Malware refers to any kind of malicious codes, objects or content that infiltrates your computer, resulting in damage and causing your system to act in an undesirable manner. Commonly, these include viruses, spyware, worms, trojan horses, spams and many more. When you're infected, you can lose your privacy, confidential data and access to your system when software and hardware are damaged. Fortunately, there're a couple of preventive measures you can take to protect yourself from malware.
Firstly, you absolutely require a working Anti-Virus scan running in your computer. This is the only one thing that you should never compromise if you frequent the Internet. Running a system without an Anti-Virus scan is practically risking your computer to 90% of all kinds of software attacks. In some cases, your hardware can fail due to a virus attack. Remember the CIH virus that attacks the computer flash BIOS that resulted in tremendous business damage during 2001?
Also, having a virus scan residing in your computer is as good as zilch if you do not take time to update the scan engine and virus pattern files. Every week, virus signature files are released for download to equip you with the latest protection. See more on how to remove virus and spyware.
Next, the choice of websites you visit plays a major factor. Certain websites contain malicious active content such as Javascript and VBscript that automatically infects your computer when they are downloaded into your computer without your knowledge and consent. (That's why they're known as spywares) If you have experienced new icons appearing in your system tray or desktop, this may be a sign that your computer has been infected.
Thankfully, those malicious active content usually lurks in pornographic and hacking websites. So if you can refrain from them, you generally safe. Nevertheless, if it is absolutely necessary to visit these sites, always disable ActiveX content running in your Internet options.
Lastly, avoid downloading, executing software or mail attachment that you are uncertain.As a rule of thumb, do not even consider opening an attachment unless the file is from someone you know and the message makes meaningful references to the file.
Okay, say you have accidentally downloaded an executable file into your computer and you are pondering if you should run it because a reliable colleague has sent it to you. But you notice that the file has a weird file name such as meetingsxpzss.jpg.exe. But you are told that it is crucial that you read it now.
One thing you can do at this point in time is to scan the file for any virus infection before you attempt to open it. If the scan shows nothing, it's probably a safe file. But then again, it may be a new virus yet to be updated in your virus scan. You can either wait and apply the next virus signature update and perform a second scan or risk it all, cross your fingers and open the file.
If you ever decide to do this, you can take an extra step to protect your organization by disconnecting from your network during the process. If you suspect you have been infected, try to remove the spyware or virus immediately before they propagate to harm your entire system or network.
HFS Plus or HFS+ is a file system developed by Apple Inc. to replace their Hierarchical File System (HFS) as the primary file system used in Macintosh computers (or other systems running Mac OS). It is also one of the formats used by the iPod digital music player. HFS Plus is also referred to as Mac OS Extended (or, erroneously, “HFS Extended”), where its predecessor, HFS, is also referred to as Mac OS Standard (or, erroneously, as “HFS Standard”). During development, Apple referred to this filesystem with the codename Sequoia.[3]
HFS Plus is an improved version of HFS, supporting much larger files (block addresses are 32-bit length instead of 16-bit) and using Unicode (instead of Mac OS Roman or any of several other character sets) for naming the items (files, folders) – names which are also character encoded in UTF-16[verification needed] and normalized to a form very nearly the same as Unicode Normalization Form D (NFD)[4] (which means that precomposed characters like are decomposed in the HFS+ filename and therefore count as two characters[5] and UTF-16 implies that characters from outside the Basic Multilingual Plane — often seldom used and characters from ancient writing systems — also count as two characters in an HFS+ filename). HFS Plus permits filenames up to 255 UTF-16 characters in length, and n-forked files similar to NTFS, though until recently, almost no software takes advantage of forks other than the data fork and resource fork. HFS Plus also uses a full 32-bit allocation mapping table, rather than HFS’s 16 bits. This was a serious limitation of HFS, meaning that no disk could support more than 65,536 allocation blocks under HFS. When disks were small, this was of little consequence, but as larger-capacity drives became available, it meant that the smallest amount of space that any file could occupy (a single allocation block) became excessively large, wasting significant amounts of space. For example, on a 1 GB disk, the allocation block size under HFS is 16 KB, so even a 1 byte file would take up 16 KB of disk space. Unlike most other file systems HFS Plus supports hard links to directories.
Like HFS, HFS Plus uses B-trees to store most volume metadata.
HFS+ was introduced with the January 19, 1998 release of Mac OS 8.1.[1] However its first appearance, as a beta filesystem, was in the never-released Copland OS betas.
With the release of the 10.2.2 update on November 11, 2002, Apple added optional journaling features to HFS Plus for improved data reliability. These features were easily accessible in Mac OS X Server, but only accessible through the command line in the standard desktop client.[6] With Mac OS X v10.3, all HFS Plus volumes on all Macs are set to be journaled by default. Within the system, an HFS Plus volume with a journal is identified as HFSJ.
10.3 also introduced another version of HFS Plus called HFSX. HFSX volumes are almost identical to HFS Plus volumes, except that they are never surrounded by the HFS Wrapper that is typical of HFS Plus volumes and they optionally support case sensitivity for file and folder names. HFSX volumes can be recognized by two entries in the Volume Header, a value of HX in the signature field and 5 in the version field.[1]
Additionally, Mac OS X 10.3 marked Apple's adoption of Unicode 3.2 decomposition, superseding the Unicode 2.1 decomposition used previously. This change has caused problems for developers writing software for Mac OS X.[7]
With 10.4, Apple added support for Inline Attribute Data records, something that had been a part of the Mac OS X implementation of HFS Plus since at least 10.0, but always marked as "reserved for future use".[8] Until the release of Mac OS X Server 10.4, HFS Plus supported only the standard UNIX file system permissions, however 10.4 introduced support for access control list-based file security, which provides a richer mechanism to define file permissions and is also designed to be fully compatible with the file permission models on other platforms such as MicrosoftWindows XP and Windows Server 2003.[9]
Design
HFS Plus volumes are divided into sectors (called logical blocks in HFS), that are usually 512 bytes in size. These sectors are then grouped together into allocation blocks which can contain one or more sectors; the number of allocation blocks depends on the total size of the volume. HFS Plus uses a larger value to address allocation blocks than HFS, 32 bits rather than 16 bits; this means it can access 4,294,967,296 (= 232) allocation blocks rather than the 65,536 (= 216) allocation blocks available to HFS.[1]
Formerly, HFS Plus volumes were embedded inside an HFS standard filesystem. This was phased out by the Tiger transition to Intel Macs, where the HFS Plus filesystem was not embedded inside a wrapper. The wrapper was designed for two purposes; it allowed Macintosh computers without HFS Plus support in their ROM to boot HFS Plus volumes and it also was designed to help users transition to HFS Plus by including a minimal HFS volume with a read-only file called Where_have_all_my_files_gone?, explaining to users with versions of Mac OS 8.0 and earlier without HFS Plus, that the volume requires a system with HFS Plus support. The original HFS volume contains a signature and an offset to the embedded HFS Plus volume within its volume header. All allocation blocks in the HFS volume which contain the embedded volume are mapped out of the HFS allocation file as bad blocks.[1]
There are nine structures that make up a typical HFS Plus volume:[1]
Sectors 0 and 1 of the volume are HFS boot blocks. These are identical to the boot blocks in an HFS volume. They are part of the HFS wrapper.
Sector 2 contains the Volume Header equivalent to the Master Directory Block in an HFS volume. The Volume Header stores a wide variety of data about the volume itself, for example the size of allocation blocks, a timestamp that indicates when the volume was created or the location of other volume structures such as the Catalog File or Extent Overflow File. The Volume Header is always located in the same place.
The Allocation File which keeps track of which allocation blocks are free and which are in use. It is similar to the Volume Bitmap in HFS, in which each allocation block is represented by one bit. A zero means the block is free and a one means the block is in use. The main difference with the HFS Volume Bitmap, is that the Allocation File is stored as a regular file, it does not occupy a special reserved space near the beginning of the volume. The Allocation File can also change size and does not have to be stored contiguously within a volume.
The Catalog File is a B-tree that contains records for all the files and directories stored in the volume. The HFS Plus Catalog File is very similar to the HFS Catalog File, the main differences being records are larger to allow more fields and to allow for those fields to be larger (for example to allow the longer 255-character unicode file names in HFS Plus). A record in the HFS Catalog File is 512 bytes in size, a record in the HFS Plus Catalog File is 4 KB in Mac OS and 8 KB in Mac OS X. Fields in HFS are of fixed size, in HFS Plus the size can vary depending on the actual size of the data they store.
The Extents Overflow File is another B-tree that records the allocation blocks that are allocated to each file as extents. Each file record in the Catalog File is capable of recording eight extents for each fork of a file; once those are used extents are recorded in the Extents Overflow File. Bad blocks are also recorded as extents in the Extents Overflow File. The default size of an extent record in Mac OS is 1 KB and 4 KB in Mac OS X.
The Attributes File is a new B-tree in HFS Plus that does not have a corresponding structure in HFS. The Attributes File can store three different types of 4 KB records: Inline Data Attribute records, Fork Data Attribute records and Extension Attribute records. Inline Data Attribute records store small attributes that can fit within the record itself. Fork Data Attribute records contain references to a maximum of eight extents that can hold larger attributes. Extension Attributes are used to extend a Fork Data Attribute record when its eight extent records are already used.
The Startup File is designed for non-Mac OS systems that don't have HFS or HFS Plus support. It is similar to the Boot Blocks of an HFS volume.
The second to last sector contains the Alternate Volume Header equivalent to the Alternate Master Directory Block of HFS.
The last sector in the volume is reserved for use by Apple. It is used during the computer manufacturing process.
Other operating systems
Linux
The Linux kernel includes the hfsplus module[10] for mounting HFS+ filesystems. HFS+ fsck and mkfs have been ported to Linux and are part of the hfsprogs package.[11] These drivers currently have issues with corruption of HFS+ drives with a capacity greater than 2 TB. As such Linux distributions such as Ubuntu do not allow mounting of HFS+ drives or partitions greater than 2 TB.[12]
The Linux HFS+ kernel driver has support to read and write to HFS+ non-journaled drives/parititions but only has read support of journaled HFS+. Journaling ability was added to HFSplus when Mac OS X came out and is by default on for Mac OS X installations. Journaling is a redundant behavior of a filesystem that helps protect data loss. If planning to write to an HFS+ partition then drive journaling must be turned off in OSX.[13]
Windows
On Windows, a fairly complete filesystem driver for HFS+ exists as a commercial software package called MacDrive.[14] This package allows Windows users to read and write HFS+ formatted drives, and read Mac-format optical disks.
Another solution is provided by Paragon, with their HFS+ for Windows driver; this supports both read and write on HFS+ partitions.[15]
Apple has released read-only HFS+ drivers for Windows XP, Windows Vista, and Windows 7 in Boot Camp in Mac OS X 10.6. Microsoft has created a HFS+ driver for the XBox 360 mainly for the purpose of reading HFS+ formatted iPods.
A free (GPL) alternative to MacDrive is HFSExplorer written by Erik Larsson.[16] HFSExplorer is an application for viewing and extracting files from an HFS+ volume (Mac OS Extended) or an HFSX volume (Mac OS Extended, Case-sensitive) located either on a physical disk, on a .dmg disk image, or in a raw file system dump. HFSExplorer is less complete than MacDrive in the sense that it can read, but not write to HFS formatted volumes.
^ there are some minor differences derived from the fact that the HFS Plus format was finalized before Unicode had standardized the NFD format (see “Unicode Subtleties” for more information)
EFS uses symmetric key encryption in combination with public key technology to protect files. File data is being encrypted with symmetric algorithm (DESX). The key, used in symmetric encryption is called File Encryption Key (FEK). The FEK in its own turn is encrypted with a public/private key algorithm (RSA) and stored along with the file. The reason why two different algorithms are used is the speed of encryption. The performance burden of asymmetric algorithms is too much to use them for encrypting a large amount of data. Symmetric algorithms are about 1000 times faster making their suitable for encrypting of large amounts of data.
As a first setp to encrypt file, NTFS creates a log file called Efs0.log in System Volume Information folder on the same drive, as encrypted file. Then EFS aquires access CryptoAPI context. It uses Microsoft Base Cryptographic Provider 1.0 as cryptographic provider. Having the crypto context open, EFS generate File Encryption Key (FEK).
The next step is to get public/private key pair; if it does not exist at this stage (the case when EFS invoked first time), EFS generate a new pair. EFS uses 1024-bit RSA algorithm to encrypt FEK.
Then, EFS creates Data Decryption Field (DDF) for the current user, where it places FEK and encrypts it with public key. If recovery agent is defined by system policy, EFS creates also Data Recovery Field (DRF) and places there FEK encrypted with public key of recover agent. A separate DRA is created for every recovery agent defined. Please note, that on Windows XP not included into domain, there's no recovery agent is defined, so this step is omitted.
Now a temporary file Efs0.tmp is created in the same folder as the file being encrypted. The contents of original file (plain text) is copied into temporary file, after that the original is overwritten with encrypted data. By default, EFS uses DESX algorithm with 128-bit key to encrypt file data, but Windows could be also configured to use stronger 3DES algorithm with 168-bit key. In that case FIPS compliant algorithms usage must be turned on in LSA policy (it is disabled by default):
EFS uses the registry to determine if it will use DESX or 3DES. If HKLMSYSTEMCurrentControlSetControlLSAFipsAlgorithmPolicy = 1, then 3DES will be used. If not, then EFS checks HKLMSoftwareMicrosoftWindows NTCurrentVersionEFSAlgorithmID (this value may not be present); if present, it will have ID CALG_3DES or CALG_DESX, otherwise, DESX should be used.
After encryption is done, temporary and log files are deleted.
After file is encrypted, only users who has correspondent DDF or DRF can access the file. This mechanism is separate from common security meaning that beside rights to access file, the file must have its FEK encrypted with user's public key. Only user who can decrypt FEK with his own private key, can access the file. The consequence is, that user, who has access to the file, can encrypt it thus preventing the owner to access his own file. Initially only one DDF is created for user who encrypts the file, but later he can add extra users to key ring. In this case EFS simply decrypts FEK with private key of user who wants to give access to the file to another user, and encrypts FEK with public key of target user, thus creating a new DDF which is stored along with the first one.
The decryption process is opposite to encryption:
First, system checks if user has a private key used by EFS. If yes, it reads EFS attributes and walk through the DDF ring looking for DDF for current user. If DDF is found, user's private key is used to decrypt FEK extracted from DDF. Using decrypted FEK, EFS decrypts file data. It should be noticed that file never decrypted in whole but rather by sectors when upper level module requests particular sector.
Recovery process is similar to decryption, except that it uses the recovery agent's private key to decrypt the FEK in the DRF, not in DDF:
DRA policy is implemented differently for Windows 2000 and Windows XP. In Windows 2000 by default on computers, not included into domain, local Administrator is added to Public Key Policy as Encrypted Data Recovery Agent. So, when user encrypts file, both DDF and DRF fields are created. If the last DRA is deleted, the whole EFS functionality is turned off and it is not possible to encrypt file anymore.
In Windows XP the situation is different. Since majority of home users working standalone do not need anybody else to be able to decrypt file except themselves, there's no need in data recovery agents, so there's no DRA included into Public Key Policy and EFS works without DRA. In this case only DDF field is created for encrypted file.
Digital forensics (sometimes Digital forensic science) is a branch of forensic science encompassing the recovery and investigation of material found in digital devices, often in relation to computer crime.[1][2] The term digital forensics was originally used as a synonym for computer forensics but has expanded to cover all devices capable of storing digital data and is now used to describe the entire field.[1] The discipline evolved in a haphazard manner during the 1990s and it was not until the early 2000s that national policies were created.
Investigations can fall into four categories. The most common category is forensic analysis, where evidence is recovered to support or oppose a hypothesis before a criminal court, this is closely related to intelligence gathering, where material is intended to identify other suspects/crimes. eDiscovery is a form of discovery related to civil litigation and intrusion investigation is a specialist investigation into the nature and extent of an unauthorized network intrusion. The technical side of investigations is divided into several sub-branches; computer forensics, network forensics, database forensics and mobile device forensics. Any number of the fields may be utilised in an investigation.
As well as identifying direct evidence of a crime, digital forensics can be used to attribute evidence to specific suspects, confirm alibis or statements, determine intent, identify sources (for example, in copyright cases) or authenticate documents.[3] Investigations are much broader in scope than other areas of forensic analysis (where the usual aim is to provide answers to a series of simpler questions) often involving complex time-lines or hypothesis.[4]
The digital forensic process encompasses the seizure, forensic imaging (acquisition) and analysis of digital media. Finally producing a report of the digital evidence for the courts or an employer. Computer devices tend to store large amounts of information in cache/log files and deleted space and forensic examiners can recover this data as part of the analysis process.
Aerial photo of FLETC, where US digital forensics standards were developed in the 80s and 90s
Prior to the 1980s crimes involving computers were dealt with using existing laws. The first computer crimes were recognized in the 1978 Florida Computer Crimes Act, which included legislation against the unauthorized modification or deletion of data on a computer system.[5][6] Over the next few years the range of computer crimes being committed increased, and laws were passed to deal with issues of copyright, privacy/harassment (e.g., cyber bullying, cyber stalking, and online predators) and child pornography.[7][8] It was not until the 1980s that federal laws began to incorporate computer offences. Canada was the first country to pass legislation in 1983.[6] This was followed by the US Federal Computer Fraud and Abuse Act in 1986, Australian amendments to their crimes acts in 1989 and the British Computer Abuse Act in 1990.[6][8]
1980s-1990s: Growth of the field
The growth in computer crime during the 1980s and 1990s caused law enforcement agencies to begin establishing specialized groups, usually at the national level, to handle the technical aspects of investigations. For example, in 1984 the FBI launched a Computer Analysis and Response Team and the following year a computer crime department was set up within the British Metropolitan Police fraud squad. Besides being law enforcement professionals many of the early members of these groups were also computer hobbyists and became responsible for the fields initial research and direction.[9][10]
One of the first practical (or at least publicised) examples of digital forensics was Cliff Stoll's pursuit of hacker Markus Hess in 1986. Stoll, whose investigation made use of both computer and network forensic techniques, was not a specialised examiner.[11] Many of the earliest forensic examinations followed the same profile.[12]
Throughout the 1990s there was high demand for the these new, and basic, investigative resources. The strain on central units lead to the creation of regional, and even local, level groups to help handle the load. For example, the British National Hi-Tech Crime Unit was set up in 2001 to provide a national infrastructure for computer crime; with personnel located both centrally in London and with the various regional police forces (the unit was folded into the Serious Organised Crime Agency (SOCA) in 2006).[10]
During this period the science of digital forensics grew out of ad-hoc tools and techniques developed by these hobbyist practitioners. This is in contrast to other forensics disciplines which developed from work by the scientific community.[1][13] It was not until 1992 that the term "computer forensics" was used in academic literature (although prior to this it had been in informal use); a paper by Collier and Spaul attempted to justify this new discipline to the forensic science world.[14][15] This swift development resulted in a lack of standardization and training. In his 1995 book, "High-Technology Crime: Investigating Cases Involving Computers", K Rosenblatt wrote:[6]
Seizing, preserving, and analyzing evidence stored on a computer is the greatest forensic challenge facing law enforcement in the 1990s. Although most forensic tests, such as fingerprinting and DNA testing, are performed by specially trained experts the task of collecting and analyzing computer evidence is often assigned to patrol officers and detectives[16]
2000s: Developing standards
Since 2000, in response to the need for standardization, various bodies and agencies have published guidelines for digital forensics. The Scientific Working Group on Digital Evidence (SWGDE) produced a 2002 paper, "Best practices for Computer Forensics", this was followed, in 2005, by the publication of an ISO standard (ISO 17025, General requirements for the competence of testing and calibration laboratories).[17][6][18] A European lead international treaty, the Convention on Cybercrime, came into force in 2004 with the aim of reconciling national computer crime laws, investigative techniques and international co-operation. The treaty has been signed by 43 nations (including the US, Canada, Japan, South Africa, UK and other European nations) and ratified by 16.
The issue of training also received attention. Commercial companies (often forensic software developers) began to offer certification programs and digital forensic analysis was included as a topic at the UK specialist investigator training facility, Centrex.[6][10]
Since the late 1990s mobile devices have become more widely available, advancing beyond simple communication devices, and have been found to be be rich forms of information, even for crime not traditionally associated with digital forensics.[19] Despite this, digital analysis of phones has lagged behind traditional computer media, largely due to problems over the proprietary nature of devices.[20]
Focus has also shifted onto internet crime, particularly the risk of cyber warfare and cyberterrorism. A February 2010 report by the U.S. Joint Forces Command concluded:
Through cyberspace, enemies will target industry, academia, government, as well as the military in the air, land, maritime, and space domains. In much the same way that airpower transformed the battlefield of World War II, cyberspace has fractured the physical barriers that shield a nation from attacks on its commerce and communication.[21]
The field of digital forensics still faces outstanding issues. A 2009 paper, "Digital Forensic Research: The Good, the Bad and the Unaddressed", by Peterson and Shenoi identified a bias towards Windows operating systems in digital forensics research.[22] In 2010 Simson Garfinkel identified issues facing digital investigations in the future; including the increasing size of digital media, the wide availability of encryption to consumers, a growing variety of operating systems and file formats, an increasing number of individuals owning multiple devices and legal limitations on investigators. The paper also identified continued training issues, as well as the prohibitively high cost of entering the field.[11]
During the 1980s very few specialised digital forensic tools existed and investigators often performed live analysis on media, examining computers from within the operating system using existing sysadmin tools to extract evidence. This risked modifying data on the disk (inadvertently or otherwise) leading to claims of evidence tampering. In the early 1990s a number of tools were created to allow investigations to take place without the risk of altering data.
The need for such software was first recognised in 1989 at the Federal Law Enforcement Training Center, resulting in the creation of IMDUMP (by Michael White) and in 1990, SafeBack (developed by Sydex). Similar pieces of software were produced in other countries; DIBS (a hardware and software solution) was released commercially in the UK in 1991 and Rob McKemmish released Fixed Disk Image free to Australian law enforcement.[9] These tools allowed examiners to create an exact copy of a piece of digital media to work on; leaving the original disk intact for verification. By the end of the 90s, as demand for digital evidence grew more advanced, commercial tools (EnCase, FTK, etc.) were developed that allowed analysts to examine copies of media without using any live forensics.[6]
More recently the same progression of tool development has occurred for mobile devices; initially investigators accessed data directly on the device, these were soon replaced with specialist tools (such as XRY or Radio Tactics Aceso).[6]
Forensic Process
A portable Tableau write-blocker attached to a Hard Drive
A digital forensic investigation commonly consists of 3 stages; acquisition or imaging of exhibits, analysis and reporting.[6][23] Acquisition involves creating an exact sector level duplicate (or "forensic duplicate") of the media, often using a write blocking device to prevent modification of the original. Both acquired image and original media are hashed (using SHA-1 or MD5) and the values compared to verify the copy is accurate.[24]
During the analysis phase an investigators recover evidence material using a number of different methodologies and tools. In 2002 and article in the International Journal of Digital Evidence referred to this step as "an in-depth systematic search of evidence related to the suspected crime".[1] In 2006, forensics researcher Brian Carrie described an "intuitive procedure" in which obvious evidence is first identified and then "exhaustive searches are conducted to start filling in the holes."[4]
The actual process of analysis can vary between investigations, but common methodologies include conducting keyword searches across the digital media (within files as well as unallocated and slack space), recovering deleted files and extraction of registry information (for example to list user accounts, or attached USB devices).
Once evidence is recovered it is analysed to reconstruct events or actions and to reach conclusions, work that can often be performed by less specialist staff.[1] When an investigation is complete the data is presented, usually in the form of a written report, in lay persons terms.[1]
Forms and uses
An example of an image's Exifmetadata that might be used to prove its origin
Investigations can take one of four forms. Firstly as a forensic examination, traditionally associated with criminal law, where evidence is collected to support or oppose a hypothesis. Like other areas of forensics this is often part of a wider investigation spanning a number of disciplines. A related form is "intelligence gathering", functionally identical to a forensic examination the digital evidence is intended to be used as intelligence to (for example) locate, identify or halt other crimes. As a result intelligence gathering is sometimes held to a less strict forensic standard.
In civil litigation or corporate matters the process is referred to as electronic discovery (or eDiscovery). The forensic procedure is similar to that used in criminal investigations but with different legal requirements and limitations. Finally, intrusion investigation is a specialist examination into the nature and extent of an unauthorized network intrusion. Intrusion analysis is usually performed as a damage limitation exercise after an attack, both to establish the extent of any intrusion and to try and identify the attacker.[4][3] Such attacks were commonly conducted over phone lines during the 1980s, but in the modern era are usually propagated over the internet.[25]
The main use of digital forensics is to recover objective evidence of a criminal activity (termed actus reus in legal parlance). However the diverse range of data held in digital devices can help with other areas of investigation.[3]
Attribution
Meta data and other logs can be used to attribute actions to an individual. For example, personal documents on a computer drive might identify its owner.
Alibis and statements
Information provided by those involved can be cross checked with digital evidence. For example, during the investigation into the Soham murders, the offenders alibi was disproven when mobile phone records of the person he claimed to be with showed she was out of town at the time.
Intent
As well as finding objective evidence of a crime being committed, investigations can also be used to prove the intent (known by the legal term mens rea). For example, the Internet history of convicted killer Neil Entwistle included references to a site discussing How to kill people.
Evaluation of source
File artifacts and meta-data can be used to identify the origin of a particular piece of data; for example, older versions of Microsoft Word embedded a Global Unique Identifer into files which identified the computer it had been created on. Proving whether a file was produced on the digital device being examined or obtained from elsewhere (e.g., the Internet) can be very important.[3]
Document authentication
Related to "Evaluation of Source", meta data associated with digital documents can be easily modified (for example, by changing the computer clock you can affect the creation date of a file). Document authentication relates to detecting and identifying falsification of such details.
Limitations
One major limitation to a forensic investigation is the use of encryption; this disrupts initial examination where pertinent evidence might be located using keywords. Laws to compel individuals to disclose encryption keys are still relatively new and controversial.[11]
Legal considerations
The examination of digital media is covered by national and international legislation. For civil investigations, in particular, laws may restrict the abilities of analysts to undertake examinations. Restrictions against network monitoring, or reading of personal communications often exist.[26] For criminal investigation, national laws restrict how much information can be seized.[26] For example, in the United Kingdom seizure of evidence by law enforcement is governed by the PACE act.[6] The "International Organization on Computer Evidence" (IOCE) is one agency that works to establish compatible international standards for the seizure of evidence.[27]
In the UK the same laws covering computer crime can also affect forensic investigators. The 1990 computer misuse act legislates against unauthorised access to computer material; this is a particular concern for civil investigators who have more limitations than law enforcement.
