갤럭시 보안 설정 가이드 — Knox부터 자동 재부팅까지

갤럭시 샀는데 보안 설정은 하나도 안 건드리고 쓰고 있다면 — 솔직히 대부분이 그렇다. 지문 등록하고, 패턴 그려놓고, 끝. 그 상태로 1년, 2년 쓴다.

문제는, 갤럭시의 기본 설정이 “편의”에 맞춰져 있지 “보안”에 맞춰져 있지 않다는 거다. 자동 재부팅 기능은 기본값이 꺼져 있고, 앱 권한은 설치할 때 무지성으로 “허용” 누르면 끝이고, 보안 폴더는 존재 자체를 모르는 사람이 절반이다.

이 글은 “갤럭시가 왜 뚫리나” 같은 분석이 아니다. 포렌식 취약점이 궁금하면 갤럭시 vs 아이폰 포렌식 비교 글을 보면 된다. 여기서는 지금 당장 설정 앱을 열고 바꿀 수 있는 것들만 다룬다.

화면 잠금부터 바꿔라

가장 기본이면서 가장 많이 놓치는 부분이다.

갤럭시의 화면 잠금 방식은 스와이프 → 패턴 → PIN → 비밀번호 순으로 보안 강도가 올라간다. 패턴을 쓰고 있다면, 지금 바꿔라. 패턴은 포렌식 도구(Cellebrite 같은)에게 사실상 장난감이다. 조합 수가 약 39만 개에 불과해서, 오프라인 brute-force에 수 시간이면 뚫린다.

설정 → 잠금화면 → 화면 잠금 방식 → 비밀번호

영숫자 혼합 8자리 이상이 현실적인 최소선이다. 숫자만 6자리 PIN보다 brute-force 시간을 수십 배 늘린다.

“매번 8자리를 치라고?” — 아니다. 지문으로 잠금 해제하면 되고, 비밀번호는 재부팅 후 첫 잠금 해제나 72시간 이상 미사용 시에만 입력하면 된다. 일상적 불편은 거의 없다.

Knox Vault — 이미 갖고 있는데 모르는 것

Galaxy S21 이후 기기에는 Knox Vault라는 하드웨어 보안 칩이 들어가 있다. 메인 프로세서와 물리적으로 분리된 독립 칩으로, 자체 프로세서와 메모리를 가지고 있다.

Knox Vault가 보호하는 건 이런 것들이다.

• 잠금 화면 비밀번호, PIN
• 지문·얼굴 등 생체 데이터
• 삼성 패스에 저장된 인증 정보
• 암호화 키

이걸 따로 설정할 필요는 없다. 기기에 내장돼 있고, 자동으로 작동한다. 다만 Knox Vault가 제대로 보호하려면 전제 조건이 있다 — 비밀번호가 충분히 길어야 하고, OS 업데이트가 최신이어야 한다. 칩이 아무리 좋아도 비밀번호가 “1234”면 의미가 없다.

Knox Vault는 CC EAL4+ 인증을 받았다. 하드웨어 설계 자체가 나쁜 게 아니라, 그 위의 소프트웨어 생태계(업데이트 지연, AFU 상태 취약점 등)가 문제라는 건 포렌식 비교 글에서 다뤘다.

보안 폴더 — 사진 숨기는 용도 그 이상

보안 폴더는 Knox 플랫폼 기반으로 AES-256 암호화가 적용된 독립 저장 공간이다. 일반 공간과 완전히 분리돼 있어서, 보안 폴더 안의 앱·사진·파일은 잠금을 풀지 않으면 접근 자체가 안 된다.

설정 → 보안 및 개인정보 보호 → 기타 보안 설정 → 보안 폴더

처음 설정하면 삼성 계정 로그인 후 잠금 방식(패턴/PIN/비밀번호)을 별도로 설정한다. 화면 잠금과 다른 비밀번호를 쓰는 게 핵심이다. 같은 비밀번호를 쓰면 분리의 의미가 반감된다.

보안 폴더를 만들었으면 아이콘도 숨길 수 있다. 보안 폴더 설정에서 “앱 화면에 표시” 토글을 끄면 홈 화면과 앱 서랍에서 아이콘이 사라진다. 다시 열려면 설정 → 보안 및 개인정보 보호에서 직접 들어가야 한다.

쓸 만한 활용법 몇 가지.

