소식
소식
'(사)4.16 세월호참사 가족협의회' 및 416활동과 관련된 최근 소식을 알려드립니다
제목세월호 DVR 데이터 조사 결과에 대한 검증 보고서2022-12-16 14:56
카테고리진상규명
작성자 Level 10
첨부파일세월호_DVR_데이터_조사_결과에_대한_검증_보고서_최종.pdf (97.5KB)

세월호 DVR 데이터 조사 결과에 대한 검증 보고서

 

2022. 8. 20. 김진수

 

1. 배경

2022. 3. 직나14-2 세월호 DVR 데이터 조사보고서(이하 조사보고서) 초안이 완성된 후 조사팀 내부 회의에서 조사보고서 검증의 필요성이 제기되었다. 이에 조사팀은 2022. 3. 부터 2022. 8. 까지 국립과학수사연구원 디지털과(이하 국과수)와 고려대 디지털포렌식연구센터(이하 고려대)를 검증 파트너로 하여 조사 결과에 대한 검증을 진행한 후 검증 결과를 요약하여 본 보고서를 작성하였다.

 

2. 경과

2022. 3. 24. 조사보고서 초안 작성

2022. 4. 4. 국과수에 조사보고서 검증 의뢰

2022. 4. 26. 국과수의 검증 결과 수신

2022. 4. 28. 고려대에 조사보고서 검증 의뢰

2022. 8. 2. 고려대의 검증 결과 수신

2022. 8. 20. 세월호 DVR 데이터 조사 결과에 대한 검증 보고서(이하 검증보고서) 작성

 

3. 국과수 검증

3.1 국과수 검증 항목

국과수에 최초 검증 의뢰 시(2022. 4. 4.) 조사팀은 조사 결과 전반을 포괄하는 11개 항목에 대해 검증을 의뢰하였으나 국과수는 이 중 세월호 특검 수사 과정에서 국과수가 직접 관여하였던 FBS(Fake Bad Sector) 관련 항목만을 검증하였다.

 

3.2 국과수 검증 결과

세월호 특검 수사 시 국과수는 FBS 관련하여 "PC-3000 프로그램에서 한 섹터씩 섹터의 내용을 수정할 수 있는 기능은 발견되나, 정상으로 읽은 섹터를 섹터맵 정보에 배드섹터로 등록할 수 있는 기능은 발견되지 않음. 또한 DATA‘map.bin' 파일은 PC-3000 프로그램의 데이터 추출 시 편집할 수 없는 것으로 추정되어, PC-3000 프로그램으로 추출하는 과정에서 본래 배드섹터가 아닌 섹터가 배드섹터로 편집, 조작되었을 가능성은 낮은 것으로 판단됨.“이라고 감정하였다.

이에 대하여 조사팀은 조사보고서에서 PC-3000을 이용하여 섹터 상태를 바꾸는 방법 및 데이터 추출과 섹터 상태 변경을 동시에 하는 방법을 제시하며 반박하였고, 국과수는 국과수 검증 보고서에서 이를 재확인하는 한편, 섹터 상태 변경 시 이미지 파일 상 섹터의 내용은 변경되지 않는 점, 섹터 상태 변경은 현재 추출 중인 파일에 대해서는 불가능한 점등을 추가로 특정하였다. 다만 국과수가 추가로 특정한 내용들은 조사 보고서의 FBS 관련 주장과 모순되지 않으므로 조사보고서에 대한 반박이라기 보다는 조사 보고서에 기술된 방식들에 대하여 상세 내용을 추가한 것으로 판단된다.

 

3.3 소결

국과수의 검증 결과는 PC-3000을 이용하여 섹터 상태를 변경할 수 있고 이를 데이터 추출과 병행할 수 있다는 것을 재확인하였으므로 FBS 관련하여 유의미하나 그 검증 범위가 지극히 제한적이므로 조사 결과에 대한 종합 검증 보고서로 채택하기에는 불충분하다.

