윈도우 시스템 복원에 대한 진실과 오해

윈도우 시스템 복원은 Windows Me부터 윈도우에 추가된 기능으로
컴퓨터 사용자들 거의 모두가 알고 있는 기능입니다.

그런데 이걸 알고는 있지만
이 시스템 복원에 대하여 잘못 알고 있는 사람들이 많습니다 .

그래서 오늘은 이 시스템 복원이 할 수 있는 일과 할 수 없는 일에 대하여 간단히 정리를 해 보고자 합니다.

이 글은 Windows XP를 기준으로 진행합니다.

 

글은 다음과 같은 순서로 진행될 것입니다.

1 . 시스템 복원이 할 수 있는 일 / 없는 일.
2 . 시스템 복원의 폴더 구조, 그 실행과 사용 및 작동 옵션 그리고 제한.

원래는 위 순서의 역순으로 진행하는 것이 글의 순서로 맞겠으나
시스템 복원은 너무 알려진 기능이기에
덜 알려진 부분에 대한 설명부터 시작하기로 합니다.

시스템 복원이 할 수 있는 일 / 없는 일.

시스템 복원을 했습니다.
어떠한 일이 벌어질까요?

시스템 복원을 하면 변경되었던 레지스트리 사항이 변경 전으로 되돌아갑니다.
변경되었던 폴더 Tree 구조가 시스템 복원점 생성 당시로 되돌아갑니다.
변경된 시스템 파일들을 복원점 당시의 것으로 되돌립니다.

위의 사항에서 아래의 사항들이 유추됩니다.

실행시킨 시스템 복원점 이후에 설치되었던 프로그램은 사라지게 됩니다.

이러한 사실에서 볼 때 사용자를 괴롭히는 허위 백신 같이 설치되는 악성코드는
시스템 복원으로 해결이 될 수도 있습니다.

그리고 virut같이 거의 모든 파일을 변형시키는 악성코드 감염의 경우에도
시스템 파일이 변형된 경우는 해당 파일을 정상 파일로 리플레이스될 수도 있습니다.

그런데 시스템 복원은 사용자가 생성한 개인 파일은 복구하지 않습니다.
또한 마이크로소프트 시스템과 직접적으로 연관되지 않은
(파일 속성을 열어 보았을 때 그 publisher가 microsoft가 아닌)
파일들은 복원점 당시의 것으로 되돌리지 않습니다.

이것이 의미하는 것은
사용자가 실수로 자신이 만든 데이타 파일을 삭제한 경우에는 
시스템 복원을 통하여 해당 파일을 복원할 수는 없다는 뜻입니다.

또 의미하는 것은 가정하기를
시스템에서 V3 Lite가 오류가 난 경우 시스템 복원은 V3 Lite의 오류를 바로잡아 주지 않습니다.
그런데 이러한 시스템 복원의 작동 방식때문에

예를 들어서
마이크로소프트가 제작 회사가 아닌 파일
예를 들어 네로 버닝 롬의 실행 파일이 virut같은 것으로 변형된 경우에는
시스템 복원은 해당 파일을 정상으로 되돌려 주지 않습니다.

위에 말하기를
사용자를 괴롭히는 허위 백신 같이 설치되는 악성코드는
시스템 복원으로 해결이 될 수도 있습니다.
그리고 virut같이 거의 모든 파일을 변형시키는 악성코드 감염의 경우에도
시스템 파일이 변형된 경우는 해당 파일을 정상 파일로 리플레이스될 수도 있습니다.
라고 했습니다.

그러나 살펴본 바와 같이 (예를 들어 네로 버닝롬 실행 파일)
시스템 복원으로 변형된 파일이 정상화되지 않는 경우도 상당수 존재합니다.

그러므로 당신이 다음 지식이나 네이버 지식iN에 
악성코드 해결책을 물었을 때
감염전으로 시스템 복원을 하세요란 답변을 얻었다면
그것은 확률적으로는 절반은 엉터리 답변을 얻었다고 보시면 됩니다.
그런데 위에 언급했 듯이 해결될 경우 안될 경우를
질문자나 답변자 모두 애매모호하게 알 수도 있다는 점을 감안한다면

그냥 완전 순수한 엉터리 답변이라고 생각해도 무방할 것입니다.

