨의 태블릿 PC로 가장 많이 언급되는 모델은 삼성 ‘갤럭시 탭 8.9’ 모델이다. 안드로이드 3.2 버전으로 출시된 모델로, 업그레이드를 하지 않았다면 초기화를 한 상태로 발견됐다고 해도 이전에 작성했던 모든 문서를 살릴 수 있다는 의미다.


단순 삭제는 대화 기록 복구가 핵심
만약 초기화를 시키지 않았다면 어떨까. JTBC가 이미 200여 개의 파일을 가지고 있었던 점, 검찰에서 ‘지워진’ 파일을 복구하겠다고 말한 점 등을 보아 초기화를 시키지 않았을 가능성도 높다.
지워진 파일을 복구하는 데에는 2012년 이전 모델이든 이후 모델이든 차이가 없다. 파일이 저장될 때는 두 개의 정보가 헥사코드의 형태로 저장된다. 사용자가 작성한 내용, 수정한 날짜 등의 핵심 정보와, 이 정보가 저장된 위치를 가리키는 링크 정보다. 핵심 정보는 섹터(512 바이트) 단위로 저장되는데, 섹터마다 저장된 위치가 다르다. 즉, 정보는 흩어져서 저장된다. 위치 정보는 이렇게 흩어진 핵심정보를 온전히 찾아 읽기 위해 필요하다. 파일을 지우면 핵심 정보가 사라지는 게 아니라 이 링크 정보가 삭제돼 파일을 찾지 못하게 된다.
하지만 이 경우엔 정보를 살릴 수 있는 방법이 있다. 각 파일은 확장자에 따라 또 구조체에 따라 특정한 값을 갖는다. 예컨대 확장자로 ‘jpg’를 갖는 파일은 맨 앞에 ‘FFD8’, 맨 뒤에 ‘FFD9’이라는 값을 갖는다. 각각을 헤더 시그니처, 풋터(footer) 시그니처라 한다. 이외에도 중간 중간에 파일의 특성을 의미하는 시그니처가 분포해 있다. 전문가들은 이 시그니처를 찾아 링크 정보 없이 파일을 복구한다. ‘데이터 카빙’ 기법이다.
문제는 시간이 지나면 새로운 정보가 핵심 정보가 있는 자리에 덮어씌워진다는 점이다. 운영체제에서 자체적으로 이 값들을 쓰레기 값으로 바꾸기도 한다. 쓰레기 값이란 아무런 의미가 없는 값을 의미한다. 이 상황에서는 사용자가 작성한 파일은 복구할 수 없다.
최 씨의 태블릿 PC는 쓰지 않은 지 2년 정도 지났다. 윤 엔지니어는 “문서 파일 복구는 어렵더라도, 문자나 전화번호부, 카카오톡의 내용은 복구할 수 있을 것”이라고 말했다. 데이터 파티션에 저장되는 이 정보들은 데이터베이스에 따로 기록이 남기 때문이다.

윈도우 태블릿 PC는 쉽지 않다
2012년에 삼성에서 출시한 태블릿 PC 중엔 윈도우 기반인 ‘슬레이트 PC 시리즈’도 있다. 삼성이 생산한 최초의 윈도우 기반 태블릿 PC다(이제와 돌이켜 보건대, 2012년은 여러모로 인상 깊은(?) 해였다). 윈도우를 기반으로 하는 태블릿 PC는 어떨까.
윈도우의 경우에도 출시 연도가 중요하다. 윈도우 7을 기준으로 파일 삭제에 새로운 기능이 추가됐기 때문이다. 윈도우 7이 출시된 건 2009년. 슬레이트 시리즈 역시 운영체제로 윈도우 7을 사용한다. 여기서 주목해야 할 기능은 윈도우 7부터 적용된 ‘오토 트림(auto trim)’ 기능이다. 트림은 운영체제가 작업을 수행하고 있지 않을 때, 기존에 삭제했던 데이터를 영구히 지워 저장 공간을 확보하는 작업이다. 정보 저장 장치로 하드디스크가 아닌 SSD(Solid State Drive)를 사용하는 PC나 태블릿 PC에 필요한 기능으로, 데이터의 모든 기록을 그때그때 삭제함으로써 정보 처리 속도를 높인다. 슬레이트 PC 역시 64GB, 128GB 두 가지 버전의 SSD 메모리로 출시됐다.
윈도우 7의 이전 버전인 윈도우 XP나 윈도우 비스타를 사용하는 태블릿 PC는 트림 기능을 수동으로 설정해야 했다. 이 기능을 제대로 활용하는 사용자는 드물었다는 의미다.
오토 트림은 무조건 이 기능을 수행하도록 설정한다. 장수철 명정보기술 데이터복구사업부 차장은 “최 씨의 태블릿 PC가 윈도우 기반의 PC였다면 검찰이 삭제한 파일을 복구하기는 힘들었을 것”이라고 말했다.
