파일 슬랙(File Slack)

파일 슬랙(File Slack)은 파일 시스템에서 파일 크기가 할당된 클러스터보다 작을 경우, 사용되지 않은 빈 공간(Unused Space)을 의미합니다.
이 빈 공간에는 이전에 저장되었던 데이터가 남아 있을 수 있어 디지털 포렌식 및 보안 분석에서 중요한 요소로 간주됩니다.

---

파일 슬랙의 개념

 
일반적인 파일 시스템(NTFS, FAT 등)에서는 파일 저장 단위(Cluster 또는 Block)를 사용합니다.
파일 크기가 클러스터 크기보다 작으면 남은 공간(파일 슬랙)이 발생하게 됩니다.
예를 들어,

• 파일 시스템이 4KB(4096바이트) 단위로 저장하는 경우,
• 파일 크기가 3KB(3072바이트)라면,
• 1KB(1024바이트)의 공간이 남게 되며, 이 공간이 파일 슬랙(File Slack)이 됩니다.

파일 슬랙의 종류

RAM 슬랙 (RAM Slack)

• 클러스터의 마지막 섹터에서 파일 끝과 섹터 끝 사이의 빈 공간
• 파일을 저장할 때 메모리에서 무작위 데이터가 이 공간을 채울 수 있음
• 보안 위협 요인: 중요 데이터가 남아 있을 가능성이 있음

드라이브 슬랙 (Drive Slack)

• 파일이 끝난 이후부터 클러스터의 끝까지 남은 공간
• 이전에 사용된 데이터가 지워지지 않고 남아 있을 수 있음
• 포렌식 분석에서 삭제된 파일의 일부를 복구할 때 유용

파일 슬랙이 중요한 이유

 
1. 디지털 포렌식 (Digital Forensics)

• 파일 슬랙에 이전에 저장된 데이터가 남아 있어 삭제된 데이터 복구 가능
• 범죄 수사 시 숨겨진 정보(예: 문서, 이미지, 비밀번호)를 찾아낼 수 있음

2. 보안 위험 요소

• 민감한 데이터(비밀번호, 사용자 정보 등)가 파일 슬랙에 남아 있을 수 있음
• 공격자는 파일 슬랙을 활용하여 은닉 채널(Covert Channel)을 만들고 데이터 유출을 시도할 수 있음

3. 스토리지 활용 문제

• 파일 슬랙이 많아지면 저장 공간 낭비가 발생
• 작은 크기의 파일이 많이 저장되면 총 디스크 사용량 대비 실제 활용률이 낮아지는 문제 발생

파일 슬랙을 관리하는 방법

1. 보안 강화를 위한 파일 슬랙 삭제

• 디스크 와이핑 도구 사용 (예: SDelete, Eraser, CCleaner)
• 보안 삭제(Overwrite) 알고리즘 적용 (DoD 5220.22-M, Gutmann Method 등)
• 파일 시스템 암호화 적용 (BitLocker, VeraCrypt)

2. 포렌식 분석을 통한 데이터 복구

• 포렌식 도구 활용 (Autopsy, FTK Imager, EnCase 등)
• 디스크 이미징 기술을 사용하여 파일 슬랙 영역을 분석

3. 파일 시스템 최적화

• 클러스터 크기를 조정하여 파일 슬랙 최소화
• 주기적인 디스크 정리 및 최적화 수행