GrapheneOS와 포렌식 데이터 추출 (2024)

 (discuss.grapheneos.org)
2P by GN⁺ 2일전 | ★ favorite | 댓글 1개
  • GrapheneOS는 높은 보안성과 프라이버시로 주목받으며, iOS와 견주는 수준임
  • 2024년 5월 소셜 미디어 상에서 GrapheneOS가 데이터 추출에 취약하다는 허위 공격이 발생함
  • Cellebrite 같은 포렌식 도구는 대부분의 Android/iOS 기기에서 비동의 추출이 가능하지만, GrapheneOS는 최신 보안 패치가 적용됐을 때 뚫리지 않음
  • Consent-based 데이터 추출은 사용자가 자신이 소유한 기기 잠금을 푸는 경우며, 이때만 추출이 가능함
  • Pixel 6 이상과 GrapheneOS 조합은 비밀번호 브루트포스 공격 및 USB 연결 해킹 등 최신 공격도 차단함

GrapheneOS 개요와 소셜 미디어 공격 배경

  • GrapheneOS는 Android 기반, 오픈소스, 보안 및 프라이버시 중심의 OS로, iOS 수준 혹은 그 이상 보호 성능을 제공함
  • 2024년 5월, 소셜 미디어에서 GrapheneOS가 포렌식 도구에 뚫렸다는 오해가 조장되는 공격이 발생함
  • 실제로는 사용자 동의(consent)-기반 데이터 추출 사례를 악의적으로 오해하여, GrapheneOS가 취약하다고 잘못 전달한 사례임

디지털 포렌식 및 데이터 추출 개요

  • 디지털 포렌식이란 전자 증거 수집 및 분석 과정
  • 이 과정은 컴퓨터, 스마트폰, 저장매체 등 다양한 기기에서 범죄 증거나 법적 분쟁 자료를 추출 및 분석함
  • 하지만, 포렌식 기술은 사생활 침해, 보복, 증거 조작 등을 위해 남용될 수 있음
  • GrapheneOS는 비동의 데이터 추출 및 디바이스 변조 방지를 목적으로 다양한 보안 대책을 개발하고 있음

Cellebrite와 그 영향

  • Cellebrite는 이스라엘 기반 디지털 포렌식 대표 기업으로, UFED(Universal Forensic Extraction Device)라는 도구가 유명함
  • 정부, 사법기관에 합법적으로 장비를 판매하지만, 권위주의 국가나 인권 탄압국에도 판매되고 있음
  • 이 도구로 세계 다양한 지역에서 스마트폰 데이터 추출 시도가 이루어짐

데이터 추출 방식 및 기술적 배경

  • 디지털 포렌식의 첫 단계는 모바일 기기 데이터 추출
  • 기기가 잠겨 있으면 여러 방식(해킹, 브루트포스)으로 비밀번호/PIN 추측을 시도함
  • 스마트폰의 두 가지 상태:
    • BFU (Before First Unlock): 부팅 후 한번도 잠금 해제가 안 된 상태, 내부 데이터가 완전 암호화되어 포렌식 분석에 매우 어려움
    • AFU (After First Unlock): 잠금 해제된 이후, 키가 메모리 내 저장되어 데이터 접근이 상대적으로 쉬움

실제 데이터 추출 실무

  • AFU 상태: 소프트웨어 취약점 등을 이용해 우회 또는 스크린락 해제 후 데이터 추출 시도
  • BFU 상태: PIN/비밀번호를 브루트포스(모든 조합 대입)로 맞추려 시도함

Cellebrite의 최신 데이터 추출 능력

  • 2024년 4월 공개된 자료에 따르면 GrapheneOS를 제외한 모든 Android 브랜드를 AFU, BFU 상태 무관하게 해킹·추출 가능함

