경찰이 쓰던 아이폰 포렌식 기법, 애플이 드디어 막았다

"지운 메시지"가 정말 지워진 게 아니라면

아이폰에서 메시지를 지워도 진짜로 지워지지 않는다는 이야기, 한 번쯤 들어보셨을 거예요. 이번에 그 문제가 다시 수면 위로 올라왔어요. 애플이 최근 iOS 업데이트에서 수사기관이 아이폰 포렌식에 사용해오던 특정 버그를 수정했다는 소식이 나왔거든요. 경찰이나 포렌식 업체가 압수한 아이폰에서 이미 삭제된 채팅 기록을 끄집어내는 데 써왔던, 바로 그 통로예요.

이게 왜 중요하냐면, 프라이버시를 믿고 메시지를 지우는 수억 명의 사용자들이 실제로는 "지워졌다고 화면에 뜨지만 실제로는 남아 있는" 상태로 데이터를 안고 있었던 거니까요. 수사 협조냐 개인 정보냐의 이야기이기 전에, 먼저 기술적으로 이해해볼 필요가 있는 사건입니다.

어떤 취약점이었냐면

우리가 카카오톡이든 시그널이든 왓츠앱이든, 메시지에서 삭제 버튼을 누르면 당연히 화면에서는 사라지죠. 그런데 iOS 내부를 들여다보면 이야기가 좀 달라요. 이게 뭐냐면, 파일 시스템에는 "이 공간은 비어 있음"이라는 플래그만 붙고, 실제 바이트는 한동안 그대로 남아 있어요. 나중에 다른 데이터가 그 자리를 덮어써야 비로소 진짜로 사라지는 구조거든요. 이건 아이폰만의 문제가 아니라 SSD, HDD, UFS 같은 거의 모든 저장 장치가 기본적으로 이렇게 동작해요. 매번 바이트를 0으로 덮어쓰는 건 성능상 부담이 크니까요.

문제는 암호화된 아이폰이라도, 한 번 잠금이 풀린 뒤(즉 키가 메모리에 올라온 상태) 생기는 특정 상태나 특정 시스템 API를 통해서 이런 "삭제됐지만 실제로는 남아 있는" 영역을 긁어올 수 있는 경로가 존재했다는 거예요. 포렌식 업체들은 이 틈을 파고들어서 메신저 내부 DB의 삭제된 레코드, 첨부 이미지의 썸네일 캐시, 타이핑 중이던 초안 같은 것까지 복원해냈어요. 사용자 입장에서는 "분명 지웠는데" 수사기관에겐 여전히 보였던 셈이죠.

Cellebrite와 GrayKey라는 이름

이 분야에서 꼭 등장하는 이름이 Cellebrite와 GrayKey예요. 이스라엘계 Cellebrite의 UFED, 미국계 Grayshift의 GrayKey는 전 세계 수사기관이 사실상 표준처럼 쓰는 모바일 포렌식 장비거든요. 이 기기를 아이폰에 연결하면 경우에 따라 잠금을 우회하거나, 잠금이 풀린 기기에서 삭제된 데이터까지 통째로 뽑아낼 수 있어요. FBI, 지방 경찰, 국세청뿐 아니라 일부 권위주의 정부까지 사용한다는 게 여러 차례 보도돼 왔죠.

이번에 애플이 막은 건 이 도구들이 사용하던 경로 중 하나예요. 정확히 어떤 CVE 번호가 붙었고 어떤 커널 서브시스템이었는지는 공식 문서에 짧게만 적혀 있지만, 핵심은 "삭제된 메시지 복원에 이용되던 특정 파일 시스템 잔존 데이터 접근 경로"라는 점이에요. 이 경로가 막혔으니 같은 방식의 추출은 더 이상 쉽지 않게 되는 거죠.

창과 방패의 끝없는 줄다리기

재미있는 건 이게 한 번 고치면 끝나는 이야기가 아니라는 거예요. 애플과 포렌식 업체의 관계는 사실상 영구적인 창-방패 게임이에요. 애플이 새 취약점을 막으면, Cellebrite나 GrayKey는 몇 달 안에 다른 경로를 찾아 조용히 업데이트를 내요. 그러면 애플이 다음 iOS에서 그걸 또 막고요. 이 패턴이 몇 년째 반복되고 있어요.

흥미로운 건 이 업체들의 내부 호환표가 종종 유출된다는 점이에요. "어느 버전 iOS까지 뚫리고, 어느 버전부터는 못 뚫는다"가 표로 정리돼서 보안 커뮤니티에 돌아요. 그래서 프라이버시를 중요하게 생각하는 기자, 활동가, 변호사들은 "늘 최신 iOS를 써라"가 거의 제1계명처럼 통해요. 업데이트 하나 미루는 순간, 전 세계 경찰의 장비 호환표에 걸리기 시작하거든요.

그럼 안드로이드는요?

안드로이드도 상황은 비슷해요. 구글 픽셀은 자체 Titan M 보안 칩 덕분에 일부 공격이 꽤 어렵고, 삼성 갤럭시는 Knox로 비슷한 방어선을 구축해 놨죠. 다만 안드로이드는 제조사별 보안 패치 주기가 제각각이라, 포렌식 업체 입장에서는 "조금만 구형이면 뚫기 쉬운" 기기들이 훨씬 많이 굴러다녀요. 반면 iOS는 애플이 일괄적으로 업데이트를 밀어서 전 세대가 비교적 빨리 올라가는 편이에요. 이 점이 프라이버시 관점에서 iOS가 유리하다는 평가를 받는 주된 이유기도 하고요.

한국 개발자와 사용자에게 주는 시사점

앱을 만드는 입장에서 이번 일이 주는 교훈은 꽤 분명해요. "삭제했다"는 UX 상의 상태와 "실제 바이트가 사라졌다"는 기술적 상태가 다르다는 걸 항상 의식해야 한다는 거예요. 메신저, 노트, 사진, 의료/금융 관련 앱을 만들 때 사용자가 민감한 데이터를 삭제하면, 단순히 DB 레코드에 is_deleted = true 플래그만 세우지 말고, 실제로 덮어쓰거나(secure delete), 아예 처음부터 삭제 예정 데이터를 별도 암호화 키로 감싸서 키 파기만으로 복원 불가능하게 만드는 설계를 고려해야 해요. 시그널이 채택하고 있는 방식이기도 하죠.

사용자 입장에서도 기억해둘 게 있어요. 업무폰이나 취재용 단말처럼 민감한 정보가 오가는 기기라면, iOS든 안드로이드든 최신 보안 패치를 바로바로 적용하는 습관이 가장 싸고 강력한 방어막이에요. 별도 보안 솔루션 붙이기 전에 이 기본부터 챙기는 게 순서예요.

마무리

결국 이번 패치의 의미는 "지웠으면 정말 지워지는 쪽으로 한 걸음 더 다가갔다"는 거예요. 여러분은 스마트폰에서 메시지를 삭제할 때, 정말로 지워진다고 믿으세요? 앱을 만드는 분이라면, 사용자의 "삭제" 버튼 뒤에서 데이터가 실제로 어떻게 처리되고 있는지 한 번쯤 점검해보시길 권합니다.