 

4. 고려대 검증

4.1 고려대 검증 항목

고려대 검증 의뢰 항목 역시 최초 의뢰 시에는 국과수 검증 의뢰 항목과 동일하게 11개 항목이었으나 이후 고려대의 상황을 반영하여 5개 항목에 대하여 검증을 진행하기로 하였다. 최종 합의된 검증 의뢰 항목은 다음과 같다.

- 201404160834.idxtmp 파일의 이례성 검증

- DATA2 참사 시점 미복구 검증

- shadow sector 검증

- DATA4 fake garbage 검증

- DATA4 헤드맵 불일치 검증

 

4.2 고려대 검증 결과

4.2.1 201404160834.idxtmp 파일의 이례성 검증

조사보고서 세월호 DVR HDD의 아비카 복구 이미지 내 201404160834.idxtmp 파일의 이례적 내용에 관한 보고에는 201404160834.idxtmp 파일의 이례성과 관련하여 다음과 같이 기술되어 있다.

이상을 종합하면 아비카 복구 이미지 상의 201404160834.idxtmp 파일의 내용은 정상적인 DVR 동작의 결과물이 아니라고 판단되며, 오리지널 플래터와 아비카 복구 이미지가 불일치할 가능성도 적은 것으로 보인다. 따라서 201404160834.idxtmp 파일의 내용은 오리지널 플래터 상에서 조작되었을 가능성이 높다. 비록 현 시점에서 판단했을 때 201404160834.idxtmp에 별다른 정보가 없을 것으로 보이지만, 세월호 DVR의 구조와 이력에 대한 분석이 미진한 상황에서는 파일명만으로도 해당 파일에 참사의 마지막 순간과 관련된 정보가 있을 것으로 생각할 수 있으므로 201404160834.idxtmp 파일에 대한 조작의 동기가 없다고 할 수 없다. 다만 vdo 파일은 그대로 두고 idxtmp 파일만 조작하는 상황은 있을 수 없으므로 201404160834.vdo 파일의 미복구분에 대한 추가 복구 및 검증과 더불어 세월호 DVR 조작의 보조적인 증거로 활용해야 할 것이다.”

이에 대하여 고려대는 테스트 DVR을 이용한 실험을 통해 다음과 같이 결론하였다.

“201404160834.idxtmp에 저장된 데이터가 시스템이 갑자기 종료되었을 때 상황과 유사한지 검증하기 위하여, DVR System을 이용한 전원 차단 실험을 진행하였다. 전원 차단 실험은 DVR System에서 전기 공급이 차단된 상황과 유사하도록, 코드를 강제적으로 뽑는(Plug off) 방식과 DVR System의 전기 공급 버튼을 off로 변경하는 방식(Power Off Button)으로 실험하였다. 전원 차단 실험 결과, 201404160834.idxtmp와 유사한 데이터가 생성되었다.”

조사팀이 고려대의 검증 결과를 재확인하는 과정에서 조사팀의 실수가 확인되었다. 201404160834.idx 파일을 201404160834.idxtmp 파일로 착각하여 201404160834.idxtmp 파일의 내용이 이례적이라고 결론한 것이다. 따라서 201404160834.idxtmp 파일의 이례성은 착오로 인한 주장이므로 철회되어야 한다.

 

4.2.2 DATA참사 시점 미복구 검증

DATA참사 시점 미복구 관련하여 조사보고서에는 다음과 같이 기술되어 있다.

“2014. 8.HDD을 복구하던 전유형 등은 MFT 스캔 옵션을 사용하여 201404160832.vdo 파일을 식별하였고 그 데이터가 00이 아니라는 것도 확인하였으나 복구하지 않았거나 복구하였으되 이를 은폐하고 제출하지 않은 것으로 판단된다.”

