플래시 메모리와 TRIM (with 디지털 포렌식)

"요즘 저장 매체들은 왜 포렌식이 힘들어요???" 라는 질문에 시원하게 대답하기 위한 개념 정리.

I. SSD

SSD

• NAND 플래시 메모리를 기반으로 한 저장매체.
• 플래시 메모리를 사용하기 때문에 셀(Cell) 이라는 기본 단위로 구성되어 있고 해당 셀에 비트를 저장한다.
• 쓰기(Write) 작업시 0, 지우기(Erase) 작업시 1로 채워지게 된다.

하드디스크에서 파일을 삭제하는 방식

• MFT 영역에서 파일의 위치를 가리키던 메타 데이터만 삭제를 하고 실제 데이터는 남겨두는 방식이었다.

만약 하드디스크 삭제 방식 그대로 SSD에서 사용하게 된다면??

• 해당 방식은 플래시 메모리를 사용하는 SSD에서는 문제가 발생하게 된다.
• 셀에는 수명이 존재하는데 하드디스크에서 사용되는 플래터에 비해 현저히 짧은 수명을 갖고 있다.
• 하드디스크처럼 메타 데이터만 삭제를 하고 실제 데이터를 남겨두게 되면 해당 셀에는 굳이 사용하지 않는 데이터를 계속 저장하느라 점차 수명이 줄어든다.
• 이를 해결하기 위해 TRIM이라는 개념을 도입하게 된다.

II. TRIM

• 운영체제에서 SSD의 사용 및 관리 방식을 최적화하기 위해 사용하는 명령
• 운영체제는 데이터 블록을 더 이상 사용하지 않는 다는 것을 TRIM을 통해 SSD에게 알려주면 가비지 컬렉션(Garbage Collection) 이라는 작업을 통해 데이터를 정리(지운) 후 재사용 가능하도록 빈 공간을 확보해주게 된다.
• 따라서 파일 복구 및 포렌식이 어려워진다.

III. 휴대전화 저장장치

현재 휴대전화에도 플래시 메모리가 사용되고 있다.

• 안드로이드 4.3 버전부터 TRIM 지원
• iOS 10.3 부터 APFS(iOS 파일시스템) 사용으로 TRIM 지원

따라서 SSD와 동일하게 휴대전화에서도 파일을 삭제할 경우 완전 삭제가 될 가능성이 높으며 파일 복구, 포렌식이 어렵다.