아이폰 비밀번호, 몇 자리여야 포렌식을 못 뚫나 — AFU vs BFU 완전 정리

경찰에 아이폰을 압수당하면 비밀번호를 뚫을 수 있을까? 혹은 아이폰을 잃어버렸는데, 주운 사람이 내 데이터에 접근할 수 있을까?

“6자리면 안전하다”는 말이 돌아다니는데, 이건 2018년 기준이다. 2026년 현재, 포렌식 도구의 성능과 iOS의 보안 구조를 같이 봐야 현실적인 답이 나온다.

아이폰 비밀번호 길이별 해독 시간

포렌식 도구(Cellebrite UFED, GrayKey 등)가 비밀번호를 뚫는 방식은 단순하다. 가능한 조합을 하나씩 넣어보는 브루트 포스(brute force, 무차별 대입)다.

해독 시간은 두 가지에 따라 갈린다. 비밀번호의 복잡도, 그리고 기기의 상태(AFU vs BFU — 이건 바로 다음 섹션에서 설명한다).

AFU 상태(빠른 브루트 포스) 기준 추정 시간이다.

4자리 숫자 — 조합 수 10,000개. 최악의 경우 수 시간. 포렌식 도구가 지연 우회에 성공하면 수 분 안에 끝난다. 사실상 잠금이 없는 것과 같다.

6자리 숫자 — 조합 수 1,000,000개. 평균 11시간, 최악의 경우 수일. AppleInsider에 따르면 GrayKey 기준으로 6자리 숫자 비밀번호 해독에 평균 11시간이 걸린다는 연구 결과가 있다.

8자리 숫자 — 조합 수 100,000,000개. 최소 46시간~최대 92일.

6자리 영숫자(소문자+숫자) — 조합 수 약 21.7억 개. 평균 약 5.5년. 현실적으로 여기서부터 포렌식 도구가 막힌다.

10자리 영숫자 — 조합 수 약 3,656조 개. 수백 년 이상. 현존 기술로 해독 불가.

핵심은 이거다. 숫자만 쓰면 자릿수를 늘려도 한계가 있다. 영문자가 섞이는 순간 경우의 수가 폭발적으로 늘어난다.

AFU vs BFU — 같은 비밀번호인데 해독 난이도가 다르다

AFU(After First Unlock)와 BFU(Before First Unlock). 아이폰 포렌식에서 가장 중요한 개념이다.

BFU — 기기를 켠 후 비밀번호를 한 번도 입력하지 않은 상태. 전원을 끄고 다시 켰을 때가 이 상태다. 모든 사용자 데이터가 Secure Enclave(아이폰의 독립 보안 칩)에 의해 완전히 암호화되어 있다. 포렌식 도구가 접근할 수 있는 건 극히 일부 시스템 데이터뿐이다.

AFU — 비밀번호를 한 번이라도 입력한 후의 상태. 화면만 잠긴 상태도 여기에 해당한다. 일부 암호화 키가 메모리에 남아 있어서, 포렌식 도구가 이 키를 이용해 데이터에 접근하고 브루트 포스 속도도 훨씬 빠르다.

브루트 포스 속도 차이를 보면 이해가 된다.

AFU — 빠른 브루트 포스. 초당 수십 회 시도 가능. GrayKey 기준 300,000회 시도까지 지원한다.

BFU — 느린 브루트 포스. 시도당 약 10분. 6자리 숫자 비밀번호의 전수 조사에 이론상 최대 19년이 걸린다.

같은 6자리 비밀번호라도 AFU에서는 11시간, BFU에서는 19년. 이 차이가 수사 현장에서 아이폰 “끄지 마라”는 지침이 존재하는 이유다. 경찰이 아이폰을 압수할 때 전원을 끄지 않고 패러데이 백(전파 차단 파우치)에 넣는 건, AFU 상태를 유지하기 위해서다.

Cellebrite, GrayKey — 만능이 아니다

Cellebrite UFED Premium과 GrayKey(현재 Magnet Forensics 소속)는 전 세계 수사기관이 쓰는 양대 포렌식 도구다. 하지만 이 도구들에도 명확한 한계가 있다.

2024년 7월, Cellebrite의 내부 iOS 지원 매트릭스가 유출됐다. 핵심 내용은 이렇다.

iOS 17.4 이상을 실행하는 모든 아이폰에 대해 Cellebrite의 잠금 해제 상태는 “In Research(연구 중)“로 표기되어 있었다. 즉, 현재 도구로는 뚫을 수 없다는 뜻이다. iPhone 15 시리즈 전체는 iOS 버전과 무관하게 해독 불가였다.

ElcomSoft의 2025년 1월 분석에 따르면, 현재 포렌식 도구들은 4자리·6자리 숫자 비밀번호만 브루트 포스할 수 있다. 커스텀 영숫자 비밀번호에 대한 브루트 포스는 지원하지 않는다. 영숫자 비밀번호를 설정하는 것만으로 현존하는 포렌식 도구의 브루트 포스 공격을 원천 차단할 수 있다는 이야기다.

