# FBI, iPhone 알림 데이터로 삭제된 Signal 메시지 복구

> Clean Markdown view of GeekNews topic #28402. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=28402](https://news.hada.io/topic?id=28402)
- GeekNews Markdown: [https://news.hada.io/topic/28402.md](https://news.hada.io/topic/28402.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-04-11T09:44:46+09:00
- Updated: 2026-04-11T09:44:46+09:00
- Original source: [9to5mac.com](https://9to5mac.com/2026/04/09/fbi-used-iphone-notification-data-to-retrieve-deleted-signal-messages/)
- Points: 1
- Comments: 1

## Topic Body

- **FBI가 iPhone의 내부 알림 데이터베이스를 이용해 삭제된 Signal 메시지를 복구한 사례**가 법정 증언을 통해 공개됨
- 피고인의 iPhone에서 **Signal 앱 삭제 후에도 수신 알림 내용이 내부 저장소에 남아 있었으며**, 알림 미리보기 설정이 비활성화된 상태였음
- **iPhone의 보안 상태(AFU, BFU)** 와 **로컬 캐시 구조**로 인해 일부 데이터가 시스템 내부에 잔존할 수 있음
- **앱 삭제 후에도 푸시 알림 토큰이 즉시 무효화되지 않아**, 서버가 계속 알림을 전송하고 iPhone이 이를 수신했을 가능성이 제기됨
- 이 사건은 **암호화 메시징 앱과 iOS 알림 시스템의 데이터 보존 구조가 프라이버시 보안의 핵심 쟁점**으로 떠오르고 있음을 보여줌

---

### iPhone 알림 데이터로 삭제된 Signal 메시지를 복구한 FBI 사례
- **FBI가 iPhone의 내부 알림 데이터베이스를 이용해 삭제된 Signal 메시지를 복구한 사례**가 공개됨
  - *404 Media* 보도에 따르면, 텍사스 Alvarado의 ICE Prairieland 구금시설에서 폭죽 및 기물 파손 사건에 연루된 피고인 재판 중 증언으로 드러남
  - FBI 요원 Clark Wiethorn이 법정에서 증거 수집 과정을 설명함
- ## 알림 데이터에서 복구된 메시지
  - 피고인 Lynette Sharp의 iPhone에서 **Signal 앱이 삭제된 이후에도 수신된 메시지 내용이 내부 알림 저장소에 남아 있었음**
  - 법정 증거 요약(Exhibit 158)에 따르면, “Signal은 삭제되었지만 **Apple의 내부 알림 저장소를 통해 수신 알림이 내부 메모리에 보존되어 있었고**, 오직 수신 메시지만 복구됨”
  - Signal에는 알림 미리보기에서 메시지 내용을 숨기는 설정이 있으나, 피고인은 이를 비활성화한 상태였던 것으로 나타남
  - Signal과 Apple 모두 **알림 데이터의 저장 방식이나 처리 과정에 대한 공식 입장을 내놓지 않음**
- ## 내부 저장 구조와 기술적 배경
  - 피고인의 iPhone 상태에 대한 구체적 기술 정보가 부족해 **FBI가 어떤 방식으로 데이터를 복구했는지는 명확하지 않음**
  - iPhone에는 **BFU(Before First Unlock)**, **AFU(After First Unlock)** 등 여러 보안 상태가 존재하며, 각 상태에 따라 데이터 접근 권한이 달라짐
  - 기기가 잠금 해제된 상태에서는 시스템이 사용자가 직접 조작 중이라고 가정해 **보호된 데이터 접근 범위가 확대됨**
  - iOS는 다양한 보안 상태를 신뢰 기반으로 관리하며, **사용자 편의를 위해 로컬에 많은 데이터를 캐시 형태로 저장**함
- ## 푸시 알림 토큰과 데이터 잔존 가능성
  - ### 앱이 삭제되더라도 푸시 알림 전송에 사용되는 토큰이 즉시 무효화되지 않음
    - 서버는 앱 삭제 여부를 인지하지 못하므로, 마지막 알림 이후에도 계속 푸시를 보낼 수 있으며 **iPhone이 이를 수신해 내부적으로 처리할 가능성 존재**
    - Apple은 최근 **iOS 26.4에서 푸시 알림 토큰 검증 방식을 변경**했으며, 이번 사건과의 직접적 연관성은 확인되지 않았으나 시점상 주목됨
- ## 데이터 추출 가능성 및 수사 도구
  - Exhibit 158의 설명에 따르면, FBI는 **Apple의 내부 알림 저장소를 통해 데이터를 복구했으며**, 이는 **기기 백업에서 추출된 정보일 가능성**이 있음
  - 법 집행 기관은 **iOS 취약점을 이용해 데이터를 추출하는 상용 포렌식 도구**를 다수 보유하고 있으며, FBI가 이를 활용했을 가능성도 있음
  - *404 Media*는 이 사건의 원문 보고서를 별도로 공개함
- ## 사건의 의미
  - 이 사례는 **메시징 앱 삭제나 암호화만으로는 완전한 데이터 삭제가 보장되지 않음을 보여주는 사례**로 주목됨
  - **iOS 알림 시스템의 데이터 보존 구조와 보안 관리 방식**이 향후 프라이버시 논의의 핵심 쟁점으로 부상할 가능성 있음