고려대는 이를 검증하기 위해 PC-3000 작업 내역이 저장되는 DATATask.fdb 파일을 분석하여 2014. 8. HDD복구 시 시스템 볼륨인 C 볼륨에 대해서는 MFT 스캔 옵션이 적용된 반면 참사 시점 영상이 존재하는 F 볼륨에는 MFT 스캔 옵션이 사용되지 않은 것으로 결론하였고, 조사팀은 고려대의 분석 결과를 검토하여 다음과 같이 추가 질의 하였다.

고려대는 DATA의 파일들 중 작업 내역이 반영되는 Task.fdb 파일을 분석하여 명정보가 2014. 8. HDD복구 시 C 볼륨에 대하여는 MFT 스캔 옵션을 사용한 반면 참사 시점 영상들이 저장된 F 볼륨에 대하여는 MFT 스캔 옵션을 사용하지 않은 것으로 결론하셨습니다. 사참위 포렌식 팀은 Task.fdbF 볼륨에 대한 MFT 스캔 옵션 관련 흔적들이 존재하지 않는 것에는 동의하나 다음과 같은 증거들로 인하여 F 볼륨에 MFT 스캔 옵션이 사용되지 않았다는 결론에는 동의하기 어렵습니다.

2016. 전유형은 ‘ST2000DM001 분석 보고서2014. 8. HDD복구 시 201404160832.vdo 파일을 식별하였고 그 내용도 확인하였다라고 기술하였는데 HDD‘f:20140416' 인덱스 노드에는 상기 파일의 정보가 없고 F 볼륨의 MFT에만 존재하므로 MFT를 참조하지 않으면 상기 파일을 식별할 수 없는 점

DATAF 볼륨의 MFT201404160832.idx, 201404160832.idxtmp 201404160832.vdo 파일의 MFT 엔트리들이 존재하는데 이 엔트리들은 익스플로러 상 일반 ‘f:20140416' 폴더 조회 시에는 HDD으로부터 읽히지 않고 MFT 스캔 옵션을 사용하여 생성한 버츄얼 파티션의 'f:20140416' 폴더를 조회하여야 HDD으로부터 읽혀서 DATA에 존재하게 되는 점

Task.fdb와 상기 증거들은 F 볼륨에 MFT 스캔 옵션이 사용되었는지와 관련하여 상충하는 관계입니다. 이에 대한 고려대의 해석을 요청합니다.“

상기 추가 질의에 대한 답변에서 고려대는 201404160832.vdo 파일은 PC-3000의 폴더 탐색으로는 확인되지 않으나, 인덱스와 무관하게 MFT Entry를 모두 분석하는 Encase에서는 식별되는 점, Scan MFT 기능이 사용되었다면 해당 볼륨의 $MFT 파일 전체의 할당 상태가 ‘read successfully'로 변경되어야하나 DATAF볼륨 $MFT 파일의 할당 상태를 PC-3000Map 기능을 활용하여 확인한 결과, read successfully sectorunread sector가 혼합되어 분포된 점을 근거로 2014. 8. HDD복구 시 F 볼륨에 대하여 Scan MFT 기능이 사용되지 않은 것으로 최종 결론하였다.

그러나 MFT 스캔 옵션 사용 여부와 관련하여 고려대의 의견을 무비판적으로 수용할 경우 다음과 같은 모순이 발생한다.

모순 1) 2014. 8. HDD복구 시에는 PC-3000만 사용되었고 Encase2016. 특조위의 의뢰로 전유형이 DATA로부터 EWF 형식의 DATA을 생성한 뒤에야 사용되었다. 따라서 2014. 8.에는 Encase를 사용할 수 없었으므로 PC-3000MFT 스캔 옵션을 사용하지 않았다면 201404160832.vdo 파일을 식별할 수 없었다.

모순 2) DATAF 볼륨의 MFT에는 PC-3000 익스플로러에서 폴더를 조회하는 방식으로는 접근할 수 없는 다수의 MFT 엔트리들이 존재한다.

상기 모순을 해소하기 위해 DATAF 볼륨을 조사하던 중 조사팀은 다음과 같은 사실을 추가 확인하였다.