  • 최신 iOS 기기에 대해서도 일부 지원, 대부분 iPhone 사용자는 자동으로 최신 패치가 적용되어 위험이 줄어듦

  • NSO(Pegasus 제작사)는 iOS 최신 버전의 취약점을 매우 빠르게 악용한 사례가 있음

  • GrapheneOS는 2022년 말 이후 보안 업데이트가 적용된 경우 Cellebrite조차 해킹 불가를 공식 인정

  • 업데이트가 자동 활성화되어 있으므로, 대다수 사용자는 최신 보안성이 유지

  • 단, 사용자가 직접 잠금을 해제하면(Consent-based) iOS, Android, GrapheneOS 모두 데이터 추출이 가능함

    • GrapheneOS는 개발자 옵션 및 adb 도구를 이용해 전체 데이터 접근 가능

  • Pixel 6 및 이후 모델 + GrapheneOS는 6자리 PIN 무작위 조합조차도 Brute-force로 뚫지 못함

소셜 미디어 공격 사건과 실제

  • 2024년 5월, 소셜 미디어에서 GrapheneOS의 consent-based 추출 성공 사례를 근거로 취약점 허위 주장 확산
  • 과거에도 Signal 암호화 뚫림 루머(실제론 사용자가 앱을 직접 열고 포렌식에 제공한 경우) 등 유사 허위 사례가 있었음

GrapheneOS의 포렌식 해킹 방어 전략

휴대폰 해킹 방지 주요 기능

  • 사용자가 잠금상태(스크린락 등)일 때, 새로운 USB 연결 차단 및 하드웨어 레벨에서 포트 차단 기능 제공
  • BFU, AFU, 완전 잠금 해제 등 다양한 시나리오에서 사용자가 원하는 수준까지 USB 완전 차단 세팅 가능
  • 2024년 이후 Pixel 펌웨어까지 보안성이 보강됨

브루트포스 공격 방어

  • Pixel 6 이상 기기에는 Titan M2(하드웨어 보안 모듈)가 탑재, 암호화 키 보호
  • 오입력 5회 후 30초 대기, 30회, 140회 초과 시 각각 대기시간 증가, 이후 1일 1회 입력만 허용(secure element throttling)
  • AVA_VAN.5 등급의 독립 평가를 통과, 초고강도 보안성 입증
  • iOS, 삼성, Qualcomm의 보안모듈은 기업 공격자들이 이미 우회했지만, GrapheneOS+Pixel 6 이상 조합은 최근 수년간 성공 사례 없음

자동 재부팅(auto reboot) 기능

  • 18시간 기본 설정(10분~커스텀 가능) 경과 시 자동 재부팅, 미 사용 시 BFU 상태로 전환
  • 따라서 해커가 exploit을 개발해도 실제 공격가능 시간(유저가 잠금 해제 후 재부팅 전)만 제한적임