## Comments



### Comment 55087

- Author: neo
- Created: 2026-04-11T09:44:47+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47716490) 
- 사용자 입장에서 생각해보면, Signal은 **forward secrecy**가 있어서 메시지를 받은 뒤엔 사라지는 줄 알았음  
  하지만 **disappearing messages**를 켜지 않으면 Cellebrite 같은 포렌식 도구가 복원할 수 있음. 기본값이 꺼져 있음  
  켰다고 해도 알림(notification)에 메시지가 포함되어 OS가 저장할 수 있음. Apple이 실제로 그렇게 했고, 이를 막는 옵션이 있지만 역시 기본값은 꺼져 있음  
  앱을 삭제해도 OS에 메시지가 남음. 결국 **보안과 사용성의 균형**이 무너질 때, 이건 사용자 탓이 아니라 시스템 설계 문제라고 생각함  
  관련 사례를 [내 글](https://articles.59.ca/doku.php?id=em:sg)에 정리했음  
  - 백업이 암호화되지 않는 한 **종단 간 암호화(E2EE)** 는 허상이라고 생각함. 상대방이 ADP를 안 쓰면 iMessage나 WhatsApp은 단순 저장 암호화만 적용됨  
    Android의 WhatsApp도 기본적으로 **Google Drive에 암호화되지 않은 백업**을 권장함  
    Google, Apple, Meta가 PRISM 후속 협약처럼 “E2EE를 허용하되 기본 설정으로 접근 가능하게” 만든 게 아닌가 의심됨  
    대부분 사용자가 기본 설정을 그대로 쓰기 때문에 결국 보안이 무력화됨  
  - Signal이 아무리 안전하다고 해도, 그 위에서 돌아가는 **운영체제와 생태계가 너무 복잡**해서 실제로 안전한 통신을 하고 있는지 확신하기 어려움  
    메타데이터(누가 언제 누구와 통신했는지)도 여전히 노출됨  
  - 대부분 사용자는 기본 설정을 바꾸지 않기 때문에, 앱의 보안 수준은 **기본값이 곧 보안 수준**임  
  - Signal이 알림에 메시지를 평문으로 넣는 건 더 심각함.  
    [이 글](https://blog.davidlibeau.fr/push-notifications-are-a-privacy...)처럼, 민감한 데이터는 알림에 포함하지 않거나 **암호화된 페이로드**로 전송해야 함  
  - 정말 안전한 메신저를 원한다면 **SimpleX**를 쓰라고 권함. Whonix가 추천했고, Snowden도 Whonix를 지지함  
    [Whonix Chat 추천 페이지](https://www.whonix.org/wiki/Chat#Recommendation)