• 민감한 사진/영상 → 보안 폴더로 이동
• 금융 앱 → 보안 폴더에 별도 설치 (일반 공간의 복제본과 독립 작동)
• 메신저 두 번째 계정 → 보안 폴더 안에서 별도 로그인 가능

솔직하게 말하면, 보안 폴더는 수사기관 수준의 포렌식에 대한 방어용이 아니다. 폰이 켜진 상태(AFU)에서 포렌식 도구가 접근하면 뚫릴 가능성이 있다. 하지만 수리 기사, 지인, 분실 시 습득자 — 이 수준의 위협에는 충분하다. 그리고 대부분의 사람에게 실제로 필요한 방어도 이 수준이다.

자동 재부팅 — 반드시 켜야 하는 기능

이게 이 글에서 가장 중요한 설정이다.

삼성이 One UI 8 업데이트를 통해 Inactivity Restart(비활성 시 다시 시작) 기능을 추가했다. 72시간 동안 잠금 해제가 없으면 폰이 자동으로 재부팅된다.

왜 이게 중요한가. 스마트폰에는 두 가지 보안 상태가 있다.

• BFU(Before First Unlock) — 전원을 켠 후 아직 비밀번호를 한 번도 입력하지 않은 상태. 암호화 키가 메모리에 로드되지 않은 상태라, 포렌식 도구로도 데이터 접근이 극히 어렵다.
• AFU(After First Unlock) — 비밀번호를 한 번이라도 입력한 후. 잠금 화면이 켜져 있어도 복호화 키가 메모리에 남아 있어서, 포렌식 도구가 이걸 추출할 경로가 존재한다.

대부분의 사람은 폰을 끄지 않고 잠금만 해둔다. 즉 거의 항상 AFU 상태다. 자동 재부팅은 이 AFU 상태를 강제로 BFU로 되돌린다. 폰을 도난당하거나 압수당했을 때, 72시간이 지나면 자동으로 방어 수준이 올라가는 거다.

설정 → 보안 및 개인정보 보호 → 기타 보안 설정 → 비활성 시 다시 시작

기본값이 꺼져 있다. 아이폰은 비슷한 기능이 자동 활성화돼 있는데, 삼성은 사용자가 직접 켜야 한다. 지금 당장 켜라.

이 기능이 아직 안 보인다면 소프트웨어 업데이트를 먼저 확인하라. Galaxy S25 시리즈 기준 One UI 8 이상, Galaxy S24·S23 등은 최신 보안 패치가 적용되어 있어야 메뉴에 나타난다.

앱 권한 — “항상 허용”을 전부 뒤져라

앱 설치할 때 “허용” 버튼을 무의식적으로 누르는 습관이 있다면, 한 번쯤 현황을 점검할 때가 됐다.

설정 → 보안 및 개인정보 보호 → 개인정보 보호 → 권한 관리자

여기서 위치, 카메라, 마이크, 전화, 연락처 — 이 다섯 가지를 집중적으로 본다.

핵심 원칙은 하나다. “앱 사용 중에만 허용”이 기본이고, “항상 허용”은 진짜 필요한 앱만.

“항상 허용”이 필요한 앱은 거의 없다. 네비게이션(위치), 통화 앱(마이크) 정도. 배달 앱이 카메라를 “항상 허용”하고 있을 이유는 없다. 잘 모르겠으면 일단 “앱 사용 중에만 허용”으로 바꿔라. 문제가 생기면 그때 다시 허용하면 된다.

Android 12 이후 갤럭시에서는 앱이 카메라나 마이크를 사용할 때 화면 오른쪽 상단에 녹색 점이 뜬다. 이 표시가 뜨는 타이밍을 관찰하면, 어떤 앱이 뒤에서 뭘 하는지 감을 잡을 수 있다.

생체인증 — 지문은 OK, 얼굴 인식은 편의 기능

갤럭시의 지문 인식은 Knox Vault 안에 생체 데이터를 저장한다. 원본 지문 이미지를 보관하는 게 아니라 수학적 템플릿으로 변환해서 격리된 칩에 저장한다. 외부에서 추출해도 원래 지문을 복원할 수 없는 구조다.

반면 얼굴 인식은 삼성 스스로 “PIN, 패턴, 지문보다 보안 수준이 낮다”고 공식 문서에 명시하고 있다. 아이폰의 Face ID는 3D 깊이 센서(TrueDepth 카메라)로 얼굴의 입체 구조를 스캔하지만, 갤럭시 대부분의 모델은 일반 카메라로 2D 이미지를 매칭하는 방식이다. 사진으로 뚫릴 가능성이 존재한다.

결론은 간단하다. 빠르게 풀고 싶으면 지문, 보안이 덜 중요한 상황에서 편하게 쓰려면 얼굴 인식. 둘 다 등록해두되, 중요한 인증(삼성 패스, 은행 앱 등)은 지문으로 묶어라.