결론 및 향후 전망

  • GrapheneOS 팀은 지속적으로 다양한 보안 강화자동화된 보안 기능을 강화 중임
  • 향후 지문+PIN 2단계 인증, 랜덤 패스프레이즈 자동 UI 등 더욱 강력하고 편리한 보호책 도입 예정
  • 지능적 해킹집단이 뚫을 수 없는 상황에서 허위정보 유포가 시도되고 있으나, 팩트에 기반한 정보가 이를 방어할 수 있음
GN⁺ 2일전  [-]
Hacker News 의견
  • "나쁜 정부"와 "좋은 정부"라는 건 존재하지 않는다고 생각함, 결국 모든 것이 사람들의 시각에 따라 달라짐, 그래서 우리는 단순히 정부가 테러리스트나 아동 성범죄자로부터 우리를 지켜준다는 이유만으로 데이터 전체를 정부에 믿고 맡겨선 안 된다고 봄, 실제로 정부는 결국 언젠가는 무고한 시민을 악용하는 일을 저지르게 됨, 지금 당장 이런 일이 벌어지고 있고 더 많은 통제를 요구하는 걸지도 모름
    • 정부가 국민의 필요(원하는 것이 아닌)를 제대로 해결하지 못하면 그게 바로 나쁜 정부라고 생각함, 거리에 갱단이나 도둑, 마약, 질병 등이 활개를 치면 이걸 국민 시각의 문제라고 볼 게 아니라, 정부가 해결해야 할 나쁜 일임, 그런 역할이 없다면 정부가 존재할 이유가 없다고 봄
    • 그래서 정부든 누구든, 데이터 관리를 무턱대고 맡기면 곤란하다고 생각함, 적어도 정부의 경우 공익의 가치를 내세우지만, 기업은 오로지 주주의 이익만이 동기임
    • 이론적으로는 흥미로운 주장이나, 내가 나온 나라에서는 현실적으로 정부가 사람들의 휴대폰을 검사해서 정부에 반하는 행동이나 소셜 미디어 활동 등을 증거로 삼아 매우 긴 형을 선고함, 최근 사례로 이 링크 참고 가능함, 아무리 GrapheneOS가 안전해도 이런 위협을 제대로 피하려면 완전히 깨끗한 폰이 꼭 필요함
    • 누군가 일부러 논점을 흐리고 있다고 생각함, 이 주제는 더 이상 논쟁할 필요도 없다고 봄, 시민을 납치하고 고문하고 살해하고 '실종'시키는 정부는 명백히 나쁜 정부임, 역사적으로나 실제로 중국, 러시아, 멕시코, 북한, 벨라루스, 발칸, 많은 아프리카 국가들이 그 예임, 주변 이웃 중 34%가 나를 강제 수용소로 보내길 원한다 해서 그게 정당화되지 않음, 개인적으로도 그런 곳엔 절대 가고 싶지 않음, 또 "관점에 따라 다르다"는 식의 예시는 나쁜 정부의 대표적인 예임, 좋은 정부가 되기란 사실 어렵지 않음, 그냥 나쁘게 굴지 않으면 됨
    • 이런 식의 생각은 아주 문제적 현상이라고 생각함, 즉 정부가 개인 의견과 다르면 곧 나쁜 정부라고 단정하는 것임, 문명이 다양한 시각을 가진 수많은 구성원과 함께 살아가려면 때로는 타협도 필요하다는 점을 잊어버린 것 같음
  • GrapheneOS를 정말 좋아함, 다만 사용자가 인증된 상황에서 앱의 프라이빗 데이터를 추출하거나 루트 셸을 얻을 수 있는 버전이 있다면 완벽할 것 같음, 개발자들은 루트 권한이 보안 모델에 커다란 구멍을 낸다고 말하지만, 만약 안전하게 루트를 사용할 방법만 있다면 내가 원하는 앱 자체를 직접 수정해서 써볼 수 있어서 정말 이상적인 OS가 될 거라고 생각함, 물론 다운로드 받아 스스로 서명할 순 있지만 그 방법까진 쓰고 싶지 않음
    • GrapheneOS에서도 루트 설정이 가능함, 다만 이 경우 데이터가 초기화되니 반드시 백업 필요함, 정말 루트가 필요하다면 데이터 백업-루트 권한 활성화-복원 이런 식으로 운영 가능함
    • 나 역시 이 기능을 바람, adb root를 위해 userdebug 빌드를 직접 만들어 사용 중이지만 공식적으로 지원된다면 훨씬 더 좋을 것 같음
    • 둘 다 가질 순 없다는 의미임, 루트 접근은 아주 큰 보안 구멍이기 때문에 공식 버전에서는 절대 지원하지 않을 것임, 직접 커스텀 키와 이미지 만드는 방법 외엔 없음
    • 휴대폰에서 루트를 활성화할 때 위협 모델이 무엇이고 왜 이를 완전히 막을 수 없는지 궁금함, 대부분의 서버나 데스크탑은 루트가 활성화되어도 큰 문제가 없게 잘 사용하고 있음