An individuals right to privacy is one area of digital forensics which is still largely undecided by courts. The US Electronic Communications Privacy Act places limitations on the ability of law enforcement or civil investigators to intercept and access evidence. The act makes a distinction between stored communication (e.g. email archives) and transmitted communication (such as VOIP). The latter, being considered more of a privacy invasion, is harder to obtain a warrant for.[6][16] The ECPA also affects the ability of companies to investigate the computers and communications of their employees, an aspect that is still under debate as to the extent to which a company can perform such monitoring.[6]
In Europe Article 5 of the European Convention on Human Rights asserts similar privacy limitations to the ECPA. In addition it also limits the processing and sharing of personal data both within the EU and with external countries. In the UK the ability of law enforcement to conduct digital forensics investigations is legislated by the Regulation of Investigatory Powers Act.[6]
Where it will be used in a court of law, digital evidence falls under the same legal guidelines as other forms of evidence, courts do not usually require more stringent guidelines.[6][28] In the United States the Federal Rules of Evidence are used to evaluate the admissibility of digital evidence, the United Kingdom PACE and Civil Evidence acts have similar guidelines and many other countries have their own laws. US federal laws restrict seizures to items with only obvious evidential value. This is acknowledged as not always being possible to establish with digital media prior to an examination.[26]
Laws dealing with digital evidence refer to two considerations; integrity and authenticity. Integrity is ensuring that the act of seizing and acquiring digital media does not modify the evidence (either the original or the copy). Authenticity refers to the ability to confirm the integrity of information; for example that the imaged media matches the original evidence.[26] The ease with which digital media can be modified means that documenting the chain of custody from the crime scene, through analysis and, ultimately, to the court, (a form of audit trail) is important to establish the authenticity of evidence.[6]
Attorneys have argued that because digital evidence can theoretically be altered it undermines the reliability of the evidence. US judges are beginning to reject this theory, in the case US v. Bonallo the court ruled that "the fact that it is possible to alter data contained in a computer is plainly insufficient to establish untrustworthiness".[6][29] In the United Kingdom guidelines such as those issued by ACPO are followed to help document the authenticity and integrity of evidence.
Digital investigators, particularly in criminal investigations, have to ensure that conclusions are based upon factual evidence and their own expert knowledge.[6] In the US, for example, Federal Rules of Evidence state that a qualified expert may testify “in the form of an opinion or otherwise” so long as:
(1) the testimony is based upon sufficient facts or data, (2) the testimony is the product of reliable principles and methods, and (3) the witness has applied the principles and methods reliably to the facts of the case.[30]
Many of the sub-branches of digital forensics have their own specific guidelines for handling and investigating evidence. For example, mobile phones are often acquired inside a Faraday shield to stop radio traffic to the device. Or, in the UK forensic examination of computers in criminal matters is subject to ACPO guidelines.[6]
Branches
Digital forensics includes several sub-branches relating to the investigation of various types of devices, media or artefacts.
The goal of computer forensics is to explain the current state of a digital artifact; such as a computer system, storage medium or electronic document.[31] The discipline usually covers computers, embedded systems (digital devices with rudimentary computing power and onboard memory) and static memory (such as USB pen drives).
Computer forensics can deal with a broad range of information; from logs (such as internet history) through to the actual files on the drive. In 2007 prosecutors used a spreadsheet recovered from the computer of Joseph E. Duncan III to show premeditation and secure the death penalty.[3]Sharon Lopatka's killer was identified in 2006 after email messages from him detailing torture and death fantasies were found on her computer.[6]
Mobile device forensics is a sub-branch of digital forensics relating to recovery of digital evidence or data from a mobile device. It differs from Computer forensics in that a mobile device will have an inbuilt communication system (e.g. GSM) and, usually, proprietary storage mechanisms. Investigations usually focus on simple data such as call data and communications (SMS/Email) rather than in-depth recovery of deleted data.[6][32]SMS data from a mobile device investigation helped to exonerate Patrick Lumumba in the murder of Meredith Kercher.[3]
Mobile devices are also useful for providing location information; either from inbuilt gps/location tracking or via cell site logs (which track the devices within their range). Such information was used to track down the kidnappers of Thomas Onofri in 2006.[3]
Network forensics relates to the monitoring and analysis of computer network (both local network and WAN/internet) traffic for the purposes of information gathering, legal evidence or intrusion detection.[33] Traffic is intercepted (usually at the packet level) and either stored for later analysis with specialist tools or filtered in real time for relevant information. Unlike other areas of digital forensics, network data is often volatile and seldom logged, making the discipline often reactionary.
In 2000, the FBI lured computer hackers Aleksey Ivanov and Gorshkov to the United States for a fake job interview. By monitoring network traffic from the pair's computers, the FBI identified passwords that let it collect evidence directly from Russia-based computers.[6][34]
Database forensics is a branch of digital forensics relating to the forensic study of databases and their metadata.[35] Investigations use database contents, log files and in-RAM data in order to build a time-line or recover relevant information.
^Peterson, Gilbert & Shenoi, Sujeet (2009). "Digital Forensic Research: The Good, the Bad and the Unaddressed". Advances in Digital Forensics V (Springer Boston) 306: 17-36. doi:10.1007/978-3-642-04155-6_2.
^ Gary Palmer, A Road Map for Digital Forensic Research, Report from DFRWS 2001, First Digital Forensic Research Workshop, Utica, New York, August 7 – 8, 2001, Page(s) 27–30
FAT table is used for determination of condition of clusters and for searching next cluster of file or catalog.
One record about condition of cluster uses 4 bytes (32 bits) in FAT32. The first sector of FAT32 table starts with signature F8 FF FF. Free space is marked with signature 00 00 00 00. The end of the file is marked with signature FF FF FF F8 - FF FF FF FF. The damaged cluster is marked with signature FF FF FF F7 .
There is the special view of the first three sectors of FAT32 table on the picture above.
컴퓨터의 주요 부품 가운데 하나로, 보조기억장치이다. 주기억장치를 보조하는 역할을 하는 부품이라는 의미이지만 그것보다는 비 휘발성 데이터 저장소로서의 역할이 훨씬 더 중요하다. 비 휘발성 데이터 저장소 가운데 가장 대중적이고 용량 대비 가격이 가장 저렴하다. 2012년의 기준에서는 테이프보다 싸졌다. 가령 LTO6 등의 테이프는 단품 가격이 하드보다 싸지만 전용 드라이브 가격이 비싸다. 테이프가 하드보다 싸지는 건 수백 페타바이트(PB) 이상부터이다.
데이터가 손실되는 경우 어떤 제조사에서도 책임지지 않는다.[1] 따라서 중요한 자료는 다른곳에 백업을 철저히 하자. 데이터 복구는 하드디스크 구입가의 수십, 수백 배 이상의 비용이 든다.
원래 이름은 자기 디스크(Magnetic Disk Drive, MDD)였는데, 나중에 마찬가지로 자기를 이용하는 플로피 디스크(Floppy Disk Drive, FDD)가 나오면서 구분을 위해 딱딱한 디스크, 즉, 하드 디스크(Hard Disk Drive)로 바꿨다. 참고로 플로피는 디스크 드라이브에 삽입하는 기록매체인 디스켓이 팔랑팔랑하다는 의미. 요새는 FDD가 거의 사용되지 않기 때문에 램드라이브의 일종인 솔리드 스테이트 드라이브(Solid State Drive, SSD)에 대립되는 명칭으로 받아들여진다.
최초의 하드 디스크는 1956년 미국의 IBM에서 개발된 라막(RAMAC, 위의 사진)으로, 디스크 크기가 60센티미터 정도에 저장 용량이 5MB정도다. 초창기의 모습은 마치 쟁반을 겹겹이 쌓아 놓은 모습으로 현재의 모습과는 영 딴판이다. 게다가 무게 또한 톤 단위에 가깝기 때문에 이동에는 지게차를 사용해야 했으며, 배송 또한 대형 화물 비행기를 이용했을 정도이다. 유튜브 영상에서는 5백만 문자를 저장할 수 있다고 하는데, RAMAC 하드디스크는 한 문자당 데이터 6비트, 패리티 1비트, 빈 공간 1비트 순으로 8비트를 저장하므로 5백만 바이트의 용량이 나온다. 위키백과 참고 참고로 이 시절에 아스키 코드는 없었다.
플로우차트(흐름도, 순서도)를 짜면서 "왜 하드 디스크를 나타내는 심벌이 드럼통처럼 생겼을까"라고 궁금하던 사람이라면, 위의 사진을 보면서 그 의문이 풀렸을 것이다. 현재도 하드 디스크 내부에는 저 판때기(플래터)가 있다. 그러나 한 장에 들어가는 용량이 매우 커서 하드 디스크 하나에 1~5장밖에 없으며 크기도 작다. 보통 2~3장 정도 들어간다.
처음엔 자기 디스크(마그네틱 디스크)라는 이름으로 불렸다. 때문에 드럼통 플로우차트 심벌은 아직도 데이터베이스나 하드디스크의 심벌 명칭이 마그네틱 디스크이다. 나중에 플로피 디스크가 등장하면서 구별을 위해 딱딱한 디스크, 즉 하드 디스크로 이름이 바뀌었다. 플로피는 팔랑팔랑하다는 의미이기 때문.
원리 구축과 실용화가 오래된 기술이라 컴퓨터에서 제일 오래된 부품이라고 불린다. 1970~1980년대에 퍼스널 컴퓨터로 컴퓨터를 처음 접한 이들은 플로피 디스크(디스켓)가 하드 디스크보다 더 오래된 보조기억장치/저장매체라고 잘못 알기도 하지만, 실제로는 앞서 언급했듯 하드 디스크가 더 옛날 기술이다(최초의 하드 디스크는 1956년, 최초의 플로피 디스크는 1971년에 나왔다. 둘 다 IBM이 개발). 단지 하드 디스크가 일반 사용자에게 보급된 시기가 플로피보다 훨씬 늦었을 뿐이다. 컴퓨터보다 먼저 탄생한 데이터 저장 기술인 천공 카드는 정말 예외적인 리거시 시스템을 제외하면 골동품이나 기념품 정도의 취급이며, UNIVAC에도 설치되어 있던 자기테이프(1951년)는 오늘날엔 개인용 컴퓨터에서는 사실상 쓰이지 않는 기술이므로 제외한다.
하드 디스크의 초창기엔 엄청난 가격에 IC 칩 성능 등 기술적인 문제로 이제와서 보면 안습한 모습이다. 그러나 당시 테이프 등 다른 매체보다는 빠른 편이었고 특히 원하는 자료로 이동하는 시간이 엄청난 차이가 났다. 테이프의 구조로 인해 처음에서 끝까지 이동하려면 엄청난 시간이 걸린다. 그래서 메인 프레임 같은 대형 컴퓨터에 주로 사용되었다.
1980년 개인용 PC (XT)에 하드 디스크가 보급되었다. 오리지널 IBM PC XT에는 10메가 하드 디스크를 내장하였다. 이후 20메가 하드를 단 모델, 하드 대신 플로피 디스크 드라이브 2대를 단 모델이 나왔다. 우리나라에서는 XT 호환이라면서 판 모델에 하드가 있는 경우가 극히 드물었다. 더 늦은 1980년대 말이나 90년대 초에 AT가 보급되면서 본격적으로 하드 디스크가 보급되었다.
우리나라에서 하드 디스크를 처음 만든 곳은 삼성이다. 초창기 모델은 그야말로 안정성이 나빴으나 이후에 많이 개선되었다. 이에 질세라(...) LG에서도 출시했지만 외국 브랜드인 퀀텀을 들여온 것에 불과했다. 이후 퀀텀의 하드 디스크 제작 부분이 맥스터에 팔리고, 맥스터가 또 시게이트에 팔리면서 사라졌다. 하지만 2011년 삼성에서도 하드 디스크 사업부를 시게이트에 매각하고, 대주주가 되는 대신 하드 디스크 제조사업을 접었다.
히타치의 하드디스크 사업부(HGST)가 웨스턴 디지털에 넘어갈 때, 제조사가 단 둘이 될 상황까지 갔다. 그러나 과점 위험이 있다는 공정거래위원회의 시정명령을 받아 히타치의 일부 3.5인치 하드 디스크 설비는 도시바에 매각되어 현재의 하드 디스크 시장은 천하 삼분 지계를 이루게 되었다.
USB 메모리가 나온 뒤로 외장 하드 디스크(줄여서 외장 하드라고도 부른다.)라는 휴대용 하드 디스크도 차츰 널리 쓰이기 시작했다. SSD가 출시되면서 저장장치의 생존을 걸고 경쟁하고 있다. 가격대 용량비로 SSD를 누르고 있지만, 속도와 집적도에서 SSD가 강점을 보이기 때문에 시간이 지나면서 가격대 용량비 격차는 점점 줄어들고 있다.
자기장의 원리로 자성 물질이 있는 원판(=알루미늄 또는 유리 원판)에 자기를 정렬하는 원리로 기록하고 지운다. 그렇기 때문에, 하드디스크 위에 자석을 흔들어 대면 정보가 다 날아가며, 하드디스크 자체가 작동 불능이 된다. 실제로 공장 초기 상태의 하드 디스크에는 아무 정보도 없는 게 아니라 LBA 섹터 번호 같은 각종 관리 정보가 섹터와 섹터 사이에 기록돼 있다. 자석으로 망가진 하드 디스크는 제조 공장에서 복구하지 않는 한 되살릴 수 없다. 물론 금속 케이스로 자기장 차폐를 하므로 일반 페라이트 자석이나 가정에서 구할 수 있는 자석 정도로는 데이터가 사라지지 않는다. 하지만 공장 등 대형 모터나 전자석이 사방에 널려있는 환경이라면 매우 주의해서 다뤄야 한다. 그러한 환경에서는 HDD가 아닌 SSD 같은 다른 저장장치를 사용한다. HDD와 SSD를 장착시킨 노트북 컴퓨터에 네오디뮴 자석을 접촉시킨 실험 영상을 참고해보자. 영상에서 보듯 SSD는 자기장으로부터 안전하다.
하드 디스크는 모터에 의한 플래터의 회전에 따라 헤드가 데이터를 읽어서 하드 디스크의 컨트롤러에 데이터를 보내 처리하는 구조이다. 즉 2차원 저장 매체이다. 참고로 테이프는 1차원 매체에 속한다. SSD는 2차원과 3차원 사이의 어딘가.[2]
물리적으로 작동하므로 중고 구입이 가장 비추천되는 제품이기도 하다. 특히 험하게 사용한 물건을 속아서 샀다면… 보통 수명은 일반적으로 10만 시간이므로 많이, 그리고 오래 돌린 하드일수록 남은 수명이 짧다. 근데 1년 = 8,760시간이니 하루 종일 돌려도 10년은 넘게 쓸 수 있다...토렌트는? 물론 험하게 쓴다면 수명은 더 줄어든다. 거기에다가 헤비업로더/다운로더의 P2P, 토렌트용으로 쓰이면 더더욱 시망. 업무 특성상 세계에서 하드디스크를 가장 많이 쓰는 구글의 연구에 따르면, 첫 6개월을 버틴 하드디스크는 제조사와 관계 없이 최소한 3년은 무난하게 버틴다고 한다.
XT~AT 시절에는 "파킹"이라 불리는, 하드 디스크의 헤드를 파킹 존이라는 특수 트랙으로 되돌리는 유틸리티를 사용하지 않고 전원을 꺼버렸다가는 플래터를 긁히는 일이 많이 발생했다. 하드디스크의 헤드는 플래터의 고속 회전에 의해 생기는 바람 위로 날면서 동작하는 구조이기 때문에 플래터의 회전이 늦어지면 헤드가 플래터 표면에 닿게 된다. 이때 헤드가 파킹 존에 있지 않으면 헤드가 플래터 표면을 긁어버려 플래터 표면 손상은 물론 헤드가 박살 날 가능성까지 있는 것이다. 물론 요즘 하드 디스크에서 파킹 유틸리티 사용은 삽질. 전원을 끔과 동시에 오토파킹이 실행되기 때문에 파킹 유틸리티가 필요 없다. 제조사에 따라서는 램프 로드/언로드라는 기술을 사용해 헤드를 아예 플래터에서 치워버리는 파킹 방법도 사용한다. 하드 디스크가 돌아가던 관성(키네틱 에너지)을 활용해 자체 발전을 해서 헤드를 치우기도 한다.
이러한 부품을 담는 하드 디스크의 내부는 먼지가 없고, 필터와 연결된 숨구멍이 있다. 간혹 하드디스크 내부가 진공이라고 오해 되기도 한다. 하지만 하드 디스크가 정말로 진공이면 헤드를 디스크 표면에서 띄울 수 없어 순식간에 망가진다.
때문에 공기 밀도가 희박한 곳에서 작동해야 하는 기상 관측 기구 등의 장비에는 특수한 하드 디스크를 쓰거나 아니면 다른 저장장치를 쓴다. 아주 약간의 먼지라도 들어가면 배드섹터를 비롯한 골칫거리를 양산하게 된다. 그러므로 전문가가 아니라면 절대로 분해하지 마라. 먼지 하나가 플래터에 앉을 때마다 수백 MB에서 여러 GB가 날아간다. 또 플래터가 긁히면 거기서 먼지가 지속적으로 추가 생산돼서 물리적 배드섹터가 기하급수적으로 늘어난다. 참고로 하드 디스크가 작동할 때 헤드와 플래터의 간격은 DNA 2가닥 굵기밖에 안된다. 최신형일수록 이 비행 높이는 더 낮으므로 아예 열어볼 생각을 말자. 이 영상의 비유에 따르면 비행기가 1mm의 높이로 날면서 25초에 한번 지구를 도는수준의 정밀도라고 한다.
예전에는 수십 MB, 수백 MB 용량이 쓰였다. 그러나 요즘의 하드는 데이터 밀도가 높은 기계적으로 대단히 민감한 기기이다. 반도체의 수십 nm 공정이 대단하다 하지만 이쪽도 최소한 마이크로미터 단위로 기계 장치를 극도로 정밀하게 제어해야 하는지라 반도체만큼 빡세면 빡세지 덜하지 않다. 뚜껑을 고정하는 볼트가 조이는 힘조차도 약간의 차이에 의해 전체 프레임의 비틀림에 영향을 주어 결과적으로 플래터 회전과 헤드 위치에 영향을 주게 된다. 이러한 힘은 같은 회사의 하드라고 하더라도 모델별로 다를 수 있으며, 아무런 전문 공구나 측정 장비가 없는 일반인은 뚜껑을 열 수는 있어도, 원상태로 조일 수가 없다. 백번 양보해서 얼마만큼의 힘으로 조여야 하는지 알아냈다고 쳐도 특수 장비가 있어야만 가능하다. 위 동영상에서는 특정 토크로 나사를 조일 수 있는 특수 드라이버를 사용했다. 따라서 계속 사용해야 하는 하드 디스크라면 절대로 분해하지 말아야 한다.
다만 뚜껑을 열어도 하드가 바로 고장나지는 않는다. 하드 디스크 작동하는 모습을 꼭 보고 싶다면 버리는 하드 뜯어서 전원 연결하고 함 관찰해보자. 보통 1-2일 정도는 작동하지만, 배드섹터는 계속 늘어나므로 정상적인 사용은 절대로 어렵다. 부팅 두어번 하면 인식 불능이 될 것이다. 그리고 이렇게 하면 하드 디스크 복구가 거의 불가능해지므로 진짜 버릴 녀석을 써야 한다. 참고로 웨스턴 디지털 사에서 하드 디스크 윗판의 일부를 투명 폴리로 만든 랩터 X라는 하드 디스크를 출시해서 정상적인 상태에서도 하드 디스크의 동작 상황을 직접 육안으로 볼 수 있으나, 150기가라는 적은 용량과 큰 소음, 그리고 미칠듯한 가격 때문에 2012년에 단종되었다.
일반인이 알면 좋을만한 용어로는 인터페이스, 버퍼 용량, RPM 정도이다. 실제로 하드 디스크 스펙 문서에는 평균 탐색 시간이라든지 버스트 전송 속도라든지 이런 게 추가로 적혀있는데 하드 디스크 업체 수가 몇 안돼서 그런 것들은 다 고만고만하므로 크게 차이가 벌어지는 것들만 살펴보면 된다.
인터페이스는 대부분이 SATA(서버는 SAS)니까 하드가 SATA-II 지원인가 SATA-III인가 정도만 확인하면 되겠다. SATA-1이 초당 1.5Gb를 전송하고 세대가 올라가면 이전 세대의 두 배가 된다. 따라서 SATA-III의 최대 전송 속도는 6.0Gb/s. 물론 고성능 SSD가 아닌 한 실제로 저 속도로 읽고 쓰지는 않는다.
버퍼 용량은 하드가 원체 느린 장치이기 때문에 인터페이스와 디스크 사이에 존재하는 일종의 완충용 메모리이다. 많을 수록 좋은 건 사실이지만 그래봐야 수십 MB 정도에 불과하니 버퍼 용량에 금전을 더 퍼붓는 것은 어리석은 짓이다. 뭐 서버 레벨에서는 랜덤 액세스 문제 때문에 중요하긴 하지만 가정에서 사용하는 미디어 센터나 조회수 적은 개인용 웹 서버 등에서는 그다지 차이가 나지 않는다. 더군다나 서버용 장비는 애초에 인터페이스부터 다르고, 가격도 가격인지라 개인용으로 사용할 일은 없을 것이다.
RPM은 중요한 지표이다. 이게 높은 디스크가 탐색에 걸리는 회전 시간이 빠르며(버퍼-IO 컨트롤러 사이 전송 속도와는 무관하다) 최대 읽기/쓰기 속도도 빨라진다. 데스크톱 하드 디스크는 7200rpm이 많이 사용되며, 웨스턴 디지털의 그린 제품군과 일부 블루 제품군은 이보다 더 낮은 회전수로 돌거나 가변 rpm을 사용하기도 한다. 노트북용 2.5인치 하드 디스크 대부분은 5400rpm이며, 노트북용 7200rpm 하드 디스크도 있지만 소음, 내충격성이나 전력 소비 문제로 자주 사용되지는 않는다. 서버용 및 하이엔드 데스크톱용 하드 디스크는 10,000rpm 및 15,000rpm도 존재한다. 이 쪽은 1000=1K로 줄여서 10K, 15Krpm이라고 쓰기도 한다. 고 rpm 하드 디스크는 3.5인치 하드 디스크에 들어가는 플래터를 사용할 때 모터의 발열과 원심력을 감당하기 어렵기 때문에 2.5인치 하드 디스크에 들어가는 작은 크기의 플래터를 주로 사용한다.
하이엔드 데스크톱용 고 rpm 하드 디스크는 웨스턴 디지털의 랩터 시리즈가 유명했다. 랩터가 처음 나올 때만해도 일반 7200rpm HDD의 탐색 시간에 불만을 가진 매니아들을 달래줄 만한 물건이 아예 없었다. 엠트론의 32GB 100만원짜리 SSD조차 랩터 초기 출시 몇 년 뒤에 일어난 일이며, 당시에는 기껏해야 DRAM에 배터리 연결해서 저장장치로 속이는, 그것도 DDR1 시대 물건이라 4GB가 최대 용량인 i-RAM 같은 물건 밖에 없었다. 그러나 SSD가 빠르게 발전하면서 고성능 HDD의 성능과 가격을 뛰어넘기 시작했고, 랩터 시리즈도 투명 껍데기를 장착한 랩터 X 150GB 모델 및 고용량 모델이 출시된다. 하지만 SSD의 물결 앞에 결국 단종될 수 밖에 없었고, 그 때나 지금이나 고용량 SSD는 가격이 비싸다. 1TB SSD는 랩터 시리즈가 완전 단종되던 시절에는 PC 사용자가 접근하기 어려웠지만, 2015년 말이 되면서 300달러의 벽이 허물어지고 있다.
서버용 높은 RPM 하드 디스크는 데스크톱용 IDE/SATA 규격보다 안정성을 더 고려한 SCSI/SAS 방식으로 출시되며, 메인보드에 컨트롤러가 내장되는 IDE/SATA와는 달리 별도의 컨트롤러가 필요하다. 속도 자체는 데스크톱용과 큰 차이가 없기 때문에 하드 디스크만 서버용으로 교체한다고 해서 효과를 보기는 어렵다. 컴퓨터 속도를 빠르게 하는 저렴한 방법은 RAM의 용량을 확인한 다음 작업에 따라서 4~8GB 정도로 증설하는 것이고, 높은 RPM HDD는 랜덤 액세스 성능이 낮은 RPM HDD에 비하면 좋기 때문에 과거에는 체감 효과가 있었을지 몰라도 현재는 SSD를 다는 것이 더 낫다.
일반인은 저정도만 알면 충분하고, 모르겠는데요 추가로 평균 탐색시간은 헤드와 플래터가 데이터를 읽고 쓰기 위한 트랙(정확히는 실린더)에 정확히 정렬하는 데까지 걸리는 시간을 가리킨다. 물론 플래터 회전 시간은 5400rpm으로 회전한다고 해도 최대 0.2ms 정도면 한 바퀴를 돌기 때문에 헤드를 옮기는 시간에 비하면 훨씬 짧아서 보통 무시된다. 하드 디스크의 헤드는 네오디뮴 자석으로 구동되는 보이스 코일 액추에이터로 움직이는데 쉽게 말해 스피커를 구동시키는 그 부품을 좀 개량한 것이다. 하드 디스크에서 가장 느린 부품이 이 액추에이터다. 헤드를 움직이는 것은 곧 헤드가 달린 팔을 물리적으로 움직이는 것이니 아무리 빨라도 수 kHz 정도가 한계일 수밖에 없다. 시간으로 환산하면 1~10ms 정도로, 평균으로 따지면 최고속 하드 디스크는 최저 5ms 정도가 나온다. 이게 요즘 나오는 최신식 하드 디스크의 스펙이다. 그나마 액추에이터로 헤드를 구동하는 장치 중에서는 하드 디스크가 넘사벽으로 빠른 거지만(CD의 액추에이터가 100ms 내외의 아주 저속으로 움직인다.) 메모리 반도체의 작동 속도가 최소 마이크로초~나노초 단위라는 걸 생각해 보자. 참고로 CPU는 피코초 단위로 동작한다.
