갤럭시는 왜 아이폰보다 포렌식에 약한가 — FBI가 트럼프 저격범 폰을 뚫은 과정

2024년 7월, 트럼프 전 대통령 암살 미수범 Thomas Matthew Crooks가 현장에서 사살됐다. 수사의 핵심은 동기 파악이었고, FBI는 그의 삼성 갤럭시 폰에 집중했다.

결과부터 말하면 — 40분 만에 뚫렸다.

같은 시기, Cellebrite의 유출 문서에는 iOS 17.4 이상 아이폰이 “In Research(연구 중)” — 즉 뚫지 못한다 — 로 표기돼 있었다. 같은 포렌식 도구가, 같은 시점에, 한쪽은 40분이고 한쪽은 불가능이다.

갤럭시 사용자라면 이 차이가 어디서 오는지 알아야 한다.

FBI는 어떻게 뚫었나 — Cellebrite의 작동 방식

FBI 피츠버그 현장 사무소에서 처음 Cellebrite를 돌렸을 때는 실패했다. Crooks의 폰이 비교적 최신 갤럭시 모델이었기 때문이다. 기존 버전의 소프트웨어로는 안 됐다.

폰은 버지니아 Quantico의 FBI 본부 포렌식 랩으로 이송됐다. Cellebrite 본사가 직접 개입해서, 아직 정식 출시 전인 개발 빌드(development build) 소프트웨어를 FBI에 제공했다. 이 버전으로 40분 만에 잠금이 풀렸다.

Cellebrite가 하는 일은 본질적으로 이렇다. 스마트폰의 잠금 화면 비밀번호를 무차별 대입(brute-force)으로 시도하되, OS나 하드웨어의 입력 횟수 제한·지연 시간을 우회하는 방법을 찾아 그 속도를 끌어올린다. 단순히 “비밀번호를 때려맞추는 프로그램”이 아니라, 기기의 보안 칩과 소프트웨어 방어 체계의 약점을 공략하는 도구다.

여기서 문제가 갈린다. 그 “보안 칩의 방어 체계”가 갤럭시와 아이폰에서 구조적으로 다르다.

아이폰의 방어 — Secure Enclave가 벽을 세우는 방식

아이폰에는 Secure Enclave라는 전용 보안 칩이 있다. 메인 프로세서와 물리적으로 분리된 독립 코프로세서로, 자체 부트 ROM과 AES 암호화 엔진을 가지고 있다.

핵심은 이거다. 비밀번호 검증이 Secure Enclave 안에서만 이루어진다.

공격자가 아이폰의 메인 OS를 완전히 장악하더라도, Secure Enclave에 “이 비밀번호가 맞는지 확인해줘”라고 요청하는 수밖에 없다. Secure Enclave는 시도 횟수를 직접 카운트하고, 실패할 때마다 지연 시간을 하드웨어 레벨에서 강제한다. 5회 실패 후 1분, 9회 실패 후 1시간 — 이런 식이다.

이 지연은 소프트웨어 패치로 우회할 수 없다. 칩 자체가 시간을 강제하기 때문이다. 6자리 숫자 비밀번호를 전부 시도하는 데 이론적으로 수년이 걸린다.

여기에 USB 제한 모드가 겹친다. 아이폰은 1시간 이상 잠겨 있으면 USB 포트를 통한 데이터 연결 자체를 차단한다. Cellebrite 같은 도구가 물리적으로 연결조차 못 하게 막는 거다.

갤럭시의 방어 — Knox는 왜 같은 벽을 못 세우나

삼성도 Knox라는 보안 플랫폼이 있다. Galaxy S21부터는 Knox Vault라는 물리적으로 분리된 보안 칩도 들어갔다. 구조만 보면 Secure Enclave와 비슷하다.

그런데 2024년 유출된 Cellebrite Support Matrix를 보면, 거의 모든 삼성 갤럭시 모델이 — 최신 기기 포함 — 잠금 해제 가능(Supported) 상태다. 같은 문서에서 아이폰 12 이후 + iOS 17.1 이상은 대부분 불가능으로 표기됐는데도.

