휴지통을 왜 다시 열어보나요? 삭제 기록 확인이 가능한 걸까요?
컴퓨터를 쓰다 보면 중요한 파일이 휴지통으로 가거나 사라지는 경우가 있죠. 평소라면 그냥 휴지통 열어서 복원하곤 하지만, 누가 언제 파일을 지웠는지 궁금할 때가 있습니다. 그런 기록도 확인할 수 있을까요?
결론부터 말씀드리자면, 윈도우 휴지통 삭제 기록 확인은 가능한데요. 보통 휴지통 폴더에는 단순히 지운 파일만 있지 않나요? 실제로는 그 안에 특수한 파일 구조가 숨어있어서 삭제 시각, 원본 파일 위치, 사용자 정보까지 확인할 수 있습니다. 조금만 들여다보면 누가 언제 어떤 파일을 지웠는지 추적이 가능하답니다.
휴지통 파일, 그냥 쓰레기통이 아닌 이유가 뭘까요?
휴지통은 C드라이브의 C:$Recycle.Bin 폴더 안에, 사용자별 SID 폴더로 나뉘어 저장됩니다. SID는 ‘보안 식별자’로, 각 사용자를 특정하기 위한 고유 번호에요. 명령 프롬프트에서 wmic UserAccount Where LocalAccount=True Get SID 입력하면 내 컴퓨터의 모든 SID를 확인할 수 있습니다.
파일을 삭제하면, 원본 파일을 담은 $R 파일과 메타 정보를 담은 $I 파일이 만들어집니다. 이 $I 파일을 분석하면 삭제 시간, 원래 경로, 크기까지 알 수 있어서 삭제 기록 확인의 핵심입니다. 혼자 손으로 해석하기는 어렵지만, FTK Imager나 RBcmd 같은 무료 도구를 이용하면 쉽게 CSV 형식으로 뽑아낼 수 있어 편리합니다.
휴지통 내부 구조 이렇게 생겼나요?
| 파일명 | 역할 | 확인할 수 있는 정보 |
|---|---|---|
| $R 파일 | 삭제된 원본 파일 저장 | 파일 내용 |
| $I 파일 | 삭제 정보 기록 | 삭제 시각, 원본 경로, 파일 크기 |
윈도우 로그, 삭제 기록도 볼 수 있나요?
윈도우 로그 조회는 삭제 기록 추적에 아주 유용합니다. 윈도우 검색창에 ‘eventvwr’을 입력해 이벤트 뷰어를 열고, Windows 로그 > 시스템 항목으로 들어가세요. 여기서 로그 필터링 기능을 사용해 삭제 관련 이벤트 ID(예: 4663 – 파일 접근 기록)를 추적할 수 있습니다.
하지만 휴지통 삭제 기록은 완전 삭제(Shift+Del) 기록과 달리 이벤트 로그에서 명확히 나타나지 않는 경우가 많아 직접적 도구로 확인하는 게 더 정확합니다. 그렇다고 이벤트 뷰어가 쓸모 없는 건 아니고, 사용자 세션 정보와 시간대를 비교하는 데 도움을 줘서 누가 지웠는지 추정하는 데 활용할 수 있습니다.
삭제 기록 추적 방법 요약
| 항목 | 위치 | 알 수 있는 정보 |
|---|---|---|
| 사용자 SID | 명령 프롬프트 wmic 혹은 레지스트리 | 삭제한 사용자 신원 파악 |
| $I 파일 | C:$Recycle.Bin{SID} | 삭제 시각, 원본 파일의 경로 |
| 이벤트 뷰어 | Windows 로그 > 시스템 | 삭제 시간, 사용자 세션 정보 |
만약 휴지통을 비웠다면 파일 흔적 찾는 법은?
휴지통 비우기 후에는 $I 파일까지 사라지니 삭제 기록도 사라진 셈입니다. 그래도 포기할 필요는 없습니다. 윈도우의 파일 히스토리나 이전 버전 기능을 통해 백업이 남아 있는지 확인하세요. 탐색기에서 삭제된 파일명을 찾아 우클릭 > 속성 > 이전 버전 탭에서 볼 수 있습니다.
또한, Recuva 같은 복구 프로그램을 이용해 삭제 흔적을 찾아낼 수 있습니다. 단, 무엇보다 중요한 것은 삭제 직후부터 컴퓨터 사용을 최소화하는 겁니다. 새로운 데이터가 덮어쓰면 복구 확률이 현저히 떨어지니까요.
추가 팁: 완전 삭제된 파일 기록은 어떻게 확인할 수 있을까요?
Shift+Del으로 바로 삭제하면 휴지통에 기록이 남지 않습니다. 이런 완전 삭제 상황에서는 이벤트 로그와 복구 프로그램을 주로 활용합니다. 여러 파티션을 가진 컴퓨터라면 C뿐 아니라 D, E드라이브 등 각 파티션별 $Recycle.Bin 폴더도 확인해야 빠트리지 않습니다.
이외에도 레지스트리를 열어 사용자 SID와 이름을 매칭하는 방법도 있습니다. ‘regedit’에서 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList 경로로 이동해 각 키 아래 있는 ProfileImagePath를 확인하세요. 그래야 누가 파일을 삭제했는지 정확히 알 수 있습니다.
휴지통 삭제 기록 확인 자주 묻는 질문
휴지통에서 삭제 시간만 확인할 수 있나요?
네, 하지만 $I 파일이 더 자세한 기록을 담고 있어요.
누가 파일을 삭제했는지 어떻게 알 수 있나요?
사용자별 SID를 확인해 매칭하면 됩니다.
휴지통 비운 후에도 기록을 볼 수 있나요?
어려우나 이벤트 뷰어나 복구 프로그램 활용하세요.
정리하자면, 휴지통 삭제 기록 확인은 $I 파일 구조와 윈도우 이벤트 뷰어 로그 조회가 핵심입니다. SID로 사용자 구분해 누가 언제 삭제했는지 파악 가능하고, 필요하다면 무료 도구로 쉽게 분석할 수 있죠. 실수로 지운 파일 복원부터 사용자 추적까지 다양하게 적용할 수 있어요. 이렇게만 익혀 두면 컴퓨터를 쓸 때 훨씬 침착하게 대처할 수 있습니다.