여담으로 이 탐색 시간은 HDD의 앞쪽(바로 아래서 설명할 플래터의 바깥쪽)에서 가장 빠르고 뒤쪽(플래터의 안쪽)으로 갈수록 느려진다. 이는 헤드가 할 일이 없을 때는 플래터 바깥쪽에서 대기하기 때문. (탐색 시간만 보면 중간에서 대기하는 게 가장 좋을지도 모르겠지만, 이런저런 만일의 사태에 의해 헤드가 플래터를 긁어버리는데 대한 답이 안 나오기 때문에, 이를 대비에 헤드를 플래터가 없는 바같으로 빼기 쉽게 하기 위해 이런 구조가 정착된 것이다.) 또한 뒤쪽으로 갈수록 속도 자체도 느려지는데, 이는 각속도는 플래터의 안쪽이든 바깥쪽이든 같지만 안쪽으로 갈수록 선속도가 느려지기 때문이다. 그 때문에 HDD밖에 없던 시절 컴덕 사이트들에서는 성능에 민감한 데이터들을 어떻게든 그나마 빠른 앞쪽에 몰아주기 위한 갖은 방법과 이를 잘못 이해한 낭설들이 횡횡했다. 유료 디스크 조각모음의 경우 자주 쓰는 데이터들을 분석해서 앞쪽으로 재배치 해주는 고급모드들을 홍보하기도 했고, 파티션을 나누거나 특정 RAID 컨트롤러의 기능을 이용해서 앞부분에 중요 데이터가 갇히도록 확실히 처리하는 앞자르기가 행해지기도 했는데, 심하면 그 일부만 쓰고 나머지 용량은 버리는 식의 극단적인 앞자르기가 당연한 것처럼 퍼지기도 했다. [3]SSD가 보급된 이후로는 다들 시들해졌지만.
플래터는 데이터가 실제로 기록되는 원판이며 하나의 플래터당 두 개의 헤드(앞면과 뒷면)가 붙는다. 간혹 플래터의 한 면만 쓰는 경우도 있다. 시게이트에서 나오는 슬림형 하드 디스크는 플래터가 한 장이고 보통은 한 하드 디스크 당 2~3장 들어간다. 플래터의 숫자가 많을수록 동시에 읽고 쓸 수 있는 헤드의 숫자가 늘어나므로 연속 읽기에는 다소 강해질 수 있지만 액추에이터의 부담이 늘어나므로(무거워지니까!)탐색 성능에서는 손해를 본다. 다만 플래터의 개수가 줄어든 만큼 플래터의 집적도가 올라가는 데에서 생기는 성능 상 이익도 있다. 플래터 재료 자체는 알루미늄 합금이나 유리(알루미늄이 더 많이 쓰이긴 하지만 하드 디스크 파기 시 알루미늄이겠거니 하고 무턱대고 펜치로 구부리려 한다면 난감한 사태가 일어날 수 있다. 파기시엔 실외에서 하자)를 사용하며 표면은 매우매우매우 매끈하다. 여러분이 사용하는 거울보다도 훨씬 더 매끈하며 어느 정도냐면 플래터의 크기를 인천공항만하게 확대해도 편평도가 활주로 수준이다. 플래터의 표면에 입히는 자성체는 예전에는 산화철을 사용했지만 요즘엔 픽시 더스트라 불리는 루비듐 계열 합금을 사용한다.
헤드는 데이터를 읽거나 쓰는 장치이다. 플래터에서 수 나노미터 정도 위에 떠 있다.이게 어느 정도이냐면 팬텀기가 지상 3cm 상공을 나는 것과 비슷하다고 보면 된다. 헤드가 얼마나 정교하냐에 따라 하드디스크의 기록 밀도가 증가하므로 헤드 기술은 중요하다. 거대자기저항이니 터널자기저항이니 하는 신기술이 이 헤드에 적용되어 있는데 어려운 얘기 걷어내고 좀 몸에 와닿는 표현을 쓰자면, 저 헤드의 읽고 쓰는 메커니즘은 이미 한참 전에 양자 레벨에 돌입했다! 하긴 요즘에 양자 레벨로 안 돌입한 컴퓨터 부품이 있겠냐마는...
더불어 순간 충격 발생 시에 견딜 수 있는 수치가 G로 표시되는데 보통 대기 중 200~300G, 이용 중 50~100G 정도로 표시된다. (노트북 등 이동기기에 쓰이는 모델은 충격에 좀 더 강하다.) 300G라 하면 꽤 커 보이지만, 실제로 300G는 하드 디스크가 금속이나 돌 등 비탄력성 물체의 대략 3cm 위에서 떨어졌을 경우 생기는 충격이다. 그냥 떨어져도 안전한 상황 따위는 없다고 생각하고 조심하고 또 조심하자. 노트북용 하드 디스크는 중력가속도를 감지해서 이게 노트북이 떨어지고 있는 상황이라고 인식하면 자동으로 헤드를 파킹해서 잠가버리는 묘수를 부리기는 하지만 믿을 만한 수준은 아니다.
논리적인 단위로는 트랙, 섹터, 실린더가 존재한다. 줄여서 C/H/S 라고도 부른다.
트랙 : 디스크 표면에서 회전축을 중심으로 데이터가 기록되는 동심원. CD 같은 놈은 나선형 트랙을 사용하는 반면(그래서 CD의 이론적인 트랙 수는 1개) 하드 디스크는 여러 개의 트랙을 가지고 있다.
섹터 : 트랙을 일정한 크기로 구분한 부분. 정보 기록의 기본 단위. 아직도 수많은 교과서(대학교재마저!)에서 섹터는 트랙을 일정한 '각도'로 분할한다고 적혀있는데 이는 플로피디스크나 레이저디스크에서나 쓰이던 방식이므로 심각한 오류이다. 현대 하드 디스크는 가변 섹터 구조라서 바깥쪽의 트랙일수록 섹터 수가 많다. 데이터의 기록 밀도가 일정하다면 플래터의 바깥쪽으로 갈 수록 반지름이 커져서 더 많은 데이터를 기록할 수 있다. 그 증거로 하드 디스크 벤치마크 프로그램을 보면 전송률 그래프가 계단 모양으로 나타나는 것을 볼 수 있다. 계단 한 칸 떨어질 때마다 트랙 당 섹터 수가 한 단계 내려간 것이다. 하나의 섹터는 보통 512바이트를 기록할 수 있는데 최근의 일부 대용량 하드 디스크는 4096바이트를 1섹터로 하는 경우도 있다.
섹터는 하드 디스크의 최소 기록 단위로, 이 안에는 파일을 단 1개만 저장할 수 있다. 만약 512바이트짜리 섹터 하나에 10바이트 짜리 아주 작은 텍스트 파일을 저장했는데, 용량 남는다고 거기다 다른 파일을 담을 수는 없다는 이야기이다. 이렇게 되면 남은 502 바이트는 그냥 버려진다. 파일이 섹터 용량을 넘을 경우 넘어간 용량만큼 다른 섹터에 저장하고, 마지막 부분까지 저장하고 용량이 남아도 그 부분은 그냥 버려진다. 윈도우의 파일 속성 창에서 볼 수 있는 디스크 할당 크기와 파일의 실제 크기가 차이 나는 이유이기도 하다.
실린더 : 플래터가 여러 장일 때 서로 다른 면에 있는 동일 트랙들의 모임. 다른 풀이로는 R/W 헤드가 어느 한 시점에 동시에 접근하는 트랙들의 모임이기도 하다. 보통 이 수는 한 면의 트랙 수와 동일하다. 일반적으로 하드 디스크의 모든 헤드는 하나의 액추에이터에 묶여 동시에 움직이기 때문에 실린더라는 용어를 사용하는 것이다.
옛날 바이오스(486 쓰던 시절)에는 위의 실린더/트랙/섹터 값이 하드 디스크 라벨에 표기가 되어 있었고, 컴퓨터에 하드 단 이후 바이오스 Setup 화면에서 저 값을 일일이 써 넣어야 했다. 그러나 그때 당시에도 이 C/H/S값은 의미가 없었다. 상식적으로 65536실린더, 255헤드, 63섹터를 가진 하드 디스크가 존재할 거라 보는가? 일단 255헤드라는 의미는 플래터가 128개라는 소리 즉 디스크 원판이 128개라는 건데 종이를 그만큼 쌓아도 하드 디스크 두께보다 두껍다. 저 말도 안되는 숫자를 억지로 써 넣어야 했던 이유는 바로 맨 끝에 있는 섹터 수 때문이다. 실제 하드 디스크는 벌써 한 실린더당 수천 섹터 이상을 담을 수 있는데 옛날 바이오스의 섹터 제한이 63까지였기 때문. 저 숫자가 의미가 있던 시절은 AT 시절에 이미 끝났다. 요즘은 LBA라는 간단한 해법(모든 섹터에 단순하게 0부터 순서대로 일련번호를 붙임)이 존재하고, 이게 나오면서 바이오스 입력 화면에 자동 인식(Auto)이라는 항목이 생겨서 이걸 누르면 알아서 잡아주게 되었다. 현대 하드 디스크는 C가 수십만 이상, H가 2~10정도(플래터수 * 2)이고 S는 그때그때 달라요 이다. 달기만 하고 재부팅하면 바이오스에서 알아서 자동세팅 해줄 정도로 발전하기도 했고.
파일을 섹터에 저장할 때는 연속해서 저장하는 것이 원칙이지만, 이게 불가능할 경우에는 다른 곳으로 자리를 옮겨서 저장한다. 새로 포맷한 하드의 경우에는 이런 일이 별로 없지만, 중간에 파일을 삭제하고 저장하는 과정을 많이 겪은 하드의 경우 파일이 하드 여기저기에 나눠서 저장되는 사태가 벌어진다. 이것을 단편화(fragmentation)라고 한다. 단편화가 심해지면 파일을 읽거나 저장할 때 헤드가 하드 여기저기를 이동해야 하기 때문에 탐색 시간이 늘어나고, 고스란히 하드 디스크 성능 저하로 이어진다. 따라서 단편화를 최소화하기 위해 파일을 쭉 정리해 줄 필요가 생기는데, 이 기능이 바로 디스크 조각 모음이다. 이 단편화는 SSD에도 있지만, 구조상 탐색 시간이 없다시피 하기 때문에 디스크 조각 모음을 할 필요가 없다. 오히려 SSD는 쓰기가 빈번하면 수명 문제가 걸리기 때문에 디스크 조각 모음 자체를 하지 않는 것이 좋다.
얼마 전(그러니까 2010년 즈음)까지만 해도 한 섹터당 바이트 수는 512바이트였다. 하지만 그 상태로는 테라급 이상의 하드 디스크를 만드는 데에 공간 효율성이나 입출력 속도 등의 문제가 있었기 때문에, WD 주도하에 어드밴스드 포맷이라는 이름으로 2010년부터 섹터당 4,096바이트를 가지는 일명 4K 섹터 하드 디스크가 등장하고 있다.
막상 나올 때는 BIOS가 인식을 하지 못하는 트러블이 있고, 이에 대해서 하드 디스크가 섹터 크기가 512라고 속임으로써 대충 해결되었다.[4]
4K 섹터 하드 디스크들은 포맷 및 파티셔닝을 할 때 특히 주의해서 해야하는데, 섹터 정렬이 제대로 되어야 정상적인 성능을 발휘하기 때문이다. 따라서 기존 하드 디스크를 포맷하는 식으로 대충 해대면 섹터 정렬이 되지 않아 성능이 심각하게 저하되는 문제가 발생한다. 윈도 비스타 이후 버전이나, OS X 에서 포맷시 4K 정렬을 자동으로 수행하며, 리눅스도 `parted`로 섹터 정렬된 파티션을 참 쉽게 생성할 수 있다.[5] 윈도우 XP는 4K 섹터를 지원하지 않지만 시게이트 하드 디스크를 사용하는 경우에는 펌웨어 단계에서 자동으로 섹터 정렬을 수행하고, WD의 하드 디스크는 제조사 홈페이지에서 전용 섹터 정렬 프로그램을 다운받아 실행하므로서 해결이 가능하다.
2012년 현재 생산되는 거의 모든 일반용 하드 디스크는 4K 섹터 하드 디스크이다[6][7].
1980년대 중반에 있었던 문제다. 당시 IBM PC 호환기종의 OS였던 MS-DOS는 하드 디스크의 파티션을 32MB까지만 인식한다. 이 제한은 초창기 MS-DOS가 FAT를 16비트를 사용하기 때문에, 파티션 하나 당 섹터를 최대 65,536개까지만 인식할 수 있기 때문이다. 이 경우 65536 * 512(섹터 당 용량) = 33,554,432로 딱 32MB가 나온다. 이 문제는 1988년에 나온 MS-DOS 4.0에서 섹터 당 용량을 최대 32KB까지 늘렸다. 이에 따라 최대 용량이 2GB로 늘어나면서 해결되었다.
일반 사용자들은 별로 와닿지 않는 문제인데, 개인용 컴퓨터에서 하드 디스크가 대중화 된 것은 1990년대 초반이기 때문이다. 이미 저 문제가 해결되고도 남았던 때였고, 보급된 하드 디스크의 용량도 20MB 내외였다. 2GB는 그야말로 꿈같았던 때였다. 단 이 시기에 40MB 하드 디스크를 장착했다면 이 문제 때문에 파티션을 2개 나눠서 썼던 사람들도 소수 있었다. 당시 PC를 사면 번들되는 PC-DOS 버전은 이 문제가 남아 있는 3.X 버전이 일반적이었기 때문이다. 물론 이때는 이미 MS-DOS 4.0이 나온 뒤라 OS를 업그레이드하면 해결되었다.
그러나 1990년대 중반에 하드 디스크의 용량이 1GB를 돌파하며 문제가 되기 시작했다. 하드 용량이 가파르게 상승하기 시작하면서 얼마 안 있으면 FAT의 최대 용량 제한인 2GB에 다다르는 것은 시간 문제였기 때문이다. 그래서 마이크로소프트에서는 FAT를 확장한 새로운 규격인 FAT32를 들고 나왔다. 섹터 번호를 32비트로 확장하고 섹터 크기를 512 바이트에서 최대 4KB까지 지원하기 때문에 이론적으로는 16TB까지 지원이 가능하다. 그러나 이런저런 한계 때문에 파티션은 8TB까지가 한계이다. 윈도우 95 OSR2와 윈도우 98에서 지원하기 시작했지만, 기존 FAT16과 호환성이 없기 때문에 마이크로소프트는 FAT16를 FAT32로 변환해주는 툴을 같이 배포했다.
윈도우 XP 이후 FAT32 지원은 점차 축소되었다. XP부터는 32GB 이상의 FAT32 파티션을 OS 자체적으로는 포맷할 수 없으며, 윈도우 비스타 이후 운영체제는 강화된 보안과 NTFS의 고급 기능 때문에 FAT32로 포맷한 파티션에 설치할 수 없다. 이런 마이크로소프트의 정책으로 하드 디스크의 파일 시스템은 FAT에서 NTFS로 자연스럽게 넘어갔다. 휴대용 기기와 메모리 카드에서는 FAT32가 여전히 쓰이고 있지만, FAT32의 파일 크기 4GB 제한을 뛰어넘는 동영상 및 음악 파일이 보급되기 시작하면서 이쪽도 exFAT 등 다른 파일 시스템이 점차 도입되고 있다.
2000년대 초반에 있었던 문제로, 이때까지만 해도 하드 디스크의 인터페이스 규격인 ATA는 28비트 LBA를 사용했다. 이게 처음 나온 것은 1994년으로, 이때는 하드 디스크 용량이 1 GB 미만이 주류였기 때문에 문제가 없었다. 그러나 이후 기술발전으로 하드 디스크 용량이 가파르게 상승하기 시작했고, 2001년 6월 27일 맥스터가 137 GB 용량을 넘어서는 하드를 처음으로 발표하면서 이 문제가 대두되었다.
28비트 LBA는 268,435,456개의 섹터를 지원하는데, 이 당시 섹터 하나의 크기는 512바이트였다. 268,435,456 섹터 x 512 바이트 = 137,438,953,472 바이트, 즉 137 GB가 최대 용량이 되는 것이다. (하드디스크 업체 표기 기준이다. 윈도우에서 표시되는 것은 128 GB) 이 때문에 이 이상의 용량을 가진 하드를 연결할 경우 137 GB 이상의 용량은 인식이 안 되는 문제가 생기기 시작했다.
결국 2002년 ATA/ATAPI-6으로 표준을 업데이트하면서 48비트 LBA를 사용, 제한 용량을 128 PB로 올리면서 이 문제는 해결되었다. LBA에서 발생한 문제이기에 하드웨어와 소프트웨어가 모두 지원해야 해결되었다. 하드웨어는 ATA/ATAPI-6 지원 메인보드로 교체해야 했고, OS는 업데이트를 통해 해결되었다. 대표적으로 윈도우는 2000 서비스 팩 3으로 업데이트, XP 서비스팩 1로 업데이트, ATA/ATAPI-6 지원이 들어가며 이 문제에서 자유로워졌다.
그러나 MBR은 주소 공간을 최대 32비트밖에 사용할 수 없었고, 48비트 LBA도 32비트까지밖에 사용하지 않았다. 이때는 하드 디스크 용량이 몇백기가대에서 놀고 있었기 때문에 문제가 안 됐지만, 약 10년 후 용량이 테라 단위로 올라가면서 문제가 되기 시작했다. 자세한 것은 바로 아래 문단 참조.
2016년 현재는 의미 없이 어물쩍 넘어간 문제이긴 한데, 32비트 PC에서 메모리 4G 한계처럼 하드디스크에도 2^32(비트) * 512 (바이트) = 2,199,023,255,552 (=4,294,967,296개의 섹터)공식 에 의거, 2.2TB 이상의 하드 주소할당에 애로사항이 꽃피는 문제가 있었다. ## 64비트 운영체제를 사용하고, 파티션을 MBR이 아닌 GPT 방식으로 만드는 등으로 해결이 가능하지만, 32비트 운영체제를 사용한다든가, UEFI가 아닌 Bios로 부팅한다든가, 윈도우 XP를 사용한다든가, 구형 외장하드를 사용할 경우, 이를 지원하지 못하는 상황이 갑자기 나타날 수 있다. 가령 구형 외장하드 케이스에 최신 3~4T 하드를 꽂았을 때 당황스럽게도 약 746.51GB의 용량만 인식된다.
하지만 SSD가 널리 보급되어 운영체제 드라이브의 용량은 128~256GB로 쪼그라들었고, 윈도우 XP는 더이상 사용을 권하지 않으며, 외장하드 케이스는 USB 3.0 지원하는 것을 찾아 한번쯤 업그레이드 했기에 위 문제는 2010년 즈음 큰맘먹고 3TB 하드를 구매한 얼리어답터들만 겪고 유야무야 지나가 버렸다. 그러나 고용량 하드를 데이터 저장용으로 속도도 별로 중요하지 않겠다 구형 외장하드 케이스에 넣지 말란 법은 없으니, 그럴때 갑자기 나타날 수 있는 문제가 되었다. 그러니까, 용량이 오그라들었다고 놀라지 말라고(...) 외장하드에서 용량이 제대로 인식이 되지 않는다면, USB 3.0 지원하는[8] 새 외장하드 케이스를 사거나, 하드 디스크 제조업체에서 제공하는 유틸리티를 이용해야 한다. 파티션 나누는 것은 좋은 방법이 아닌데, MBR로는 해당 디스크의 모든 파티션을 합쳐서 2.2TB를 넘길 수 없다. 2TB이상 용량은 모두 인식하지만 파티션 할당이 되지 않는다.
인식도 되고 정상적으로 3TB이상으로 파티션도 잡히지만 2.2TB이상 기록하면 raw에러가 발생하면서 아예 먹통이 되는 문제도 있다. raw에러 발생시 데이타는 사라진게 아니니 복구할수 있지만 상당한 노력과 시간이 필요하다. 이 문제는 intel rst 드라이버를 10.1 이상으로 업데이트하면 발생하지 않는다고 한다. 장치관리자-> ide ata/atapi 컨트롤러 로 들어가서 드라이버 버전을 확인할 수 있다. amd 보드에서는 딱히 이런 문제가 없는것 같지만 꼭 메인보드 드라이버를 최신으로 업데이트하자.
하드디스크는 인치 단위로 크기를 분류해 놨지만 사실 전혀 맞지 않는다. 자로 재 보기만 해도 금방 알 수 있는데 3.5인치 폼 팩터의 하드디스크를 가로, 세로, 대각선 그 어느 방향에서 재도 3.5인치가 아니다. 그 이유는 이 숫자가 원래 하드디스크의 크기를 나타내는 숫자가 아니라 플로피 디스크 드라이브(FDD)의 디스크 지름을 나타내는 숫자였기 때문이다. 플로피 디스크 드라이브의 경우에도 크게 8인치/5.25인치/3.5인치로 규격이 구분되었고, 데스크탑용 케이스의 확장 랙 규격이 5.25인치와 3.5인치로 규격화되고 그 규격에 맞게 하드디스크를 만들다 보니 3.5인치용 랙 규격에 맞는 하드디스크를 줄여서 3.5인치 하드디스크라고 부르게 된 것.
8인치: 과거 특수 분야의 일부만 사용한 규격. 80년대 말까지 사용했고, 당시 5.25인치의 10배 정도의 용량을 가졌다. 한 사람의 힘으로는 들 수 없었다.
5.25인치: 과거 데스크탑용 모델. 80년대에서는 다 이걸 사용했다. 90년대에 나온 퀀텀 빅풋 라인업이 아마 이 크기의 마지막일 것이다. 이것도 3.5인치가 이미 대세가 된 시점에서 회전 속도가 빠르다는 장점을 내세워 나온 퀀텀의 일종의 외도에 가까운 일이었다.
3.5인치: 데스크탑용 내장/외장형 하드는 보통 이 크기를 사용한다.
2.5인치: 외장하드 사이에서 가장 많은 비율을 차지. 코트 주머니 정도면 넣을 수 있고 용량도 상당히 커서(2016년 현재는 단일 하드로 4TB 용량까지 나와있다.) 애용된다. 또한 노트북에도 많이 사용된다. 외장하드로는 유전원 USB이기만 하면 별도의 전원 공급 장치 없이 작동 가능하다. 일부 USB 포트에서는 전력 공급이 부족하여 제대로 작동하지 않거나 고장 나는 경우가 있다. 이 문제는 하드디스크의 전력 소모가 개선되면서 줄어들고 있다. 의외로 서버용 하드디스크 규격으로도 많이 쓰인다. 1U 높이 서버 케이스에도 3.5인치 하드와 핫스왑 베이를 달 수 있기는 하지만, 2.5인치 하드 디스크를 사용하면 같은 공간에 더 많은 하드 디스크를 달 수 있다. 그 외에도 서버에 사용되는 10000, 15000rpm 등 고성능 하드는 플래터 크기가 작은 것이 더 유리하다. 단 서버용 2.5인치 하드는 같은 SATA 인터페이스를 사용한다고 하더라도 노트북용 하드 디스크(보통 7mm/9mm)에 비해서 두께가 더 두껍기 때문에(15mm 등), 노트북용 하드를 서버에 다는 것은 가능하나 그 반대는 대부분 불가능하다.
1.8인치: 아이팟 클래식, PMP, 소형 노트북 하드 등 이곳저곳 널리 사용되었었다. 1.8인치 하드디스크는 320GB 용량까지 나오고 단종되었다. 그리고 전원 규격 문제는 그나마 규격이 정해져 있었던 2.5인치 까지의 HDD와는 다르게 제조사에 따라서 호스트와 연결하는 규격이 달랐다. IDE 시절에는 2.5인치 HDD의 연결부를 그대로 사용한 규격과 CF, ZIF 규격이 있었다. CF 규격은 CompactFlash 카드와 전기적으로 동일하지만,일반 CF 슬롯에는 하드디스크 설계 상 안 들어가므로 핀 배열만 CF인 셈. 그냥 노트북 미니 IDE를 더 축소시킨 거라 보면 된다. ZIF(Zero Insertion Force) 규격은 CF 규격의 두꺼운 단자 부분을 리본 케이블로 대체한 것이다. 당연히 이 세 가지 규격은 서로 호환되지 않았다. IDE 인터페이스를 그대로 썼기 때문에 ATA/100급 최대 전송 속도를 가졌고, 전력 소모를 억제하기 위해서 4200rpm이 거의 대부분이었다. 플래터 크기가 작아서 회전수에 비해 성능도 많이 떨어진다. 낮은 전송률을 만회하기 위해서 버퍼 메모리는 당시로서는 높은 2-8MB 정도가 달려 나왔다. SATA 시대로 오면서 5200rpm에 uSATA 규격을 이용한 HDD도 있었다. 노트북 ODD에 쓰는 mini SATA 및 SSD에서 쓰는 mSATA와는 다르다. 전원 공급핀이 해괴하게 생겨 먹었다.
이 규격 하드디스크가 살아 있었던 시기의 장점은 전력 소모와 용량 대비 가격이다. 2.5인치 HDD는 5V를 쓰고 1.8인치는 3.3V를 쓰고, 전류 소모도 후자가 더 적었다. 외장 하드로 쓴다면 2.5인치 하드디스크에 비해 USB 포트를 가리는 특성은 없다. 2000년대 초반의 플래시 메모리는 지금보다 훨씬 비쌌기 때문에, 비록 희귀성 때문에 2.5인치나 3.5인치 하드에 비하면 비싸지만 플래시 메모리에 비해서는 상대적으로 쌌다. 덕분에 대용량 PMP 및 iPod 클래식 1세대부터 7세대까지 전 세대에서 사용하였다. iPod 1세대는 5GB로 MP3 파일 1000개를 넣을 수 있음을 광고했으며 단종되기 직전의 7세대(래봐야 2007년부터 사실상 변화가 없던 것)는 160GB의 용량을 자랑했다.(다른 하드를 사면 240GB까지 가능.)
그러나 플래시 메모리가 발전하면서 낮은 내구도와 큰 크기, 용량 문제가 불거지면서 하드디스크 를 사용하는 제품이 단종되었다. PMP도 현재는 플래시 메모리 기반이며, iPod 클래식도 2014년에 단종되었다. 물론 이전에 출시된 다른 1.8인치 하드디스크 MP3 플레이어는 더 일찍 단종되었다. 2015년 현재 나오는 DAP들은 microSD 카드를 사용하고, 고급 기종에서는 microSD 슬롯을 두 개 지원한다. 느린 쓰기 속도에 비해 읽기 속도는 상대적으로 빠른 편이며, 1.8인치 하드디스크보다 훨씬 작고 물리적 충격에 강하다.
현재 1.8인치 CF/ZIF 타입의 하드는 더 이상 신품으로 구할 수 없고, 돌아다니고 있는 재고는 대부분 중고품이다. 문제는 단종된 이후 정식 수입사가 아닌 병행수입으로 들여온 게 대다수. 재고품 하드는 SSD 보다 가성비랑 내구성 둘다 떨어진다. AS도. 내구성이나 성능을 믿기 어렵다면 ZIF to mPCIe 같은 어댑터나, ZIF 타입으로 나오는 SSD(리뷰안테크 Z230 64GB 등)로 교체해야 한다. 물론 CF나 2.5인치 인터페이스를 쓴다면 거기에 맞는 물건을 구해야 한다. 그냥 ZIF 인터페이스 쓰는 기계는 버리던가 하자 아무리 좋아도 ATA/100급의 성능밖에 못뽑아내는데. MP3/PMP라면 적당한 CF 카드를 꼽아도 무리가 없으나 노트북이라면...