---

시스템 복원으로 삭제된
개인적인 파일들을 살릴 수는 없음에도 시스템 복원을 통하여
개인적인 데이터 파일 등을 살리려는 시도를 하는 사용자들이 있는 반면

Norton Ghost, Acronis True image 
또는 Phoenix의 복구 프로그램

(Phoenix의 복구 프로그램은 삼성 복원 솔루션이 채택한 것입니다.)

같은 것을 가지고 있지 못한 관계로 
기댈 곳은 시스템 복원 밖에 없고 또 그 필요성이 절실함에도
혹 시스템 복원으로 인하여 개인적인 데이터 파일들이 날아갈까 걱정이 되어서
시스템 복원을 하지 못하고 전전긍긍하는 사용자들도 있습니다.

그런데 시스템 복원은
개인 파일들은 날리지 않습니다.

예를 들어 내 문서에 보관된 데이타들, 사용자가 만든 폴더에 저장된 문서들,
다른 파티션의 자료들, 또는 아웃룩 사용자가 저장한 이메일 등등..........

그러므로 그런 분들이야 없겠지만
system32 폴더 같은 폴더에 자료를 저장하지 않은 이상 안심하고 복원을 해도 됩니다.

다만 한가지 주의하실 점은
시스템 복원은 바탕 화면을 복구합니다.

이 것이 뜻하는 것은

만약 사용자가 위 그림처럼 바탕 화면에 개인적인 자료를 저장할 폴더를 만들고

(위 그림에서는 아빠가 우리 아이 사진을 저장할 폴더를 만들었다고 가정합니다.)

거기다가 아이 사진을 무진장 저장을 했습니다.

그러다 시스템 오류로 우리 아이 폴더를 생성하기 전으로 복원을 하게 되면
시스템 복원은 

바탕 화면의 우리 아이 폴더를 날려 버립니다.

소중한 아가 사진들을 날리는 것입니다 . _ _

물론 시스템 복원에는 마지막 복원 취소라는 옵션이 있긴 하지만
이렇게 날린 경우 마지막 복원 취소를 통해 꼭 100% 복원되리란 보장은 없습니다.

그러므로 바탕 화면에 어떤 폴더가 있는 경우는

1 . 바탕 화면의 폴더는 시스템을 느리게 하는 원인도 됩니다. 그 장소를 옮겨 주세요.
2 . 만약 바탕화면에 계속 놔 둘 것이라면
    최소한 시스템 복원 전에는 해당 폴더를 백업은 해야 합니다.

해당 폴더를 백업하려면

시작>실행에서 %UserProfile% 이라고 치고 엔터해 뜨는 폴더에서 바탕 화면 폴더로 들어가면
해당 폴더를 볼 수 있을 것이고, 이 폴더를 다른 위치로 복사하면 됩니다.

시스템 복원의 폴더 구조, 그 실행과 사용 및 작동 옵션 그리고 제한.

시스템 복원은 복구를 위한 백업 파일들을 system volume information 폴더에 저장합니다.
이 폴더는 사용자가 액세스할 수 없는폴더라 변형도 삭제도 불가합니다.
물론 권한 조정으로 이 폴더에 접근할 수도 있지만
system volume information 내의 파일들을 변경할 경우 시스템 복원은 작동하지 않으며
작동한다 해도 제대로 복원되지 않고 오류를 냅니다.

이러한 이유에서 
system volume information에 감염된 파일이 백업된 경우 
백신들은 해당 파일을 진단하더라도 건드리지는 않고 전체 시스템 복원 중지할 것을 권장합니다.

(전체 시스템 복원 중지시 system volume information  폴더가 비워집니다.
즉, 모든 시스템 복원점들이 사라집니다 .)

시스템 복원 폴더 ( system volume information )의 구조는 아래와 같습니다.

Rp470, Rp471로 표시되는 것들이 각각 하나의 복원점입니다.

Rp숫자 폴더 밑으로는 아래와 같은 폴더들이 존재합니다.
snapshot - 레지스트리 정보를 백업합니다.
Repository - 윈도우 맵 정보를 백업합니다.
파일들은 Rp 숫자 폴더의 루트 및 Fs에 백업됩니다.

시스템 복원을 실행하는 방법은 아래와 같은 것들이 있습니다.

