Doc & Doc 파일의 마지막 인쇄 날짜 속성 연구

Doc, Docx 파일은 Microsoft Word 에서 생성 가능한 문서 파일 포맷이다.  해당 파일은 기본적으로 다양한  속성 정보를 가지고 있으며, 본 포스팅에는 문서의 출력 여부가 분석의 중요한 이슈 사항일 때 참고하기 위해 [원본] – [마지막으로 인쇄한 날짜] 속성에 초점을 맞춰 작성한다.

기본적으로 운영체제 별로 생성되는 속성 정보는 아래와 같다. 테스트 환경은 Windows XP/7 에서 Word 2007 버전을 사용했다.

 

[Windows XP]

1. Doc, Docx 파일 생성 : 기본으로 생성되는 속성 정보 확인 목적

xp_1

XP에서 파일 생성을 할 경우 Doc 파일은 기본적인 등록 정보 외에 "만든 날짜" : 파일 생성 시간, "마지막으로 저장한 날짜" : 최근 문서 수정 시간, 편집 시간(사용하지 않음) 등을 제공하는데 반해, Docx 파일은 기본적인 만든이, 수정 횟수 필드만 존재한다. 이와 같은 경우 Docx 파일은 파일의 속성 정보가 아닌 파일 자체의 시간 정보를 이용해 문서 작성 시간, 수정 시간 등을 특정해야 하며, 정확한 문서 작성 시간을 상대적으로 Doc 보다 알기 힘들다.

 

2. 파일 내용 추가 : 수정 횟수, 수정 시간과 같은 수정 관련 필드 확인 목적

xp_2

파일 생성 시에 존재하던 필드 외에 새로운 필드는 존재하지 않으며, Doc 파일의 경우 "마지막으로 저장한 날짜" 즉 최근 문서 수정 시간과 수정 횟수가 갱신 된 것을 확인할 수 있었다. Docx 파일은 수정 횟수만 갱신 된 것을 확인 가능했다.

 

3. 파일 수정 후 인쇄 : 문서의 요점인 마지막 인쇄 날짜에 필드가 생성되는지 확인 목적

xp_3

Doc, Docx 파일 모두 마지막 인쇄 날짜에 필드가 추가되지 않았으며, 파일 수정에 관련된 내용만 갱신되었다.

 

4. 파일 수정 없이 인쇄 : 수정 없이 문서 파일의 인쇄만 할 경우 특정한 필드가 생성되는지 확인 목적

xp_3

파일 수정 없이 인쇄만 하였을 때에는 아무런 변화가 없다. 그러나 속성이 아닌 파일 자체의  접근 시간(Access Time)시간 정보를 통해 가장 최근에 접근한 날짜를 확인 가능하다. 물론 단순 파일 접근 여부만 확인 가능할 뿐 인쇄 여부를 특정할 수는 없다.

 

5. 해당 파일을 타 OS 로 이동 하여 필드 확인 : 운영체제에 종속적으로 속성 정보를 보여주지 않을까 라는 가설 확인 목적

xp_5

XP 에서 작성한 Doc, Docx 파일을 Windows 7 으로 복사하면 속성 정보에 "마지막으로 인쇄한 날짜" 필드가 생성되나 시간정보는 존재하지 않는다. 또한, 기존 XP에서 필드 정보가 거의 없던 Docx 파일도 "콘텐츠 작성 날짜", "마지막으로 저장한 날짜" 등이 정상적으로 갱신되어 존재하고 있던 것을 확인할 수 있다.  문서 파일 자체적으로는 필드 정보를 가지고 있으나, 운영체제에서 속성 보기에는 보여주지 않았던 것이다. 이를 통해 문서 파일의 필드 정보 보기는 운영체제에 종속적으로 생성되는 것을 확인할 수 있다.  또한, 만약 운영체제에서 시간 정보를 알려주지 않더라도 문서 파일 세부 분석을 통해 데이터 들을 확인할 수 있다는 것도 알 수 있다. 그러나 기존에 사용하지 않던 "마지막으로 인쇄한 날짜" 필드는 문서 파일 세부 분석을 하더라도 확인할 수 없다.(기존에 없을 경우 아에 쓰지 않음)