사실 1) 2014. 8. HDD복구 시 명정보는 F 볼륨 시작 지점으로부터 8GB 분량의 연속한 섹터들(섹터 2488356108 ~ 2504849488, 이하 F 볼륨 시작 영역)을 읽었다.

사실 2) F 볼륨 MFT는 총 15개 세그먼트로 구성되는데 이 중 MFT의 최초 40% 분량을 수용하는 첫 번째 세그먼트(섹터 2494647564 ~ 2494696683)F 볼륨 시작 영역에 속한다. 따라서 첫 번째 세그먼트에 속하는 MFT 엔트리들은 배드 섹터로 훼손된 경우를 제외하면 모두 빠짐없이 읽힌 반면 나머지 세그먼트에 속한 MFT 엔트리들은 폴더 인덱스를 통해 조회된 엔트리들만 읽혔다.

고려대의 분석 내용과 조사팀이 확인한 사실을 종합하면 다음과 같은 결론이 가능하다.

결론 1) 2014. 8. HDDF 볼륨 복구 시 명정보는 불상의 이유로 MFT 스캔 옵션을 사용하지 아니하여 PC-3000 익스플로러 상 조회되는 201404160831.vdo 파일까지만 복구하였다.

결론 2) 2014. 8. HDDF 볼륨 복구 시 명정보는 불상의 이유로 8GB 분량의 F 볼륨 시작 영역을 읽었다.

결론 3) 2016. 명정보는 DATA로부터 DATA을 생성한 후 이를 Encase로 조회하였다가 결론 2의 행위의 결과로 201404160832.vdo 파일이 식별되자 이 파일의 미복구를 변명하기위해 2014. 8. 복구 시 이 파일을 식별하였으나 파일이 훼손된 채였고 그 내용도 00이었다라고 보고서에 허위로 기재하였다.

상기 결론은 모순 12를 해소할 수 있는 해석이나 왜 명정보는 2014. 8. HDDC 볼륨에는 MFT 스캔 옵션을 적용한 반면 정작 중요한 F 볼륨에는 MFT 스캔 옵션을 사용하지 않았는가?’와 관련하여 여전히 의혹이 존재한다.

 

4.2.3 shadow sector 검증

Shadow sectorPC-3000 디스크 이미지 상 섹터로서, 그 상태가 ‘read successfully'이고, 그 위치가 삭제되지 않은 vdo 파일 영역이며, 그 내용이 모두 0인 섹터이다. 조사팀은 조사보고서에서 shadow sectorDATA또는 아비카 복구 이미지(이하 AVC_DATA) 상 존재하는 이유를 상태가 bad에 가까운 섹터들이 보이는 특이 현상이거나, 실제 오리지널 플래터에 0x00값으로 채워진 섹터가 저장되어 있는 경우 중 하나일 것으로 추정하였다.

고려대는 shadow sector 분석을 위해 DATAAVC_DATA상에서 다음 경우들을 탐색하였다.

경우 1) DATAAVC_DATA상에서 모두 shadow sector인 경우

경우 2) DATA상에서는 shadow sector인데 AVC_DATA상에서는 일반(데이터가 존재하는) read successfully 섹터인 경우

경우 3) DATA상에서는 일반(데이터가 존재하는) read successfully 섹터인데 AVC_DATA상에서는 shadow sector인 경우

탐색 결과 경우 3에 해당하는 섹터를 1개 발견하였고 고려대는 이를 오리지널 플래터 상 해당 부위에 데이터가 존재하나 PC-3000에서 읽어내지 못해 초래된 현상으로 해석하면서 이를 확대하여 shadow sector가 존재하는 일반적 원인으로 (오리지널 플래터 상 실제 zero sector가 저장된 것이라기 보다는) 섹터의 상태가 bad에 가까운 섹터들이 보이는 특이 현상이거나 다양한 요인에 의해 PC-3000에서 해당 섹터들을 온전히 읽어내지 못한 것으로 보았다.

