핸드폰 초기화하면 포렌식 못 하나? — 아이폰 vs 갤럭시 종결 정리

“초기화하면 다 날아가는 거 아냐?”

수사 뉴스 보다가, 혹은 중고폰 팔려다가, 아니면 뭔가 좀 찝찝한 게 있어서 — 이 검색어를 치게 된 이유가 뭐든 간에, 궁금한 건 하나다. 공장 초기화 누르면 진짜 끝인 건지, 아니면 포렌식으로 살려낼 수 있는 건지.

결론부터 말하면, 최신 기기는 초기화하면 사실상 끝이다. 근데 “최신”의 기준이 중요하고, 아이폰과 갤럭시가 초기화를 처리하는 방식이 구조적으로 다르다. 하나씩 뜯어보겠다.

공장 초기화가 실제로 하는 일

공장 초기화가 데이터를 “지운다”고 생각하면 반은 맞고 반은 틀리다.

옛날 방식 — 하드디스크 시절 — 은 파일을 지울 때 실제 데이터를 덮어쓰지 않았다. “이 공간 비었음”이라는 표시만 바꿔놓는 거였다. 그래서 포렌식 도구가 “비었다고 표시된” 공간을 읽으면 원래 데이터가 고스란히 나왔다.

최신 스마트폰은 다르다. 핵심은 암호화다.

요즘 스마트폰은 저장되는 모든 데이터를 암호화한다. 사진, 메시지, 앱 데이터 — 전부 암호화 키 없이는 읽을 수 없는 상태로 저장된다. 공장 초기화를 누르면? 그 암호화 키를 폐기한다. 데이터 자체를 하나하나 지우는 게 아니라, 데이터를 읽을 수 있는 열쇠를 부숴버리는 거다.

금고 안에 서류를 넣어놨는데, 서류를 태우는 게 아니라 금고 열쇠를 녹여버리는 것과 같다. 서류는 물리적으로 금고 안에 있지만, 열 방법이 없다.

아이폰 — Secure Enclave가 키를 관리한다

아이폰의 암호화 구조는 단순하면서 강력하다.

아이폰에는 Secure Enclave라는 별도의 보안 칩이 들어있다. 메인 프로세서와 물리적으로 분리된 칩이다. 암호화 키는 이 칩 안에서 생성되고, 이 칩 안에서만 존재한다.

“모든 콘텐츠 및 설정 지우기”를 누르면, Secure Enclave가 Effaceable Storage(즉시 삭제 가능한 저장 영역)에 있는 암호화 키를 폐기한다. 이 과정은 수 초 만에 끝난다. 키가 사라지면, 256비트 AES로 암호화된 데이터는 의미 없는 난수 덩어리가 된다.

Apple의 공식 보안 문서(Apple Platform Security Guide)에 따르면, A9 칩(iPhone 6s) 이후의 모든 기기에서 이 메커니즘이 동작한다. 🟢 일반 사용자: iPhone 6s(2015년) 이후 기기라면, 공장 초기화 후 포렌식 복구는 현실적으로 불가능하다. Cellebrite 같은 전문 포렌식 도구도 Secure Enclave에서 폐기된 키를 복원할 수 없다.

갤럭시(Android) — FBE + TRIM의 이중 방어

안드로이드 쪽은 조금 더 복잡한 역사가 있다.

Android 6(2015)부터 기기 암호화가 기본 탑재됐다. 초기에는 FDE(Full Disk Encryption — 디스크 전체를 하나의 키로 암호화)를 썼는데, Android 7부터 FBE(File-Based Encryption — 파일마다 개별 키로 암호화)로 전환됐다. Android 10(2019)부터는 FBE가 의무다. FBE 환경에서 공장 초기화를 하면, TEE(Trusted Execution Environment — Secure Enclave의 안드로이드 버전이라고 보면 된다) 안에 저장된 마스터 키가 폐기된다. 파일마다 개별 암호화 키가 있고, 그 개별 키들은 마스터 키 없이 복호화할 수 없다.

여기에 TRIM이라는 기능이 추가된다. 스마트폰의 플래시 메모리(eMMC/UFS)는 데이터를 삭제하면 TRIM 명령을 보내서 해당 영역을 물리적으로 초기화한다. 하드디스크처럼 “비었음 표시”만 하는 게 아니라, 실제로 셀을 리셋한다.

암호화 키 폐기 + TRIM = 이중 방어. 키도 없고, 물리적 데이터도 사라진다.

Samsung Knox 공식 문서에 따르면, Galaxy 기기는 AES-256-XTS로 파일을 암호화하며, 공장 초기화 시 새 Primary Key를 생성하는 과정에서 기존 키는 폐기된다. 🟢 일반 사용자: Android 10 이상(2019년 이후 출시) 갤럭시라면, 초기화 후 포렌식 복구는 아이폰과 마찬가지로 현실적으로 불가능하다.

”공장 초기화가 만능” 아닌 경우

여기까지 읽으면 “그럼 다 안전하네?” 싶겠지만, 예외가 있다.