1인치 : Microdrive에 사용한다. 최대 12GB 용량까지 나오고 단종되었다. 현재 마이크로드라이브는 존재 의의가 거의 상실된 상태이며 대부분의 영역에서 플래시메모리로 대체되었다. 대표적인 예시로 아이팟 미니는 아이팟 클래식(당시는 그냥 아이팟. 2005년 당시 아이팟 터치는 없었다)의 소형화 모델로 나왔지만 소형이라기엔 크고 두꺼운 크기로 1년만에 아이팟 나노로 대체되며 단종 되었다.
일반적인 전천후 하드디스크[9]. 모바일용 2.5" 하드도 이 분류에 속한다...기 보다는 아래의 타 용도로 쓰지 않는 편이다. 한 때 성능 및 회전수(rpm) 등에 따라 "익스트림(12000rpm)/일반(7200rpm)/저전력(5400, 4800rpm) 제품군"으로 분류하기도 했으나 SSD 등장 이후에는 그놈이 그놈 취급을 받아버렸다(...). 물론 전혀 차이가 없는 것은 아니다. 고회전수일수록 고성능인 것은 사실. 순차읽기보다는 랜덤읽기에서 차이가 벌어진다. 뭘 사야할 지 모르겠다면 그냥 널리 쓰이는 7200rpm 제품을 구매하자.
WD Green 시리즈[10] WD Blue PC Hard Drive 시리즈 WD Black Performance Hard Drive 시리즈 HGST TravelStar 시리즈 Seagate Desktop HDD 시리즈 Seagate BarraCuda 시리즈 Toshiba Desktop Hard Disk 시리즈
24시간 작동에 적합한 강한 내구성, 저전력 성향이 강한 제품군. 네트워크 속도보다 빠를 필요가 없으니 rpm은 높지 않는 편이고, 덕분에 진동과 소음이 줄었다..만 이건 NAS 제품군 한정. 엔터프라이즈 제품의 경우 15000rpm 제품도 출시된다. 어차피 데이터센터에 박아놓으니 소음따위는 중요하지 않다.
WD Red NAS Hard Drive 시리즈 WD Red Pro NAS Hard Drive 시리즈* WD Gold Datacenter Hard Drive 시리즈* WD RE Datacenter Hard Drive 시리즈* HGST UltraStar 시리즈* Seagate NAS HDD 시리즈 Seagate IronWolf 시리즈 Seagate IronWolf Pro 시리즈 Seagate Enterprise Capacity HDD 시리즈* Toshiba Cloud & NAS Hard Disk 시리즈
연속적인 기록에 최적화 되어 있는 제품군. 24시간 작동을 보장하는 것을 넘어 지속적으로 갈구기 데이터를 쓰기 덕분에 쉴 틈이 없다(...) 대신 헤더가 랜덤으로 자주 움직일 필요나 조각모음 할 필요가 없는 것이 특징이다. 사건이 없으면 데이터를 읽을 일 조차 없을 수도 있다(...) 기록하는 데이터도 고용량 파일(동영상)이므로 섹터를 큼직큼직하게 배분할 여지도 높으면서도 용량 낭비도 적을 수 있어 같은 기술에 고용량화에 유리한 점이 있다. 데이터가 이 파일 저파일 동시다발적으로 기록되는 것이 아니므로 SMR[11] 같은 신기술을 적용할 가능성도 높은 편. 다만 경제적인 이유로 NAS용 하드에 스티커 색만 다르게 붙인 느낌같은 느낌이 들기도 한다[12]. NAS 제품군과 같이 고rpm 제품은 아니나, NAS 제품군(5400rpm)과 달리 5900rpm으로 출시되는 경우도 있다.
WD Purple Surveillance Hard Drive 시리즈 WD Purple NV Surveillance Hard Drive 시리즈* HGST CinemaStar 시리즈 Seagate Surveillance HDD 시리즈 Seagate Video HDD 시리즈 Seagate SkyHawk 시리즈
하드디스크에 SSD를 캐싱용으로 조금 붙여 자주 사용하는 파일은 SSD에 캐싱해서 더 빨리 구동한다는 개념. 그러나 사용자가 컨트롤 할 수 없고, 하드디스크가 제멋대로 넣어버린다. SSD에 들어간 일부 파일 외에는 당연히 하드디스크에서 읽으니 속도가 하드디스크나 별 차이가 없다고는 하지만, 그래도 확실히 로딩속도는 빠르다. 취소선으로 SSD + HDD로 맞추라고 하는 사람이 있었다. 근데 다나와 기준 <SSD+HDD[13]>와 <FireCuda[14]>를 비교 했을때 는 용량 면에서는 좋다. 적절한 가격대비 용량과 가격 대비 성능을 갖춘 좋은 하이브리드 드라이브지만 정작 최고는 아니라는 게 문제. 그래도 SSD + HDD로 해서 따로 작업하기[15] 힘든 사람과 드라이브 할당을 1개, 즉 C만 두고 쓰는 유저들에겐 좋은 선택이 될것이다.
자신이 쓰던 하드를 중고로 넘기기 앞서 반드시 포맷한 다음에 소거 프로그램으로 3-pass나 7-pass로 빈공간을 여러번 덮어써서 완전 삭제해야 하고 파일을 삭제한 흔적 역시 지워야한다. 그렇지 않으면 민감한 파일이나 개인정보가 누출될 수 있다. 실제로 용산전자상가에서 구한 중고 하드 디스크를 간단한 프로그램으로 상당부분 복구한 내용이 방송에 나오기도 했다. 랜덤으로 한번만 덮어도 사실상 안전하다. 소거 프로그램을 구할 수 없다면 고화질 영화 파일로 꽉 채우고 포맷해도 된다.
사들인 하드 디스크는 chkdsk 등의 명령어나 관련 유틸리티를 통해 정밀검사하고, 소거 프로그램을 통해 와이핑을 해주는 것이 좋다. 와이핑을 하면 자동적으로 사실상 디스크 정밀검사가 되는 것 뿐만 아니라 중고 하드 안에 있을지도 모르는 불법 데이터가 삭제되어 새 소유자에게 다가올 불이익의 소지가 없어지기 때문.
사용시간이 5천~1만 시간이 초과되는 제품은 피하는 것이 좋다.
중고 장터를 보면 미개봉 하드라면서 파는 경우가 많은데 십중팔구 리퍼비쉬[16] 하드이다. 고장난 하드를 수입사나 제조사에서 리퍼 하드로 바꿔왔는데 본인이 쓰기에는 찝찝한지 리퍼비쉬라는 말은 쏙 빼놓고 그대로 내다파는 경우가 매우 많다.
리퍼비쉬면 다행이고(리퍼후 미사용일경우), 중고하드라면 그냥 사지마라. 하드 디스크의 가격은 엄청 떨어져있다. 벤치마크 프로그램으로 진단되는 불량은 새발의 피다. 1, 2만원 아끼려고 위험부담을 감수하느니 그냥 새 것을 사는 것이 훨씬 이득이다. 중요 데이터는 다른 곳에 이미 빼두었고 그저 값싸게 굴러먹을 목적이라면 중고하드도 나쁘진 않지만 데이터 보관용 등 보다 진지한 목적이라면 일단 피하자.
간혹 중고 하드를 판매하는 곳에서 데이터 복구도 하고 고장난 하드를 사들이기도 하는데 그런 업체에서 중고하드를 살 때는 주의하자. 자체적으로 수리해서 팔기도 하기 때문이다. 그런 하드는 S.M.A.R.T.정보를 보면 수치가 다 0이다. 당장은 괜찮을지 몰라도 빠른 시일 내에 망가질 확률이 리퍼 하드 정도는 아득히 뛰어넘는다.
즉 하드 디스크는 소모품이다. 확실한 물건을 지인에게 공짜로 받아 쓴다든가 하는 이외의 경우에는 중고하드 사용은 무조건 손해라고 보면 된다.
현재 하드디스크 제조사 중 저장된 데이터를 책임져 주는 곳은 없다.[17][18] 만약 하드디스크가 고장났는데 그 안에 중요한 데이터가 저장되어 있다면 A/S를 맡기지 말고 먼저 하드디스크 복구 업체를 찾자. 일반적으로 A/S를 맡기면 고장 내용에 관계 없이 새 하드디스크로 교환해 주는 경우가 대부분이기 때문에, 데이터는 영원히 어디론가 사라질 것이다. 살려야 할 데이터 용량이 많지 않은 편이고, 아직 하드디스크 인식 면에선 가끔 하드디스크를 인식하곤 한다면 복구 업체를 찾는 대신 파이널 데이터 같은 복구 프로그램을 이용해도 되겠지만 아무래도 복구 업체보단 복구율이 낮다. 게다가 복구 프로그램은 디스크에 물리적인 손상이 발생한 경우 잘못 사용하면 오히려 상태를 악화시킨다. 그러니까 컴퓨터 사용 중 본체를 쓰러뜨린다거나 해서 맛이 간 하드는 복구 프로그램을 돌릴 생각도 하지 말고 그대로 복구업체로 들고가자.
사실 하드디스크 복구 비용은 매우 비싸다. 특히 요즘은 하드디스크 용량이 매우 크기 때문에 하드디스크 가격의 몇 배가 들어간다고 보면 된다. 게다가 모든 데이터를 복구할 수 있다는 보장은 없다. 그나마 기판에 문제가 있을 때는 비교적 복구율이 높아서 운이 좋으면 100%의 데이터가 복구될 수도 있지만, 헤드나 플래터 등 내부의 부품에 문제가 있을 때는 복구율이 수직하강한다. 가장 높은 복구율이 80% 정도고 일반적으로는 이보다 복구율이 낮다고 봐야 한다. 다행히 침수나 벼락 같은 일반적인 자연재해에 의한 고장은 아마추어가 뻘짓 안하고 곱게 모셔온 경우에 한해[19] 복구율이 높다. 그러나 떨어뜨려서 플래터가 박살난 경우라면... 물론 박살난 조각을 모아서 자기모멘트를 스캔하는 방법으로 복구할 수도 있긴 한데 비용도 막대할 뿐더러 일반인이 접근하기 힘들다.
국가기관이나 전문적인 복구업체에서는 반도체 업체에 버금가는 먼지없는 시설에서 뚜껑을 따고 플래터의 자기장 정보를 직접 읽어서 복구하기 때문에 몇 번 덮어 씌워진 정보도 살릴 수 있다고 한다. 이 때문에 보안이 중요한 기업/정부기관에서는 디가우저라고 불리는 자기장으로 수십~수백번 긁는 장비를 사용하거나 소각하거나 물리적으로 파쇄한다. 두가지 방법을 다 하는 경우도 있다. 큰 조각으로 파쇄하면 그 조각을 모아다가 읽을수도 있기때문에 그야말로 부숴버린다.
평소에 중요한 데이터는 미리 잘 백업을 해 두고, 이상의 기미가 조금이라 보인다면 빨리 데이터를 옮기는 것이 좋다. 대부분의 경우 하드디스크가 고장나기 전에 이상 징후가 온다. 프리징 현상이라든지, 부팅시에 디스크를 못읽다가 몇번 껐다 켜면 읽는다든지 하는게 있으니, 이 현상이 좀 잦아진다면 중요한 데이터는 물리적으로 구분되는 다른 저장매체에 백업해둘 것. 하드디스크 데이터 복구 비용은 매우 높기 때문에 차라리 미리 그런 비용의 일부로 외장하드 중 안정적인 제품을 골라 하나 더 사서 사전에 백업해두는 게 좋을 것이다.
전문적인 이야기 다 빼고, 잘 모르는 이용자를 위해 딱 한마디로 정리하자면... 하드디스크 손상으로 잃어버린 데이터는 못 되찾는다고 생각하라. 그게 속 편하다. 일단 비용부터 상당하고, 복구기술이 크게 발전했다고는 하지만 대부분 복구율을 퍼센테이지로 따진다. 그런데 이게, 경찰 수사자료 같은 거라면 자료의 일부만 복구해도 증거로 사용할 수 있으니 상관없겠지만... 일반 사용자 레벨에서는 일부 복구는 사실 큰 의미가 없다. 예를 들어, 일반 개인 사용자에게 가장 소중한 자료 중 하나인 가족사진등을 생각해 보자. 파일이 일부 깨져서 가족 얼굴이 안 나온다거나, 가족 일부가 안 나오는 사진은 의미가 없다. 잊지 말자. 백업은 쉽고 복구는 (극히)어렵다. 데이터는 값싸고 간편하게 백업해 두자. 소중한 자료라면 더블백업하자백업해라 두번해라. 그래도 불안하면 하드 두개에 더블백업해서 하나는 친구에게 맡겨두고, 대신 당신도 친구의 더블백업 하드중 하나를 맡아주자. 한 쪽 집에 홍수가 나서 떠내려가더라도 자료는 남아있다. 그리고 친구가 당신의 더블백업 하드를 부숴버리면 당신도 친구꺼 부숴버리면 된다.아니면, 임대금고를 빌려서 더블백업 하드중 하나를 넣어두자. 이런 짓들이 귀찮아 보이는가? 물론 귀찮겠지만 데이터 복구는 이 모든 백업보다 훨씬 더 귀찮다. 백업 당해내는 복구 없다. 잊지말자. 네이버 클라우드 등 클라우드 저장 서비스를 이용하는 것도 하나의 방법이다. 업로드가 조금 귀찮더라도 한번 올려두면 서비스가 망하거나 하지 않는 이상 자료는 안전하다.
하드디스크가 이상이 있는지 긴가민가 할 경우, 일단 무식하지만 육감을 이용하는 진단법으로 프리징이 느껴지는 순간 하드디스크에 청진기를 대보자(혹은 불편하지만 직접 귀를 갖다대도 된다). 쩔꺽거리거나 찌륵거리는 소리가 주기적으로 들린다면 디스크에 문제가 있을 가능성이 있다.
일단 하드디스크에 이상이 생겼다는 소리는 아래와 같이 들린다.
여기 에서는 하드디스크 제품별로 고장 원인에 따른 하드의 비명 이상 작동하는 소리를 들을수 있다.
그리고 일부 하드는 자신에게 이상이 생기면 사이렌을 울려서 자신의 이상 상태를 어필하기도 한다 (스핀들 모터가 구동되지 않거나 하드디스크에 심각한 문제가 있을 경우.)
여기서 소리가 불규칙하거나 연속적으로 들리면 하드디스크 이상이 아니라 소프트웨어적으로 꼬였을 가능성이 더 높다. 하지만 이런 경우에는 소리로 고민할 필요가 없이 더 전문적인 방법을 사용하면 된다. 그건 바로 디스크 검사 유틸리티를 돌려보는 것이고 여기서 배드 섹터가 단 하나라도 발견되면 맛이 가고 있다는 증거이다. 설령 그렇지 않더라도 디스크 상태 확인 유틸리티에서 위험 신호 뜨면 정상적으로 작동하는 하드디스크라도 곧 사망하실 가능성이 높으니 즉시 교체대상이다. 또는 시스템 로그를 봐도 되는데 여기부터는 전문가의 영역이지만 일단 보면 정확한 시간과 날짜에 뭔일이 발생했는지 기록되어 있으므로 한눈에 이상을 파악할 수 있다. 보통 크리스탈 디스크 인포나 HD튠 같은 유틸리티를 사용하여 확인한다. 여기서 위험신호가 뜨면 바로 교체하고 기존의 하드 디스크는 디가우저 기계로 보내도록 하자.
제품에 따라서는 무상 A/S 기간이 종료된 후에도 일정 기간동안 제조사에 RMA를 보내서 수리를 할 수 있는 경우가 있다. 제조사에서 정한 업체나 주소로 제품을 보내면 나중에 수리된 제품이 돌아올 것이다. 물론 신품이 오는 것은 아니고 리퍼브가 오지만 못 쓰는 제품 갖고 있는 것 보다는 100배 낫지 않은가.
종합하자면 하드디스크는 소모품이다. 사용가능횟수 및 사용가능기간이 상당해서 CPU나 램처럼 반영구적인 것으로 착각하는 경우가 많을 뿐. 그러므로 문제가 생길 조짐이 보이면 즉시 새것을 구입하는 편이 좋다.
그런 이유 때문에 하드디스크가 필요 없어졌지만 안에 유출돼서는 안되는 중요한 정보야동가 들어있다면, 물리적으로 파괴하는게 가장 안전하다. 쉽게 말해서, 망치나 손도끼로 부수란 말이다. 생각보다 단단해서, 우선 어느 정도 틈을 벌렸다면 집 근처 놀이터에서 모래를 구해서 한 줌 정도 하드 디스크 속으로 넣고 흔들면 된다. 모래로 인한 흠집도 하드디스크엔 치명적이다. 하드 디스크를 읽는 플래터가 어느 정도로 정밀하냐면, 전투기가 고도 50m(그냥 15층 아파트 높이)에서 초음속 비행한다고 생각하면 된다.
가장 안전한 방법은 물리적으로 파괴한 후 버리는 것이나, 정말 굳이 팔아야 겠다면 웬만한 기술이 없으면 아직 복구가 쉽지 않은 로우포맷을 시키거나, 한번 포맷한 이후 하드디스크 전체용량만큼 더미데이터를 씌워 모든 데이터를 덮어씌운 뒤 다시 포맷하는 식으로 데이터를 소거하거나 별도의 소거 프로그램을 통해 하드 안의 데이터를 싹 소거한 다음에 팔자. 하지만 가급적이면 하드디스크는 중고로 팔지 말자.[21]데이터가 얏옹 이라면.... 뭐... 상관 없을지도?판매자의 선물구매자가 여자라면? 망했어요
전문적인 파괴 기기로는 MHDD(Manual Hard Drive Destroyer)라는 게 있다. 국가기관이나 기업체 부설 연구소에서 중요한 정보가 들어있는 하드디스크를 폐기할 때 쓰는 기기로, 하드디스크를 아예 물리적으로 아작내서 복구를 완전히 불가능하게 만든다. 하드디스크에 커다란 구멍을 뜷거나 잘근잘근 접어버리는 우악스런 방식이기 때문에 어떤 식으로든 복구가 불가능해진다.
다만 이 장비는 물리적으로 하드디스크를 박살내는 장비다. 당연히 국가급이나 대기업급 수준에서 데이터를 복구하려고 하면 앞서 언급했듯이 깨진 플래터에서도 자료를 추출할 수 있기 때문에 이 장비를 사용하기 전에 일단 디가우저로 데이터를 완전히 박살낸 다음, 추가적으로 이 파쇄기를 써서 복구가 사실상 완전히 불가능하게 만드는 방법을 쓴다.그냥 아주 때려 부숴서 조각을 내주자조각모음이 필요해!!
가정용 하드에 무슨 공인인증서만 수십개가 넘고 야동이 1테라 인데 플래터가 고장나서 버리긴 해야겠는데 자료를 파쇄해야 한다면, 저런 장비 없이 그냥 하드디스크의 껍데기를 분해하고 디스크만 꺼내서 자석으로 신나게 문지르고, 디스크가 유리라면 곱게 빻아서 변기에 쏟고 물내려 버리자. 그러면 걱정 할 필요 없다. 쉽게 생각하면 의외로 쉬운 부분.
이도저도 아니라면 그냥 인터넷에서 랜섬웨어 강력한거 풀리지도 않는거 하나 받아다가 싹다 감염시키고 포맷시켜라. 나중에 복구해도 이미 고도로 암호화된 것도 모자라 손실율이 최대 70% 언저리에 해당하는 심히 아스트랄한 파일들이 튀어나오는데다 재수 없으면 개인정보를 노리고 복구한 놈의 컴퓨터가 날아간다. 실로 함정.
하드디스크를 전자레인지에 넣고 돌리면 된다는 사람들도 있는데, 이 방법은 매우 위험한 방법이다. 화재 또는 폭☆8한다. 당신의 전자레인지와 목숨이 아깝지 않다면 해볼만도 하다.관련 기사
하드디스크를 물(독극물 DHMO)에 담궈놓으면 된다는 사람도 있는데, 국방부에서 바닷물에 30일간 침수되어 부식된 하드디스크를 복구한 사례가 있다. 사기업에서도 복구한다. 모 데이터 복구업체에서 청해진해운 세월호 침몰사고 당시에 침수된 하드디스크를 복구한 사례가 있다. 링크
2008년의 논문에 의하면 한번 덮어 쓴 1bit의 자료를 복구할 확률은 깨끗한 하드일 경우 92%, 사용하던 하드일 경우 56%이다.2차 출처1차 출처 굉장히 높은 확률인 것 같지만, 이는 4byte의 연속된 자료의 복구 확률이 1% 이하라는 얘기다. 그러면 위에서 언급한, 포맷한 하드를 간단한 복구 프로그램으로 되살려 낼 수 있었던 사례는 어째서 가능한가?
어떤 블로거의 실험에 의하면, 윈도 XP에서 일반포맷(빠른 포맷이 아니다!)할 경우 하드 디스크 전체를 0으로 채우지 않는다고 한다(FAT32, NTFS 둘 다 마찬가지). 이럴 경우 간단한 복구 프로그램으로도 포맷 전의 자료를 복구 가능하게 된다. 다행히 윈도 7부터는 일반 포맷을 하면 제대로 하드 디스크를 모두 0으로 채운(zero-fill)다고 한다. 만약 중고 하드디스크 판매 업자가 하드디스크를 포맷할 때, 윈도 XP에서 포맷을 사용했다면, 포맷 전의 자료를 복구할 수가 있는 것이다.
따라서 일반적인 복구 프로그램에 대해서는, 제대로 하드디스크 전체를 0으로 덮어쓰는 것만으로도 복구가 불가능하게 된다. 윈도 XP에서는 별 수 없이 전용 삭제 프로그램을 이용해야 하지만 윈도7 이상부터는 그냥 일반포맷 한번으로도 일반인은 복구가 불가능하며, 포렌식하는 사람들도 그냥 한번 덮어써도 복구는 불가능하다는 쪽인 듯 하다.자료
실제 하드디스크의 기록 방식은 우리가 흔히 알고 있는 "표면에다 N-S극을 이용해 0과 1을 기록한다" 와 이미 너무나도 많이 달라진 상황이다. 이미 그런 기록 방식은 플로피 디스크 시대에 그 수명을 다 했다.
이미 하드디스크 업체들은 특정 비트를 매체 표면에 "딱 하나"만 쓰는것이 불가능할 정도로 데이터의 밀도가 높아진 상황이다. 2010년 이후로 HDD의 밀도는 제곱센치당 수백 기가비트 수준으로 올라와 있으며, HDD는 이런 높은 저장밀도를 가진 영역에서 7200rpm(초당 120바퀴)으로 돌며 데이터를 기록하는 것이다. 대충 짐작해 봐도 특정 지점에 bit나 byte수준으로 "매번" 정확하게 무언가를 하는 것은 불가능에 가깝다는 것을 짐작할 수 있다. 심지어 All 1이나 All 0패턴으로 디스크 표면을 채우는것조차 불가능하다(하지만 그 패턴이 All 1이나 All 0라는건 아래에 언급된 기술로 알아낼수 있다).
위에 언급한 저장밀도와 속도에 의한 한계를 해결하기 위해, 현대 HDD는 EPRML이나 ECC등의 기술을 이용하여 데이터를 기록한다. EPRML은 애초에 특정 비트 하나를 정확히 기록할 수 없음을 전제하고, 전체 비트 스트림을 표면에 기록하는 것을 목적으로 한다. 이후 읽기 요청이 들어오면, 표면의 패턴을 분석하여 "이러한 기록 패턴을 만들어 낼 수 있는 비트의 집합"을 찾아낸 뒤, 그 중 가장 가능성이 높은 패턴(maximun likelihood)을 유저에게 보낸다. 이런 과정을 거쳐도 고쳐지지 않는 정보들은 ECC엔진을 통해 수십 bit수준까지는 보정하여 원래 기록한 값을 사용자에게 전송하게 된다.
상술한 내용을 보면, 이미 현대 HDD라는 물건 자체가 1. 비트 단위로 패턴을 기록하는건 불가능함, 2. 잘 기록된 비트도 도중에 변질될 수 있음 이 두가지를 전제하고 만들어졌단 것을 쉽게 알 수 있다. 값을 제대로 쓰는것도 쉽지 않고, 도중에 값이 스스로 변하기도 하는 물건에서 과거의 패턴을 읽어내여 데이터를 복구한다? 절대 불가능하다. 본인이 수 bit만 복구되어도 치명적인 값을 저장하고 있지 않은 이상, 완전삭제는 패턴 1회만 돌려도 충분하다. 전자현미경 등 어떠한 도구를 사용해도 불가능하다. 이미 HDD기록중 실수로 발로 차서 생긴 노이즈, 전압 nipple등에 의해 생겨난 HDD값 변화와 과거 기록된 값에 의한 자성 변화는 구분할 수 없다.
만약 누군가가 Zero fill된 HDD에서 데이터를 유의미한 수준으로 복구했다고 말한다면, 그는 사기꾼이거나 혹은 Zero fill되지 않은 HDD에서 복구한 것을 착각했을 가능성이 높다.
자기기록매체의 선두주자이며 현재 디지털 데이터를 저장하는 주력 저장매체가 하드디스크이기 때문에 SSD로 대표되는 반도체 저장장치가 획기적인 가격하락을 보이지 않는 한 계속해서 공존할 것으로 보인다.
그런데 삼성전자가보급형으로 밀던 SSD가 큰 문제를 일으키며 SLC, MLC, TLC 등 플래시 메모리의 차이와 가격하락에 따르는 신뢰성의 저하 등의 문제를 일반대중이 인식하기 시작하면서 SSD 만능론이 주춤하는 추세인지라, 속도(SSD)보다는 내구성과 신뢰성(HDD)을 선택하겠다는 유저도 늘어나는 상황. 솔리드 스테이트 장치인 SSD가 HDD보다 오히려 신뢰성이 떨어질 수 있다는 것이 아이러니다.[23][24]
사실 하드디스크는 물리적 한계 뿐만이 아니라 인터페이스의 한계나 프로토콜의 한계를 상당히 많이 겪어온 장치이다. 그리고 그때마다 신기술을 개발하거나 기존 기술을 보완해서 극복해나간 것도 사실이다.