시작> (모든)프로그램> 보조프로그램> 시스템도구> 시스템복원

시작> 실행에서 msconfig라고 치고 엔터하면 뜨는 시스템 구성 유틸리티에서

만약 시작 표시줄이 안 뜨는 경우라면

(바탕화면에 아이콘 및 시작이 안 뜨는 경우라면 )

Ctrl + Alt + Del을 누르면 뜨는 작업관리자에서 새작업(실행...)(N)을 통해

 

msconfig라고 친 후 시스템 구성 유틸리티를 띄워

또는 C:\WINDOWS\system32\Restore\rstrui.exe 경로를 찾아 실행.

만약 위 어떠한 방법으로도 안될 경우는

안전 모드로 부팅 시
로그인 계정 선택 전에 시스템 복원을 하겠냐고 물어오므로 거기서 시스템 복원. 

위 모든 방법이 안 될 때는
아래 제 예전 글에서 소개한 안철수연구소의 레지스트리 픽스 툴을 실행해준 후 재부팅한 후
다시 위 방법들중 하나로 시스템 복원을 실행해 보시기 바랍니다.

2009/04/08 - [프로그램 리뷰] - Registry Fix Tool - 안철수연구소 제공

시스템 복원을 실행하면 아래와 같은 창이 열립니다.

시스템 복원을 하려면 ⓛ에서처럼 이전 시점으로 내컴퓨터 복원을 선택하고 다음을 누르면 됩니다.

다음을 누르면 위와 같은 창이 뜨는데 
여기서 굵은 글자로 표시된 날짜들이 시스템 복원점이 존재하는 날짜들입니다.

그 날짜들 중 시스템 에러가 발생하기 전의 복원점을 선택하고 또 다음을 누르면
시스템 복원이 진행되고
그게 다 진행되고 시스템이 재부팅되면서
시스템 복원이 완료되었단 메시지가 뜰 때까지 기다리시면 시스템 복원이 끝나는 것입니다.

위 그림에 빨간 네모 친 부분을 볼 수 있을 터인데
거기를 클릭해 이동하면 전달의 시스템 복원점들도 볼 수 있습니다.

주의할 점이 하나 있는데 
위 그림에서 14일은 제 시스템의 윈도우 업데이트가 이루어져 만들어진 복원점입니다.

그런데 만약 이 상태에서
5일로 시스템을 복원한다면 윈도우 업데이트가 되었던 것은 무효가 됩니다.

그러므로 이런 경우에는 복원을 끝내자마자 윈도우 업데이트부터 해 주어야 합니다.

시스템 복원은 기본적인 설정이 90일전까지의 복원점들을 보관합니다.(주 1.)

이제 위의 그림에서 ② 시스템 복원 설정을 눌러 봅니다.

그러면 위와 같은 창이 뜨는데

에 체크를 함으로써

시스템 복원 기능을 끌 수 있는데,
끌 경우 기존의 모든 시스템 복원점은 사라집니다.

즉, system volume information 폴더가 비워집니다.

그러므로 후에 다시 켠다고 예전의 복원점들이 도로 생성되지는 않습니다.

시스템 복원을 위 그림처럼 C 드라이브에서만 사용하고 있는 이유는 
시스템 복원이 할 수 있는 일 / 없는 일 . 섹션에서 설명한 시스템 복원의
특성상 개인적인 특별한 사유가 없는 한 운영체제가 설치된 드라이브만 모니터링하면 되기 때문입니다.

저같은 경우는 C드라이브에 운영체제가 설치되었으므로
C드라이브 외의 파티션은 그 각각을 선택한 후 설정을 눌러 

위 그림처럼 시스템 복원 사용 안 함으로 하였습니다.

그런데 위의 위 그림에서 보면
제가 C드라이브를 선택하고 설정을 눌러 띄운 창을 표시해 놨는데

거기 사용할 디스크 공간을 정하는 슬라이드바가 보입니다 .

시스템 복원 폴더(system volume information )는 최대파티션의 12%까지 사용 가능합니다(주2).

시스템 복원은 
90일전의 복원점까지 저장(주 1) 및 파티션의 12%까지 (주 2) 양쪽 모두에 제한을 받습니다.

마지막으로 한 가지 사항만 덧붙이면
시스템 복원 설정에서 복원점들을 없애려 시스템 복원 기능을 끌 경우  
전체 시스템 복원점을 없애야만 합니다.

그런데 보조프로그램>시스템 도구>디스크 정리를 이용할 경우에는
마지막 복원점은 남기고 나머지 복원점들만 삭제할 수도 있습니다.

이상 시스템 복원점에 대한 고찰이었습니다.