📌 삭제해도 복구되는 디지털 포렌식의 실제 구조-허은석변호사

허은석 변호사

— 스마트폰 속 ‘보이지 않는 데이터’가 사건을 바꾼다

카메라 등 이용 촬영 사건이나 디지털 성범죄 사건을 상담하다 보면,
대부분의 피의자들이 이렇게 이야기합니다.

“삭제했는데 왜 복구가 되는 거죠?”
“초기화했으면 다 지워진 거 아닌가요?”

결론부터 말하면, 스마트폰·클라우드·SNS에서 ‘완전한 삭제’는 거의 불가능합니다.
현대 디지털 기기는 사용자의 편의성과 데이터 보관을 최우선으로 설계되어 있어,
삭제한 파일이 일정 기간 또는 특정 흔적 형태로 남을 수밖에 없는 구조입니다.

이 글에서는 실제 포렌식 절차와 기술 원리를 바탕으로 삭제된 데이터가 어떻게 ‘되살아나는지’를 쉽게 설명드리겠습니다.

1. “삭제 = 사라짐”이 아니라 “삭제 = 보이지 않게 표시”

파일 삭제는 실제로는 저장 공간을 비워두겠다는 표시만 바꾸는 행위입니다.
즉, 파일의 ‘주소표’를 떼는 것이지, 데이터 자체를 즉시 파괴하는 것이 아닙니다.

간단히 말해, 새로운 데이터가 그 자리 위에 덮여쓰기 전까지는 흔적이 남아있는 구조입니다.

많은 분들이 놓치는 부분이 바로 클라우드 자동 동기화입니다.

이런 서비스들은 사용자가 촬영 버튼을 누르는 순간, 동시에 여러 경로로 데이터를 백업·동기화합니다.

따라서 휴대전화에서 삭제해도 클라우드에 남아 있는 경우가 많고, 수사기관은 압수·수색 영장을 통해 서버 기록까지 확인할 수 있습니다.

카카오톡·텔레그램·인스타그램 같은 앱은
“빠른 화면 로딩”을 위해 데이터를 캐시(cache) 형태로 저장합니다.

이런 캐시 파일은 사용자는 볼 수 없지만, 포렌식 장비는 ‘남은 흔적’을 통해 파일의 존재를 파악할 수 있습니다.

카메라 촬영 사건에서는 삭제된 사진·동영상의 썸네일만 남아 있어도 ‘촬영물 존재 의심’의 단서로 사용됩니다.

스마트폰 내부에는 영구삭제가 어렵도록 설계된 여러 계층이 있습니다.

특히 iOS는 스냅샷(snapshot) 구조, 안드로이드는 F2FS·EXT4 파일시스템의 여유 블록 구조 때문에
삭제된 기록의 조각이 상당 기간 남아 있습니다.

이 때문에 “초기화했다 → 복구 끝” 이라고 생각하는 분들이 많지만, 실제로는 초기화 이후에도 일부 흔적이 존속할 수 있습니다.

대중은 포렌식이 ‘삭제된 원본 파일을 그대로 복구하는 기술’이라고 오해합니다.
하지만 실제 포렌식은 남아있는 조각들을 조합하여 파일의 존재와 패턴을 증명하는 기술에 가깝습니다.

예를 들어,

이런 요소가 퍼즐처럼 연결되면 “이 시간대에 촬영행위가 있었다”는 사실을 입증할 수 있습니다.

따라서 원본 파일이 복구되지 않아도 촬영 사실을 추정할 수 있는 근거로 활용됩니다.

수사기관이 삭제·초기화에 민감한 이유는 단순합니다.

특히 카메라 촬영 사건에서는
“촬영 직후 삭제”는 수사기관이 가장 민감하게 보는 정황입니다.

따라서 혐의를 알게 된 직후에는 휴대전화 조작을 최소화하고, 변호사와 먼저 상담하는 것이 최선입니다.

포렌식은 단순 참고자료가 아니라, 최근 판례에서는 유죄·무죄 판단의 결정적 요소가 되고 있습니다.

포렌식 자료는 매우 기술적이기 때문에, 피의자 진술과의 ‘논리적 일관성’을 유지하는 것이 무엇보다 중요합니다.

디지털 포렌식은 삭제된 파일을 마법처럼 되살리는 기술이 아니라,
사용자가 미처 인식하지 못한 디지털 흔적들을 분석하는 기술입니다.

이 때문에 “삭제했으니 안 나오겠지”라는 판단은 큰 위험을 초래할 수 있습니다.

카메라 촬영 사건이나 디지털 성범죄 사건에서 포렌식 자료는 수사·재판 전체의 방향을 결정합니다.

혐의 통보를 받았다면, 휴대전화 조작을 자제하고 초기 단계에서 전문가 상담을 받는 것이 무엇보다 중요합니다.

법률사무소 한강

허은석 변호사가 작성한 다른 포스트