iOS의 강력한 보안 아키텍처는 시그널 앱 포렌식을 매우 까다로운 작업으로 만듭니다. 하지만 정확한 조건과 절차를 따른다면 암호화된 대화 내용을 복원하는 것이 가능합니다. iOS 시그널 포렌식은 ‘전체 파일 시스템(Full File System, FFS)’ 획득과 ‘키체인(Keychain)’ 분석이라는 두 가지 핵심 요소를 중심으로 이루어집니다.

 

1단계: 선결 조건 – 물리적 접근 및 FFS 획득 가능성 확인

 

가장 먼저 해결해야 할 과제는 아이폰의 전체 파일 시스템에 접근하는 것입니다.

  • 논리적 백업의 한계: iTunes나 iCloud를 통한 일반적인 논리적 백업 방식으로는 시그널 분석이 절대 불가능합니다. 이 방식으로는 앱의 실제 데이터베이스나 암호화 키가 저장된 키체인에 접근할 수 없기 때문입니다.
  • FFS 획득의 중요성: 포렌식 분석을 위해서는 기기의 가장 깊은 영역까지 접근할 수 있는 물리적 이미징 또는 전체 파일 시스템(FFS) 획득이 필수입니다. 이를 통해 암호화된 시그널 데이터베이스와 암호 해독의 열쇠인 키체인 파일을 모두 추출할 수 있습니다.
  • 획득 방법: FFS 획득은 주로 하드웨어 기반의 취약점을 이용합니다. 가장 널리 알려진 방법은 A7부터 A11 Bionic 칩셋을 사용하는 기기(iPhone 5s ~ iPhone X)에 적용 가능한 ‘checkm8’ 취약점을 이용하는 것입니다. 포렌식 도구들은 이 취약점을 활용하여 기기의 보안을 우회하고 파일 시스템 전체를 이미지로 복제합니다. 최신 기기의 경우, 새로운 취약점이 발견되거나 다른 고급 기법이 필요할 수 있습니다.

 

2단계: 암호화된 데이터베이스 및 키체인 파일 위치 확인

 

FFS 이미징에 성공했다면, 분석에 필요한 핵심 파일들을 찾아야 합니다.

  • 암호화된 시그널 데이터베이스:
    • 경로: ' /private/var/mobile/Containers/Shared/AppGroup/[앱 그룹 UUID]/grdb/signal.sqlite '
    • 설명:signal.sqlite 파일이 바로 모든 메시지, 연락처, 첨부파일 정보가 담겨있는 핵심 데이터베이스입니다. 하지만 이 파일은 강력한 암호화 알고리즘으로 보호되어 있어 직접 열어볼 수 없습니다. [앱 그룹 UUID]는 기기마다, 설치마다 달라지는 고유한 폴더명입니다.
  • 암호화 키가 저장된 키체인:
    • 설명: iOS 키체인은 사용자의 암호, 인증서, 그리고 앱이 사용하는 암호화 키 등을 안전하게 보관하는 시스템 레벨의 암호화된 데이터베이스입니다. 시그널 앱 역시 signal.sqlite 파일을 암호화하는 데 사용한 키를 바로 이 키체인에 저장합니다. FFS 이미지 내에서 키체인 파일을 추출하는 것이 다음 목표가 됩니다.

 

3단계: 키체인 분석 및 암호화 키 추출

 

이 단계가 iOS 시그널 포렌식의 가장 기술적인 부분입니다.

  1. 키체인 파일 파싱: FFS 이미지에서 획득한 키체인 파일을 전문 포렌식 도구(예: Cellebrite Physical Analyzer, Magnet AXIOM)에 로드합니다.
  2. 키 검색 및 추출: 포렌식 도구는 키체인 데이터베이스를 분석하여 수많은 항목 중에서 시그널 앱과 관련된 암호화 키를 찾아냅니다. 도구는 앱의 식별자(Bundle ID) 등을 참조하여 정확한 키를 식별하고 추출합니다. 이 과정은 대부분 자동화되어 있지만, 키의 정확한 속성을 이해하는 것이 중요합니다.

 

4단계: signal.sqlite 데이터베이스 복호화

 

암호 해독의 열쇠를 찾았으니, 이제 잠긴 문을 열 차례입니다.

  1. 키 적용: 3단계에서 추출한 암호화 키를 signal.sqlite 데이터베이스 파일에 적용하여 암호화를 해제합니다.
  2. 복호화 실행: 주요 상용 포렌식 도구들은 시그널 데이터베이스 경로와 키체인을 자동으로 인식하여 클릭 몇 번으로 복호화 과정을 완료해 줍니다. 수동으로 진행할 경우, 해당 암호화 방식(SQLCipher)을 지원하는 스크립트와 라이브러리를 사용해야 합니다.

 

5단계: 데이터 분석 및 증거 추출

 

성공적으로 복호화된 signal.sqlite 파일은 일반적인 SQLite 데이터베이스 파일과 같습니다. 이제 DB 브라우저나 포렌식 도구의 분석 기능을 통해 내부 데이터를 확인할 수 있습니다.

  • messages 테이블: 사용자 메시지, 전송/수신 시간(타임스탬프), 읽음 상태, 메시지 종류(일반, 사라지는 메시지 등) 정보를 포함합니다.
  • contacts 또는 recipient 테이블: 대화 상대의 전화번호, 프로필 이름, 식별자 등 연락처 정보를 담고 있습니다.
  • attachments 테이블: 주고받은 사진, 동영상, 문서 파일의 원본 이름, 크기, 기기 내 저장 경로 등 메타데이터를 포함합니다. 실제 파일은 별도의 경로에 저장되어 있으며, 이 테이블의 정보를 통해 연결할 수 있습니다.

이러한 정보를 종합하여 시간대별 대화 내용을 재구성하고, 특정 인물과의 통신 기록, 주고받은 파일 목록 등 유의미한 디지털 증거를 확보할 수 있습니다.