1. 구형 기기 — Android 5 이전

Android 5(Lollipop, 2014) 이전 기기는 암호화가 기본 적용되지 않았다. 사용자가 직접 설정에서 “기기 암호화”를 켜지 않은 이상, 데이터가 평문으로 저장됐다. 이런 기기는 초기화해도 포렌식 도구로 복구할 수 있다. 단, 2014년 이전 폰을 지금 쓰는 사람은 거의 없을 거다.

2. SD 카드 (구형 갤럭시 한정)

갤럭시 S21(2021) 이전 모델 중 외장 SD 카드 슬롯이 있는 기기를 아직 쓰고 있다면 해당된다. SD 카드는 기기 암호화와 별개라서, 공장 초기화를 해도 SD 카드 데이터는 그대로 남을 수 있다. SD 카드를 별도로 포맷하거나 물리적으로 파기해야 한다. S21 이후 모델은 SD 카드 슬롯 자체가 없으니 해당 없다.

3. 클라우드 백업

기기를 아무리 깨끗하게 지워도, iCloud나 Google Drive에 백업이 남아 있으면 소용없다. 수사기관은 기기 포렌식보다 클라우드 계정 압수수색이 훨씬 빠르고 쉽다. Apple이나 Google에 법원 영장을 제시하면 백업 데이터를 제공받을 수 있다.

🟡 민감한 상황: 기기 초기화만으로 안심하지 말고, iCloud/Google 계정의 백업 데이터도 삭제해야 한다. 계정 자체를 지우는 게 가장 확실하다.

4. 초기화 전에 기기를 압수당한 경우

당연하지만, 초기화를 하기 전에 기기를 빼앗기면 아무 의미 없다. 전원이 켜진 상태로 압수되면 포렌식 도구가 메모리(RAM)에 남아있는 암호화 키를 추출할 수 있다는 연구 결과도 있다(Cold Boot Attack). 이건 OPSEC 수준의 이야기다.

🔴 OPSEC 필요: 전원이 켜진 상태에서 기기를 뺏기면 RAM에서 키가 추출될 가능성이 있다. 일반인한테는 해당 없는 시나리오다. 내부고발자나 기자 수준이라면 기기 전원을 즉시 끄는 게 중요하다.

위험도 정리

상황	아이폰 (6s 이후)	갤럭시 (Android 10+)
🟢 공장 초기화 후 포렌식	복구 불가	복구 불가
🟢 중고폰 판매 전 초기화	안전	안전
🟡 클라우드 백업 남아있음	수사기관 접근 가능	수사기관 접근 가능
🟡 SD 카드 미삭제 (S21 이전)	해당 없음	복구 가능
🔴 초기화 전 기기 압수	포렌식 가능	포렌식 가능
🔴 구형 미암호화 기기	iPhone 5s 이전	Android 5 이전

지금 당장 할 수 있는 것

🟢 일반 사용자 — 이것만 하면 된다:

1. 기기 암호화 확인 — 아이폰은 잠금 비밀번호가 설정되어 있으면 자동 암호화 상태다. 갤럭시는 설정 → 보안 → 기기 암호화에서 확인. Android 10 이상이면 기본적으로 켜져 있다.
2. 공장 초기화 실행 — 아이폰: 설정 → 일반 → 전송 또는 iPhone 재설정 → 모든 콘텐츠 및 설정 지우기. 갤럭시: 설정 → 일반 → 초기화 → 공장 초기화.
3. 클라우드 백업 삭제 — iCloud, Google Drive 백업을 별도로 삭제.

🟡 조금 더 신경 쓰고 싶다면:

• 구형 갤럭시(S21 이전)에 SD 카드가 있으면 꺼내서 별도 포맷하거나 물리적으로 파기
• 초기화 후 기기를 한 번 부팅해서 아무 데이터나 채우기(사진 몇 장 찍기) → 다시 초기화. 구형 기기라면 이 과정을 2~3회 반복

정리

최신 스마트폰의 공장 초기화는 “데이터 삭제”가 아니라 “암호화 키 폐기”다. 아이폰은 Secure Enclave에서, 갤럭시는 TEE에서 키를 관리하고, 초기화 시 이 키를 파괴한다. 키가 없으면 AES-256으로 암호화된 데이터는 복호화할 수 없다. 여기에 플래시 메모리의 TRIM까지 더해지면, 물리적 잔재도 남지 않는다.

“포렌식으로 다 살린다”는 건 암호화가 없던 시절 이야기다. 2015년 이후 출시된 스마트폰이라면, 제대로 초기화한 기기에서 데이터를 복구하는 건 현실적으로 극히 어렵다.

진짜 걱정해야 할 건 기기가 아니라 클라우드다. 기기를 아무리 깨끗이 밀어도, iCloud나 Google Drive에 백업이 남아 있으면 수사기관은 그쪽을 먼저 들여다본다. 초기화 버튼 누르기 전에, 클라우드 백업부터 정리하라.