반응형
컴퓨터에서 파일을 삭제한 후에도 복구가 가능한 이유와
복구가 이루어지는 원리, 사용되는 방법과 도구를
이해하기 쉽게 알아보겠습니다.
✅ 왜 삭제된 파일이 복구될 수 있을까?
📂 파일 삭제는 진짜 삭제가 아니다!
컴퓨터에서 ‘삭제’란 보통 “파일의 위치 정보(목차)”만 지우는 것을 의미합니다.
실제 파일 데이터는 여전히 저장장치에 남아 있습니다.
- 컴퓨터는 “이 공간을 이제 써도 된다”는 표시만 할 뿐, 파일 내용은 그대로 둡니다.
- 따라서 그 영역이 다른 파일로 덮어쓰기 되기 전까지는 복구가 가능합니다.
🔍 복구의 원리
복구는 크게 두 가지 방식으로 이루어집니다:
1. 파일 시스템 복구
운영체제가 사용하는 파일 시스템(FAT32, NTFS 등)은
각 파일이 어느 위치에 어떤 이름으로 저장됐는지를 기록합니다.
- 파일이 삭제되면 파일 이름 앞에 특수 기호를 붙이거나,
해당 영역을 ‘비어 있음’으로 표시할 뿐입니다. - 복구 프로그램은 이 ‘지워진 파일 목록’을 스캔하여 삭제된 파일의 흔적을 복원합니다.
📌 예:
NTFS에서는 삭제된 파일의 이름 앞에 ‘$’나 ‘?’ 같은 문자를 붙입니다.
이걸 통해 “삭제된 파일이다”라고 구분합니다.
2. 데이터 영역 직접 복구
목차 정보가 완전히 손상된 경우에도,
저장장치의 실제 데이터 영역(섹터)을 직접 스캔하여 파일 조각을 찾아냅니다.
- 이 방법은 특히 이미지, 문서, 동영상처럼 구조가 정해진 파일 형식에 효과적입니다.
- 예를 들어, JPG 파일은 항상 FF D8으로 시작하고 FF D9로 끝납니다.
→ 프로그램은 이런 특징을 기반으로 파일 조각을 찾아냅니다.
🛠️ 복구 방법 및 도구
복구는 전문 소프트웨어나 수동 작업을 통해 이루어집니다.
💻 일반적인 파일 복구 프로그램 (일반 사용자용)
| 프로그램명 | 특징 |
| Recuva (Windows) | 간단한 인터페이스, 빠른 복구 |
| PhotoRec | 거의 모든 OS 지원, 다양한 파일 형식 복원 가능 |
| EaseUS Data Recovery | 사용자 친화적, 유료/무료 버전 있음 |
| Disk Drill | Windows & macOS 지원, 복구 미리보기 가능 |
🧑🔬 전문가용 (포렌식 분석 포함)
| 도구명 | 용도 |
| FTK (Forensic Toolkit) | 포렌식 수사 전용, 법적 분석 기능 포함 |
| EnCase | 경찰·정부기관 사용, 고급 복구 및 분석 가능 |
| R-Studio | 손상된 디스크 복구에 강력 |
⚠️ 복구 시 주의사항
- 삭제 후 컴퓨터 사용을 중단해야 복구 가능성이 높아집니다.
- 삭제된 파일이 있던 드라이브에 복구 프로그램을 설치하지 마세요
→ 그 자체가 덮어쓰기 될 수 있습니다. - SSD에서는 TRIM 기능 때문에 복구가 어려운 경우가 많습니다.
🧠 예시로 이해하기
도서관에서 책을 대여하고 반납했다고 칩시다.
책은 책장에서 치운 게 아니라, “대여 중”이라고 표시만 해놓은 것입니다.
다른 사람이 그 자리에 새 책을 꽂기 전까지는,
그 책은 원래 자리에 그대로 있는 셈이죠.
복구는 “대여 중 표시된 책을 다시 찾아오는 것”과 같습니다.
📌 요약 정리
| 항목 | 설명 |
| 삭제의 실제 의미 | 파일의 데이터는 남아 있고, 목차만 삭제됨 |
| 복구 가능 조건 | 데이터 영역이 덮어쓰기 되지 않았을 때 |
| 복구 방식 | ① 파일 시스템 추적 ② 데이터 영역 직접 분석 |
| 주요 도구 | Recuva, PhotoRec, FTK, EnCase 등 |
| 복구 시 주의점 | 삭제 후 사용 최소화, SSD 복구는 어려움 |
반응형