손상 발견되면 즉시 전기 끊어라
지난 시간에 모든 데이터는 파일 형태로 디스크에 저장 된다고 설명했다.오늘은 이러한 데이터가 손상되는 유형과 복구방법에 대해서 알아보도록 하겠다.
데이터가 손상되는 유형에는 크게 두 가지가 있다. 하나는 물리적인 손상이고 다른 하나는 논리적인 손상이다.
물리적 손상이란 데이터를 담고 있는 디스크 자체가 말 그대로 물리적으로 손상을 입은 경우. 즉 전기적 쇼트나 외부 충격이 가해져 디스크 자체가 손상된 경우를 말한다.
이러한 경우를 식별할 수 있는 방법은 처음 윈도 부팅시 하드웨어를 점검하는데 이때 하드디스크를 인식하지 못한다면 물리적 손상이라고 판단할 수 있다.
물리적으로 손상된 디스크의 데이터 복구는 일단 디스크 자체가 인식이 되지 않기 때문에 일반적인 방법으로는 복구를 할 수 없고 진공룸에서 디스크 자체를 오픈한 다음에 그 안에 실제로 데이터가 기록돼 있는 실린더를 분리 해당 실린더를 읽을 수 있는 장치에 다시 넣은 다음 데이터를 복구한다.
논리적 손상이란 물리적인 손상과는 달리 디스크 자체를 인식한다. 그러나 부팅이 되지 않거나 부팅이 되더라도 데이터를 담고 있는 드라이브나 폴더 파일이 보이지 않는 경우 등 물리적 손상 이외의 모든 경우를 논리적 손상이라고 한다.
부주의로 인해 파일폴더를 잘못 삭제했거나 데이터가 있는 드라이브를 포맷하는 경우 최근에는 악성 바이러스나 웜으로 인해 손상되는 경우도 빈번하다.
CIH 바이러스는 하드디스크의 부팅을 위한 정보 파티션 정보 및 부트섹터 정보와 파일 링크 정보들을 갖고 있는 중요 부분을 파괴하기 때문에 부팅도 되지 않고 데이터도 읽을 수 없는 상황이 된다.
이러한 논리적 손상이 발생했을 때 복구방법은 손상된 데이터 값을 원래의 것으로 바꾸는 방법과 실제 데이터만 살리는 방법이 있다.
전자는 주로 파티션 테이블값이나 도스 부트섹터가 손상되면 가능한 방법으로 사용자입장에선 갑자기 드라이브가 보이지 않는다. CIH바이러스에 의해서 손상된 경우에 쓰는 복구 방법으로 유일하게 기존 데이터가 겹쳐쓰기(오버라이트) 되어 복구가능한 경우다.
후자는 파일 및 폴더가 삭제된 경우나 포맷돼 복구하는 방법이다.
파일시스템은 파일을 디스크에 저장할 때 파일이 어느 위치에 저장 되어져 있다는 정보값을 갖는 필드와 실제로 그 파일의 데이터가 저장되어지는 지역이 구분돼 있는데 사용자 실수나 바이러스에 의해서 파일이 삭제된 경우에도 실제 데이터가 저장되어있는 곳은 그대로 존재한다.
이러한 경우에 실제 데이터가 있는 부분만 따로 읽어내는 복구방법이다. 논리적으로 손상된 디스크의 데이터 복구는 기본적으로 겹쳐쓰기가 되지 않았다면 복구가 된다는 것을 전제로 한다. 만약 오버라이트가 이미 된 경우엔 복구가 불가능하다.
파일이 삭제되거나 포맷된 경우에 데이터지역까지 모두 새로운 데이터로 오버라이트가 되어지는 것은 아니다.
그렇게 때문에 복구도 가능한 것이다. 그러나 파일이 삭제되거나 포맷되어진 다음에 사용자가 컴퓨터를 다시 사용하면서 새로운 파일을 생성한다거나 어떠한 작업을 실행하게 되면 데이터가 저장돼 있던 부분이 새 데이터로 겹쳐지기 때문에 복구할 수 없다.
그러므로 데이터가 손상된 경우 즉 파일이 지워지거나 포맷되어진 경우에 이라이프 독자들은 가장 먼저 해야 할 일은 컴퓨터를 더 이상 사용하지 않고 끄는 것이다. 전문가를 만나야 할때다.
〈데이터퍼즐 부사장>