  • [2024]임, 이 글은 초안으로 보이며, 저자 블로그에서 볼 수 있음: https://telefoncek.si/2024/05/…
  • 이 내용을 읽으니 Pixel을 사서 GrapheneOS 설치를 해보고 싶은 마음이 듦, 대기업들이 어느 정도 개인정보 보호 의지를 가지고 있다고 쳐도 결국 법적으로 타겟이 되기 쉬움, 만약 미국이나 EU가 내일 모든 모바일 기기에 백도어를 의무화하는 법을 통과시키면 전 세계가 영향을 받게 됨
    • 매우 저렴하게 시도 가능함, 나는 eBay에서 리퍼 Pixel 7 Pro를 250달러에 구매해서 GrapheneOS를 설치함, 20달러짜리 eSim 요금제로 밖에 나갈 때 쓰는 전용폰임, 여행 중 분실 또는 도난당해도 신경 쓰지 않아도 됨, eSim만 해지하고 다른 Pixel 폰을 사서 다시 GrapheneOS를 설치하면 됨, 집에는 메인폰인 Pixel 10 Pro가 그대로 안전하게 있음
    • 참고로 영국 정부가 2016년 Investigatory Powers Act를 근거로 Apple에 백도어 제작을 요구하려 했으나 Apple은 거절함
    • 내 마지막 Pixel(4a)은 1년 반 정도 지나니 상태가 상당히 안 좋아짐, 더 튼튼한 안드로이드 기기가 있는지 궁금함, Apple SE는 여러 해 동안 문제없이 사용했기에 다시 Apple로 갔음, GrapheneOS를 꼭 써보고 싶음
    • 나 역시 GrapheneOS 때문에 Pixel을 구입하고 싶지만 Google이 트릴리언 달러 기업임에도 전 세계 판매에는 항상 소극적임
  • 이 내용은 인터넷의 추측을 또다른 인터넷 추측으로 반박하려는 느낌을 받음, Cellebrite는 최신 기기 지원 현황을 공개하지 않으니 최근 iPhone이나 iOS, Pixel 9/10, 최신 Android OS에 대해 정확히 어떤 진전이 있는지 일반인들은 알 수 없음, 다만 두 회사 모두 공식적으로 공개한 점은 Apple이 Advanced Data Protection 사용 시 Google보다 훨씬 많은 종단간 암호화를 제공한다는 것과, 모두 하드웨어와 플랫폼 보안에 투자한다는 것임(예: Apple의 SEAR 등), GrapheneOS의 존재 자체는 긍정적이지만 이 게시물 자체가 실질적인 도움을 주는 것 같진 않음
    • 올해 초 유출된 문서에선 Pixel 9도 포함됨, 최소한 유출 당시 자료에 따르면 GrapheneOS는 2022년 이후 패치가 적용된 경우 Cellebrite가 지원 불가로 표기되어 있으며, Stock Google 펌웨어보다도 더 안전함, GrapheneOS가 이런 논쟁을 피하는 이유 중 하나는 사용 편의성을 위해 Google이 꺼리는 USB 포트 비활성화를 과감하게 적용한다는 점임, Google, Samsung, Apple(none-lockdown mode)과 달리, GrapheneOS는 사용자가 차, 디스플레이, USB 메모리, 3.5mm 젝 변환 등에 폰을 연결하려고 할 때 항상 잠금 해제를 요구하니 불만을 덜 마주침, 또 보안 강화를 위해 컴파일 시 성능 저하를 감수하고 다양한 옵션을 추가함, 실제로 드물지만 일부 공격 성공 시 방어에 핵심적으로 작동한다는 사례를 직접 설명함(GrapheneOS 사례), 현재 Cellebrite의 최신 상태를 모를 순 있지만, 3년 이상 제대로 공략하지 못했던 걸 보면 GrapheneOS에 대한 신뢰가 높아짐, 물론 GRU나 NSA는 예외적인 공격 방법을 갖고 있겠지만, 현재 시점에서 시중에 팔리는 툴에서 GrapheneOS가 뚫렸다는 정황은 없음
    • 누군가 GrapheneOS 개발자에게 Cellebrite 지원 현황을 지속적으로 유출해주고 있음, 해당 내역대로라면 2022년 이전 패치 레벨의 GrapheneOS까지만 해킹 가능했다고 공식 문서에 명시되어 있음, 2025년 6월 최신 문서까지 확보해 있으며 필요하면 더 구할 수 있지만, 현재 더 시급한 일이 많아서 바로 그럴 계획은 없음, 상황이 생기면 자료를 전달해주는 핵심 관계자가 바로 접촉해 올 것이기에 안심함(링크)