 

6. 타 OS로 옮긴 파일 수정 후 인쇄 : 필드가 생성되었으니 인쇄 날짜 필드도 이제 사용하지 않을까 라는 가설 확인 목적

xp_6

문서 파일 수정 정보인 "마지막으로 저장한 날짜" 필드가 실제 수정을 수행한 시간으로 갱신 되었고, "마지막으로 인쇄한 날짜" 필드가 정상적으로 인쇄 시간으로 갱신된 것을 확인할 수 있다. 여기서 한가지 정확하게 넘어가야할 점이 있었다. 아래의 2케이스를 보자.

1. 문서 파일 수정 -> 저장 -> 인쇄 : "마지막으로 저장한 날짜" 필드만 갱신되며 "마지막으로 인쇄한 날짜" 필드는 갱신되지 않음

2. 문서 파일 수정 -> 인쇄 -> 저장 : "마지막으로 저장한 날짜", "마지막으로 인쇄한 날짜" 필드가 함께 갱신되며, 이 때 남게 되는 시간은 인쇄 후 저장한 시간을 의미함. 그러므로 실제 인쇄를 수행한 시간은 최종적으로 저장시간보다 이전시간임, 수정 횟수가 2 증가

케이스 실험을 통해 마지막으로 인쇄한 날짜에 근접한 시간을 얻을 수는 있지만, 해당 문서 파일이 인쇄된 정확한 시간은 확인할 수 없는 것을 알게되었다. 이는 pc 분석에서 프린터 스풀링 데이터 또는 관련 드라이버 로딩 시간 등 타임라인 분석을 통해 정확한 시간정보를 특정할 수 있을 것이라 생각된다.

 

7. 파일 수정 없이 인쇄 : 수정 없이 문서 파일의 인쇄만 할 경우 특정한 필드가 생성되는지 확인 목적

xp_6

파일 수정 없이 인쇄할 경우는 XP 6번 실험과 동일한 결과로 아무런 변화가 없다. 그러나 앞서 XP 4번 실험 처럼 속성이 아닌 파일 자체의 시간 정보를 통해 가장 최근에 접근한 날짜를 확인 가능하다. 물론 단순 파일 접근 여부만 확인 가능할 뿐 인쇄 여부를 특정할 수는 없다.

 

[Windows 7]

1. Doc, Docx 파일 생성 : 기본으로 생성되는 속성 정보 확인 목적

7_1

7에서 파일 생성을 할 경우 Doc 파일과 Docx 파일 모두 앞서 XP에서 생성한 파일을 7으로 이동했을 때 확인한 속성 필드와 동일한 정보를 가지고 있었다.

 

2. 파일 내용 추가 : 수정 횟수, 수정 시간과 같은 수정 관련 필드 확인 목적

7_2

두 파일 모두 "마지막으로 저장한 날짜" 즉 수정 시간과 수정 횟수가 갱신된 것을 확인할 수 있었다.

 

3. 파일 수정 후 인쇄 : 문서의 요점인 마지막 인쇄 날짜에 필드가 생성되는지 확인 목적

7_3

두 파일 모두 "마지막으로 인쇄한 날짜"가 갱신 되는 것을 확인할 수 있었다.  앞서 XP 실험 6에서 언급했듯이 파일 수정 -> 인쇄 -> 저장 했을 경우만 생성되는 것을 유의해야 한다.

 

4. 파일 수정 없이 인쇄 : 수정 없이 문서 파일의 인쇄만 할 경우 특정한 필드가 생성되는지 확인 목적

7_3

파일 수정 없이 인쇄만 하였을 때에는 아무런 변화가 없다. 그러나 이 경우 역시 속성이 아닌 파일 자체의 시간 정보를 통해 가장 최근에 접근한 날짜를 확인 가능하다. 물론 단순 파일 접근 여부만 확인 가능할 뿐 인쇄 여부를 특정할 수는 없다.