조사팀은 shadow sector에 대한 고려대의 견해가 일부 shadow sector의 원인이 될 수 있다는 데는 동의하나 이를 근거로 오리지널 플래터 상 zero sector가 존재할 가능성을 배재할 수 있는지에 대해서는 회의적이다. 특히 아비카가 추가 복구한 부위와 DATA의 복구 부위가 거의 겹치지 않는 상황에서 단 1개의 섹터에서 관측된 현상을 확대 해석하는 것은 그 위험도가 높다는 의견이다.

 

4.2.4 DATAfake garbage 검증

Fake garbageDATAunread 영역에서 발견되는 가비지성 데이터로서 unread 영역에 데이터가 존재한다는 형식상의 모순과, 그 내용이 세월호 DVR이 정상 운용되었다는 전제하에서는 가비지로 존재할 수 없는 것들이라는 내용상의 모순으로 인하여 세월호 DVR 조사 초기부터 세월호 DVR 조작 관련 주요 증거로 주목받아왔다.

세월호 특검은 fake garbage가 존재하는 영역은 참사와 직접적 관련이 없어 읽지 않은 영역으로서 굳이 이 부위에 존재하던 데이터를 삭제·훼손할 동기가 없으므로 fake garbage는 조작의 산물이기 보다는 DATA를 저장했던 저장디스크의 오염으로 인한 현상이라고 보았다.

조사팀은 특검의 수사 결과를 검토한 뒤 fake garbage에는 이례적 내용 외에도 unread 영역과의 연관성과 이례적 종료 지점이라는 추가 특징들이 존재하는데 특검이 fake garbage의 원인으로 꼽은 하드디스크 오염 현상은 이러한 추가 특징들을 설명할 수 없어 fake garbage의 원인으로 불충분할 뿐만 아니라 하드디스크 오염 현상 자체가 조작의 산물일 가능성이 높다고 결론하였다.

고려대는 fake garbage 관련 조사팀의 주장을 검증하여 다음과 같은 사항을 추가로 밝혀냈다.

1) fake garbage의 종료 지점은 fake garbage가 포함된 PC-3000 이미지 파일의 끝 부분과 일치한다. (DATA의 각 이미지 파일은 500000섹터 단위로 구성됨)

2) 따라서 모든 fake garbage 영역은 소속 이미지 파일의 끝 부분에 존재한다.

3) PC-3000을 이용해 디스크를 부분 복구할 경우, 생성되는 이미지 파일의 끝 부분에 unread 영역이 오면 해당 부분은 초기화되지 않는다. 이 경우 해당 이미지 파일의 real size는 본래 이미지 파일의 크기이나 initialized sizereal size에서 파일 끝 부분 unread 영역의 크기를 뺀 값이다.

4) 이와 같이 초기화되지 않은 부분을 갖는 이미지 파일을 바이너리 에디터로 조회하면 초기화되지 않은 부분은 0으로 채워진 것으로 조회된다. 또한 이러한 이미지 파일을 복사하면 생성된 사본 이미지 파일의 해당 부위는 0으로 채워진다. , 윈도우즈 운영체제의 표준 파일 인터페이스를 통해 비초기화 부분을 갖는 파일에 접근하면 해당 부위는 0으로 채워진 것으로 해석된다.

5) PC-3000 이미지 파일을 담은 매체 디스크를 이미징 한 뒤 이 매체 디스크 이미지를 Encase를 이용해 조회하면 PC-3000 이미지 파일들의 비초기화 부분에 해당 파일이 생성되기 전 존재했던 가비지 데이터가 채워진 것을 확인할 수 있다. 이 상태에서 Encaseexport 기능을 이용해 매체 디스크 이미지에서 PC-3000 이미지 파일들을 추출하면 DATA와 같이 가비지로 채워진 PC-3000 이미지 파일들을 만들 수 있다.(DATA의 이미지 파일들은 모두 real sizeinitialized size가 일치함.)