차이의 핵심은 세 가지다.

첫째, 소프트웨어 업데이트 파편화. 아이폰은 Apple이 하드웨어부터 OS까지 통제한다. 보안 패치가 나오면 대부분의 기기에 며칠 내로 적용된다. 갤럭시는 다르다. 삼성이 패치를 만들어도 통신사별 커스터마이제이션, 기기별 테스트를 거쳐야 한다. 패치가 수주에서 수개월 늦는다. 그 사이에 이미 알려진 취약점이 열린 채로 남는다.

둘째, Android의 FBE 구현 차이. 안드로이드는 파일 단위 암호화(File-Based Encryption)를 쓴다. 문제는 AFU(After First Unlock) 상태 — 즉 폰을 한 번이라도 잠금 해제한 적 있는 상태 — 에서 복호화 키가 메모리에 남아 있다는 것이다. 대부분의 사람은 폰을 끄지 않고 잠금만 해둔다. 이 상태에서 포렌식 도구가 키를 추출할 수 있는 경로가 존재한다. 아이폰의 Secure Enclave는 이 키를 자체 격리된 메모리에 보관해서 메인 프로세서에서 접근 자체가 불가능하다.

셋째, 부트로더 구조의 개방성. 갤럭시는 역사적으로 부트로더 언락이 가능한 기기가 있었다. 부트로더가 열리면 펌웨어를 수정하거나 디버깅 인터페이스에 접근할 수 있고, 이건 포렌식 도구가 활용할 수 있는 공격 경로가 된다. Apple은 부트로더를 완전히 잠그고, 서명되지 않은 코드 실행 자체를 차단한다.

정리하면 — Knox Vault의 하드웨어 설계 자체는 나쁘지 않다. 문제는 그 위에 올라가는 소프트웨어 생태계가 방어의 일관성을 깨뜨린다는 거다.

유출된 Cellebrite 문서가 보여주는 현실

2024년 7월, Cellebrite Premium의 내부 Support Matrix가 유출됐다. 이 문서가 말해주는 건 명확하다.

Android(갤럭시 포함): AFU 상태에서 사실상 전 모델 잠금 해제 가능. BFU(Before First Unlock, 전원 꺼졌다 켜진 뒤 한 번도 잠금 해제 안 한 상태) 상태에서도 대부분 가능. 유일한 예외는 Google Pixel 6 이후 + GrapheneOS 조합이었다.

iPhone: iOS 17.4 이상은 전부 “In Research” — 뚫지 못함. iOS 17.1~17.3.1에서도 iPhone 12 이후 모델은 “Coming soon” — 아직 안 됨. 실질적으로 뚫을 수 있는 건 iPhone XR, 11 등 구형 기기 + 구버전 iOS 조합뿐이었다.

이건 마케팅 자료가 아니다. Cellebrite가 법집행기관 고객한테 보내는 내부 문서다. 허풍을 칠 이유가 없다.

위험도 — 내 상황은 어디에 해당하나

🟢 일반 사용자 (갤럭시 사용, 별다른 사정 없음)

현실적으로, 일반인의 갤럭시 폰이 포렌식 대상이 될 일은 거의 없다. Cellebrite 장비는 라이선스 하나에 수천만 원이고, 일반 사건에 투입하지 않는다. 하지만 “할 수 있다”와 “안 할 것이다”는 다른 이야기다. 비밀번호를 6자리 이상 영숫자로 바꾸고, OS 업데이트는 나오는 즉시 적용하라. 이것만으로 공격 난이도가 올라간다.

🟡 민감한 상황 (경찰 조사 가능성, 기업 기밀, 의료·금융 정보)

갤럭시의 AFU 상태가 약점이다. 위험한 상황이 예상되면 폰 전원을 끄는 것이 가장 효과적인 방어다. 전원을 끄면 BFU 상태가 되고, 복호화 키가 메모리에서 사라진다. BFU 상태에서의 포렌식 난이도는 AFU 대비 극적으로 올라간다. 비밀번호는 최소 8자리 영숫자 혼합으로 설정하라.

