아이폰 + 시그널 = 무적? FBI가 알림 미리보기로 메시지를 복구한 방법

시그널 쓰면 안전하다고 들었을 거다. 종단간 암호화, 사라지는 메시지, 메타데이터 최소 수집. 프라이버시 메신저의 교과서 같은 앱이다.

그런데 2026년 4월, FBI가 텍사스 테러 사건 피의자의 아이폰에서 삭제된 시그널 메시지를 복구했다는 법정 증언이 나왔다. 시그널 앱은 이미 기기에서 삭제된 상태였다.

시그널의 암호화가 뚫린 건 아니다. 문제는 아이폰 자체에 있었다.

무슨 일이 있었나

텍사스 프레리랜드 ICE 구금시설 공격 사건 재판에서, FBI는 피의자의 아이폰에서 삭제된 시그널 메시지를 증거로 제출했다.

핵심은 이거다. 피의자는 시그널의 “사라지는 메시지” 기능을 켜뒀고, 시그널 앱 자체도 기기에서 삭제한 상태였다. 그런데도 메시지가 남아 있었다.

FBI가 쓴 도구는 Cellebrite(셀레브라이트) — 수사기관이 쓰는 모바일 포렌식 장비다. 이 장비로 아이폰 내부의 알림 데이터베이스를 뒤져서, 시그널에서 수신된 메시지 내용을 그대로 꺼냈다.

알림 미리보기가 뭘 저장하길래?

아이폰에서 카카오톡이든 시그널이든, 메시지가 오면 잠금화면에 알림이 뜬다. “홍길동: 내일 몇 시에 만나?” 이런 식으로.

이 알림을 띄우려면 iOS가 메시지 내용을 어딘가에 저장해야 한다. 그게 시스템 레벨의 알림 데이터베이스다.

경로를 구체적으로 말하면, /private/var/mobile/Library/BulletinBoard/ 아래에 알림 이력이 구조화된 데이터로 쌓인다. 앱이 아니라 iOS 운영체제가 관리하는 영역이다.

여기서 문제가 생긴다. 시그널 앱 안에서 메시지를 삭제하면, 시그널의 자체 데이터베이스에서는 메시지가 사라진다. “사라지는 메시지” 기능도 마찬가지다. 하지만 iOS 알림 DB는 시그널이 관리하는 영역이 아니다. 시그널이 아무리 자기 데이터를 깨끗하게 지워도, iOS가 따로 저장해둔 알림 캐시에는 메시지 내용이 그대로 남아 있었다.

앱을 삭제해도 마찬가지다. 시그널을 기기에서 완전히 지워도, iOS의 알림 DB는 별개의 시스템 영역이라 같이 삭제되지 않는다.

왜 발신 메시지는 복구 안 됐나

법정 증언에 따르면, 복구된 건 수신 메시지뿐이다. 피의자가 보낸 메시지는 나오지 않았다.

이건 기술적으로 당연하다. 알림은 “남이 나한테 보낸 메시지”가 도착할 때 뜨는 거다. 내가 보낸 메시지는 알림을 생성하지 않는다. iOS 알림 시스템은 수신 이벤트만 처리하기 때문에, 발신 내용은 캐싱 대상 자체가 아니다.

수사 입장에서는 절반만 보이는 셈이지만, 그 절반만으로도 충분히 유의미한 증거가 된 거다.

Apple은 패치했다 — 하지만

Apple은 2026년 4월 22일, iOS 26.4.2 업데이트로 이 문제를 수정했다. CVE-2026-28950으로 등록된 이 취약점은 “삭제 요청된 알림이 기기에 예기치 않게 잔존하는 로깅 결함”으로 분류됐다.

패치 내용은 “향상된 데이터 삭제(improved data redaction)“다. 앱이 알림 삭제를 요청하면, iOS가 알림 DB에서도 확실하게 지우도록 수정한 것이다.

그런데 두 가지를 짚어야 한다.

첫째, 이 패치는 iOS 26.4.2 이상에만 적용된다. 구형 기기를 쓰거나 업데이트를 미루고 있다면 여전히 취약하다.

둘째, 패치가 “알림을 확실히 지워준다”는 뜻이지, “알림 미리보기를 꺼준다”는 뜻이 아니다. 미리보기가 켜져 있는 한, 메시지 내용은 여전히 한 번은 시스템에 저장된다. 패치 후에는 삭제가 제대로 이루어진다는 거지, 저장 자체를 막는 건 아니다.