Apple도 계속 보안을 강화하고 있다. Secure Enclave의 지연 메커니즘은 비밀번호 실패 횟수에 따라 대기 시간을 기하급수적으로 늘린다 — 1분, 5분, 15분, 1시간, 최근에는 3시간, 8시간까지. 10회 연속 실패 시 기기 데이터를 완전 삭제하는 옵션도 있다. 포렌식 도구가 이 지연을 우회하는 취약점을 찾더라도, Apple이 다음 업데이트에서 막아버리는 고양이-쥐 게임이 계속되고 있다.

iOS 18.1의 게임 체인저 — 자동 재부팅

2024년 11월, iOS 18.1에 “비활성 재부팅(inactivity reboot)” 기능이 추가됐다. TechCrunch가 보도한 내용에 따르면, 아이폰이 72시간(3일) 동안 잠금 해제 없이 방치되면 자동으로 재부팅된다.

재부팅 = BFU 상태 전환이다.

수사기관 입장에서 이게 왜 큰 문제냐면 — 아이폰을 압수하고 포렌식 장비에 연결하기까지 3일 넘게 걸리면, 기기가 스스로 BFU 상태로 돌아가 버린다. AFU에서 11시간이면 뚫리던 6자리 비밀번호가, BFU로 넘어가면 19년짜리 작업이 된다.

실제로 미국 법 집행 기관의 포렌식 랩에서 아이폰들이 “원인 불명으로 재부팅”되는 사건이 보고됐고, 분석 결과 이 기능 때문이었다. AppleInsider 보도에 따르면, 포렌식 대기 중이던 아이폰들이 줄줄이 BFU 상태로 돌아가면서 수사에 차질이 생겼다.

위험도별 정리 — 나한테 해당되는 건?

🟢 일반 사용자 (폰 분실·도난이 걱정되는 수준)

6자리 숫자 비밀번호만으로도 일상적인 위협은 막을 수 있다. 습득자가 Cellebrite를 갖고 있지는 않을 거다. 하지만 조금만 더 신경 쓰면 — 영숫자 비밀번호로 바꾸는 것만으로 보안이 비약적으로 올라간다. 설정 → Face ID 및 암호 → 암호 변경 → 암호 옵션 → 사용자 지정 영숫자 코드에서 바꿀 수 있다.

🟡 민감한 상황 (수사 가능성이 있거나, 기업 기밀을 다루는 경우)

6자리 숫자 비밀번호는 부족하다. AFU 상태에서 수일이면 뚫린다. 최소 10자리 이상의 영숫자 비밀번호를 설정하라. iOS를 항상 최신 버전으로 유지하는 것도 필수다 — Cellebrite 유출 문서에서 봤듯이, iOS 17.4 이상에서는 도구 자체가 작동하지 않았다.

🔴 OPSEC 필요 (내부고발자, 기자, 활동가)

15자리 이상 영숫자+특수문자 비밀번호. Face ID/Touch ID를 사용하되, 수사기관 접촉이 예상되면 기기를 꺼서 BFU 상태로 전환하라(전원 버튼 5초 길게 누르기). iOS 자동 업데이트 켜기. “10회 실패 시 데이터 삭제” 옵션도 활성화하라(설정 → Face ID 및 암호 → 데이터 지우기).

지금 당장 할 수 있는 것

1. 비밀번호 확인 — 4자리나 6자리 숫자를 쓰고 있다면, 영숫자로 바꿔라. 15자리 이상이 이상적이다. 문장형 비밀번호(나의첫차는빨간아반떼2019!)가 외우기 쉽고 충분히 길다.

2. iOS 업데이트 — 지금 설정 → 일반 → 소프트웨어 업데이트에서 최신 버전인지 확인하라. iOS 버전이 곧 포렌식 방어력이다.

3. 자동 재부팅 확인 — iOS 18.1 이상이면 비활성 재부팅이 기본 활성화되어 있다. 별도 설정 필요 없다.

4. 10회 실패 시 삭제 — 기기 데이터가 중요하면 이 옵션을 켜라. 단, iCloud 백업이 되어 있는지 먼저 확인하고.

정리

아이폰 비밀번호 보안의 현실을 요약하면 이렇다.

4자리 숫자는 포렌식 앞에서 무의미하다. 6자리 숫자는 AFU 상태에서 평균 11시간이면 뚫린다. 영숫자 비밀번호로 전환하는 순간 해독 시간이 년 단위로 뛰고, 현존 포렌식 도구는 영숫자 브루트 포스를 아예 지원하지 않는다.

iOS 18.1의 자동 재부팅 기능은 AFU→BFU 전환을 강제해서, 수사기관의 시간을 극단적으로 줄여놓았다. Cellebrite조차 iOS 17.4 이상은 “연구 중”이다.

지금 6자리 숫자 비밀번호를 쓰고 있다면 — 영숫자로 바꾸는 데 30초면 된다. 그 30초가 포렌식 해독 시간을 11시간에서 수백 년으로 바꿔놓는다.