 

, 고려대는 DATAPC-3000 이미지 파일들은 저장 디스크에 존재하던 원본 PC-3000 이미지 파일들의 적법한 사본이 아니라, 저장 디스크의 이미지로부터 Encase를 이용해 추출된 파일들이란 의견이다. 본 조사팀은 고려대의 해석이 이제까지 존재하던 어떤 해석보다 fake garbage 현상의 이례성들을 가장 포괄적이고도 정교하게 설명하고 있다고 평가하며 이에 동의하는 바이다.

 

4.2.5 DATA헤드맵 불일치

헤드맵이란 디스크의 각 섹터들이 어느 surface에 존재하는지 대응해놓은 정보로서 세월호 DVR HDD처럼 특정 surface가 심하게 손상된 경우 이를 제외하고 나머지 surface부터 복구하기 위해 주로 사용된다, 조사팀은 아비카 추가복구분 내 HDD의 헤드맵이 DATA의 헤드맵과 불일치할 뿐만 아니라 아비카의 헤드맵에 보다 많은 정보가 존재하고, 이를 참조하여 아비카가 참사 시점에 근접한 영상들을 복구해냈다는데 근거하여, 아비카 헤드맵을 올바른 것으로 판단하였고 반면 DATA헤드맵은 훼손된 것으로 판단하였다. 또한 이와 관련하여 DATA헤드맵이 의도적으로 훼손되었는지에 대해 고려대에 문의하였다.

고려대는 동일한 디스크를 PC-3000 5.6 버전과 PC-3000 6.0 버전으로 각각 이미징 하면서 생성된 헤드맵이 PC-3000 버전별로 달라질 수 있음을 실험으로 입증하였다. 조사팀이 고려대의 헤드맵 실험 관련하여 PC-3000 제조사인 ACE-LAB에 문의한 결과 다음과 같은 답변을 받았다.

 

ACE Lab developers carefully reviewed all of the information about Seagate ST1000DM003 Heads Map Building procedure you gave to us. And there is the reply of our developers(see below):

 

1) You should know that the Head Map doesn't affect the result of the recovery. The data is read and copied to the destination device regardless the Head Map is used or not. The heads map building should be used when HDD contains a damaged heads or platters which cause the BAD sectors reading for the correct data recovery task creration. In this case, the following steps should be performed:

 

first, reading the data from fully healthy heads/surfaces

then, reading the File System Meta Data from the problematic heads/surfaces

finally, reading the rest of the "bad sectors" filled with data from the problematic heads/surfaces

 

Such approach allows to speed up the recovery process and reduce the risk of permanent failure of a damaged drive. If you are not using the Heads Map, or if the Head Map wasn't built properly, it can just only significantly slow down the data recovery process and in some cases it can increase the chance of further degradation of a damaged drive. Anyway, the Heads Map will not affect the integrity or quality of the data recovery.

In case of a healthy drive copying, Heads Map Building is not required.

 

2) As for the difference in Heads Map Building results in 5.6x and 6.0x, we should keep in mind that PC-3000 technology is rapidly developed, and ACELab developers bring not only the new features but also some improvements into the existing algorithms. One of a improvements was a new, updated algorithm of Heads Map Building in Seagate Utility, which allows to increase the speed and optimize the sequence of the Heads Map building steps. Please note that previous version of the software didn't contain a bug in Heads Map Building algorithm - we just only improved and optimized that algorithm.

But as we already mentioned, Head Map does not affect the integrity or quality of the data recovery - it's just only a help to save your time during the recoery process and reduce the chance to damage faulty drive during the copying.

 

3) It's important to say that a correct Seagate Copying Process requires a complete disabling of the background Seagate Firmware processes. If you don't disable required checkboxes, the Seagate Drive may continue to perform the writing operations on the drive surface, which is absolutely unsafe for the drive with damaged heads or scratched platters.

On the screenshots(see below) you can see how to disable the Seagate HDD FW background processes in the latest PC-3000 software 7.1 version.

 

(ACE Lab 개발자들은 당신이 보낸 Seagate ST1000DM003 모델의 헤드맵 생성 절차에 관한 모든 정보들을 검토하였고 아래와 같이 답변하였다.