- Signal 설정에서  
  Settings > Notifications > Notification Content > Show: “Name Only” 혹은 “No Name or Content”로 바꿔두면  
  화면을 보여줄 때 민감한 메시지가 노출되지 않음. 이번 사건을 보면 이 설정이 **보안상 추가 이점**이 있음  
  - 이건 OS 설정이 아니라 **Signal 앱 내부 설정**임. OS 알림 설정만 바꾸면 화면 표시만 막을 뿐, 내부 저장은 계속됨  
  - Android에서는 Settings > Notifications > Messages > Show 메뉴에 있음  
  - 기본값이 가장 민감한 설정이어야 함. **보안 앱이라면 안전한 기본값**이 필수임  
  - Apple Intelligence 요약 기능도 민감한 앱 알림에는 꺼두는 게 좋음  
  - **Lockdown 모드**를 켜면 이런 문제를 포함해 여러 취약점을 함께 막을 수 있음  

- Signal의 알림 미리보기 설정이 꺼져 있지 않으면, 시스템이 메시지 내용을 데이터베이스에 저장함  
  이 알림 기록을 macOS에서는 `~/Library/Group Containers/group.com.apple.usernoted/db2/db`에서 볼 수 있음  
  [Crank 앱](https://lowtechguys.com/crank)을 이용하면 SQL 쿼리로 추출 가능함  
  - Android에서는 **NotiStar** 같은 앱으로 알림 기록을 볼 수 있음.  
    하지만 FCM(APNs) 같은 중앙화된 알림 인프라가 중간에서 데이터를 저장할 수 있음  
  - Pixel에서는 Settings > Notifications > Manage > Notification History에서 일부 기록을 볼 수 있음  
  - iPhone의 경우, 잠금화면에서 미리보기가 보이도록 설정되어 있으면 **알림 내용이 평문으로 저장**됨  
    기본 설정은 “잠금 해제 시 미리보기”인데, 이 경우에도 내부 저장이 암호화되는지는 불분명함  
    결국 이건 **사용자 설정 실수로 인한 OPSEC 문제**이며, Signal의 기본값은 적절했다고 봄  
  - Android에서는 예전엔 모든 알림을 보여주는 프로토콜 주소 페이지가 있었음. 유용했지만 지금은 잘 쓰지 않음  

- Signal이 매달 알림을 켜라고 계속 묻는 이유가 궁금했음. 거절했는데도 반복됨  
  - Signal 개발자에 따르면, **알림 신뢰성 관련 문의가 많아서** 사용자가 실수로 꺼둔 걸 방지하려는 목적임. 다만 빈도는 과한 편임  
  - 하지만 대부분 소프트웨어가 사용자의 의사보다 **개발자나 회사의 이익**을 우선함.  
    사용자가 원치 않아도 계속 권유하는 건 이제 흔한 UX 패턴임  
  - 메시징 플랫폼은 사용자가 즉시 응답할수록 성공적이기 때문에, 알림을 켜도록 유도하는 건 자연스러운 전략임  
  - iOS 자체가 알림을 꺼두면 주기적으로 다시 확인하라고 묻는 구조이기도 함  
  - WhatsApp의 2FA PIN처럼, 주기적으로 입력을 요구하는 것도 비슷한 맥락임  

- 실제 **법정 증언**이야말로 보안 실태를 검증하는 진짜 방법이라고 생각함  
  이론적 논쟁보다 실제 사건에서 어떤 데이터가 복원되는지가 중요함  
  - 다만 정부가 **사이버 수단 노출을 피하기 위해 기소를 포기**하는 경우도 있어, 모든 정보가 드러나는 건 아님  
  - 법정은 드물게나마 실제 기술 세부사항이 공개되는 자리임  
  - 최근 Trivy / LiteLLM 사건도 보안 관련 이슈였지만 성격이 달랐음  
  - 그러나 부패한 국가에서는 법정 결과가 현실을 반영하지 않을 수도 있음. **병행 구성(parallel construction)** 이 존재함  