위험도는 어느 정도인가

이걸 읽고 “시그널도 안전하지 않구나”라고 결론 내리기 전에, 현실적으로 따져보자.

🟢 일반 사용자: 이 공격은 기기를 물리적으로 압수해야 가능하다. 원격으로 알림 DB를 빼내는 게 아니다. 폰을 뺏기지 않는 한, 현실적인 위협이 아니다. iOS를 최신 버전으로 업데이트했다면 더더욱 신경 쓸 일이 없다.

🟡 민감한 상황 (연인/배우자에게 보여주기 곤란한 대화, 회사에서 이직 상담): 기기를 다른 사람이 만질 수 있는 환경이라면, 알림 미리보기를 끄는 게 맞다. 잠금화면에 메시지 내용이 그대로 뜨는 것 자체가 이미 프라이버시 구멍이다.

🔴 OPSEC 필요 (내부고발자, 기자의 소스 보호, 활동가): 알림 미리보기 끄기는 기본이고, 시그널 자체의 알림 설정도 “이름 또는 내용 없음”으로 바꿔야 한다. 기기 압수 가능성이 현실적인 사람이라면, 이 설정은 이미 되어 있어야 한다.

지금 당장 할 수 있는 설정 3단계

1단계: iOS 업데이트 — 설정 → 일반 → 소프트웨어 업데이트에서 iOS 26.4.2 이상으로 업데이트한다. 이걸로 CVE-2026-28950 패치가 적용된다.

2단계: iOS 알림 미리보기 끄기 — 설정 → 알림 → 미리보기 표시에서 “안 함”을 선택한다. 이러면 잠금화면에 “시그널: 새 메시지가 있습니다” 정도만 뜨고, 메시지 본문은 표시되지 않는다. 본문이 표시되지 않으면 iOS가 캐싱할 내용도 없다.

3단계: 시그널 앱 내 설정 — 시그널 앱 → 설정 → 알림 → 알림 내용에서 “이름 또는 내용 없음”을 선택한다. 이건 시그널이 iOS에 알림을 보낼 때 메시지 본문을 아예 포함하지 않게 만드는 설정이다. 2단계와 함께 적용하면 이중 방어가 된다.

세 단계 합쳐서 1분이면 끝난다.

시그널의 암호화가 뚫린 건 아니다

이 사건을 “시그널이 뚫렸다”로 읽으면 오독이다.

시그널의 종단간 암호화(End-to-End Encryption)는 건재하다. 메시지가 서버를 거치는 동안에는 시그널 운영자도 내용을 볼 수 없고, FBI도 마찬가지다. 뚫린 건 암호화가 아니라, 메시지가 기기에 도착한 이후 iOS가 알림용으로 복사해둔 캐시다.

비유하면 이렇다. 금고(시그널 암호화) 자체는 완벽한데, 금고에서 꺼내서 테이블 위에 올려둔 메모지(알림 미리보기)를 누군가 사진 찍어간 것이다.

이건 시그널만의 문제도 아니다. 알림 미리보기를 사용하는 모든 메신저 — 카카오톡, 텔레그램, WhatsApp — 에 동일하게 적용되는 iOS 레벨의 이슈다.

도구의 한계와 도구의 오용

이번 FBI 사건의 피의자는 테러 혐의로 수사를 받고 있었다. 이런 수준의 포렌식이 투입되는 건, 중대 범죄 수사에서 기기가 물리적으로 압수된 경우다.

“시그널 쓰면 추적 안 된다”고 생각하면서 범죄에 쓰는 건 다른 이야기다. 기기가 압수되는 순간, 암호화 메신저의 보호막은 한계가 있다. 그리고 기기 압수는 수사기관이 실제로 하는 일이다.

반대로, 일반적인 대화를 보호하려고 시그널을 쓰는 건 여전히 의미 있다. 통신 구간에서의 도청, 서버 해킹, 메타데이터 수집 — 이런 위협에 대해서 시그널은 여전히 가장 신뢰할 수 있는 선택지 중 하나다.

정리

FBI가 시그널 메시지를 복구한 건 암호화를 뚫어서가 아니라, iOS 알림 시스템이 메시지 내용을 별도로 캐싱하고 있었기 때문이다. Apple은 CVE-2026-28950으로 이 문제를 패치했지만, 알림 미리보기가 켜져 있는 한 메시지 내용이 시스템에 한 번은 기록된다는 구조 자체는 변하지 않는다.

지금 할 일은 단순하다. iOS 업데이트, 알림 미리보기 끄기, 시그널 알림 설정 변경. 1분이면 된다.