초창기 하드디스크는 디스크와 컨트롤러가 분리돼 있었는데 그걸 하나로 통합하면서 IDE라는 인터페이스가 만들어졌고, IDE의 '디스크 꼴랑 두 개' 연결 가능한 한계를 극복하기 위해 E-IDE가 만들어졌다.(SCSI는 디스크만 상대하는 인터페이스가 아니었으니 일단 논외로 하자) 그리고 E-IDE의 전송속도 제한인 66MB/s를 극복하기 위해 40개의 데이터 전송로 하나하나에 전부 접지 쉴드를 씌우는특이한 왠지 멋있지만 병신같은(그러나 효과가 있었던) 해법을 적용해 최고속도 133MB/s를 달성했다. 이것이 요즘에도 CD-ROM드라이브 연결할 때 가끔 보이는 80선 리본 케이블이다.
더 높은 전송속도를 달성하기 위해 40개 신호선을 전부 트위스트 페어로 하거나(랜선에 쓰는 그 방식) 동축 케이블(유선방송 케이블)로 만드는 방법도 있었지만, 40개의 신호선으로부터 전달되는 신호의 도달 속도가 모두 다름으로 인해 하드디스크에서 그 전송 차를 보정하는 과정에서 생기는 프리징, 그리고 신호선 중 일부의 속도 저하로 인해 발생할 수 있는 병목현상을 해결하기 위해 SATA라는 전송방식이 새로 제안되었다. [25] SATA는 두 쌍의 트위스트 페어 케이블을 일차로 알루미늄 호일로 싸 차폐하고 그 쌍 전체를 한번 더 호일로 싸서 이중 차폐한 선을 사용하는데 초기 버전이 1.5Gb/s를 전송할 수 있었다. 전송로가 40개에서 2개로 줄었는데 속도가 증가한 이유는 SATA가 E-IDE보다 훨씬 고클럭을 써서 그렇다. 메가헤르츠와 기가헤르츠의 차이라고 보면 딱이다. 지금 이 전송방식은 SATA-3까지 와서 최대 6.0Gb/s까지 전송이 가능하다. 현대 하드디스크는 SATA-2까지의 전송 대역폭을 소화하고 있다. 참고로 이러한 전송 방식은 고대적(?)의 시리얼 통신의 그것과 매우 비슷하다. RS232케이블도 실질적으로 데이터가 움직이는 단자는 TxD, RxD 둘 뿐이기 때문. 어찌되었든 케이블 수를 줄였기에 더 차폐가 용이해 졌고, 기술의 발전으로 고클럭으로 작동이 가능해서 속도까지 빨라진 것이다. 그러고보니 CPU와 정 반대의 상황이다.
용량 문제에서도 아직도 많은 사람들이 기억하고 있는 504MB 바이오스 장벽 문제, FAT16의 한계 용량인 2GB문제 등 바이오스와 운영체제에 의한 용량 한계를 다양하게 겪어왔다. 현재는 32비트 MBR의 한계용량인 2.2TB 장벽에 걸려있다.[26] 이 장벽을 넘어서면 또다시 48bit LBA의 한계인 144PB의 장벽이 기다리고 있다.
물론 물리적인 한계도 있었다. 수직자기기록 방식 하드디스크에 대해서는 익히 들어봤을 것이다. 이외에도 기록 매체를 가열해서 기록하는 HAMR방식이라든지 디스크 표면에 자성체 패턴을 나노 단위로 구축하는 나노임프린팅 방식 등이 계속 연구되고 있다. 이외에도 플래터의 기록 밀도를 높이기 위한 연구가 매우 다방면에서 이루어지고 있기 때문에 한계가 어디까지일지는 불분명하다. 당장 가시권에 들어온 기술만 구현해도 현재 용량의 10~100배 정도까지 늘리는 게 가능하다는 전망이다. 근데 플래시 메모리쪽의 기술 발전 속도가 더 빨라서 그 기술이 적용된 하드디스크가 양산될 수 있느냐는 또 다른 얘기가 돼버렸다.
2014년 9월 10일, 웨스턴디지털 산하 HGST(히타치)가 10TB 하드디스크를 내놓았다관련 기사1관련 기사2 HGST(히타치)의 기업용 10TB 하드디스크는 싱글자기기록(SMR) 기술과 헬륨 충전으로 용량 10TB를 구현했다. 그리고 그에 질세라 삼성전자에서는 16TB짜리 SSD를...
2011 태국 홍수사태로 인해 WD사의 하드디스크 공장이 물에 잠김에 따라 하드디스크 안에 금이라도 넣었나 싶을 정도로 하드디스크의 값이 폭등했다. 특히 1TB의 경우 2배 정도로 뛰어오른 상황이 일어나 컴퓨터를 맞추려는 사람들 사이에서 높아진 가격으로 인해 상대적으로 가격이 내려가고 있는 SSD로 강제로 입갤되었다라는 한탄이 들려오고 있다. 2015년 현재 SSD의 주력 상품이 256GB로 이동하고 있고 256GB의 용량은 일반인 입장에서는 충분한 용량이다. 클라우드니 스트리밍이니 하는 거 다 무시하고 모든 걸 다운로드받아 소장하는 콜렉터들한테는 안 충분한 용량이겠지만.
다만 2014년 12월 240/256GB급 SSD가 15만원선의 가격대를 형성했고, 2014년 올해가 SSD 대중화의 원년이 될 것이라는 전망이 많은 상황. 사실 하드디스크라고 놀고 있는건 아니어서 15만원이면 하드디스크는 3TB 짜리를 사고도 돈이 남으니 가격 대비 용량은 수년 전이나 지금이나 큰 차이가 없지만, SSD로 일반인에게 필요한 용량을 구성하는데 드는 돈이 점점 낮아지고 있어서 어느 선을 넘으면 보급율이 크게 올라갈 것으로 보인다. 인텔에서 최근 들어 양산하기 시작한 Tri-Gate스트럭처를 비롯한 3차원 반도체 공정 또한 지속적으로 연구되고 있었으므로 가격대비 용량 또한 더더욱 증가할 것이다. 이 뿐만 아니라 에너지 소모 또한 SSD가 획기적으로 적어 모바일 시장에도 더욱 적합하다.
2016년 현재 이미 SSD의 대중화가 이루어져 PC용 기준으로는 HDD이 SSD에게 점유율로 따라잡혔다. 기업 시장은 이미 발빠르게 SSD로 전환 중. 기업은 대량구매를 하니까 가격이 열 배나 높은 SSD를 마냥 외면할 거라 생각하면 큰 오산이다. IOPS라고 하는 일종의 속도 지표가 있는데 SSD의 IOPS는 하드디스크 따위와는 자릿수부터 다른 곳에서 놀고 있다. 그 외에 상면 공간 절약, 냉각 비용 절감, 유지보수 비용 감소(먼지에 강하고 진동이 없어지니까) 등을 한꺼번에 따져보면 저 열 배의 가격은 격차가 많이 좁혀진다. 데이터베이스 서버에서는 이미 격차가 역전되었다. 데이터의 보존기간 역시 SSD가 HDD의 그것을 넘어섰다.
하드디스크 안정성이 비슷비슷하다고 하지만, 삼성은 문제 없이 잘 돌아간다는 평과 돌연사가 잦다는 극과극의 평이 병존했었고, 히타치(HGST)는 삼성하드만큼 안티가 많지는 않지만 역시 안정적이라는 평과 동시에 내구성이 약하다는 평이 병존하고 있고, 웬디와 시게이트는 전체적으로 무난하다는 평이다.
소중한 자료를 그것도 대량으로 저장하게 되는 매체다 보니 하나라도 고장나면 멘탈은 바로 혼돈의 카오스행. 그렇다 보니 별명들이 많다. 씨게이트 - 헬게이트, 데스게이트 X발게이트, 히타치 - 히딸친(...) 트러블스타/데스스타(TravelStar는 2.5", DeskStar는 3.5" 브랜드명이다), 도시바 - 또시발(...)등.. 웨스턴디지털 - 서쪽돼지털 (노스페이스 - 북쪽면상)
Seagate - 씨게이트. 2011년에 삼성의 하드디스크 사업부를 인수완료하였다.[27] 저렴한 가격으로 가성비가 좋은 하드이다....만, 최근 3년간 시게이트 하드의 불량률은 압도적 1위다. 데스게이트라고 부르면 다들 알아들을 정도.
Western Digital - 웨스턴 디지털, 흔히 웬디 혹은 WD라고 불리며, 히타치 GST를 2011년 3월 9일부로 인수했다. 이때 히타치의 3.5인치 하드디스크 공장을 도시바에 매각했다. 가격이 너무 비싸다는 것 빼고는 상당히 좋은 하드디스크이다. 그리고 서버 하드디스크 테스트에서도 좋은 점수를 받았다. 사망시 하드디스크가 점점 불량섹터가 늘어나면서 사망하게 된다. HD-TUNE등으로 가끔 검사를 꼭 해봐야 한다.
히타치(HGST) - 하타취가 아니다IBM의 하드디스크 사업부를 히타치가 인수하면서 본격적으로 하드디스크를 만들었다. 그러나 웬디에게 인수되었다. 인수된 이후에는 HGST라는 이름의 브랜드로 나온다. 그래도 여전히 독자적인 히타치 하드디스크[28]가 나오며 여러가지 하드디스크 신기술도 계속 나오고 있다. 가격도 저렴한 편. 서버 하드디스크 수명 테스트에서 최고의 안정성을 인정받았다. 은근히 시스템의 안전성 영향을 많이 받기에 히타치 하드가 잘 죽는다면 사타케이블의 불량또는 파워케이블의 불량을 꼭 의심해봐야 한다. 히타치 하드가 잘 돌아가도 2~3달 쓰고 드드드드득 소리가 예민하게 날 정도면 하드가 아닌 분명 시스템을 의심해봐야 한다. AS가 최악이라 할 정도로 좋지 않다 하드디스크의 약간의 외형파손 긁혔다던가 또는 SATA 플러그가 부러졌을때 등은 아예 수리불가다. 이건 수입사가 문제가 아니라 원래 히타치의 정책이다 2015년 10월 1일 현재 과거와 달리 타사 AS정책과 동일하게 적용중이다. 2015년 10월 19일 웨스턴 디지탈에서 히타치 자회사를 몽땅 흡수한다고 선언했다. 히타치 사장이 웨스턴 디지털 사장이 되면서 자회사 및 산하 그룹을 합치는 방식...합병에 2년쯤 걸릴 거라는데 그동안 영업팀 및 브랜드는 유지된다고 하나, 현재 수순으로 봐서는 HGST 는 사라질 전망이다.
HGST 브랜드는 일반적인 하드디스크가 아닌 NAS나 서버 전용 제품을 표방하고 나온다. 그 때문에 가격대가 조금 높긴 하지만 안정성은 최강으로, 각종 하드디스크 에러율 조사에서도 안정성 최상위권을 유지하는 브랜드이다. 일반적인 용도보다는 전문적인 용도로 사용하기 좋은 제품군이다. 물론 규격은 별다른 것이 없으므로 일반적인 데스크탑에 물려서 쓸 수도 있다.
도시바 - 1.8인치와 2.5인치에 강하며, 후지쯔의 하드디스크 사업부를 인수하고 나서는 기업용 3.5인치 SAS/SATA 하드디스크도 제조하고 있다. WD의 히타치 인수로 인해 추가적인 3.5인치 공장설비를 가지게 되었으므로 2강1약의 상태라도 하드디스크 제조사의 대열에 본격적으로 들어가게 되었다.[29] 현재 가장 저렴한 하드로 서버용을 제외한 일반 모델은 히타치에서 OEM 받은 것인데 구형제품이다.도시바 하드 구해서 잘 보면 구형 히타치 하드와 동일한 디자인이다. 하지만 성능상 문제는 없다. 최근 가장 저렴했던 히타치 하드 제품의 가격이 올라가면서 주목 받고 있다.
아이오메가(Iomega) - 오늘날 레노버 EMC의 전신. 하드 디스크 외에도 "베르누이 박스"라는 신기한 물건을 만든 회사이다. 이오메가나 베르누이 박스는 몰라도 ZIP 드라이브라면 기억하는 사람이 있을지도? ZIP 드라이브가 바로 베르누이 박스의 하위 제품군, 열화카피판이다. 베르누이 박스는 1980년대에는 최고의 가성비를 가진 저장매체로서 많은 대학이나 기관에서 중요 데이터의 운반에 활용되던 포맷이다. 베르누이 박스는 수십~수백 메가바이트 용량을 가진 고속 플로피디스크라고 생각하면 비슷하다. 즉 용량과 속도는 하드디스크에 근접하지만, 드라이브에 디스크를 넣었다 뺐다 할 수 있고 플로피와 마찬가지로 PET 재질 디스크라 견고했다. 그러나 CD롬의 등장으로 입지가 흔들리기 시작하더니, 하드 디스크의 용량대비 가격이 급격히 떨어지며 사세가 기울어, 다른 회사에 인수되었다.
퀀텀 - 약간 나이가 있는 컴돌이 위키러라면 친숙한 명칭. 1980년에 설립된 미국 회사로 업계 2인자 자리를 고수하다가(1위는 시게이트) 2001년에 맥스터에 인수되었다.
맥스터 - 이쪽도 미국 회사. 1982년에 설립되었다. 위의 퀀텀을 인수하고 얼마 지나지 않아(2006년) 시게이트에게 인수되었다.
크로바하이텍 - UTANIA로 유명한 재생 하드디스크 회사. 삼성의 재생 사업부를 사들여 각종 저가 조립 완제품 PC에 들어가는 하드디스크를 공급하고 있다. 태국의 부품 공장이 잠시 문을 닫았을 때 이걸 집어넣고 삼성 하드가 들어가 있다고 사기를 치는 경우가 종종 있었다. 역시 용팔이들은 답이 없다. 참고로 이 하드 불량률이 의외로 심각하다 인터넷에 쳐보면 각종 불량들이 쇄도하는편. 그래서 사람들은 이 하드를 시한부 하드라고도 한다1년쓰고 버리는하드
MDT (Magnetic data technologies) - 위의 크로바하이텍 처럼 재생하드를 생산한다. 다만 이쪽은 웨스턴 디지털 하드를 재생한다. 국내에서는 명정보기업이 수입하며 역시 재생하드라 그런지 불량률이 일품. 그래도 위의 크로바하이텍 보단 많이 버티는것도 종종 발견된다 카더라.
마샬 (MARSHAL) - 위의 두 회사처럼 재생 하드디스크를 만드는 일본회사. 여기서는 도시바의 하드디스크를 재생하여 팔고있다.
다나와 유저들의 평가에 의하면 6개월만 쓸 사람만 사는게 좋다고 한다 중고차를 속을 안 뜯어보고 사고이력 조회도 안하고 사는것과 다를바가 없다. 그냥 복불복. 그냥 토렌트 쓸 목적으로 사면 된다
[1] 시게이트 하드디스크중 레스큐(복구지원)모델은 복구가 가능하다. 다만 고장시 100퍼센트 복구는 장담되지는 않는다.[2] 이런 두루뭉술한 표현을 하는 이유가, SSD는 전자를 이용한 전자적 매체이며, 일부 SSD는 3차원 구조로 만든 반도체를 쓰고 있기 때문.[3] 사실 원리를 잘 생각해 보면 뒷부분을 써도 상관은 없다. 뒷부분을 자주 쓰는 만큼 느려져서 문제지만, 자주 쓸 필요가 없는 단순 장기 보관용 자료라면 앞자르기 본연의 목표인 성능에도 영향이 없다.[4]2010년대 이후부터는 대부분 UEFI로 전환돼서 아무래도 상관 없는 이야기가 되었다.[5]`fdisk`로 파티션을 하면 X되는 거예요. 아주 X되는거야. 섹터 정렬하기가 까다롭다. 속 편하게 `parted`를 쓰자. fdisk 는 호환성을 위해서 남아있는 것 뿐이고 윈도우 2000 이후에는 diskpart 를 사용하는것이 권장된다.[6] 2016년 현재까지는 기업(서버)용에 한해서 512n(512 native, 즉 기존 하드디스크와 동일한 물리적 512바이트 섹터)/512e(512 emulation, 물리적으로는 4K 섹터이고 장치 외부로는 512바이트인 것처럼 에뮬레이션)/4Kn(4K native)이 공존한다. 실제로 HGST의 HUS724040ALA640처럼 4TB 용량에 512바이트 섹터를 가진 물건이 있다. 그나마도 호환성을 이유로 상당 기간 BIOS를 고집하던 서버용 보드들에 UEFI가 탑재되고 RAID 확장 카드들이 4Kn을 제대로 지원하게 되면서 차츰 512n은 사라지고 있는 추세이긴 하다.[7] 현재 생산되는 일반용 하드디스크는 100% 512e라고 봐도 무방하다.[8] USB 3.0이 문제를 해결해 주는게 아니라, 그 시점에 만들어진 외장하드가 3T이상의 용량을 인식해준다.[9] 단 사용자가 잠잘 때 PC를 끈다(절전모드에 들어간다)는 전제를 두고 만든다.[10] 저전력이라 쓰고 저성능이라 읽혔던 제품군. 수시로 절전모드에 들어가며 파킹했다가 헤더 암(Arm)의 모터가 망가지는 헤프닝을 겪기도 했다. 내구성을 높여 Red가 되거나, 그냥 Blue 스티커를 붙여 탈바꿈 하였다.[11] 트랙을 조밀하게 붙여 집적도를 높여주는 꼼수 기술의 일종.[12] 하드웨어는 똑같고, 소프트웨어(펌웨어)만 살짝 다른 등등[13] 삼성 120기가 SDD + 1TB HDD 12만[14] 단일 2테라바이트 가 12만.[15] Program files 만진답시고 레지스트리 건드려야 한다![16]Refurbished나 Recertified라고 적혀있다.[17] 이건 모든 기록매체 제조사들이 마찬가지다. 사진필름이 불량이면 동량의 새 필름으로 교환해 줄 뿐 촬영된 내용을 보상하지는 않는다. 음악,비디오 테이프나 공CD,DVD 등도 마찬가지. 이것까지 책임졌다가는 기록매체 제조사는 당장 파산. 백업이 중요한 이유다.[18] 그런데 시게이트는 보증기간내 데이터를 복구해주는 하드디스크를 출시했다! 100퍼센트 보장은 아니나, 고장난 하드디스크를 맡기면 새 하드디스크로 교체해 주고, 그 후 고장난 하드디스크에서 데이터를 최대한 복구해, USB 또는 외장 하드디스크로 복구한 데이터를 제공하는 방식이다.[19] 물에 빠뜨렸다면 젖은 상태 그대로 들고와야지 말려서 가져오면 대략 난감하다. 산사태 등으로 흙범벅이 됐으면 대충 수건으로 겉만 닦고 바로 가져오는 게 현명하다. 드라이어로 말리는 것조차 아마추어의 뻘짓에 해당한다. 축산폐수가 뚝뚝 떨어지는 상태라도 좋으니 제발 그대로 가져오자. X물에 빠뜨린 하드를 들고왔다고 해서 핀잔 먹을까봐 너무 염려하지 말자. 전문적인(클린룸을 갖춘 수준의) 복구업체들은 그런 악조건의 하드디스크까지도 복구해주는 걸로 먹고사는 사람들이다.[20] 물론 2014년 현재의 하드디스크는 로우 레벨 포맷이 거의 불가능한 지경에 이르렀다는 점은 생각해 봐야 한다. 아마 가정집에서 진짜 로우 레벨 포맷을 하고나서 데이터 복구에 실패했다면, 로우 레벨 포맷 자체 보다는 그냥 하드디스크가 벽돌이 되어서(…) 복구가 안 됐을 가능성이 훨씬 크다.[21] 사실 한 번 더미데이터로 덮어쓰고 나면(명령 프롬프트에 diskpart를 연 다음 clean all명령을 내리거나, 일반 포맷을 하면 된다. clean all명령이 더미데이터를 더 많이 씌우지만 큰 차이는 없다. 단,윈도우 XP의 경우 diskpart가 없고 일반 포맷을 할때 더미데이터를 씌우지 않는다.) 디지털 상태에서(즉, 소프트웨어 레벨에서) 복구하는 것은 불가능하다. 그러면 남은 방법은 자기 정보를 하나 하나 읽어 나가야 되는 아날로그 식 방법인데, 이런 삽질을 할 사람이 얼마나 있을까?[22] 하드디스크의 헤드 암을 움직이는 것은 2015년 현재도 보이스코일이라고 하는 아날로그 전자석 장치이다. 보이스코일에 아날로그 음성출력을 연결하면 당연히 소리가 난다. 물론 전문 스피커라고 할만한 건 아니니 출력신호 자체가 어느정도는 증폭이 되어 있어야 한다.[23] 사실 SSD의 가장 큰 문제점은 내구성 그 자체가 아니다. 오류가 발생해서 소위 뻑났을때, HDD는 복구가 어렵지 않고 데이터 손실률도 낮은 반면 SSD는 복구가 훨씬 더 어렵다는 것이다. 이는 저장 방식의 차이 때문으로 SSD의 본질적인 한계이다. SSD 데이터 복구 기술의 획기적인 발전이 없는 이상 SSD의 내구성이 아무리 HDD보다 우월해도 사용자들의 SSD에 대한 신뢰도는 쉽게 높아지지 않을 것이다.[24] 특정 제품이 사고친 사례가 HDD는 얼마나 되는지 냉정하게 비교해보면 이런식의 비교 자체가 무의미하다는 것을 알 수 있다. 까놓고 말해서 켰다 끄기만 해도 돌연사 확률이 있는게 HDD다. 그 이유는 HDD의 플래터와 헤더가 얼마나 정교하게 동작하는 기계 부품인지를 설명하는 윗 항목들의 기술들을 곱씹어보면 된다. 실제로 HDD에서 가장 전력 소모와 기계적인 부담이 심한 작업중에 하나가 전원 켠 직후 몇초간이다. 사실 데이터 저장에 있어 신뢰성을 확보하는 방법은 개별 제품에 대한 검증과 백업을 통한 리던던시 확보밖에 없다.[25] 이는 PC 초창기 패러럴 포트가 각광받다가 이후 시리얼포트 -> USB에 자리를 내 주었던 인터페이스의 역사와 매우 흡사하다.[26] 32비트 MBR의 한계는 현재 GUID 파티션 테이블(약칭 GPT)로 극복가능하며 윈도우 서버 2003 이후의 OS는 32비트/64비트 버전을 막론하고 GPT로 파티션된 하드디스크를 인식할 수 있다. 다만 GPT로 파티션된 하드디스크에서의 부팅은 64비트 OS에서, BIOS를 대체하는 EFI규격을 사용하는 메인보드를 사용할 때만 가능하다. 그러나 이 역시 소프트웨어적인 지원상의 문제일 뿐, 32비트 메모리 어드레싱 자체의 문제는 아니다.[27]삼성전자는 하드디스크 사업부를 매각하면서 매각 대금의 절반을 씨게이트의 주식으로양도 받아 씨게이트의 2대 주주가 되었다.[28] 보통 인수되면 해당 하드디스크 모델이 단종되거나 인수된 쪽의 주력모델이 되는데 이건 정말 인수된 것인지 의심 될정도로 여전히 히타치만의 하드가 나오고 있다.[29] 시중에 판매되는 3.5인치 도시바 하드에서 히타치의 이름이 나오는 이유
If you investigate your storage needs, you can tune some of global NTFS parameters to achieve significant increase of disk performance. Other techniques like disk defragmentation could help you either.
There are several factors (we do not mention here drive type, rpm ...) that affect the NTFS Performance: Cluster Size, location and fragmentation of Master File Table (MFT) and paging file, NTFS Volume compression, NTFS Volume Source (created or converted from existing FAT volume).
Define Cluster Size Properly
Cluster is an allocation unit. If you create file lets say 1 byte in size, at least one cluster should be allocated on FAT file system. On NTFS if file is small enough, it can be stored in MFT record itself without using additional clusters. When file grows beyond the cluster boundary, another cluster is allocated. It means that the bigger the cluster size, the more disk space is wasted, however, the performance is better.
The following table shows the default values that Windows NT/2000/XP uses for NTFS formatting:
However, when you format the partition manually, you can specify cluster size 512 bytes, 1 KB, 2 KB, 4 KB, 8 KB, 16 KB, 32 KB, 64 KB in the format dialog box or as a parameter to the command line FORMAT utility.
What it gives us? Determine average file size and format the partition accordingly. How to determine? The simplest (but rough) way is to divide number of files on the drive by total disk usage in kilobytes. Another idea is to estimate the approximate data size in advance before formatting the hard drive. If you are going to store multimedia stuff that is usually huge in size, make cluster bigger to increase a performance. If you plan to store small web pages or text documents, make cluster size smaller not to lose a lot of disk space. Think!
Note: On Volumes, having cluster size more than 4 KB compression is not supported
MFT Reservation and Fragmentation
MFT contains frequently used system files and indexes, so performance of MFT affects a lot to the entire volume performance.
By default NTFS reserves zone, 12.5% of volume size for MFT and does not allow writing there any user's data, which lets MFT to grow. However, when, for example, a lot of files are placed to the drive, MFT can grow beyond the reserved zone and becomes fragmented. Another reason is when you delete file, NTFS does not always use its space in MFT to store new one, it just marks MFT entry as deleted and allocates new entry for the new file. It provides some performance and recovery benefits, however it forces MFT to be fragmented.
The more MFT fragmentation, the more the HDD heads movements to access the data, the less overall performance of file system.
Starting from Windows NT 4.0 SP4 you can define MFT Zone Reservation value through the Registry. Key: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlFileSystem Value NtfsMftZoneReservation of DWORD type (1 to 4) allows you to specify MFT Zone for the newly created/formatted volumes(12.5 percent, 25 percent, 37.5 percent, 50 percent of NTFS volume accordingly)
File and Directory Fragmentation
Not only MFT but also other files and directories can be fragmented when drive becomes full and you perform lots of copying and deleting actions with files. It also slows down system performance, so using standard Defragmentation Tools regularly is advisable when you perform a lot of copy/move/delete operations on the volume. Starting from Windows 2000, Disk Defragmenter is a part of Operating System and you can find it in Computer Management console.
If you do not have such tools, you can try doing it manually. Just copy files and folders to another partition, leaving original one nearly empty, and then copy them back. This solution is less effective than using standard Defragmentation Toools, however, it could greatly improve the volume performance in case if your partition was heavily fragmented. Note: It's not an acceptable solution if you have security/permissions setup on these files. While copying between partitions you'll loose this information.
To prevent directory fragmentation, just perform complete drive defragmentation before installing new applications or copying lots of files onto the volume.
Paging File Fragmentation
You cannot use standard Defragmentation Tools to defragment Paging File (PAGEFILE.SYS) because it's being constantly used by Operating System for virtual memory storage. However, you still can do it manually. Just change it's location to another drive (or decrease it's size to minimal value if you do not have another drive), re-boot machine, perform volume Defragmentation, and change parameters of Paging File back to the original state. That's it!