- “피고가 설정을 켜지 않아 시스템이 메시지를 저장했다”는 문장은 사실상 **Apple의 기본 설정이 문제**임  
  대부분 사용자는 설정을 바꾸지 않으며, Apple도 이를 알고 있음  
  - 더 나쁜 건, 사용자가 어렵게 바꾼 **보안 설정이 업데이트 때마다 초기화**된다는 점임. Firefox의 프라이버시 설정도 자주 이런 식으로 되돌아감  
    의도적이지 않다고 해도, 우리는 **의도된 것처럼 행동해야 함**  
  - 보안을 신경 쓴다면 잠금화면 미리보기는 반드시 꺼야 함. 잠금화면은 누구나 볼 수 있으므로 **기본적으로 비공개가 아님**  
  - 언론이 “피고가 설정을 안 바꿨다”고 쓰는 대신, “Apple 시스템이 기본적으로 데이터를 저장했다”고 썼다면 인식이 달랐을 것임  
    결국 책임이 사용자에게 전가되고, 시스템을 만든 기업은 “시스템”이라는 익명 뒤에 숨음  
  - 실제로 사용자 설정 변경 능력에 대한 통계 데이터를 찾아봤는데, **컴퓨터 교육 수준이 매우 낮음**. 단순한 타자 교육이 아니라 **디지털 리터러시**가 필요함  

- 원문 기사: [FBI Extracts Suspect’s Deleted Signal Messages Saved in iPhone Notification Database](https://www.404media.co/fbi-extracts-suspects-deleted-signal...)  
  - 다만 구독자 전용이라 세부 내용은 제한적임  

- Apple이 앱을 삭제해도 알림 데이터베이스에 남은 기록을 왜 지우지 않는지 의문임.  
  오래된 알림 내용을 계속 보관하는 건 **보안 사고의 씨앗**임  
  - 이런 문제가 드러나면 “왜 이제야?” 싶을 정도로 명백함. 앞으로는 구조가 바뀔 것으로 예상함  
  - Android는 앱을 삭제하면 알림 기록이 사라지고, 알림 기록 기능을 껐다 켜면 이전 데이터가 초기화됨  
    [Android 공식 문서](https://source.android.com/docs/core/display/notification-hi...)에 따르면 일정 기간만 보관함  
  - 하지만 플래시 메모리에 실제로 기록됐다면, **삭제 후에도 블록이 남아 있을 가능성**이 있음  
    wear leveling 때문에 데이터가 수년간 남을 수도 있음  
  - 대부분 데이터베이스(sqlite 등)는 행을 삭제해도 실제 디스크 데이터는 바로 지워지지 않음.  
    파일시스템과 SSD 레벨에서도 비슷한 일이 일어남  

- 결국 **E2E의 한쪽 끝은 앱이 아니라 폰 자체**임을 보여주는 사례임  
  WhatsApp처럼 알림에서 메시지를 읽어도 읽음 표시가 안 되는 건, OS가 **중간자(MITM)** 역할을 하는 셈임  
  - 하지만 Signal이 직접 알림을 생성하므로, `echo "my_private_data" | notify-send`처럼 단순히 알림을 띄우는 행위 자체가 위험하다고 보긴 어려움  

- 사실 이런 **알림 데이터 저장 문제**는 예전부터 알려져 있었음.  
  [RealityNet iOS Forensics References](https://github.com/RealityNet/iOS-Forensics-References)나  
  [The Forensics Scooter의 글](https://theforensicscooter.com/2021/10/03/ios-knowledgec-db-...)에서도 이미 다뤄졌음