아이폰 22자리 비밀번호도 뚫렸다? — 그 기사를 팩트체크한다

“경찰이 22자리 아이폰 비밀번호를 뚫었다.”

2025년 11월, 이 제목의 기사가 돌았다. 댓글은 예상대로 흘러갔다. “아이폰도 안전하지 않네”, “비밀번호 길게 해도 소용없구나”, “역시 경찰 기술력.” 보안 커뮤니티에서도 회자됐다.

그런데 기사를 실제로 읽어 보면, 이야기가 완전히 다르다.

그 기사에서 실제로 일어난 일

2025년 11월, 머니투데이가 보도한 사건의 주인공은 충북경찰청 과학수사계 심갑용 경감이다. 영상분석 전문 수사관이다. 포렌식 전문가가 아니다. 이 구분이 핵심이다.

마약조직 총책이 아이폰에 22자리 비밀번호를 걸어놨다. 포렌식 도구로는 뚫을 수 없었다.

그런데 CCTV가 있었다. 총책이 비밀번호를 입력하는 장면이 녹화돼 있었다.

심 경감이 한 일은 이렇다. 3차원 왜곡 보정 기법으로 영상 속 각도를 바로잡고, 같은 기종의 아이폰 키패드를 추출해서 영상에 덧입히고, 화질을 개선해서 키 입력 위치를 판독했다.

비밀번호가 일치했다. 총책의 아이폰에서 범행 증거가 나왔고, 일당 9명이 구속됐다.

”비밀번호를 뚫었다”와 “비밀번호를 봤다”는 다르다

기사 제목만 보면 포렌식 기술로 22자리 암호를 해독한 것 같다. 하지만 실체는 CCTV 영상 속 키 입력을 눈으로 읽어낸 것이다.

이걸 “뚫었다”고 표현하는 건, 누군가 현관 비밀번호 누르는 걸 뒤에서 훔쳐보고 들어간 뒤 “현관 잠금장치를 해킹했다”고 말하는 것과 같다. 잠금장치의 보안 결함이 아니라, 입력 과정이 노출된 것이다.

같은 시기에 나온 다른 기사가 이 차이를 명확히 보여준다. 김건희 여사의 아이폰은 비밀번호를 모르는 상태에서 포렌식 해제를 시도했고, 실패했다. 순직 해병 특검, 내란 특검 모두 잠금 해제에 실패했다는 보도가 나왔다.

같은 아이폰, 같은 시기. 비밀번호를 아는 쪽은 열렸고, 모르는 쪽은 못 열었다. 이게 아이폰 보안의 현실이다.

22자리를 브루트 포스로 뚫으려면

브루트 포스(brute force, 무차별 대입)는 가능한 모든 조합을 하나씩 넣어보는 공격이다. 22자리 영숫자 비밀번호를 이 방식으로 뚫으려면 어떻게 되는지 계산해 보겠다.

대소문자 + 숫자만 조합해도 문자 종류는 62개다(a-z 26 + A-Z 26 + 0-9 10). 특수문자는 빼고.

62의 22제곱. 경우의 수는 약 3.4 × 10의 39승이다. 34 뒤에 0이 38개 붙는 수다.

현존하는 최고 성능의 컴퓨터로 초당 1조(10^12)회를 시도한다고 가정하겠다. 현실의 아이폰 브루트 포스 속도보다 수백만 배 빠른 가정이다.

걸리는 시간: 약 1,080억 억 년.

우주의 나이가 138억 년이다. 이 시간의 약 78억 배다.

특수문자까지 포함하면(약 95종) 경우의 수는 95의 22제곱 ≈ 3.2 × 10^43이 된다. 시간은 수십만 배 더 늘어난다.

22자리 영숫자 비밀번호를 브루트 포스로 뚫는 건 수학적으로 불가능하다. 비밀번호 길이의 문제가 아니라, 지수 함수의 폭발이다.

현존 포렌식 도구의 실제 능력

Cellebrite UFED Premium과 GrayKey. 전 세계 수사기관이 쓰는 양대 포렌식 도구다.

이 도구들이 할 수 있는 건 4자리, 6자리 숫자 비밀번호의 브루트 포스다. 영숫자 비밀번호에 대한 순수 브루트 포스는 지원하지 않는다.

GrayKey는 영숫자 비밀번호를 만나면 사전 공격(wordlist attack)으로 전환한다. 기본 탑재된 crackstation-human-only.txt 파일에 약 15억 개의 단어가 들어있고, 이 목록에 있는 조합만 시도한다. “password123”이나 “iloveyou” 같은 흔한 패턴에는 통하지만, 무작위 영숫자 조합에는 무력하다.