설정 → 보안 및 개인정보 보호 → 생체 인식에서 지문과 얼굴 인식 설정을 확인할 수 있다. 얼굴 인식 설정에서 “눈을 뜨고 있어야 인식” 옵션을 반드시 켜두라. 잠든 사이에 누군가 얼굴을 갖다 대는 시나리오를 막아준다.

유지보수 모드 — 수리 맡기기 전 필수

폰 액정이 깨져서 수리를 맡긴다. 기사가 테스트하려면 폰을 켜야 한다. 그 폰 안에는 카톡, 사진, 은행 앱, 그리고 누구에게도 보여주고 싶지 않은 것들이 있다.

유지보수 모드는 이 상황을 위해 만들어졌다.

설정 → 디바이스 케어 → 유지보수 모드

활성화하면 기기가 재부팅되면서 임시 사용자 계정으로 전환된다. 기본 앱만 남고, 사진·메시지·앱 로그인이 전부 숨겨진다. 수리 기사는 하드웨어 테스트, 앱 설치, 시스템 설정 확인은 할 수 있지만, 개인 데이터에는 접근할 수 없다.

수리가 끝나고 유지보수 모드를 해제하면 원래 계정으로 돌아온다. 데이터는 그대로다.

한 가지 주의할 점. 메인보드 교체 같은 대규모 수리에서는 공장 초기화가 필요할 수 있다. 유지보수 모드를 켜기 전에 삼성 클라우드나 Google Drive로 백업해두는 게 안전하다.

소프트웨어 업데이트 — 왔을 때 바로 적용

이건 설정이라기보다 습관이다. 하지만 갤럭시에서 가장 중요한 보안 행위 중 하나다.

갤럭시의 구조적 약점은 보안 패치가 아이폰보다 느리게 온다는 거다. 삼성이 패치를 만들어도 통신사별 커스터마이제이션과 기기별 테스트를 거쳐야 한다. 이 지연은 사용자가 통제할 수 없다.

하지만 패치가 도착했을 때 바로 적용하는 건 통제할 수 있다. “나중에” 버튼을 누르지 마라.

설정 → 소프트웨어 업데이트 → 다운로드 및 설치

자동 다운로드를 켜두고, Wi-Fi 연결 시 자동 설치까지 활성화하는 게 가장 깔끔하다.

내 상황에 맞게 판단하기

🟢 일반 사용자 — 이것만 하면 된다.

1. 화면 잠금을 영숫자 8자리 이상 비밀번호로 변경
2. 자동 재부팅(Inactivity Restart) 켜기
3. 앱 권한에서 “항상 허용” 정리
4. 소프트웨어 업데이트 자동 적용

10분이면 끝난다. 이 네 가지만으로 갤럭시의 기본 방어 수준이 상당히 올라간다.

🟡 민감한 상황 (이혼 소송 증거 수집 중, 직장에서 부당해고 증거 보관, 스토킹 피해 상담 기록 보호)

위 기본 설정에 추가로.

• 보안 폴더 활성화 → 민감 파일/앱을 격리
• 얼굴 인식 끄기 → 지문 또는 비밀번호만 사용
• 수리 맡기기 전 유지보수 모드 필수 활성화

보안 폴더는 수사기관 수준은 막지 못하지만, “폰을 빌려달라”거나 “잠깐 쓸게” 상황에서 개인 영역을 확실히 보호한다.

🔴 OPSEC 필요 (내부고발 준비 중, 기자 취재원 보호)

갤럭시 설정만으로는 부족하다. 위 설정을 전부 한 뒤에도, AFU 상태에서의 포렌식 취약점은 설정으로 해결할 수 없는 구조적 문제다. 민감 데이터는 기기에 저장하지 말고, 위험이 예상되면 전원을 완전히 끄는 습관을 들여라. 기기 선택 자체를 재고해야 하는 수준이라면 Google Pixel + GrapheneOS가 현시점에서 가장 강한 조합이다.

정리

갤럭시의 보안 기능은 꽤 많이 들어가 있다. Knox Vault, 보안 폴더, 자동 재부팅, 유지보수 모드 — 아이폰에 없는 것도 있다.

문제는 대부분이 기본값이 꺼져 있거나, 존재 자체를 모른다는 거다.

이 글에서 다룬 설정은 전부 합쳐서 15분이면 끝난다. 특별한 기술 지식이 필요한 것도 없다. 설정 앱을 열고, 토글 몇 개 켜고, 비밀번호 하나 바꾸면 된다.

그 15분이 폰을 분실했을 때, 수리를 맡겼을 때, 누군가 내 폰을 잠깐 쥐었을 때 — 차이를 만든다.