 

5. 해당 파일을 타 OS 로 이동 하여 필드 확인 : 운영체제에 종속적으로 속성 정보를 보여주지 않을까 라는 가설 재 확인 목적

7_5

해당 두 문서파일을 XP로 옮기니 Doc 파일의 경우 기존 필드(XP에서 파일 생성 시 보여준 필드) 외에 "마지막으로 인쇄한 날짜" 필드가 추가되어 나타나며, Docx 의 경우 다시 시간 정보 등이 삭제된 기본 속성 정보만 나타내는 필드만 보여준다. 이를 통해 만약 Doc 파일이 Windows XP에 "마지막으로 인쇄한 날짜" 필드가 존재하는 상태로 있을 경우 Windows 7에서 작성 후 XP로 옮겨졌다는 것을 유추할 수 있다. Docx 파일의 경우 문서 파일 상세 분석을 통해 기존 7에서 보여준 필드 내용이 그대로 존재하는 것도 위의 XP 5번 실험의 결과를 통해 생각해 볼 수 있다.

 

6. 타 OS로 옮긴 파일 수정 후 인쇄 : 문서 파일에 필드가 존재한 채 인쇄 작업을 할 경우 XP에서 이를 반영하는지 확인 목적

7_6

기존에 XP 실험 1,2,3,4번에서 본 결과로는 XP의 Doc는"마지막으로 인쇄한 날짜" 필드가 기본적으로 존재하지 않는다. 그러나 7에서 생성된 파일의 경우 해당 필드가 기본으로 존재하며, 이 파일을 XP로 가져와서 인쇄할 경우 해당 필드를 사용하는지(갱신 하는지)를 확인해보니 위와 같이 정상적으로 갱신 되는것을 확인할 수 있었다. Docx 는 기본정보만 나타난다. 이를 통해 만약 7에서 작성한 문서를 XP로 가져와 재 인쇄 할경우(문서 수정 -> 인쇄 -> 저장) 해당 필드를 XP에서도 반영하여 갱신하므로, 관련 시나리오 해석에 도움을 줄 수 있다.

 

7. 파일 수정 없이 인쇄의 경우 아무런 갱신 작업이 없으므로 생략하도록 한다.

 

[정리]

위 실험 내용을 통해 확인한 Doc, Docx 파일의 운영체제에 따른 "마지막으로 인쇄한 날짜" 내용을 정리하면 아래와 같다.

– Windows XP에서 생성한 파일의 경우 Windows 7으로 옮겨 필드를 추가 시키지 않는 이상, "마지막 인쇄 날짜" 필드 정보를 문서 파일 속성에 반영하지 않음(파일 자체적으로도 가지지 않음)

– 문서의 속성 정보는 운영체제에 종속적으로 보여주며, 만약 운영체제를 옮기는 작업을 통해 필드가 갱신 될 경우 해당 필드는 추후 갱신 가능

– "마지막으로 인쇄한 날짜" 필드는 문서 수정 -> 인쇄 -> 저장 동작일 때 파일 속성에 갱신되며, 이 때 수정횟수는 최소 2회 이상이 이루어짐

– 만약 수정 -> 인쇄 후 저장을 하지 않고 종료할 경우는 필드 갱신이 되지 않으므로 파일 속성의 인쇄한 날짜 필드만 가지고는 해당 파일의 인쇄 여부를 분명히 할 수 없음

– 문서 수정 -> 인쇄 -> 저장 동작일 때 저장 시점의 시간으로 갱신이 이루어 지므로, 문서 속성 정보를 통해 해당 파일의 정확한 마지막 인쇄 날짜를 확인할 수는 없음(타임라인 분석을 병행하여 정확한 시점을 찾아내야 함)

 

위 실험 외에도 더욱 다양한 케이스가 있을 것이며, 이에 대해서는 차후 생각 나는대로 테스트하여 포스팅 하도록 해야겠다. 만약 문서의 수정 및 출력 여부가 분석에 중요한 요소가 될 경우는 위와 같은 케이스를 잘 고려하여 분석에 활용하면 좋겠다. 아무나 도움되기를 -0-