404 Media • 51일 전

FBI, 아이폰 알림 DB에서 삭제된 시그널 메시지 복구

IMP

7/10

핵심 요약

미국 연방수사국(FBI)이 아이폰의 푸시 알림 데이터베이스를 포렌식 추출하여, 앱 삭제 후에도 삭제된 시그널(Signal) 수신 메시지를 복구하는 데 성공했습니다. 이는 보안 메신저 조차도 기기 운영체제의 알림 저장 방식과 맞물려 예기치 않게 데이터가 남을 수 있음을 보여줍니다. 따라서 고도의 프라이버시가 필요한 사용자는 메신저 앱 내에서 알림 내용이나 미리보기가 화면에 표시되지 않도록 설정하는 것이 매우 중요합니다.

번역된 본문

최근 한 재판에서 FBI 증언을 직접 들은 여러 관계자들이 404 Media에 전한 바에 따르면, FBI는 피고인의 아이폰에서 시그널(Signal) 앱이 삭제된 이후에도 포렌식 기법을 통해 수신된 메시지 복사본을 추출하는 데 성공했습니다. 이는 해당 메시지 내용이 기기의 푸시 알림 데이터베이스에 저장되어 있었기 때문입니다. 해당 사건은 지난 7월 텍사스주 알바라도에 있는 이민세관단속국(ICE) 프레리랜드 구금 시설에서 다수의 인원이 불꽃놀이를 하고 시설을 훼손한 혐의와 함께, 한 용의자가 경찰관의 목을 쏜 사건과 관련이 있습니다.

이 소식은 기기에 대한 물리적 접근 권한을 확보하고 전문 소프트웨어를 실행하는 포렌식 추출 방식이, 안전한 메시징 앱에서 생성된 민감한 데이터를 예상치 못한 경로로 얻어낼 수 있음을 보여줍니다. 시그널은 이미 알림에 메시지 내용이 표시되지 않도록 차단하는 설정을 제공하고 있으며, 이번 사건은 일부 사용자에게 이 기능을 켜는 것이 왜 중요한지를 명확히 보여줍니다.

재판 참석 중 노트를 작성하던 피고인 지지자 중 한 명은 404 Media에 다음과 같이 말했습니다. "저희는 아이폰에서 특별히 시그널 앱의 설정이 메시지 알림과 잠금 화면 미리보기를 허용하는 경우, 아이폰이 해당 알림과 메시지 미리보기를 기기 내부 메모리에 내부적으로 저장한다는 사실을 알게 되었습니다." 404 Media는 보복을 피하기 위해 이 관계자에게 익명을 보장했습니다.

프레리랜드 ICE 구금 센터 사건은 트럼프 대통령이 지난 9월 '안티파(Antifa)'라는 포괄적 용어를 국내 테러 조직으로 지정한 이후, 당국이 처음으로 관련 활동 혐의로 사람들을 기소한 사례입니다. 10명 이상의 피고인을 지지하는 측은 이 사건이 정치적 탄압이라고 주장합니다.

💡 본 사건에 대해 추가로 아는 내용이 있으신가요? 제보를 환영합니다. 업무용 기기가 아닌 개인 기기를 사용해 시그널(joseph.404)로 안전하게 메시지를 보내거나(joseph@404media.co)로 이메일을 보내주시기 바랍니다.

피고인 중 한 명인 리넷 샤프(Lynette Sharp)는 이전에 테러리스트에게 물질적 지원을 제공한 혐의에 대해 유죄를 인정했습니다. 관련 재판 기간 중 어느 날, FBI 특수요원 클라크 위선(Clark Wiethorn)은 수집된 증거 일부에 대해 증언했습니다. 지지자들의 웹사이트에 게시된 증거물 158호 요약본에는 다음과 같이 적혀 있습니다. "샤프의 휴대전화에서 애플 내부 알림 저장소를 통해 메시지가 복구되었습니다. 시그널는 삭제되었지만 수신된 알림들은 내부 메모리에 보존되어 있었습니다. 수신 메시지만 캡처되었으며 발신 메시지는 없었습니다."

404 Media는 재판 중 노트를 작성하던 지지자 중 한 명과 피고인 엘리자베스 소토(Elizabeth Soto)의 변호사인 하모니 슈어만(Harmony Schuerman)과 인터뷰를 진행했습니다. 슈어만은 증거물 158호에 대해 자신이 작성한 노트를 공유했습니다. 그 노트에는 "그녀가 휴대전화에서 알림을 설정한 방식 때문에 당국은 이 대화 내용을 캡처할 수 있었습니다. 알림이 잠금 화면에 나타날 때마다 애플은 이를 기기 내부 메모리에 저장합니다"라고 적혀 있었습니다.

해당 지지자는 추가로 다음과 같이 덧붙였습니다. "저는 당국의 사건이 마지막 날이었던 날 법정에 있었고, FBI 특수요원 클라크가 시그널 메시지 일부에 대해 증언하는 것을 들었습니다. 그중 하나는 리넷 샤프(협조 증인 중 한 명)의 휴대전화에서 나온 것이었습니다. 그러나 법정에서 공개된 흥미로운 세부 메시지들은 사라지도록(disappear) 설정되어 실제로 시그널 앱에서는 사라진 메시지들이었습니다."