ElcomSoft의 2025년 분석은 더 근본적인 한계를 지적한다. iPhone 12(A14 칩) 이후 기기에서는 숫자 비밀번호에 대한 브루트 포스조차 알려진 방법이 없다.

2024년 7월 유출된 Cellebrite 내부 문서에서는 iOS 17.4 이상 기기의 잠금 해제 상태가 “In Research(연구 중)“로 표기되어 있었다. 현재 도구로는 안 된다는 뜻이다.

비밀번호가 뚫리는 진짜 경로

포렌식 도구가 암호를 해독하는 게 아니다. 비밀번호가 뚫리는 실제 경로는 따로 있다.

CCTV·숄더서핑. 이번 사건이 정확히 이 케이스다. 비밀번호를 입력하는 장면이 카메라에 찍히거나, 옆에서 누군가 훔쳐본다. 비밀번호의 복잡도와 상관없이 뚫린다.

Hide UI 같은 스파이웨어. NBC 보도에 따르면, GrayKey 제조사 Grayshift가 만든 Hide UI라는 소프트웨어가 있다. 수사기관이 압수한 아이폰에 이 소프트웨어를 설치한 뒤, “변호사에게 전화하라”며 용의자에게 돌려주면 — 용의자가 잠금을 해제할 때 비밀번호가 텍스트 파일로 저장된다.

본인 제공. 비밀번호를 직접 불어주거나, 법원 명령에 따라 제공하는 경우.

세 가지 모두 공통점이 있다. 비밀번호의 암호학적 강도를 우회하는 게 아니라, 비밀번호 자체를 입수하는 것이다.

현실적으로 뭘 챙겨야 하나

🟢 일반 사용자 — 이것만 기억하면 된다.

6자리 이상 영숫자 비밀번호를 쓰고 있다면, 포렌식 해독 걱정은 안 해도 된다. 비밀번호를 입력할 때 주변 CCTV나 사람 시선만 신경 써라. Face ID를 기본으로 쓰면 비밀번호 입력 장면 자체가 노출될 일이 거의 없다.

🟡 민감한 상황 (수사 가능성이 있거나, 이혼 소송 중 기기 증거가 쟁점인 경우)

15자리 이상 영숫자+특수문자 비밀번호. Face ID를 기본으로 사용하되, 압수 상황이 예상되면 전원 버튼을 길게 눌러서 Face ID를 비활성화하라. iOS 18.1 이상이면 72시간 방치 시 자동으로 재부팅되어 BFU(Before First Unlock, 최고 보안 상태)로 전환된다.

🔴 OPSEC 필요 (내부고발자, 기자, 인권 활동가)

위 조치 전부 + Hide UI 같은 스파이웨어에 대한 경계가 필요하다. 압수된 기기를 돌려받아 잠금 해제하라는 요청이 오면, 그 기기에 키로거가 심어져 있을 가능성을 고려하라. 돌려받은 기기는 잠금 해제 전에 DFU 모드로 초기화하는 게 안전하다.

다만, 선은 분명히 있다

이 글은 “아이폰 비밀번호가 안전하다”는 사실을 전달하기 위해 쓴 거다. 그 안전함을 범죄에 이용하라는 뜻이 아니다.

이번 사건의 마약 총책은 22자리 비밀번호로 증거를 숨기려 했다. 결국 CCTV라는 다른 경로로 잡혔다. 비밀번호가 아무리 길어도, 수사기관이 동원할 수 있는 수단은 암호 해독 하나가 아니다.

기술적 보안은 프라이버시를 지키기 위한 도구다. 그 도구를 피해자를 만드는 데 쓰는 순간 — 마약 유통이든, 아청물 배포든, 리벤지 포르노든 — 수사기관은 비밀번호를 우회할 다른 길을 찾는다. 그리고 찾는다.

정리

“아이폰 22자리 비밀번호를 뚫었다”는 기사의 실체는 이렇다.

포렌식 도구로 암호를 해독한 게 아니다. CCTV에 찍힌 비밀번호 입력 장면을 영상 분석으로 판독한 것이다. 아이폰 보안의 결함이 아니라, 비밀번호 입력 과정의 노출이었다.

22자리 영숫자 비밀번호를 브루트 포스로 뚫으려면 우주 나이의 78억 배가 걸린다. Cellebrite도 GrayKey도 영숫자 브루트 포스를 지원하지 않는다. iPhone 12 이후 기기에서는 숫자 비밀번호 해독조차 알려진 방법이 없다.

비밀번호가 뚫리는 건 암호가 약해서가 아니라, 입력하는 장면이 노출돼서다. Face ID를 기본으로 쓰고, 비밀번호를 직접 입력할 때는 주변 시선과 카메라를 확인하라. 그게 22자리보다 효과적인 보안이다.