 

1) (헤드맵 불일치 문제와 관련하여) 당신은 헤드맵이 복구 결과에 영향주지 않는다는 것을 알아야한다. 헤드맵이 사용되든 말든 데이터는 (소스로부터) 읽혀서 대상 장비에 복사된다. 헤드맵 생성은 (복구하고자 하는) 디스크의 헤드나 플래터가 손상되어 BAD 섹터를 조회하게 되는 경우 올바른 데이터 복구 작업을 하기위해 사용하는 것이다. 이 같은 경우 다음과 같은 단계에 따라 작업이 (순차적으로) 행해져야 한다.

 

우선 온전한 헤드/surface의 데이터부터 읽을 것

다음으로 문제있는 헤드/surface 상의 파일시스템 메타 데이터를 읽을 것

마지막으로 문제있는 헤드/surface로부터 남아있는 데이터(배드 섹터를 포함한)를 읽을 것

 

이와 같은 방식을 따르면 복구 작업 속도를 향상시키고 손상된 디스크가 영구히 고장날 위험을 줄일 수 있다. 만약 헤드맵을 사용하지 않거나 헤드맵이 적절하게 생성되지 않은 경우에는 복구 작업 속도가 상당히 저하되거나 때로 손상된 디스크가 더욱 안 좋아질 수는 있어도 데이터 복구 작업의 무결성이나 품질에 영향을 주지는 않는다.

온전한 디스크를 복사하는 경우에는 헤드맵 생성은 불필요하다.

 

2) 5.6x 버전과 6.0x 버전의 헤드맵이 다르게 생성되는 것과 관련하여, 우리는 PC-3000 기술이 빠르게 진보하고 있고, ACELab 개발자들은 새로운 기능을 구현할 뿐만 아니라 기존 알고리즘들 또한 개선해나가고 있다는 것을 명심해야 한다. 이러한 개선 사항 중 하나로서, Seagate 모델의 헤드맵 생성 기능이 (5.6x 버전과 6.0x 버전 사이에) 개선되었는데 그 결과로 헤드맵 생성 단계들이 최적화되었고 작업 속도 또한 향상되었다. ! 이것이 개선 전 헤드맵 생성 알고리즘에 오류가 있음을 의미하는 것은 아니다. 이전 버전 소프트웨어에도 오류는 없었고 우리는 단지 이를 개선하고 최적화했을 뿐이다.

또한 앞서 언급하였듯이 헤드맵은 데이터 복구의 무결성이나 품질에는 영향을 주지 않는다. - 헤드맵은 단지 복구 과정에 소요되는 시간을 절감하고 데이터 복사 중 고장난 디스크가 손상될 가능성을 줄이는데 도움을 줄 뿐이다.

 

3) Seagate 모델을 올바르게 복사하려면 background로 동작하는 firmware process를 완전하게 끄는 것이 중요하다. 만약 (background firmware process를 끄는데) 필요한 checkbox들을 적절히 설정하지 않으면, Seagate 드라이브는 디스크 표면에 쓰려는 행위를 계속할 것이고, 이는 디스크의 헤드가 손상되었거나 플래터에 스크래치가 난 경우 절대적으로 위험하다.

아래 스크린샷에서 PC-3000 최신 버전인 7.1 버전 기준 Seagate 모델 HDDbackground firmware process를 끄는 방법을 확인할 수 있다.)

 

 

ACE-LABPC-3000 5.6 버전과 6.0 버전 간 헤드맵 정보가 불일치하는 이유로 PC-3000 6.0 버전에서 Seagate 모델용 헤드맵 생성 알고리즘이 개선된 것을 꼽으면서도 5.6 버전의 헤드맵 생성 기능에 오류가 있지는 않다는 입장이다.

결론적으로, DATA의 헤드맵과 HDD아비카 추가복구분의 헤드맵이 불일치하는 이유는 PC-3000 5.6 버전의 불완전한 헤드맵 생성 기능 때문인 것으로 판단된다.