  • iOS에서 GrapheneOS로 전환을 고려한다면 이 마이그레이션 가이드와 리뷰가 도움이 될 수 있음: https://blog.okturtles.org/2024/06/…
    • Apple Photos와 Google Photos를 대체할 수 있는 Ente 같은 신뢰할 만한 서비스도 있음, 그 외에도 다양한 대안 존재함
    • 다소 주제와 벗어나지만, GrapheneOS는 현재 몇 명의 팀원이 유지 중인지 궁금함, 만약 Daniel Micay가 갑자기 사라지면 바로 이어 받아 개발을 계속할 수 있는 사람과 인프라가 준비되어 있는지 알고 싶음
  • "...왜냐하면 GrapheneOS가 이런 공격에 대해 iOS보다 더 보안을 강화하고 있기 때문임. iPhone 역시 시큐어 엘리먼트(secure element)가 있지만 공격자들이 오랫동안 이를 우회해왔음, Samsung과 Qualcomm도 마찬가지임"이라는 주장에 대해, 실제로 Pixel이 brute-force 공격에 더 강한지, iPhone 등은 이런 툴에 쉽게 뚫리는지가 궁금함
    • 이런 평가엔 동의하지 않음, GrapheneOS에 대한 존중은 크지만, 비판이 들어왔을 때 종종 과장광고에 가까운 표현이 등장하는 경향도 있음, 관련 기사나 정보들은 Cellebrite의 지원 목록(스토리지가 담긴 행정용 디바이스 내 파일) 유출본 기반이라 시점에 따라 달라질 수 있음, 기사 작성 시점 기준으로 Cellebrite는 iPhone 12 이전(시큐어 스토리지 컴포넌트 도입 전)까지는 brute-force로 접근 가능했고, iPhone 12는 iOS 17 이전 버전에서 뚫기 위한 연구단계였음, Android는 Pixel 6(타이탄 M2 도입) 이후론 brute-force 불가임, 근본적으로 iPhone과 Pixel 둘 다 신뢰 모델이 거의 동일함: 사용자의 패스코드는 시큐어 엔트로피와 섞여 암호키를 만드는데 쓰이고, 보안 프로세서가 시도 횟수를 제한함, Apple의 구조는 공식 문서로 매우 잘 나와있고, Google의 Weaver 역시 비슷하게 작동함, 전체적으로 볼 때 최신 iPhone(iOS)과 최신 Pixel+GrapheneOS 조합이 둘 다 업계 최고 수준의 보호력을 제공한다고 생각함, 기사에서 말하는대로 그 외 대부분의 장치와 펌웨어는 보안 소프트웨어(ROM, 부트로더 등) 설계에서 많이 뒤처짐
    • "쉽게"라는 부분은 빼고 대부분 맞음
  • 가장 먼저 떠오르는 보안 우려는 블롭(Blobs)임, 이는 안드로이드폰에서 필수적인 폐쇄형 하드웨어 드라이버로, 고권한 상태에서 실행됨, GrapheneOS가 이 드라이버들을 엄격하게 샌드박스 처리하지 않으면, 숙련된 공격자가 wifi, 모뎀, 블루투스 드라이버의 백도어를 통해 보안을 뚫을 수 있음, 이런 블롭에선 GrapheneOS 개발자가 무엇을 하든 근본적으로 막기 어려움, 예를 들어 wifi 드라이버가 PIN 입력을 가로챌 수 있는 것도 상상해 볼 수 있음
    • GrapheneOS는 이런 블롭도 정말 엄격하게 샌드박싱해서 실행함, HN 사용자 strcat이 이 부분에 대해 자세히 설명한 글이 많음 strcat의 자세한 답변
  • 스마트폰의 USB 포트를 쓰는 한, 완전히 보안을 보장할 수 없음, 정부가 원하는 백도어가 바로 이 경로임, 프라이버시를 위해 그리고 자유를 위해 투표를 하길 권장함, 정치적 주장과 별개로 정부는 이런 작업을 비밀리에 예산을 들여 진행함, AWS 같은 플랫폼에서 수많은 하청업체가 UFED로 덤프된(즉 폰 디렉터리를 zip으로 압축한) 데이터를 분석함, 이메일, 통화 내역, 통신사 설정, 브라우저 기록, 문자, 쿠키, 앱, 앱 로그와 데이터 등 폰에 있는 건 다 포함됨
    • TFA(본문) 내용을 보면 GrapheneOS는 USB 포트도 비활성화 가능함
  • 기술적으로 흥미로워서, 디지털 포렌식 툴을 가장 보안이 잘 된 설정의 각 운영체제에 모두 적용해 실제로 어떻게 다른지 비교한 글을 한번 보고 싶음
    • "가장 보안이 잘 된 설정"이라면, 오프라인에 연결되지 않은 채 전원이 꺼진 상태 아닐까 싶음
답변달기