🔴 OPSEC 필요 (내부고발, 기자 취재원 보호, 활동가)

갤럭시는 적절한 선택이 아니다. Google Pixel + GrapheneOS가 현재 유출된 Cellebrite 문서 기준 유일하게 BFU/AFU 모두에서 뚫리지 않는 조합이다. 기기 선택이 곧 보안이다. 불가피하게 갤럭시를 써야 한다면, 민감한 데이터는 기기에 저장하지 말고, 상시 전원 끄기 습관을 들여라.

갤럭시 사용자가 지금 할 수 있는 것

1. 비밀번호 강화 (2분)

패턴이나 4자리 PIN은 포렌식 도구에게 장난감이다. 설정 → 잠금화면 → 화면 잠금 방식 → 비밀번호에서 8자리 이상 영숫자 비밀번호로 변경하라. 숫자만 6자리보다 영숫자 혼합 8자리가 brute-force 시간을 수십 배 늘린다.

2. 소프트웨어 업데이트 즉시 적용 (5분)

설정 → 소프트웨어 업데이트 → 다운로드 및 설치. 보안 패치가 늦게 오는 게 갤럭시의 약점이라면, 왔을 때 바로 적용하는 건 내가 할 수 있는 일이다. 자동 업데이트를 켜두라.

3. 위험 상황에서는 전원 끄기

가장 효과적이면서 가장 간단한 방어다. 폰이 꺼지면 BFU 상태가 되고, 메모리의 복호화 키가 날아간다. 잠금 화면만 켜둔 AFU 상태와 보안 수준이 완전히 다르다.

4. 자동 재부팅 기능 활성화

삼성이 One UI 8.5 업데이트를 통해 72시간 미사용 시 자동 재부팅 기능을 추가했다. 이 기능이 켜져 있으면, 폰을 3일간 안 쓸 경우 자동으로 BFU 상태로 돌아간다. 다만 아이폰과 달리 기본적으로 꺼져 있다. 설정 → 보안 및 개인정보 보호 → 추가 보안 설정에서 직접 켜야 한다. 아직 업데이트가 안 왔다면, 올 때 반드시 켜라.

알고 쓰는 것과 숨으려는 건 다르다

이 글의 요점은 “갤럭시는 위험하니 버려라”가 아니다.

현실적으로, 갤럭시 포렌식이 문제가 되는 상황은 수사기관이 영장을 받고 기기를 물리적으로 확보했을 때뿐이다. 원격으로 누군가의 갤럭시를 뚫는 이야기가 아니다. 길거리에서 주운 폰을 아무나 열 수 있는 것도 아니다.

Cellebrite 라이선스는 법집행기관과 정부기관에만 판매된다. 민간인이 합법적으로 구할 수 없다.

하지만 이 도구가 존재한다는 사실, 그리고 갤럭시가 아이폰보다 구조적으로 뚫리기 쉽다는 사실은 알아둘 가치가 있다. 특히 한국처럼 디지털 포렌식 기술 수준이 세계적으로 높은 나라에서는.

자신의 기기가 포렌식 도구 앞에서 어떤 수준의 방어력을 가지는지 아는 것 — 그게 이 글의 목적이다.

정리

FBI는 트럼프 저격범 Thomas Crooks의 삼성 갤럭시를 Cellebrite 개발 빌드로 40분 만에 뚫었다. 같은 시기 Cellebrite 내부 문서에서 iOS 17.4 이상 아이폰은 해제 불가로 표기돼 있었다.

이 차이는 우연이 아니다. Apple Secure Enclave의 하드웨어 격리 + USB 제한 모드 + 빠른 보안 업데이트 배포가 만드는 방어 계층과, Samsung Knox의 구조적 한계 — 업데이트 파편화, AFU 상태의 키 노출, 부트로더 개방성 — 가 만드는 차이다.

갤럭시 사용자에게 당장의 현실적 방어는 비밀번호 강화 + 업데이트 즉시 적용 + 위험 시 전원 끄기다. OPSEC 수준이 필요하다면, 기기 자체를 재고해야 한다.