 

4.3 소결

고려대와의 검증을 통해 조사팀은 조사보고서의 오류를 보정하고 세월호 DVR 데이터 관련 상당수 의혹들에 대해 대답할 수 있게 되었다. 특히 세월호 DVR 데이터 관련 대표적 의혹인 fake garbage에 대해 결론낼 수 있었던 점은 고려대 검증의 최대 성과로서, 조사팀은 이를 통해 세월호의 실체적 진실에 한걸음 더 접근할 수 있었다.

 

5. 결론

조사보고서 초안 작성 후 6개월여의 기간 동안 검증을 거치면서 기존 조사보고서의 해석들이 상당수 변경되었으므로, 변경된 사항들을 반영하여 세월호 DVR 데이터 조사의 결론을 갱신할 필요가 발생하였다. 이에 조사팀은 현 단계에서 가장 확고한 증거들만을 선별한 뒤 이에 근거하여 세월호 DVR 복구 당시 및 그 이후 벌어진 일들에 대해 다음과 같이 판단하였다.

 

5.1 gap11 영역의 스크래치

Gap11 영역은 섹터 번호 3103869568부터 3103964895까지의 영역으로서 세월호 참사의 마지막 12초간 영상이 저장된 곳이다. 2014. 8 세월호 DVR HDD복구 당시 공교롭게도 가장 중요한 gap11 영역에 깊은 스크래치가 가해져 복구가 중단되었고 이후 gap11 영역 복구는 불가능한 상황이다. 조사팀은 세월호 참사의 진실을 담고있는 gap11 영역에 가해진 스크래치가 우연의 산물이라고 판단할 수 없으며 이를 2014. 8. 세월호 DVR HDD복구 시 명정보가 행한 사보타주의 주요 증거로 보고 있다.

 

5.2 fake garbage

고려대의 검증에 의하면 DATAPC-3000 이미지 파일들은 저장 디스크에 존재하던 원본 PC-3000 이미지 파일들의 적법한 사본이 아니라, 저장 디스크의 이미지로부터 Encase를 이용해 추출된 파일들이다. 명정보가 저장 디스크를 이미징하고 encase를 이용하여 이로부터 다시 PC-3000 이미지 파일을 추출한 것은, 파일을 변경하면 여러 흔적이 남는 파일 시스템을 경유하지 않고 저장 디스크 이미지 상에서 PC-3000 이미지 파일들을 변경하고자 한 시도로 판단된다. 특히 명정보는 DATA에 존재하던 사보타주의 흔적을 지우고자 한 것으로 보이는데, 그 근거로 오리지널 플래터 상 gap11 영역에는 깊은 환형 스크래치가 있는 반면 DATAgap11 영역 및 그 주변부는 unread 상태인 점을 들 수 있다.

 

5.3 저장디스크 오염

저장 디스크를 살펴보면 파일의 중간에 다른 파일의 내용이 덮어 쓰인 현상, 이른바 하드 디스크 오염 현상이 빈번하게 관찰된다. 특검은 이 현상을 fake garbage 현상의 원인으로 지목하였으나 조사팀의 추가 조사에 의해 하드 디스크 오염 현상은 fake garbage 현상의 원인으로 불충분 할 뿐만 아니라 그 자체로 조작의 산물일 가능성이 높은 것으로 드러났다. 조사팀은 명정보가 DATA에서 사보타주의 흔적을 지우려다가 의도치 않게 fake garbage 현상을 초래하였고, 뒤늦게 이를 발견하여 fake garbage 현상을 설명하기 위한 조치로서 하드 디스크 오염 현상을 연출한 것으로 판단한다.

 ​ 

댓글

(자동등록방지 숫자를 입력해 주세요)

photo_2023-03-03_13-43-25

접속링크 ▶ http://416family.com/

자세한 주문 방법은 홈페이지 메뉴

4.16가족-알립니다- 첫번째 공지사항에 있습니다.