Compression on NTFS Volumes
Compression could save some space on your volume and could increase or decrease your overall performance depending on CPU speed, Volume Size, and Compressible Data. If you have fast CPU and relatively slow HDD, compression is recommended because compressed data takes less size on volume and will be read and decompressed in the memory much faster than reading the whole uncompressed block from the slow drive. The larger the volume (> 8Gb), the lesser its performance if compressed. And, for sure, there is no use of compressing the Volume or folder containing uncompressible data, such as JPG images, ZIP files, etc... Ideal data for the compression are text and office documents, bitmap images and other files consisting of lots of repeating characters.
To compress the file/folder/volume - just go to its properties in Windows Explorer and mark Compressed checkbox.
Conversion volume from FAT to NTFS
If you did not setup Windows on the newly created NTFS Volume, but converted volume from FAT to NTFS, usually it causes MFT fragmentation so generally converted partitions are much slower than the ones being originally created as NTFS. Defragmentation tools are in general unable to defragment MFT, however, you can try to backup the whole system, re-format the volume with proper cluster size, and restore it back.
Unnecessary Access Updates
NTFS automatically updates the last access time and date stamp on folders and files when NTFS traverses its B-tree folder structure. To enhance NTFS performance you can disable this behavior and reduce NTFS's operational overhead without significantly impairing functionality. In the HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlFileSystem Registry key, change the NtfsDisableLastAccessUpdate value of type REG_DWORD from the default value 0 (enabled) to 1 (disabled). This Registry value doesn't exist by default, so you need to enter it manually.
Outdated DOS 8.3 Name creation
You can increase NTFS performance if you disable DOS 8.3 name creation. In the HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlFileSystem Registry key, change the NtfsDisable8dot3NameCreation value of type REG_DWORD from the defaoult value 0 (enabled) to 1 (disabled).
Did anyone tell you that your hard disk is a pretty tricky machine? When you first installed your operating system, you may be pleased to know how smooth and efficient your software applications are running. But gradually, it slows down and this bothers you. What truly causes the dip in performance? You may argue that your disk is just a couple of months old. This has much to do with the way you operate on your system.
Try to imagine a big tool bucket filled with gadgets. Initially, the bucket only contains a few spanners, a hammer and some screws. So every time you search for a particular item, it is relatively easy to find. But soon as you keep pilling the bucket with all sorts of items and especially when the amount of items grows, you'll discover that you may need more time just to search for a particular screw head. In such cases, uninstall any unnecessary software and defragment your disk. Typically, your system performance will dip when the amount of data in your hard disk starts to grow.
Next, would you be surprised if I were to tell you that 30% of your data in your computer may be junk files? Temporary files are stocked up in your computer each time you browse the internet or perform an installation. Most programs clear these files away after it exits but unfortunately, software that are poorly written do not. Thankfully, Microsoft Windows comes with a couple of useful utilities which helps to solve some of these problems.
The disk defragmenter packs your data neatly to facilitate quick accessibility. Disk Cleanup does the job of scanning and removing all redundant temporary files. Unnecessary startup files could also be cleaned up.
And to cope with physical error such as bad sectors, ScanDisk helps to repair and recover any data lost due to mild data corruption.Your could also fix minor system file corruption or repair the corrupted system files essential for the system operation. If you suspect the installed software is giving you problems, try to repair the software corruption.
So now you see that there is more to just picking and plunging a speedy hard disk drive into your computer. Healthy and regular disk maintenance practice can greatly benefit your system and data.
The canonical implementation of ext2 is the ext2fs filesystem driver in the Linux kernel. Other implementations (of varying quality and completeness) exist in GNU Hurd, MINIX 3, Mac OS X (third-party), Darwin (same third-party as Mac OS X but untested), some BSD kernels, in Atari MiNT, and as third-party Microsoft Windows drivers.
ext2 was the default filesystem in several Linux distributions, including Debian and Red Hat Linux, until supplanted more recently by ext3, which is almost completely compatible with ext2 and is a journaling file system. ext2 is still the filesystem of choice for flash-based storage media (such as SD cards, and USB flash drives) since its lack of a journal minimizes the number of writes and flash devices have only a limited number of write cycles. Recent kernels, however, support a journal-less mode of ext4, which would offer the same benefit along with a number of ext4-specific benefits.
The early development of the Linux kernel was made as a cross-development under the Minix operating system. Naturally, it was obvious that the Minix file system would be used as Linux's first file system. The Minix file system was mostly free of bugs, but used 16-bit offsets internally and thus only had a maximum size limit of 64 megabytes. There was also a filename length limit of 14 characters. Because of these limitations, work began on a replacement native file system for Linux.
To ease the addition of new file systems and provide a generic file API, VFS, a virtual file system layer was added to the Linux kernel. The extended file system (ext), was released in April 1992 as the first file system using the VFS API and was included in Linux version 0.96c. The ext file system solved the two major problems in the Minix file system (maximum partition size and filename length limitation to 14 characters), and allowed 2 gigabytes of data and filenames of up to 255 characters. But it still had problems: there was no support for separate access, inode modification and data modification timestamps.
As a solution for these problems, two new filesystems were developed in January 1993: xiafs and the second extended file system (ext2), which was an overhaul of the extended file system incorporating many ideas from the Berkeley Fast File System. ext2 was also designed with extensibility in mind, with space left in many of its on-disk data structures for use by future versions.
Since then, ext2 has been a testbed for many of the new extensions to the VFS API. Features such as POSIXACLs and extended attributes were generally implemented first on ext2 because it was relatively simple to extend and its internals were well-understood.
On Linux kernels prior to 2.6.17,[1] restrictions in the block driver mean that ext2 filesystems have a maximum file size of 2TB.
ext2 is still recommended over journaling file systems on bootable USB flash drives and other solid-state drives. ext2 performs fewer writes than ext3 since it does not need to write to the journal. As the major aging factor of a flash chip is the number of erase cycles, and as those happen frequently on writes, this increases the life span of the solid-state device.[2] Another good practice for filesystems on flash devices is the use of the noatime mount option, for the same reason.
ext2 data structures
The space in ext2 is split up into blocks. These blocks are divided into block groups, analogous to cylinder groups in the Unix File System. There are typically thousands of blocks on a large file system. Data for any given file is typically contained within a single block group where possible. This is done to reduce external fragmentation and minimize the number of disk seeks when reading a large amount of consecutive data.
Each block group contains a copy of the superblock and block group descriptor table, and all block groups contain a block bitmap, an inode bitmap, an inode table and finally the actual data blocks.
The superblock contains important information that is crucial to the booting of the operating system, thus backup copies are made in multiple block groups in the file system. However, typically only the first copy of it, which is found at the first block of the file system, is used in the booting.
The group descriptor stores the location of the block bitmap, inode bitmap and the start of the inode table for every block group and these, in turn are stored in a group descriptor table.
Inodes
Every file or directory is represented by an inode. The inode includes data about the size, permission, ownership, and location on disk of the file or directory.
Example of ext2 inode structure:
Quote from the linux kernel documentation for ext2:
"There are pointers to the first 12 blocks which contain the file's data in the inode. There is a pointer to an indirect block (which contains pointers to the next set of blocks), a pointer to a doubly-indirect block (which contains pointers to indirect blocks) and a pointer to a trebly-indirect block (which contains pointers to doubly-indirect blocks)."
So, there is a structure in ext2 that has 15 pointers, the first 12 are for direct blocks. Pointer number 13 points to an indirect block, number 14 to a doubly-indirect block and number 15 to a trebly-indirect block.
Directories
Each directory is a list of directory entries. Each directory entry associates one file name with one inode number, and consists of the inode number, the length of the file name, and the actual text of the file name. To find a file, the directory is searched front-to-back for the associated filename. For reasonable directory sizes, this is fine. But for huge large directories this is inefficient, and ext3 offers a second way of storing directories that is more efficient than just a list of filenames.
The root directory is always stored in inode number two, so that the file system code can find it at mount time. Subdirectories are implemented by storing the name of the subdirectory in the name field, and the inode number of the subdirectory in the inode field. Hard links are implemented by storing the same inode number with more than one file name. Accessing the file by either name results in the same inode number, and therefore the same data.
The special directories "." and ".." are implemented by storing the names "." and ".." in the directory, and the inode number of the current and parent directories in the inode field. The only special treatment these two entries receive is that they are automatically created when any new directory is made, and they cannot be deleted.
Allocating Data
When a new file or directory is created, the EXT2 file system must decide where to store the data. If the disk is mostly empty, then data can be stored almost anywhere. However, performance is maximized if the data is clustered with other related data to minimize seek times.
The EXT2 file system attempts to allocate each new directory in the group containing its parent directory, on the theory that accesses to parent and children directories are likely to be closely related. The EXT2 file system also attempts to place files in the same group as their directory entries, because directory accesses often lead to file accesses. However, if the group is full, then the new file or new directory is placed in some other non-full group.
The data blocks needed to store directories and files can found by looking in the data allocation bitmap. Any needed space in the inode table can be found by looking in the inode allocation bitmap.
The reason for some limits of the ext2-file system are the file format of the data and the operating system's kernel. Mostly these factors will be determined once when the file system is built. They depend on the block size and the ratio of the number of blocks and inodes. In Linux the block size is limited by the architecture page size.
The maximum file size is limited to min( ((b/4)3+(b/4)2+b/4+12)*b, 232*b ) due to the i_block (an array of EXT2_N_BLOCKS) and i_blocks( 32-bits integer value ) representing the amount of b-bytes "blocks" in the file.
The limit of sublevel-directories is 31998 due to the link count limit. Directory indexing is not available in ext2, so there are performance issues for directories with a large number of files (10,000+). The theoretical limit on the number of files in a directory is 1.3 × 1020, although this is not relevant for practical situations.
Note: In Linux kernel 2.4 and earlier block devices were limited to 2 TB, limiting the maximum size of a partition regardless of block size.
Compression extension
e2compr is a modification to the ext2 file system driver in the Linux kernel to support online compression and decompression of files on file system level without any support by user applications.
e2compr is a small patch against the ext2 file system that allows on-the-fly compression and decompression. It compresses only regular files; the administrative data (superblock, inodes, directoryfiles etc.) are not compressed (mainly for safety reasons). Access to compressed blocks is provided for read and write operations. The compression algorithm and cluster size is specified on a per-file basis. Directories can also be marked for compression, in which case every newly created file in the directory will be automatically compressed with the same cluster size and the same algorithm that was specified for the directory.
e2compr is not a new file system. It is only a patch to the ext2 file system made to support the EXT2_COMPR_FL flag. It does not require you to make a new partition, and will continue to read or write existing ext2 file systems. One can consider it as simply a way for the read and write routines to access files that could have been created by a simple utility similar to gzip or compress. Compressed and uncompressed files coexist nicely on ext2 partitions.
The latest e2compr-branch is available for current releases of 2.6 and 2.4 Linux kernels, but development is stalled. There are also older branches for older 2.0 and 2.2 kernels, which are more stable.
USB 플래시 드라이브. 왼쪽에 있는 칩이 플래시 메모리. 마이크로 컨트롤러는 오른쪽에 있다.
플래시 메모리(flash memory, 문화어: 흘래쉬기억기, 전기일괄소거형기억기)는 전기적으로 데이터를 지우고 다시 기록할 수 있는 비휘발성 컴퓨터기억 장치를 말한다. EEPROM과 다르게 여러 구역으로 구성된 블록 안에서 지우고 쓸 수 있다. 이제는 플래시 메모리의 가격이 EEPROM 보다 훨씬 싸기 때문에, 비휘발성 고체 상태(solid-state) 저장 매체가 상당량 필요한 곳에서는 가장 많이 사용되는 메모리 종류가 되었다.
대표적인 활용 예로 디지털 음악 재생기 (MP3), 디지털 카메라, 휴대 전화를 들 수 있다. 일반적인 데이터를 저장하고 컴퓨터 사이에 데이터를 옮기는 용도로 USB 드라이브를 많이 사용하는데, 이때도 플래시 메모리가 쓰인다. 또한 게임 자료를 저장하기 위해 EEPROM 대신 플래시 메모리가 자주 사용되고 있어 게임 시장에서도 인기를 얻고 있다.
개요
플래시 메모리는 메모리 칩 안에 정보를 유지시키는 데에 전력이 필요 없는 비휘발성 메모리이다. 게다가 플래시 메모리는 읽기 속도가 빠르며(단, 개인용 컴퓨터에서 메인메모리로 쓰이는 DRAM만큼 빠르지는 않고, 순차읽기속도는 하드디스크가 더 빠를 수 있음) 하드 디스크 보다 충격에 강하다. 이러한 특징으로 배터리로 동작하는 장치에서 저장 장치로 많이 사용한다. 플래시 메모리의 또 다른 장점은 강한 압력이나 끓는 물에도 견딜 만큼, 물리적인 힘으로 거의 파괴되지 않는다는 점이다.
동작 원리
NOR 플래시가 게이트를 하나 대신 두 개를 갖고 있는 것을 제외하면, 각 셀이 표준 MOSFET과 비슷하다. 하나의 게이트는 또 다른 MOS 트랜지스터처럼 콘트롤 게이트(CG)이지만, 두 번째 게이트는 산화물 층(oxid layer)에 의해 모든 주위가 절연된 플로팅 게이트(FG)이다. FG는 CG와 기판 사이에 위치한다. FG가 산화물층에 의해 절연되었기 때문에 그 곳에 위치한 전자는 갇히게 되고 따라서 정보가 저장된다. 전자가 FG에 있을 때, CG에서 나오는 전기장에 영향을 주어 셀의 문턱 전압(Vt)이 변경된다. 이와 같이 CG에 특정 전압을 가하여 그 셀의 정보를 읽을 때, FG에 있는 전자의 수에 따라 Vt이 다르기 때문에 전류가 흐르거나 흐르지 않는다. 이러한 전류의 흐름과 차단이 판독되고 이는 1과 0으로 해석이 되어, 데이터가 저장되어 만들어진다. 한 셀에 1 비트 이상의 정보가 저장되는 MLC(Multi-level cell) 장치에서는 FG에 저장된 전자의 수를 측정하기 위해 단순히 전류의 흐름을 판단하기보다 그 양을 판독한다.플래시 메모리는 전통적으로 비트 정보를 저장하는 셀이라 부르는 플로팅 게이트 트랜지스터(floating gate transistors)로 구성된 배열 안에 정보를 저장한다. 요즘 등장하는 플래시 메모리의 경우는 하나의 셀에 존재하는 플로팅 게이트에 두 단계 보다 높은 전하를 저장하여 셀 하나에 1 비트 이상을 저장할 수 있기에 MLC(Multi Level Cell) 장치라고 일컫는다.
시장에 플래시 메모리가 출시되었을 때, 모든 셀의 상태는 1로 되어 있다. 이런 셀의 정보를 0으로 변경하는 것을 프로그래밍이라고 한다. NOR 플래시 메모리를 프로그래밍하기 위해 EPROM처럼 hot-electron injection 방식을 사용한다. 먼저, NOR 플래시 셀의 소스에서 드레인으로 전류가 흐를 때, CG에 큰 전압을 가하면 FG에 전자를 끌어들일 정도의 강한 전기장이 생성되어 결국 전류가 흐르지 않게 된다. 결국, 셀의 상태는 0이 된다. NOR 플래시 셀을 지우기 위해 (다시 프로그래밍하기 위한 준비로 모든 셀을 1로 다시 설정하는 것) CG와 소스 사이에 강한 전압차를 주면 Fowler-Nordheim tunneling을 통해 FG는 전자를 잃는다. 최근에 개발된 대부분의 NOR 플래시 메모리는 한 번에 지워진다. 그러나 프로그래밍은 바이트 또는 워드 단위로 수행된다.
NAND 플래시는 쓰기 작업을 위해서 터널 주입을 사용하고, 지우기 위해 터널 릴리즈를 사용한다. NAND 플래시 메모리는 USB 메모리 드라이브로 알려진 USB 인터페이스 저장 장치에서 쓰이고 있다..
역사
플래시 메모리는 1984년 당시 도시바에서 근무하고 있던 마스오카 후지오 박사가 발명했다. 도시바에 따르면, '플래시'라는 이름은 마스오카 박사의 동료인 아리스미 쇼자가 제안했다고 한다. 왜냐하면, 메모리 내용이 지워지는 과정이 마치 카메라의 플래시를 떠올렸기 때문이다. 마스오카 박사는 이 발명을 캘리포니아 새너제이에서 열렸던 IEEE 1984 International Electron Devices Meeting (IEDM)에서 발표하였다. 당시 인텔은 이 발명의 엄청난 잠재력을 보고 1988년 최초의 상업용 NOR 타입 플래시 메모리를 소개하였다.
NOR 기반 플래시는 지우기와 쓰기 시간이 긴 대신 어떤 위치에도 임의로 접근할 수 있게 주소/자료 인터페이스를 제공한다. 이 메모리는 컴퓨터 바이오스나 셋톱 박스의 펌웨어와 같이 자주 업데이트되지 않는 프로그램 코드를 저장하는 데에 알맞다. 플래시 메모리 특성상 10,000에서 1,000,000까지 지울 수 있다. NOR 기반 플래시는 초기 이동형 매체의 뿌리가 되어, 콤팩트 플래시에서 처음 사용되었으나 나중에 좀 더 싼 NAND 플래시가 쓰이기 시작했다.
NAND 플래시는 1989년에 도시바가 ISSCC에서 발표했다. NAND 플래시는 NOR 플래시에 비해 지우기와 쓰기 시간이 좀 더 빠르고 집적도가 높으며 비트당 제작비도 낮고 10배의 내구성을 자랑한다. 그러나 입출력 인터페이스는 자료에 대한 순차 접근만을 지원한다. 이것은 컴퓨터 메모리로는 조금 덜 유용하지만 개인용 컴퓨터 카드와 다양한 메모리 카드와 같은 대용량 저장 장치에 알맞다. 첫 NAND 기반 이동형 미디어 포맷은 스마트 미디어였지만, MMC, 시큐어 디지털(Secure Digital), 메모리 스틱과 XD-Picture 카드에서도 사용되고 있다. 그 밖에 RS-MMC (Reduced Size MultiMedia Card), TransFlash, miniSD 등이 다음 세대 저장 매체로 등장하고 있다. 이러한 새로운 포맷은 보통 크기가 4 제곱 센티미터 이하로 상당히 작다.
한계
플래시 메모리의 한계는 블록 내에서 특정 단위로 읽고 쓸 수 있지만, 블록 단위로 지워야 한다는 것이다. 또한 덮어 쓸 수 없으므로, 모든 블록을 지우기 전까지는 해당 자료를 변경할 수 없다.
NOR 플래시의 경우, 임의 접근 방식으로 바이트 또는 워드 단위로 읽기/쓰기 동작이 가능하지만 덮어 쓰기와 지우기 동작은 임의로 접근할 수 없다. NAND 플래시는 페이지 단위로 읽기/쓰기 동작이 가능하지만 해당 페이지를 덮어 쓰거나 지우려면 모든 블록을 지워야 한다.(NAND 플래시는 블록을 여러 페이지로 나누어 사용한다).
하드 디스크와 비교할 때, 더 큰 한계는 지우기 횟수가 제한되어 있다는 점이다. (대부분 상업적으로 쓰이는 플래시 메모리 제품의 경우 SLC는 십만 번, MLC는 삼천 번~일만 번, TLC는 일천 번까지 보증한다). 그래서 운영체제와 같이 하드 디스크를 기반으로 하는 응용 프로그램이 컴팩트 플래시와 같은 플래시 메모리 기반 장치를 사용할 때는 각별한 보호가 있어야 한다. 그래서 이러한 한계를 극복하기 위해 칩 펌웨어 또는 파일 시스템 드라이버에서 블록의 지우기 횟수를 세고 모든 블록이 고루 쓰이도록 블록을 유동적으로 다시 배치한다. 또한 쓰기 동작이 유효한지 확인하고, 전체 공간의 일부를 여유 블록으로 할당하여 불량 블록이 발생하면 여유 블록으로 대체하도록 한다.
플래시 메모리의 바이트 당 비용은 하드 디스크 드라이브에 견주어 상당히 높고 지우기 횟수가 제한된 상태여서 일반적으로 데스크톱 개인용 컴퓨터와 노트북에서 하드 디스크 대신 쓰지 못하고 있다. 특수 용도에서는 하드 디스크 대신 플래시 메모리로 제작된 솔리드 스테이트 드라이브 (SSD)가 사용되고 있으나, 미래의 개인용 컴퓨터에서도 널리 사용될 것으로 예상한다.
Redundant Array of Inexpensive/Independent Disk
저장장치 여러 개를 묶어 고용량·고성능 저장 장치 한 개와 같은 효과를 얻기 위해 개발된 기법이다.
초기에는 업그레이드 후 '폐기하기엔 아깝고, 그렇다고 단독으로 쓰기에는 성능이 부족한'(Inexpensive) 저장장치를 재활용할 목적으로 사용하였다. 저장장치 기술이 발전한 현재는 Inexpensive보다는 Independent로 해석하는 추세.
RAID의 주 사용 목적은 크게 무정지 구현(안정성)과 고성능 구현으로 구분된다. 무정지 구현을 극도로 추구하면 RAID 1, 고성능 구현을 극도로 추구하면 RAID 0이 되며, RAID 5, 6은 둘 사이에서 적당히 타협한 형태. RAID 10이나 RAID 01과 같이 두 가지 방식을 혼용하는 경우도 있다.
여러 개의 멤버 하드디스크를 병렬로 배치하여 거대한 하나의 디스크처럼 사용한다. 데이터 입출력이 각 멤버 디스크에 공평하게 분배되며, 디스크의 수가 N개라면 입출력 속도 및 저장 공간은 이론상 N배가 된다. 다만 멤버 디스크 중 하나만 손상 또는 분실되어도 전체 데이터가 파손되며, 오류검출 기능이 없어 멤버 디스크를 늘릴수록 안정성이 떨어지는 문제가 있다.
이미지 프로세싱, 데이터베이스 캐시 등 빠른 입출력 성능을 필요로 하며, 데이터 손실이 문제되지 않는 환경에서 쓰일 수 있지만, 상용 환경에서는 위험성 문제로 RAID 5나 6을 이용하는 경우가 많다고 한다.
이 때문에 고성능을 경험하고 싶은 파워유저가 구축해 보는 경우가 많다. SSD를 단독 사용하기에는 용량이 많이 부족하니, 여러 개를 묶어서 초고속 저장 장치를 구축하는 것. 이런 점을 간파하고 컴퓨터 제조 업체에서 공식적으로 RAID0 기술을 구현한 최초의 사례로는 소니의 노트북 브랜드인 VAIO의 프리미엄 모델인 Z 시리즈가 최초[1]인데, 노트북 업계 최초로 SSD로 RAID0 기술을 구현했으며, 앞으로도 소니는 자사의 프리미엄 노트북 라인업에 이 RAID0 기술을 구현한 SSD를 계속 탑재 할 전망이다.
VAIO Z시리즈의 홍보영상에서 RAID0(0^4) SSD와 5400rpm 2.5인치 하드디스크를 비교대상으로 놓고 1GB 용량의 파일을 복사하는데 걸리는 시간을 측정하는 장면이 있는데 RAID0 SSD의 경우 1GB 파일을 복사하는데 걸리는 시간이 겨우 4초에 불과할 정도로 엄청난 속도다. 사실 VAIO Z에 장착된 SSD의 경우 일반적인 공식 SSD 규격이 아닌 소니의 자체적인 소형화 규격으로 재설계하였기 때문에 그 비좁은 메인보드 공간 안에 탑재 될 수 있었던 것이다.[3] 국내에서 판매되었던 VPCZ1의 일반형 모델의 경우 용량이 128GB로서 64GB SSD 두 개를 RAID0로 묶은 것이며, 고급형 모델의 경우 용량이 256GB로서 64GB SSD 4개를 RAID0로 묶은 형태다. 게다가 일본 내수용 주문제작 방식의 오너메이드의 모델의 경우, 현재 RAID0로 128GB SSD 4개를 묶은 512GB 용량과, 256GB SSD 4개를 묶은 1TB 용량까지도 선택이 가능하다. 물론 이들을 선택하면 견적이 어마어마하기에 이를 선택하는 사람은 실제로 얼마나 될 지 의문이지만...
삼성의 SSD 24개를 한 개의 볼륨으로 묶기 같은 것도 할 수 있으며, 2.0GB/s(MB가 아니다!)의 속도가 나오는 6TB 볼륨을 구축한 삼성 SSD 광고 영상도 있다.
여담이지만 2009년에 찍힌 저 광고영상의 속도를 달성하려면 2013년 4월 기준으로 삼성 840Pro 256G 4~6개만으로도 동등하거나 더 빠른 속도를 낼 수 있다.
2015년부터 NVMe 규격 SSD가 본격적으로 활성화 되면서 단일 SSD로 초당 2.0GB/s를 볼수 있게 되었다.
RAID 0의 경우 Stripe size를 지정할 수 있다. 컨트롤러에 따라 다르지만 Intel RST에서는 4~128KB를 지원한다. 이 Stripe size는 기록시 한 디스크에 한번에 기록할 데이터 크기이다. 즉, Stripe size가 4KB이고, 멤버 디스크가 4개라면 16KB짜리 파일을 기록할때 디스크당 4KB씩 돌아가면서 한 번씩 기록한다. Stripe size가 128KB이고, 멤버 디스크가 2개, 기록할 파일이 2MB(2048KB)라면, 첫 번째 디스크에 128KB, 두 번째 디스크에 128KB를 순차적으로 기록하는 것을 디스크당 8번씩 반복한다. SSD에서는 128KB 이상이 추천되며, 하드디스크라면 32KB정도가 추천된다. 하지만 사용자의 환경에 따라 최적의 성능을 내는 Stripe size가 다르므로 하나하나 적용해 보는것이 좋다.
각 멤버 디스크에 같은 데이터를 중복 기록한다. 멤버 디스크 중 하나만 살아남으면 데이터는 보존되며 복원도 1:1 복사로 매우 간단하기 때문에, 서버 또는 연구목적 PC에서 혹시 모를 데이터 손실에 대비하기 위해 사용한다.
멤버 디스크를 늘리더라도 저장 공간은 증가하지 않으며, 대신 안정성이 크게 증가하게 된다. 상용 환경에서는 디스크를 2개를 초과해서 쓰는 경우가 드물지만, 극한 환경에서는 3개 이상의 멤버 디스크를 사용하기도 한다. 데이터 가치가 하드디스크 가격이 껌값으로 여겨질 정도로 높은 경우 (국가 비밀 문서등) 사용한다. 읽기 성능은 약간 향상되지만, 쓰기 성능은 약간 떨어진다.