일반적으로 사용자가 시그널 메시지를 수신하면 휴대전화는 메시지를 받았다는 푸시 알림을 표시하고 발신자와 적어도 일부 메시지 내용을 보여줍니다. 시그널 앱 설정의 알림 메뉴에서 사용자는 표시되는 '알림 내용'을 변경할 수 있습니다. 여기에는 '이름, 내용 및 작업', '이름만', '이름 및 내용 없음' 등의 옵션이 포함됩니다.

알림이 일부 메시지 데이터를 저장하는 문제는 시그널 앱에만 국한되지 않을 가능성이 높으며, 이는 보안 메시징 앱과 애플의 알림 저장 방식 사이의 근본적인 마찰로 볼 수 있습니다. 당국은 수사 전략의 일환으로 푸시 알림에 더 광범위하게 주목하고 있습니다. 지난 6월 404 Media는 애플이 정부 기관에 수천 건의 푸시 알림 데이터를 제공했다고 보도했습니다. 프레리랜드 사건의 경우는 기기의 물리적 확보와 포렌식 추출을 통한 사례이며, 이는 앞서 애플에 대한 법적 요구를 통해 데이터를 얻었던 방식과는 다릅니다.

원문 보기

원문 보기 (영어)

The FBI was able to forensically extract copies of incoming Signal messages from a defendant’s iPhone, even after the app was deleted, because copies of the content were saved in the device’s push notification database, multiple people present for FBI testimony in a recent trial told 404 Media. The case involved a group of people setting off fireworks and vandalizing property at the ICE Prairieland Detention Facility in Alvarado, Texas in July, and one shooting a police officer in the neck. The news shows how forensic extraction—when someone has physical access to a device and is able to run specialized software on it—can yield sensitive data derived from secure messaging apps in unexpected places. Signal already has a setting that blocks message content from displaying in push notifications; the case highlights why such a feature might be important for some users to turn on. “We learned that specifically on iPhones, if one’s settings in the Signal app allow for message notifications and previews to show up on the lock screen, [then] the iPhone will internally store those notifications/message previews in the internal memory of the device,” a supporter of the defendants who was taking notes during the trial told 404 Media. 404 Media granted the person anonymity to protect them from retaliation. The Prairieland ICE detention center case was the first time authorities charged people for alleged “Antifa” activities after President Trump designated the umbrella term a domestic terrorist organization in September . Supporters of the more than a dozen defendants say the case is political repression . 💡 Do you know anything else about this case? I would love to hear from you. Using a non-work device, you can message me securely on Signal at joseph.404 or send me an email at joseph@404media.co. One of the defendants was Lynette Sharp, who previously pleaded guilty to providing material support to terrorists. During one day of the related trial, FBI Special Agent Clark Wiethorn testified about some of the collected evidence. A summary of Exhibit 158 published on a group of supporters’ website says, “Messages were recovered from Sharp’s phone through Apple’s internal notification storage—Signal had been removed, but incoming notifications were preserved in internal memory. Only incoming messages were captured (no outgoing).” 404 Media spoke to one of the supporters who was taking notes during the trial, and to Harmony Schuerman, an attorney representing defendant Elizabeth Soto. Schuerman shared notes she took on Exhibit 158. “They were able to capture these chats bc [because] of the way she had notifications set up on her phone—anytime a notification pops up on the lock screen, Apple stores it in the internal memory of the device,” those notes read. The supporter added, “I was in the courtroom on the last day of the state's case when they had FBI Special Agent Clark testifying about some Signal messages. One set came from Lynette Sharp's phone (one of the cooperating witnesses), but the interesting detailed messages shown in court were messages that had been set to disappear and had in fact disappeared in the Signal app.” Typically when a user receives a Signal message, their phone will display a push notification announcing they have received a message, and display the sender and at least some of the message content. In the Notifications menu under Settings in the Signal app, users can change what Notification Content appears. This includes Name, Content, and Actions; Name Only; and No Name or Content. The issue of notifications saving some message data is likely not limited to the Signal app, but is a more fundamental friction between secure messaging apps and how Apple stores notifications. Authorities have turned to push notifications more broadly as an investigative strategy too; in June 404 Media reported Apple gave governments data on thousands of push notifications. Those were legal demands made to Apple, while the Prairieland case was about data from a device authorities had physical access to. Signal acknowledged a request for comment on March 12, but stopped replying to emails after that. Apple did not respond to a request for comment. All defendants of the recent trial were found guilty of multiple charges each. About the author Joseph is an award-winning investigative journalist focused on generating impact. His work has triggered hundreds of millions of dollars worth of fines, shut down tech companies, and much more. More from Joseph Cox

디지털 포렌식 애플 아이폰 프라이버시 보안 메신저 FBI