FBI, iPhone 알림 데이터로 삭제된 Signal 메시지 복구

5 hours ago 2

FBI가 iPhone의 내부 알림 데이터베이스를 이용해 삭제된 Signal 메시지를 복구한 사례가 법정 증언을 통해 공개됨
피고인의 iPhone에서 Signal 앱 삭제 후에도 수신 알림 내용이 내부 저장소에 남아 있었으며, 알림 미리보기 설정이 비활성화된 상태였음
iPhone의 보안 상태(AFU, BFU) 와 로컬 캐시 구조로 인해 일부 데이터가 시스템 내부에 잔존할 수 있음
앱 삭제 후에도 푸시 알림 토큰이 즉시 무효화되지 않아, 서버가 계속 알림을 전송하고 iPhone이 이를 수신했을 가능성이 제기됨
이 사건은 암호화 메시징 앱과 iOS 알림 시스템의 데이터 보존 구조가 프라이버시 보안의 핵심 쟁점으로 떠오르고 있음을 보여줌

iPhone 알림 데이터로 삭제된 Signal 메시지를 복구한 FBI 사례

FBI가 iPhone의 내부 알림 데이터베이스를 이용해 삭제된 Signal 메시지를 복구한 사례가 공개됨
- 404 Media 보도에 따르면, 텍사스 Alvarado의 ICE Prairieland 구금시설에서 폭죽 및 기물 파손 사건에 연루된 피고인 재판 중 증언으로 드러남
- FBI 요원 Clark Wiethorn이 법정에서 증거 수집 과정을 설명함
알림 데이터에서 복구된 메시지
- 피고인 Lynette Sharp의 iPhone에서 Signal 앱이 삭제된 이후에도 수신된 메시지 내용이 내부 알림 저장소에 남아 있었음
- 법정 증거 요약(Exhibit 158)에 따르면, “Signal은 삭제되었지만 Apple의 내부 알림 저장소를 통해 수신 알림이 내부 메모리에 보존되어 있었고, 오직 수신 메시지만 복구됨”
- Signal에는 알림 미리보기에서 메시지 내용을 숨기는 설정이 있으나, 피고인은 이를 비활성화한 상태였던 것으로 나타남
- Signal과 Apple 모두 알림 데이터의 저장 방식이나 처리 과정에 대한 공식 입장을 내놓지 않음
내부 저장 구조와 기술적 배경
- 피고인의 iPhone 상태에 대한 구체적 기술 정보가 부족해 FBI가 어떤 방식으로 데이터를 복구했는지는 명확하지 않음
- iPhone에는 BFU(Before First Unlock), AFU(After First Unlock) 등 여러 보안 상태가 존재하며, 각 상태에 따라 데이터 접근 권한이 달라짐
- 기기가 잠금 해제된 상태에서는 시스템이 사용자가 직접 조작 중이라고 가정해 보호된 데이터 접근 범위가 확대됨
- iOS는 다양한 보안 상태를 신뢰 기반으로 관리하며, 사용자 편의를 위해 로컬에 많은 데이터를 캐시 형태로 저장함
푸시 알림 토큰과 데이터 잔존 가능성
- 앱이 삭제되더라도 푸시 알림 전송에 사용되는 토큰이 즉시 무효화되지 않음
  - 서버는 앱 삭제 여부를 인지하지 못하므로, 마지막 알림 이후에도 계속 푸시를 보낼 수 있으며 iPhone이 이를 수신해 내부적으로 처리할 가능성 존재
  - Apple은 최근 iOS 26.4에서 푸시 알림 토큰 검증 방식을 변경했으며, 이번 사건과의 직접적 연관성은 확인되지 않았으나 시점상 주목됨
데이터 추출 가능성 및 수사 도구
- Exhibit 158의 설명에 따르면, FBI는 Apple의 내부 알림 저장소를 통해 데이터를 복구했으며, 이는 기기 백업에서 추출된 정보일 가능성이 있음
- 법 집행 기관은 iOS 취약점을 이용해 데이터를 추출하는 상용 포렌식 도구를 다수 보유하고 있으며, FBI가 이를 활용했을 가능성도 있음
- 404 Media는 이 사건의 원문 보고서를 별도로 공개함
사건의 의미
- 이 사례는 메시징 앱 삭제나 암호화만으로는 완전한 데이터 삭제가 보장되지 않음을 보여주는 사례로 주목됨
- iOS 알림 시스템의 데이터 보존 구조와 보안 관리 방식이 향후 프라이버시 논의의 핵심 쟁점으로 부상할 가능성 있음