데이터 복구 서비스를 쓰면 되지 않냐고 반박할 수도 있지만,
복구에 장시간이 소모됨
데이터를 100% 복구하기 어려움
극비 데이터의 유출 가능성
등의 이유로 복구 서비스에만 의존할 수는 없기 때문에 RAID 1을 쓰는 것이다. 아예 데이터를 중복 저장해서 하드가 망가졌을 때 백업 등 최소한의 대처할 시간을 버는 것. 그런데 한가지 주의할 점이 있는데 RAID 1 사용 중 HDD Fail 발생시 최우선 순위는 하드 교체가 아니고 데이터 백업이다. RAID 1을 구성할 때에는 같은 제조회사의 같은 모델 같은 주차 생산품을 쓰게 되는데(그게 권장되기도 하고) 이 말은 한쪽이 맛간 상태면 다른 쪽도 맛가기 일보직전 상황일 확률이 크다는 얘기가 된다. 이 상태에서 디스크만 교체하면 RAID 컨트롤러가 리빌드(Rebuild)작업을 하면서 남은 한쪽의 하드디스크에 큰 부담을 주게 되고 결국 리빌드 중간에 남은 하나의 하드마저 뻗어버리는 사태를 당하게 된다.
오류정정부호(ECC)를 기록하는 전용의 하드디스크를 이용해서 안정성을 확보한다. RAID 2는 비트 단위에 Hamming code를 적용하며, RAID 3, 4는 각각 바이트, 워드 단위로 패리티를 저장한다. 하나의 멤버 디스크가 고장나도 ECC를 이용하여 정상적으로 작동할 수 있지만, 추가적인 연산이 필요하여 입출력 속도가 매우 떨어진다.
모든 I/O에서 ECC 계산이 필요하므로 입출력 병목 현상이 발생하며, ECC 기록용으로 쓰이는 디스크의 수명이 다른 디스크들에 비해 짧아지는 문제가 있어 현재는 사용하지 않는다.
기본 원리는 RAID 4와 비슷하나, 패리티를 한 디스크에 밀어넣지 않고 각 멤버 디스크에 돌아가면서 순환적으로 저장하여 입출력 병목현상을 해결한다. N개의 디스크를 사용하면 (N-1)배의 저장 공간을 사용할 수 있다. RAID 4처럼 하나의 멤버 디스크 고장에는 견딜 수 있지만 디스크가 두 개 이상 고장나면 데이터가 모두 손실된다.
매번 쓰기 작업 때마다 패리티 연산 과정이 추가되어, 성능을 보장하려면 고가의 패리티 연산 전용 프로세서와 메모리를 사용해야 한다. 멤버 디스크도 최소 3개 이상 사용해야 하므로 초기 구축비용이 비싸다는 단점이 있다. 다만 멤버 디스크의 수가 5개 이하인 중소규모 파일서버라면 소프트웨어 RAID도 괜찮다. 부팅용 하드가 별도로 필요하다는 게(그리고 부팅하드가 뻑나면 RAID까지 풀려서 복구하기 짜증난다는) 애로점이긴 하지만...
읽기 작업은 전체 디스크에 분산되어 속도가 향상되지만, 쓰기 작업은 적어도 둘 이상의 디스크(데이터+패리티)에서 진행되어야 하므로 성능이 약간 떨어진다.
데이터베이스 서버 등 큰 용량과 무정지 복구 기능을 동시에 필요로 하는 환경에서 주로 쓰인다.
하드디스크가 하나가 사망해도 데이터가 살아있어서, 안전성이 굉장히 높아보이나 실제로는 패리티 연산을 통해서 데이터를 저장한다는 특징 때문에 취급상 유의가 필요하며 까다롭다
다음은 RAID 5를 고려한다면 알아야 할 사항이다
1. RAID 0보단 안전하다는 인식과 달리 오히려 많은 량(보통 8개 이상)의 디스크를 스토리지로 묶으면, 패리티 연산오류 발생 확률이 높아져서 인해 RAID 0으로 묶은것보다 깨질 확률이 높아진다고 한다.
그러므로 대단위로 스토리지를 만드려는 사람이 있다면 RAID 6 또는 RAID 10을 권한다.
2. 패리티로 데이터를 저장하는 특성으로 인해서, 어레이가 깨지거나, 보장되는 내결함 디스크 갯수를 초과하는 경우[4], 전자는 데이터를 살리기가 대단히 어렵고 후자는 사실상 데이터를 살릴 수 없다.
3. 1개의 디스크가 사망한 상황에서 디스크를 교체하여서 리빌딩(어레이를 복구하는 작업)을 하다가 리빌딩이 완료되기 전에 추가적으로 디스크가 하나 더 사망하여서 RAID가 깨지는 경우가 생각보다 많이 발생한다. 이는 보통 한개의 어레이를 구성할 때 같은 시기에 구매한 것으로 구성하므로, 어레이를 구성하던 하드가 하나 사망하였다면 같은 어레이에 있던 하드의 상태도 정상이 아니라는 가능성도 배제할 수가 없다.
만약 사용하다가, 하드가 사망했다면 리빌딩보다는 데이터를 먼저 백업 시키는 것이 우선이다. 리빌딩하는 시간보다는, 백업하는 시간이 훨씬 짧으니, 반드시 백업을 하고 리빌딩을 하는것을 권한다.
이런 상황은 RAID 5에서 심심지 않게 발생하니 주의하도록 할것.[5]
4. 어레이를 복구하려고 하드를 뽑았는데, 하필 정상이었던 하드를 잘못 뽑아서 어레이가 깨지는 경우도 심심치 않게 발생하니 주의하도록 할 것.[6]
5. 리빌딩을 하고 있을때 가급적이면[7] 해당 어레이에 부하를 주지 말 것.
리빌딩 도중에 사용하면 리빌딩 시간이 늘어나고, 무엇보다 리빌딩 하다가 깨질 수도 있다.
오라클의 ZFS라는 파일 시스템에서 지원하는 소프트RAID에서 제공하는 모드.
Z1과 Z2는 각각 RAID 5와 RAID 6와 유사하지만, Z3는 RAID 6 / Z2보다 패리티를 하나 더 쓴다.
그만큼 최소 구성 멤버 디스크도 하나 더 많고, 위에서 언급한 것처럼 스토리지 서버와 같이 디스크를 빼곡히 꽂는(기본 10개 단위) 환경에서, 특히 최근 또는 근미래의 고용량 HDD(개당 수 TB 이상)를 이용한 구성에서 고장난 HDD를 교체시 거기에 데이터를 채워넣는데 시간이 오래걸리므로 그 사이에 또 다른 HDD가 죽고...하는 경우까지 생각해서 유지보수를 돕기 위해 패리티를 늘린 것이다.
패리티를 3중으로 사용하는 만큼 하드웨어 자원또한 대단히 많이 사용한다.
출처 https://en.wikipedia.org/wiki/ZFS
그냥 여러 디스크를 하나의 디스크처럼 보이게 수평적으로 섹터를 이어붙인 개념이다. RAID0처럼 멤버 디스크 중 하나만 깨져도 모든 데이터가 손실되지는 않고 고장난 디스크에 해당하는 부분만 날아간다. 때문에 로그 기록같이 부분적으로 데이터가 파손되어도 괜찮은 환경에서 가끔 사용된다.[9]
디스크를 Spanning한 환경이기 때문에 다중 사용자 환경에서 분산도가 높은 데이터를 다루는 경우 RAID0에 근접하는 성능을 얻을 수도 있으나... 현실은 20%의 핵심 데이터에 모든 액세스가 집중되므로 현실은 시궁창... 같은 환경에서 RAID0은 20%의 핫존이 모든 디스크에 고루 분포돼있지만 JBOD는 한두개의 디스크에 몰려있다.
RAID는 모든 멤버 디스크의 성능(저장 공간이나 I/O 성능 등)이 같은 환경을 전제하기 때문에 멤버 디스크 성능에 차이가 있으면, 가장 낮은 성능으로 하향 평준화된다. (예를 들어 160GB짜리와 1000GB짜리 하드디스크를 RAID 0으로 묶으면 160 × 2인 320GB만 쓸 수 있고, 840GB는 버려진다) 반면 JBOD는 멤버 디스크의 성능이 서로 달라도 무방하므로 어떻게 돈지랄을 해도 저장해야 할 데이터 크기만큼의 하드를 확보할 수 없을 때[10]에 쓴다.
이러한 문제로 WD社에서는 Raid Edition 이라는 기업 대상 레이드 전용 제품군을 출시한 적도 있다. 이 녀석은 무상 A/S기간도 5년이나 된다.
레이드 볼륨의 멤버로 다른 레이드 볼륨을 사용하는 형태. 볼륨 확장 과정에서 구성 편의성 문제로 형성되는 경우가 많다. 이 때 멤버 디스크를 묶는 배열을 하위 배열, 하위 배열을 묶는 배열을 상위 배열이라고 한다.
대표적인 예시로 10, 0+1, 15, 50, 0+5, 51 등이 존재한다. 표기 방법은 m(하위 배열)[11]n(상위 배열)이다.
아래 예시는 1TB 디스크 6개로 구성한다는 상황을 가정하여 작성해 두었다.
RAID 10
하위 배열은 RAID 1, 상위 배열은 RAID 0이다. RAID 1로 미러링 된 볼륨을 RAID 0으로 스트라이핑 한다.
퍼포먼스 및 용량 위주로 구성한다면, 디스크 2개를 RAID 1로 묶은 미러 볼륨 3개를 RAID 0으로 스트라이핑 한다. 이 경우 사용 가능한 총 용량은 3TB가 된다.
안정성 위주로 구성한다면, 디스크 3개를 RAID 1로 묶은 미러 볼륨 2개를 RAID 0으로 스트라이핑 한다. 이 경우 사용 가능한 총 용량은 2TB가 된다.
RAID 0+1에 비해 디스크 장애 발생시 복구가 수월하다.
RAID 0+1
하위 배열은 RAID 0, 상위 배열은 RAID 1이다. RAID 0으로 스트라이핑 된 볼륨을 RAID 1로 미러링 한다.
퍼포먼스 및 용량 위주로 구성한다면 디스크 3개를 RAID 0으로 묶은 스트라이프 볼륨 2개를 RAID 1로 미러링 한다. 이 경우 사용 가능한 총 용량은 3TB가 된다.
안정성 위주로 구성한다면, 디스크 2개를 RAID 0으로 묶은 스트라이프 볼륨 3개를 RAID 1로 미러링 한다. 이 경우 사용 가능한 총 용량은 2TB가 된다.
RAID 10에 비해 RAID 볼륨이 깨졌을 경우 복구가 번거롭다. RAID 10과 비교하자면, 미러 볼륨으로 구성된 어레이에서 디스크 하나가 고장이 났다면, 미러 볼륨 자체는 깨지지 않는다. 즉, 디스크만 바꿔 넣어주면 알아서 Rebuliding 하여 원래 상태로 돌아간다. 하지만 RAID 0+1의 경우 디스크 하나가 고장이 났다면, 해당 RAID 0 어레이 전체가 깨져버린다. 디스크를 교체한 뒤 RAID 0 어레이를 다시 구성한 다음, 미러링해야 한다.
RAID 15
하위 배열은 RAID 1, 상위 배열은 RAID 5다. 개인 사용자 레벨에서는 사용할 일이 거의 없는 RAID 레벨이다. RAID 1로 미러링 된 볼륨을 RAID 5 볼륨으로 묶는다. RAID 5의 경우 최소 3개 이상의 디스크가 필요하기 때문에 디스크 6개로 구성할 수 있는 경우의 수는 하나밖에 없다.
디스크 2개를 RAID 1로 묶은 미러 볼륨 3개를 RAID 5로 묶는다. 이 경우 사용 가능한 총 용량은 2TB가 된다.
RAID 50
하위 배열은 RAID 5, 상위 배열은 RAID 0이다. 마찬가지로 개인 사용자 레벨에서는 사용할 일이 거의 없다. RAID 5 볼륨을 RAID 0으로 스트라이핑 한다. 마찬가지로 RAID 5의 경우 최소 3개 이상의 디스크가 필요하기 때문에 디스크 6개로 구성할 수 있는 경우의 수는 하나밖에 없다.
디스크 3개를 RAID 5 볼륨으로 묶은 것을 RAID 0으로 스트라이핑 한다. 이 경우 사용 가능한 총 용량은 4TB가 된다.
RAID 0+5에 비해서 디스크 장애 발생 시 복구가 수월하다.
RAID 0+5
하위 배열은 RAID 0, 상위 배열은 RAID 5이다. 역시 개인 사용자 레벨에서는 사용할 일이 거의 없다. RAID 0 볼륨을 RAID 5 볼륨으로 묶는다. 역시 RAID 5의 경우 최소 3개 이상의 디스크를 필요로 하므로 디스크 6개로 구성할 수 있는 경우의 수는 하나밖에 없다.
디스크 2개를 RAID 0으로 묶은 스트라이프 볼륨 3개를 RAID 5로 묶는다. 이 경우 사용 가능한 총 용량은 4TB가 된다.
RAID 50에 비해 장애 조치가 힘들다. 이유는 RAID 0+1에도 나와 있지만 디스크 장애 발생시 해당 RAID 0 볼륨이 깨져버리기 때문.
RAID 51
하위 배열은 RAID 5, 상위 배열은 RAID 1이다. 이 역시 개인 사용자 레벨에서는 사용할 일이 거의 없다. RAID 5 볼륨을 RAID 1로 미러링 한다. 역시 RAID 5 볼륨의 경우 디스크 3개 이상을 필요로 하므로 역시 구성할 수 있는 경우의 수는 하나밖에 없다.
디스크 3개를 RAID 5 볼륨으로 묶고, 그 볼륨 두개를 RAID 1로 미러링 한다. 이 경우 사용 가능한 총 용량은 2TB가 된다. RAID 15나 51이나 장애 발생시 복구하는 데 필요한 노력은 비슷하다. RAID 1 환경에서 디스크가 깨진 경우에도 디스크를 교체해 주면 Rebuilding 하여 복구가 되지만, 그건 RAID 5도 마찬가지다.
NAS 제조사인 Synology 에서 만든 레이드 방식으로, 서로 다른 용량의 HDD 를 사용할때 남는 부분의 낭비 없이 사용가능하도록 하는 기술이다. 간단히 예를 들어 1TB 하드와 3TB 하드가 있다고 할때, RAID1 미러로 묶으면 1TB 만 사용가능하며, 3TB 의 2/3는 사용이 불가능하다. SHR 에서는 이것을 미러링되는 1TB 와 단독하드 2TB 를 묶어 놓은 것처럼 해준다.
이는 레이드 하드디스크를 점차 용량이 큰 것으로 업그레이드 하고자 할때, 유용하게 사용 가능하다.
RAID 5, 6, 1 등 소수의 하드디스크가 고장나더라도 운영에 지장이 없는 RAID Level 을 위해 존재한다. Hot Spare 는 전체 멤버디스크에서 1개 이상의 디스크를 spare 로 지정해서 data를 읽고 쓰는 행위를 하지 않고 그냥 대기(stand-by) 시키다가 디스크가 고장 났을때 자동으로 rebuilding 하여 원래의 raid 상태로 복구하는 용도로 쓰인다. 하나의 디스크가 고장 났을때 알아서 복구해 주므로, 그만큼의 시간을 벌 수 있다. 그렇다고 하더라도 고장난 하드는 빠르게 교체해 주어야 한다.
일반적으로 RAID 1 에서는 2 + 1 의 구성으로, RAID 5 에서는 멤버디스크+1로, RAID 6 에서는 멤버디스크 + 2 로 구성하며 Hot Spare 는 사용하지않고 노는 disk 를 양산하기 때문에 구성 disk 대비 사용 용량이 매우 적고 비용이 증가한다. 단 안전성을 좀 더 높일 수 있다. 또한 raid group 을 여러개 지정하는 중형 이상의 storage에서는 Global Spare 라 하여 여러 group 이 공용으로 Hot Spare 를 사용하게 하는 경우도 있다.
전통적으로 별도의 RAID 컨트롤러를 사용하는 것이 안정성이 좋고 유지보수 등에 있어서 간편한 것으로 알려져 있으나, 최근의 메인보드 내장 RAID 컨트롤러 또한 상당한 성능을 보여주고 있다. 인텔의 경우 Intel Rapid Storage Technology라고 부르는 그것. 많이 나아지긴 했지만, 내장 컨트롤러라는 한계가 있어 여러 디스크를 RAID 0으로 묶을 경우 제 성능을 못 내는 경우도 있다. 안정성 면에서도 별도의 RAID 컨트롤러에 비해 부실하기 때문에 RAID 1을 제외하면 RAID Array가 깨졌을 시 데이터 복구는 포기하는게 편하니 주의하도록 하자. (정말 제대로 RAID를 구축해서 운영하는 경우에도, 컨트롤러가 죽었는데 이미 오랫동안 굴려먹은 시스템이라 컨트롤러가 이미 단종된 구형이 되서 동일기종을 구하지 못해서 데이터 복구를 포기한 사례도 있다. RAID 1이야 단순 미러링이라 정 안되면 그냥 개별 디스크를 따로 뽑아서 각자 읽어도 잘 읽히는 경우가 많지만, 복잡한 패리티를 쓰는 모드일수록 동일 컨트롤러가 아니면 안의 데이터를 인식하는 것부터 문제가 된다.)
참고로, 별도의 레이드 카드란 하드웨어 레이드 카드를 말하는것으로, 하드웨어 레이드 카드란 카드 자체에 레이드 디스크를 컨트롤하기 위한 별도의 작은 CPU/메모리가 붙어있는 카드를 말한다. 보통 레이드카드라고 하면서 파는 10만원 이하의 저렴한 카드들에는 당연히 저런것들이 없으므로 소프트웨어 레이드와 유의미한 차이는 없다.(메인보드 레이드 역시 소프트웨어 레이드에 속한다.) 이때문에 이런 카드들은 FakeRAID 카드라고도 불린다.
소프트웨어 레이드는 FakeRAID 카드를 제외하면 크게 메인보드 레이드와 OS 레이드로 갈라지는데, 둘 다 위에서 이야기한 하드웨어 레이드가 아닌 이상, 안정성이나 성능차가 크지 않으므로, 취향에 따라 선택하면 된다. 호환성 측면에서 보면, 메인보드 레이드의 경우는 OS 를 바꿔도 묶어놓았던 레이드가 계속 유효한 대신에 메인보드를 바꾸게 되면(예를들어 인텔보드에서 AMD 보드로) 그 레이드는 더이상 사용하지 못할 가능성이 크며, OS 레이드는 메인보드를 바꾸더라도 해당 디스크만 제대로 꼽아주면 계속 레이드를 사용할 수 있지만, OS 를 바꾸면 (예를들어 윈도우->리눅스) 보통 사용하지 못한다. 보통 하드웨어를 바꾸는 경우가 OS 를 바꾸는 경우보다 더 빈번하기도 하고, OS 를 바꾸면 어차피 제공되는 파일시스템 자체가 달라지기때문에 기존 레이드를 인식하건 말건간에 어차피 새로 포맷을 해줘야 하고, 포맷을 할거면 그냥 다시 레이드를 묶으면 된다.[12] 따라서, 호환성 측면에서 메인보드 레이드와 OS 레이드중에서는 OS 레이드가 좀더 자연스러운편.
이외에도 최근 유닉스계열은 볼륨매니징과 레이드 기능 자체를 파일시스템에서 제공하는 경우가 늘고있다. 대표적인것이 ZFS 이고, 리눅스에서도 Btrfs 라는 파일시스템으로 자체레이드를 제공한다. 사용 OS 가 유닉스 계열이라면 이쪽도 고려해볼만 하다.
흔히 파코즈나 2CPU 등에서 이를 구축한 사람을 쉽게 볼 수 있다. 만약 하드디스크 사망으로 인한 데이터 손실을 경험해 보았다면, RAID 1 정도는 구축해 보아도 나쁘지 않을 것이다. 물론 용량 및 성능 대비 비용이 크다는 단점이 있다. 사실 그 비용은 안정성을 위해 지출하는 것이기는 하지만.
최근들어 NAS 의 보급으로 인해 개인환경에서 사용하는 경우도 많아졌다. 주로 사진과 같이 다량의 데이터를 보관하거나 미디어 서버의 용도로 사용하는 경우가 많은데 예전에 비해 많이 저렴한 가격으로 사용할 수 있다. 또한 4-bay 이상의 NAS 도 많이 저렴[13]해져 개인 level 에서 RAID 5 이상을 구현하는 경우도 예전보다는 늘었다.
하지만, 명심해야 할것은 레이드는 백업이 아니다!. 실제로 저 문구는 레이드를 설명하는 글에서 자주 등장한다. 데이터 안정성 목적으로 레이드는 전통적인 백업을 절대로 대체하지 못하며, 데이터 안정성보다는 디스크 몇 개가 고장나서 갈아끼워야 할때도 나머지 디스크로 중단없이 서비스를 하려는 목적이 오히려 더 강하다. 사실 하드디스크가 뻑날 확률은 디스크 개수만큼, 그리고 돌아가는 시간만큼 뻥튀기가 되기 때문에 수십개를 주렁주렁 달아놓고 24시간 돌아가는 서버의 경우에는 커다란 문제이고 레이드가 가뭄에 단비와도 같은 존재지만, 4-5개 정도의 디스크만 사용하며 실제 하드디스크를 사용하는 정도도 훨씬 덜한 개인 사용자들의 경우에는 사실 디스크가 뻑나서 날려먹는 경우보다 본인 실수로 잘못 지운다거나 해서 날려먹는 경우가 훨씬 많다고 볼 수 있다. 이 때문에 개인사용자의 경우에는 레이드보다 백업이 훨씬 가치가 크다. 레이드에 대한 지식이 별로 없는 개인사용자들이 흔히 범하는 실수가, 몇개 안되는 디스크로 데이터 안정성을 목적으로 백업 없이 4개 정도의 디스크를 RAID 1로 구축해 버리는 경우다. 아무것도 안 하는 것보단 낫긴 하지만 차라리 안정성 구현을 원한다면 주기적으로 백업하는 편이 훨씬 낫다. HDD가 정말 많다면 RAID 10을 구성하고 따로 또 백업하는게 그냥 그 HDD들을 하나의 컨트롤러에 몰아넣고 미러링 해버리는 것보다 나은 방법이다.
소비자수준에서는 RAID 5로 적절한 가격에 적절한 신뢰성과 용량확장을 노릴 수도 있다. 하지만 제대로 RAID를 하기 위해 컨트롤러를 따로 구매하면(소프트RAID도 RAID 5를 지원하지만 정말 지원만 하는 수준이고 성능은 기대하기 힘든 경우가 많다) 가격은 가격대로 비싸지고, 막상 RAID를 묶어놔도 방치되다가 관리소홀로 두개가 죽을때까지 모르다가 데이터만 날리는 경우도 있다. 대부분 같은 시기에 생산된 같은 하드디스크를 이용하기때문에 하나죽으면 다른것도 비슷한 시기에 죽을 확률이 높다. 그냥 수작업으로 백업하면서 디스크에 필요없는 그녀것들좀 지우고 정리나 하자. (무료 백업이나 동기화 소프트들도 많으니 이들 중 괜찮은거 하나 잘 골라서 활용하면 레알 수작업보단 훨씬 편리한 백업을 구축할 수 있을 것이다.)
초기구축비용 : 6 > 5 > 1 > 0 = non-RAID.
일반적인 개인/SOHO 환경을 기준으로 했을 때의 이야기이다. 하드디스크가 서버랙 전체에 빼곡히 꽂혀나가는 상황이라면 의미가 없는 것이나 마찬가지.
[1] 엄밀히는 Z의 초기 시리즈인 VGN-Z의 라인업에서 고급형 모델에 한시적으로 탑재된 것이 시초이며, 본격적으로 적용되기 시작한 것은 후속 라인업인 VPCZ1에서라고 할 수 있다.[2] 소니의 2011년 신모델로 나온 바이오 SB 시리즈의 고급형 모델의 경우 128GB SSD 두 개를 RAID0로 묶어서 256GB의 용량을 가진다.[3] 참고로 바이오 Z(VPCZ1)는 13인치급 노트북이지만 배터리 포함 무게는 1.4kg 정도로 넷북과 맞먹는 수준이며, ODD까지 내장하고 있어서 실제 메인보드가 장착되는 면적은 본체 면적의 절반 정도에 불과하다.... 흠좀무[4] RAID 5 경우에는 2개 이상[5] RAID 6은 디스크 1개가 사망해도 1개의 여유가 있기 때문에 해당 상황의 위험성은 심각한 정도는 아니다.[6] 다만, 고급의 레이드카드/소프트웨어 레이드들은 다시 붙이면 잘 붙긴하나, 그래도 안붙는 경우도 있으니 주의...[7] 사실상 절대적인 철칙이다.[8] 하드 하나가 고장난 RAID 5 장비에서 교체하려다가 실수로 멀쩡한 하드 하나를 뽑았다 → 데이타는 천국으로. 동일 상황에서 RAID 6는 문제가 없다.[9] 가끔이라는 이유는 굳이 로그용 디스크를 따로 할당하는 경우가 별로 없기 때문. 그냥 RAID5 볼륨에서 로그까지 기록하는 경우가 많다[10] 예를 들면 과거 HDD의 용량단위가 MB 단위로 나오던 시절[11] m=0이면 뒤에 +를 붙인다.[12] 물론, 예를들어 윈도의 NTFS 파일시스템을 리눅스에서 읽고쓰고 하는게 되긴 하지만, 안정성 문제로 장기간 저렇게 사용하는것은 보통 추천되지 않는다. 파일시스템은 언제나 해당 OS 에서 네이티브로 잘 지원되는것을 사용하는게 안전하다.[13] 2011년 4월 기준 2베이 정도는 20-30 에도 NAS 본체를 구입 가능하며 4 베이 이상은 100 만원 정도부터 시작. 2-3년 전에 비해 정말 정말 저렴해졌다.
ext3(extended file system 3, 확장된 파일 시스템 3)는 파일 시스템 가운데 하나로 만든 이는 스테펜 트위디(Stephen Tweedie)이다. 2001년 11월 리눅스 커널 2.4.15판에서 처음 모습을 드러냈으며 오늘날 많은 리눅스 커널 기반 운영 체제에서 주 파일 시스템으로 쓰이고 있다.
장점
ext2에서 자료 삭제 및 손실 없이 ext3으로 변경할 수 있다(자료를 백업할 필요가 없음).
이 밖의 모든 것들은 ext2와 같다. ext2를 유지하고 복구하기 위해 충분한 테스트를 거쳐 보다 완전해진 파일 시스템 유지보수 유틸리티들을 포함하여 ext2 파일 시스템에서 큰 변화 없이 ext3와 함께 사용될 수 있도록 하였다. ext2와 ext3 둘 다 e2fsprogs를 사용하며 이 유틸리티는 fsck를 포함하고 있다. 이러한 밀접한 관련으로 이 두 파일 시스템들은 상호 변환이 용이하다.
저널링
Ext3를 지원하는 리눅스 시스템에서는 다음과 같은 3단계 저널링을 사용할 수 있다.
Journal (리스크 최소)
두 파일 시스템의 메타 데이터와 파일 컨텐츠는 메인 파일 시스템에 전달되기 전에 저널에 기록된다. 저널은 비교적 디스크와 관련이 있어서 어떤 경우에는 성능을 향상시킬 수 있으나, 데이터가 저널에 한 번, 파일 시스템에 한 번, 이렇게 두 번 기록되기 때문에 성능이 저하될 수도 있다.
Ordered (리스크 중간)
메타 데이터만 저널에 기록된다. 파일 컨텐츠는 기록되지는 않지만 만일 관련된 메타 데이터가 저널에 기록되면 파일 컨텐츠는 디스크에 반드시 기록된다. 이는 많은 리눅스 배포판에 기본 설정으로 되어 있다. 만일 파일을 읽거나 쓰는 도중에 전원이 갑자기 꺼지거나 커널 패닉 상태가 되면, 저널은 새로운 파일을 가리키게 되거나 추가된 데이터가 넘겨지지 않으며, 삭제 처리된다. 하지만, 중복 쓰기가 된 파일은 원본이 저장되지 않아 파일이 손상될 수 있는데, 파일을 복구하기 위한 충분한 정보 없이 새 파일과 이전 파일의 중간 상태에서 파일이 종료될 수 있다. - 새로운 데이터는 완벽하게 디스크에 저장되지 않으며, 이전 데이터는 어디에도 저장되지 않는다. - 심한 경우에는, 중간 상태가 이전 데이터와 새 데이터 사이에 혼란을 줄 수 있다.[1][2]
Writeback (리스크 최고)
메타 데이터만 저널에 기록되며, 파일의 내용은 기록되지 않는다. 파일 내용은 저널이 업데이트된 후에나 아니면 그 이전에 기록될 수 있으며, 결과적으로 충돌 바로 전에 수정된 파일들은 손상될 수 있다. 예를 들어, 추가된 파일이 실제 크기보다 더 큰 파일로 저널에 기록되면, 결국은 "쓰레기(의미 없는 정보)"를 만들게 된다. 오래된 파일일수록 저널이 복구된 후에 예상치 못한 결과가 나타날 수 있다. 데이터와 저널 사이에 동시성이 결여되며 대부분의 경우에서 점점 심해진다. XFS와 JFS는 이러한 저널링 레벨을 사용하지만 데이터를 기록하지 않기 때문에 모든 "쓰레기"는 재부팅 시 완전히 삭제된다.
일부 상황에서는 동적 inode 할당 및 확장과 같은 현대 파일시스템의 기능 부족이 단점으로 여겨질 수 있지만, 복구의 측면에서는 이러한 사실이 아주 뛰어난 장점이 된다. 파일 시스템의 메타 데이터는 모두 수정되고, 잘 알려진 위치에 존재하며, 데이터 구조에 일부 중복성이 내재되어 있어, 트리 기반의 파일 시스템이 복구되기 어려운 상황에서도 뚜렷한 데이터 손상에도 불구하고 ext2 및 ext3 파일시스템이 복구될 수 있다.
ext3는 ext2와 대부분 호환이 가능하도록 하는 것을 목표로 하였고, 많은 on-disk 구조들이 ext2의 on-disk와 비슷하다. 이 때문에, ext3는 inode의 동적 할당 및 다양한 블록 크기(frag와 tail)와 같은 최신 파일시스템 설계의 기능들이 부족하다. ext3 파일 시스템은 쓰기를 위해 마운트 되어있는 동안에는 fsck를 할 수 없다. 읽기-쓰기가 마운트 되어있는 동안 수집된 파일 시스템의 덤프 작업은 데이터 손상을 가져올 수 있다.
ext3는 JFS, ext4, 그리고 XFS와 같은 다른 파일 시스템에서 볼 수 있는 기능인 extents 기능을 지원하지 않는다.
조각 모음 (Defragmentation)
파일 시스템 레벨에서 사용할 수 있는 온라인 ext3 조각 모음 기능은 없다. e2defrag라고 하는 오프라인 ext2 조각 모음기가 있지만 ext3 파일 시스템은 ext2로 먼저 재변환되어야 한다. e2defrag는 데이터를 손상시킬 수 있다. 왜냐하면 e2defrag는 ext3의 새로운 기능들을 어떻게 다루어야 하는지 잘 알지 못하기 때문이다.[3]
사용자 공간에서 이용할 수 있는 defragmentation 도구에는 Shake[4]와 defrag[5] 등이 있다. Shake는 전체 파일을 위한 공간을 바로 할당하며 단편화가 많이 되지 않도록 새롭게 파일을 할당하는 역할을 한다. 또한, 다음에 같이 사용되는 파일을 서로 쓸 수 있도록 한다. Defrag는 각 파일 스스로가 복사할 수 있도록 한다. 하지만 이러한 도구들은 파일 시스템이 비어 있을 때만 작동한다. 실제 조각 모음 도구는 ext3를 위해 존재하는 것이 아니다. [6] 'Linux System Administrator Guide' 에서는 "현재의 리눅스 파일 시스템은 연속적인 섹터에 저장될 수 없음에도 불구하고 서로가 파일 상에서 근접하게 모든 블록을 최소한으로 유지함으로써 단편화를 허용한다. 따라서 리눅스 시스템에서 단편화를 걱정할 필요는 없다." 라고 기술되어 있다.[7]
전술한 것과는 상관 없이, 파일 단편화는 멀티미디어 서버 응용 프로그램에서와 같은 서버 환경에서는 매우 중요한 문제가 될 수 있다. ext3는 FAT 파일 시스템보다는 파일 단편화에 강한 편이지만 그럼에도 불구하고 ext3 파일 시스템은 시간이 지날수록 단편화가 더욱 진행된다. 결과적으로 ext3의 다음 버전인 ext4의 경우 파일 시스템 조각 모음 유틸리티를 포함하며 extents 또한 지원하게 된다. 속도가 빠르고, 동시적이며 랜덤한 파일 생성, 업데이트 및 접근이 일어나는 곳에서의 서버 응용 프로그램들은, (ext3와 같은) 일부 리눅스 파일 시스템에 조각 모음 기능이 없어서 큰 문제가 되기도 한다. 이러한 시스템에는 큰 규모의 carrier grade 음성 메일 시스템을 포함, Media-Messaging Service Centers(MMSCs) 및 SMS/SMSC(Short Message Service Centers) 서버도 포함된다. 규모가 큰 음성 메일과 같은 미디어 서버나 UMS 서버는 거의 실시간 상태로 수많은 사용자에게 음성 및 영상 스트림을 연결해주어야 한다. 이러한 타입의 응용 프로그램들은 파일 단편화가 이루어질 가능성이 있다. 음성이나 영상 파일을 재생하는 동안 미디어 파일 내에 많은 단편화 현상 때문에 접근 지연으로 재생 불능이나 재생 방해가 발생할 수 있다. 단편화 현상이 증가함에 따라, CPU 및 I/O 오버헤드 증가로 디스크 thrashing을 일으켰던 단편화를 가져오게 됨으로써 이러한 시스템들의 서비스 능력이 떨어지게 된다.
압축 (Compression)
ext3의 비공식 패치에서는 투명 압축이 지원된다. 이 패치는 e2compr의 직접적인 포트이며 개발이 더 필요한 상태이며, 업스트림 커널과 컴파일 및 부팅이 잘 되지만 저널링은 아직 구현되지 않았다. 현재 패치는 e3compr이며 다음 링크에서 확인할 수 있다: http://sourceforge.net/projects/e3compr/
크기 제한 (Size limits)
ext3는 개별 파일 및 전체 파일 시스템 상의 최대 크기에 제한을 두고 있다. 이러한 제한은 파일 시스템의 블록 사이즈에 따라 결정된다.[8] (다음 차트 참조)
제한 크기
블록 크기
파일 최대 크기
파일 시스템 최대 크기
1KiB
16GiB
2TiB
2KiB
256GiB
8TiB
4KiB
2TiB
16TiB
8KiB
2TiB
32TiB
참고 8KiB 블록 사이즈는 8KiB 페이지(Alpha와 같은)를 허용하는 아키텍처에서만 가능하다. [영문 ext3 wiki] 여기와 내용이 틀림.
Checksum을 검사하지 않는다. (No checksumming in journal)
Ext3는 저널에 기록할 때 checksum 검사를 하지 않는다. ‘barrier=1’이 마운트 옵션 (/etc/fstab)으로써 활성화되지 않고, 하드웨어가 캐시에 기록이 되지 않을 때, 충돌이 일어나는 동안 심각한 파일 시스템 손상의 위험을 일으킨다.[9][10] (이 옵션은 대부분 모든 유명한 리눅스 배포판에는 기본적으로 비활성화 상태로 되어 있는데 이것은 대부분의 리눅스 배포판들이 이러한 위험에 노출되어 있다는 것을 의미한다.) 다음과 같은 시나리오를 생각해 볼 수 있다. 하드 디스크 쓰기가 제대로 작동하지 않는다면 (쓰기 속도를 향상시키기 위한 하드 디스크 캐싱 때문에), 하드 디스크는 다른 관련된 블록에 쓰기가 실행되기 전에 하나의 트랜잭션의 commit 블록을 종종 쓰게 된다. 다른 블록들에 쓰기가 되기 전에 전원이 잘못되거나 커널 패닉이 발생하면, 시스템은 재부팅을 해야만 하는 상태가 된다. 리부팅 시, 파일 시스템은 정상적으로 로그를 읽어 들여와서, winners (유효한 commit 블록과 함께 표시되도록 했던 유효하지 않은 트랜잭션을 포함하여 commit 블록이 있는 트랜잭션)를 재실행한다. 종료되지 않은 디스크 쓰기는 결과적으로 진행될 것이지만 손상된 저널 데이터를 사용하게 된다. 파일 시스템은 저널을 재실행하는 동안 손상된 데이터와 함께 정상적인 데이터의 중복 쓰기를 실행한다. 만일 checksum이 사용되었더라면 (상호 checksum으로 fake winner 트랜잭션의 블록이 표시가 된다면), 파일 시스템은 보다 더 잘 알게 되고 디스크 상에서 손상된 데이터를 다시 실행할 필요가 없다.
↑ Matthew Wilcox. Documentation/filesystems/ext2.txt. Linux kernel source documentation.
↑ Re: Frequent metadata corruption with ext3 + hard power-off
↑ Re: Frequent metadata corruption with ext3 + hard power-off
↑ inode의 최대 개수는 파일 시스템 생성시 결정된다 (즉, 파일 및 디렉터리의 최대 개수). V는 바이트 단위의 볼륨 사이즈를 말하며, inode의 디폴트 개수는 V/213이고 (또는 블록의 개수, 어느 것이든 해당 개수보다 작다), V/223가 최소값이다. 디폴트 값은 대부분의 응용 프로그램에서 충분한 값이다. 한 디렉터리가 포함하는 하위 디렉터리의 최대 개수는 32000으로 고정된다.
Ext2 File System For Windows GPL ext2/ext3 file system driver for Windows NT/2000/XP/Vista (opensource, supports read & write)
Ext2 Installable File System For Windows ext2/ext3 file system driver for MS Windows NT/2000/XP (freeware, supports read & write on Windows NT4.0/2000/XP/2003/Vista on x86/AMD64)
EXT2 IFS ext2/ext3 file system driver for MS Windows NT/2000/XP (opensource, doesn't support writing, doesn't support Windows XP SP2 or Windows Vista)
Explore2fs An explorer-like GUI tool for accessing ext2/ext3 filesystems under MS Windows
exFAT는 NTFS 파일 시스템이 자료 구조 오버헤드 등의 문제로 적절치 못할 경우, 또는 이전 버전인 FAT 파일 시스템의 파일 크기/디렉터리 제약이 문제가 되는 경우에 사용될 수 있다.
윈도 XP와 윈도 서버 2003 (둘다 x86, x64) 사용자들은 마이크로소프트사로부터 업데이트를 내려받아 설치하면 exFAT 지원을 사용할 수 있다.[4] exFAT 파일 읽기를 지원하는 실험적인 오픈 소스 리눅스 커널 모듈은 현재 개발 중이다 [5]. 마이크로소프트 exFAT 드라이버로부터 라이선스 받아 전달된 클로즈드 소스의 읽기/쓰기 리눅스 드라이버는 Tuxera를 통해 구매하여 사용할 수 있다[6]
네트워크. 그 중에서도 주로 인터넷을 이용한 메세지 송수신 규약. 1970년대 초반에 발명되었다. 'Email'이라는 표현은 90년대에나 통용되기 시작했고, 전자 우편(electronic mail)이라는 용어는 팩스같이 전자기기를 통한 문서의 교환 방법에 구분 없이 사용되었기 때문에 이메일의 발명 시점을 정확히 집어서 말하긴 힘들다. 1969년 ARPANET이 만들어지면서 메시지들을 전송하려는 시도가 있었으며, 1971년에는 골뱅이(@) 문자를 사용하는 메일이 처음으로 보내졌고, 메일 규격을 표준화하려는 시도가 1973년 RFC 561 등으로부터 시작되었다. 현재 사용되는 것과 같은 메일 전송 규약인 SMTP의 첫 표준 RFC 821이 등장한 것은 1982년.
간혹 인도계 미국 소년 시바 아야두라이(V.A. Shiva Ayyadurai)가 1978년에 이메일을 최초로 발명했다고 하는 기사를 찾을 수 있으나#, 이는 당사자의 일방적인 주장으로, 이것을 보도했던 워싱턴포스트에서도 정정보도를 낸 바 있다. 이메일의 최초 사용자라고 일반적으로 인정받는 사람은 ARPANET의 작업에 참여했던 故 레이 톰린슨이다. 인터넷은 원래 웹 서핑 하려고 만들어졌던 게 아니라, 문자정보를 주고받기 위해 만들어진 네트워크였다. 즉 이메일은 인터넷의 탄생 목적과 연관이 있다. 메일주소 중간에 @를 사용해서 사용자 계정 이름과 이메일 서버 이름을 구분하는 방식 역시 1971년에 인터넷의 전신인 ARPANET 시절 처음 등장했을 정도로 그 역사가 깊다.[1]
국내에선 인터넷이 대중화되기 이전, 그러니까 PC통신 시절에도 '전자메일'이라는 이름으로 비슷한 게 있었지만 이 시절에는 서비스 제공자끼리 협조가 안 돼서 같은 서비스 가입자끼리만 주고받을 수 있었다는 점이 좀 다르다. (ex: 이 프로그램을 사용하시다가 궁금하신 점이 있으면 천리안 namu0821이나 하이텔 namuking으로 메일 보내주세요.) 시간이 지나면서 인터넷이 대중화되자 이들 PC통신 서비스도 인터넷 이메일의 편지함을 자사의 전자메일과 연동시키는 방법으로 인터넷에서도 이메일을 주고받을 수 있도록 했다.
MS에서는 이메일을 이메일이라 부르지 않고 전자메일이라는 이름으로 부르지만 이는 PC통신시절과는 달리, MS의 로컬라이징 정책상 e-mail을 풀어 쓴 Electronic Mail을 해석한 것. 메일은 왜 번역하지 않았냐면, 우체국을 통한 편지 전달체계와 직감적으로 구분하기 위해서 그렇다.
기업 대 개인간의 커뮤니케이션 수단(예를 들자면 게임 마스터같은 거)에서 이메일이 차지하는 비중은 절대적이며, 개인간의 커뮤니케이션 수단으로서의 이메일은 일반 사용자들에게서는 인스턴트 메신저나 SNS등 기타 다른 채널에 의해 많이 그 위상을 빼앗겼지만, 업무상 메시지 교환에 있어서는 가장 중요한 수단이다(메신저는 휘발성이라 자료남기기 어렵고, SNS는 보안성이 낮다). 그 덕분에 대부분의 경우 중-고-대학생 시절에는 이메일을 거의 '받기만'하지만, 직장인들은 하루에도 많게는 수십, 수백통의 이메일을 보내고 받고 해야 한다. 회사생활 처음 하는 사회초년생들이 가장 애먹는 것 중 하나가 바로 메일 쓰는 요령일 정도. (특히 참조(CC)기능[2]과 전체회신(reply all) 기능을 잘 몰라서 실수하는 경우가 많으니 모르면 지금이라도 한번 찾아보자.)
회사끼리의 메일은 사소한 것이라도 공문에 맞먹는 효력을 가질 수도 있기 때문에 주의해야 한다. 또한 대개 서로 국가에 활동하는 단체간의 계약에서는 이메일이 상대방 메일함에 들어가 있는 사실을 증명할 수 있으면 상대방이 "계약을 인지"한 것으로 판단하기도 한다. 따라서 메일을 읽지 않았다고 계약이 무효화 되는 것은 아니니 직장인이라면 메일함을 정리하는 것을 자기 업무용 책상 정리하듯이 "깔끔히 정리"하는 것이 매우 중요한 일이기도 하다.
일본에서는 갈라파고스화의 사례로 거론된다. 2011년까지 휴대 전화의 문자메시지 규격 통일이 되어 있지 않아서 이메일이 대체재로 보급되었는데, 독자 프로토콜을 사용하는데다 이 휴대전화 이메일로만 인증을 하는 서비스도 있어서(mixi가 대표적) 외국에서 엄청나게 까이고 있다(...).
원래 인터넷에서 이메일이란 메일서버의 계정을 얻고, 자신의 PC나 터미널에서 메일 클라이언트 프로그램으로(아웃룩 등) 메일서버에 접속하여 사용하는 방식이 일반적이었다. 그러나 월드 와이드 웹의 발전에 따라, 웹사이트에서 직접 계정을 발급하고 웹사이트 화면상에서 이메일 서비스를 제공해주는 것이 나타났는게 이것이 웹메일이다. 국내에는 다음이 한메일을 도입하면서 웹메일 열풍이 불었다. 웬만한 포털사이트에서는 모두 웹메일을 제공하고 있으며, 예전에는 간혹 있었던 웹메일 전문 서비스 업체는 현재는 거의 사라진 상태다.
포털서비스 업체 입장에서 웹메일은 그다지 돈이 되는 사업이 아니기 때문에, 서비스 제공에 인색한 편이다. 스마트폰 충격이 오기전에는 포털사이트에서 IMAP을 제공하지 않았으며, 네이버가 1GB 용량을 줄 때, 다음은 100MB 용량을 주고 있기도 했다.
그 외에 오르지오가 웹메일 수신확인 서비스를 제공하여 역시 돌풍을 일으켰지만, 현재는 망했다.[3] 구글은 7GB이상의 대용량을 제공하여 큰 반향을 일으켰고 IMAP도 기본 제공하는 등 선진적인 서비스를 제공했다.
웹메일의 특화된 서비스라면
POP 서버제공 - 웹메일로 받은 메일을 본인의 메일 클라이언트로 가져올 수 있음 (네이버, 다음 등)
SMTP 서버제공 - 본인의 메일 클라이언트를 이용하여 웹메일 서버를 거쳐 메일을 보낼 수 있음 (네이버, 다음 등)
타 메일 가져오기 - POP서버를 제공하는 타 웹메일의 메일을 자기 웹메일로 가져올 수 있음 (거의 모든 웹메일 서비스)
IMAP 서버제공 - 본인의 메일 클라이언트와 웹메일 편지함을 동기화시켜 사용 가능. 스마트폰에서 유리 (네이버, 다음, 구글 등)
수신확인 - 메일을 보낸 후 상대방이 읽었는지 확인 가능 (모든 국내 웹메일)
발송취소 - 동일한 서비스업체의 메일로 보냈을 경우, 발송후 상대방이 확인전에 취소 가능 (네이버, 다음 등)
첨부파일 지우기 - 메일 (네이버, 다음 등)
대용량 첨부파일 제공 - 수십MB이상의 대용량 첨부파일을 임시공간에 파일 업로드 후 링크 방식으로 전달할 수 있도록 제공 (네이버, 다음 등)
대용량 편지함 제공 - 1GB이상의 대용량 편지함을 제공 (네이버, 다음, 구글 등)
무한용량 제공 - 메일을 편지함에 지우지 않고도 무한히 받을 수 있음 (야후 등)
도메인 서비스 - 별도의 메일서버 없이 자사·자신의 도메인을 웹메일에 적용시켜서 고유한 이메일 주소를 만들 수 있다.
이메일 ID는 여러가지 유형이 있으나 기업에서는 일반적으로 GDHong, GilDongHONG같이 이름을 쓰는 것이 일반적이다. 아니면 박대기기자의 Waiting 처럼 이름 직역(…)이나 유명한 별명을 사용하기도 한다. 하지만 뜬금없이 숫자로만 아이디를 구성한다거나 영어, 일본어등의 외국어등으로 구성하게 되면 상대방기업측에서 신뢰를 못받을 확률이 높다. 거래처 담당자 아이디가 뜬금없이 KILLER, FateZZANG이면 상대방이 당황스럽지 않겠는가? 최소한 업무용 메일은 무조건 본명으로 하고, 회사 도메인을 사용하는 게 좋다.
이메일 자동 수집을 막기 위해 @ 대신 (at)를 넣는 경우도 있다. 메일 주소가 admin@namu.com이라면 admin at namu.com 식으로 표현하는 것. 에이콘 출판사에서 나온 "구글해킹 절대내공"에 구글 검색 엔진을 이용한 이메일 자동 수집 방법이 자세히 적혀있다. 물론 책 자체의 목적은 이메일을 수집하라는 게 아니라, 이메일 수집을 피하라는 것(...).
이메일은 네트워크 기반 메시지 송수신 서비스로 실세계의 우편 시스템을 모방하고 있다. 따라서 사용자가 직접 메일서버에 접속하지 않으면 메일서버에 수신한 메시지를 전달할 수 있는 방법이 없다. 따라서 이메일 시스템은 사용자가 받는 사람의 메일서버까지 메시지를 보내기 위한 송신 프로토콜과 사용자가 메일서버에 접속하여 메시지를 가져가기 위한 수신 프로토콜이 완전히 별개로 분리되어 있다. 이메일 클라이언트를 설정할 때 보내는 메일 서버(보통 SMTP) 주소와 받는 메일 서버(POP 또는 IMAP) 주소를 따로 등록하는 이유가 이 때문이다.
더불어 한국의 많은 이메일 서비스에서는 메일을 보낸 후에 상대가 읽었는지 안읽었는지를 알려주는 수신확인 서비스를 제공하고 있다. 반면 해외 이메일 서비스를 이용할 경우 수신확인 기능 자체가 없는 것을 볼 수 있으며, 이로 인해 불편함을 호소하는 사람들을 찾아볼 수 있다. 하지만 이에 대해서 한 가지 사실부터 이야기하면 현재 이메일 시스템에는 신뢰할 수 있는 수준의 수신확인 방법 자체가 없다.
원래 이메일 시스템을 만드는 과정에서 이러한 수신확인 기능을 구현하기 위한 개념은 잡혀 있었다. 또한 ESMTP와 같은 일부 프로토콜에서는 수신확인 요청을 보낼 수 있도록 관련 기능이 포함되어 있다. 하지만 현재 작동중인 거의 모든 메일서버는 이러한 수신확인 기능 자체를 꺼놓거나, 확인 요청이 들어와도 그냥 무시해버리거나, 기능 자체를 아예 미구현 상태로 내버려두기도 한다.
국내에서는 일부 정석적인 방식을 채택하여 수신확인 기능을 제공하는 곳도 있지만 대부분 메일 안에 사용자는 인식하지 못하는 1픽셀짜리 이미지, 통칭 웹버그를 하나 삽입하여 상대가 이 이미지를 읽으면 수신한 것으로 간주하는 방식을 채택하고 있다. 일종의 편법을 이용한 수신확인 시스템인데 이것도 받는 메일서버나 메일 클라이언트에서 메일 내 이미지 표시하지 않기 기능을 적용하여 메시지와 첨부파일 이외의 요소를 필터링해버리면 무력화된다. 게다가 일부 서비스에선 저런 웹버그가 포함된 메일은 스팸으로 처리한다. 이유는 스팸메일 발송업자들이 실제 사용하는 이메일인지 판별하기 위한 용도로 악용하고 있고, 개인 프라이버시 유출 문제도 겹치기 때문이다. 한 마디로 편리해 보이는 이 기능이 찬밥취급인 이유는 보안문제와 함께 스팸이 범람하는 현대의 네트워크 환경이 주 원인이다.
이메일 프로토콜을 이야기 할 때의 개체는 MDA(Mail Delivery Agent), MTA(Mail Transfer Agent), MUA(Mail User Agent)의 세 가지를 생각한다. MDA는 우편함(메일을 저장하는 로컬 서버), MTA는 우편국(메일을 사용자에게 전달하는 서버), MUA는 우편 수신자(메일 클라이언트)이다.
예를 들어 sender@gmail.com 계정의 사용자가 receiver@naver.com 계정으로 이메일을 보낸다고 하자.
sender는 이메일 클라이언트(MUA)을 통해 gmail서버(MTA)로 접속해 메일을 작성하고 전송 버튼을 누른다.
2. gmail서버는 네이버 메일서버(MTA)로 메일을 전송한다.
3. 네이버 메일서버는 내부 저장소(MDA)에 메일을 저장한다.
4. 네이버 메일서버가 사용자 receiver의 이메일 클라이언트(MUA)로 메일이 왔음을 알린다.
4. receiver의 이메일 클라이언트(MUA)가 네이버서버에서 메일을 다운로드한다.
이메일을 전송할 때(MUA -> MTA; MTA-> MTA)는 SMTP 혹은 ESMTP 등을 사용하며 메일을 받아올 때(MDA->MUA)는 POP, IMAP 등을 사용한다.
이메일을 이용해 ASCII 텍스트 이외의 다른 데이터(유니코드, 영상파일 등)를 보낼 수 있도록 이메일 프로토콜에 맞춘 포맷 형식이다.
[1] 현재도 UNIX기반으로 돌아가는 시스템 (리눅스, OSX 등)은 username@servername식으로 원격 접속이 가능하다. 즉 수신서버 측에서 이메일 포트로 들어오는 요청을 처리할 수 있는 프로세스가 돌아가고 있으면 이메일, ssh나 ftp포트로 들어오는 요청은 포트에 따라 각 서비스가 처리한다.[2] 수신(To)과 완전히 동일하게 메일을 받기 때문에 기능상으로는 아무런 차이가 없다. 그러나 의미상으로 메일에 대한 회신이나 반응할 의무가 없다는 것으로 이해하면 된다. 예를 들면 법원에서 전달사항을 이메일로 보낸다면 피고와 원고는 수신인으로, 증인에게는 참조로, 신변보호 중인 증인은 숨은참조(BCC)로 보낸다고 이해하면 된다.[3] 아카이브로 흔적은 볼 수 있다. 오르지오 아카이브
