아이폰 보안 설정, 제대로 하고 있는가? — 놓치기 쉬운 설정 10가지

아이폰 샀으면 보안은 알아서 되는 거 아닌가? 그렇게 생각하고 설정 앱을 한 번도 안 열어본 사람이 대부분이다.

틀린 말은 아니다. 아이폰은 기본 보안 수준이 높은 편이다. 하지만 “기본값”이 “최적값”은 아니다. Apple이 편의성과 보안 사이에서 타협한 지점이 있고, 그 빈틈이 생각보다 크다.

잠금 화면에서 카카오톡 내용이 다 보인다. USB 케이블 꽂으면 데이터가 빠져나간다. iCloud 백업은 Apple도 열어볼 수 있는 상태로 저장돼 있다. 이런 걸 아는 사람이 얼마나 될까.

15분이면 다 바꿀 수 있다. 하나씩 간다.

1. 비밀번호를 6자리 이상 영숫자로 바꿔라

🟢 일반 사용자 필수

4자리 숫자 비밀번호는 조합이 만 개다. 포렌식 도구 없이도 어깨너머로 외울 수 있는 수준이다. 6자리 숫자도 100만 개 — 포렌식 도구(Cellebrite, GrayKey 등)에게는 수 시간이면 끝나는 작업이다.

설정 → Face ID 및 암호 → 암호 변경 → 암호 옵션 → 사용자 지정 영숫자 코드

8자리 이상 영숫자(소문자+숫자) 조합을 쓰면, 현존하는 포렌식 도구로 해독하는 데 수십 년이 걸린다. 매일 쓰는 비밀번호니까 외울 수 있는 문장 조합이 좋다. 예를 들어 coffee3pm 같은 식이다.

2. Face ID에 “주시 필요” 켜져 있는지 확인

🟢 일반 사용자 필수

Face ID는 기본적으로 “주시 필요(Require Attention)“가 켜져 있다. 이게 뭐냐면 — 눈을 뜨고 화면을 직접 쳐다봐야 잠금이 풀린다는 뜻이다. 자는 동안 누가 내 얼굴에 폰을 갖다 대도 눈이 감겨 있으면 해제가 안 된다.

설정 → Face ID 및 암호 → Face ID에 주시 필요 — 이게 켜져 있는지 확인하라.

간혹 선글라스 때문에 안 된다고 꺼버리는 사람이 있는데, 끄면 눈 감은 상태에서도 잠금이 풀린다. 선글라스 벗고 한 번 더 들이대는 게 낫다.

3. 잠금 화면 알림 미리보기 끄기

🟢 일반 사용자 필수

Face ID 기기에서는 기본값이 “잠금 해제 시(When Unlocked)“라서, 화면을 쳐다보는 순간 Face ID가 인증되면서 알림 내용이 보인다. 문제는 이 과정이 너무 빨라서 본인도 모르게 옆 사람한테 내용이 노출된다는 거다. 그리고 “항상(Always)“으로 바꿔놓은 사람도 많다.

설정 → 알림 → 미리보기 표시 → "안 함(Never)"으로 변경

“안 함”으로 바꾸면 잠금 해제 후에도 알림 내용이 바로 안 보이고, 알림을 직접 눌러야 내용을 확인할 수 있다. 보안을 최우선으로 놓고 싶다면 이쪽이 낫다. 그게 불편하면 “잠금 해제 시”라도 유지하되, “항상”만 피하라. 회의실 책상 위에 폰 올려놨을 때 차이가 크다.

4. USB 액세서리 제한 켜기

🟡 민감한 상황까지 대비

아이폰이 1시간 넘게 잠긴 상태에서 USB 케이블을 꽂으면, 충전만 되고 데이터 전송은 차단되는 기능이다. USB Restricted Mode라고 부른다.

설정 → Face ID 및 암호 → 하단 스크롤 → "액세서리" → 끄기

“액세서리” 토글이 꺼져 있어야 USB 제한이 켜진 상태다. 이름이 헷갈리는데, “잠겨 있는 동안 액세서리 연결을 허용할 건가?” 라는 질문이라서, 끄는 게 보안을 강화하는 것이다.

이게 왜 중요하냐면 — Cellebrite, GrayKey 같은 포렌식 도구는 USB 포트를 통해 데이터를 추출한다. USB 제한이 켜져 있으면 1시간 후에는 이 경로가 차단된다. 아이폰을 잃어버리거나 압수당했을 때 시간을 버는 셈이다.

5. 자동 업데이트 켜두기

🟢 일반 사용자 필수

Apple은 보안 취약점이 발견되면 긴급 보안 대응(Rapid Security Response)으로 패치를 내놓는다. iOS 18.3.1에서 USB Restricted Mode 우회 취약점(CVE-2025-24200)이 패치된 게 대표적이다. 이런 패치를 놓치면 이미 알려진 취약점이 그대로 뚫려 있는 셈이다.

설정 → 일반 → 소프트웨어 업데이트 → 자동 업데이트 → 전부 켜기

“나중에 업데이트”를 습관적으로 누르는 사람이 많은데, 보안 패치만큼은 미루지 마라. 새 기능이 불편할 수는 있어도, 알려진 취약점을 안고 있는 건 다른 문제다.

6. iCloud 고급 데이터 보호 켜기

🟡 민감한 상황까지 대비

iCloud에 올라가는 데이터(사진, 메모, 메시지 백업 등)는 기본적으로 Apple이 복호화할 수 있는 상태로 저장된다. 수사기관이 Apple에 사법 공조를 요청하면 iCloud 백업 데이터를 넘겨줄 수 있다는 뜻이다.

고급 데이터 보호(Advanced Data Protection)를 켜면, 종단 간 암호화(end-to-end encryption)가 적용돼서 Apple 자체도 데이터를 열어볼 수 없게 된다.

설정 → [내 이름] → iCloud → 고급 데이터 보호 → 활성화

활성화 전에 복구 연락처 또는 28자리 복구 키를 반드시 설정해야 한다. 이 단계를 건너뛰면 Apple ID 비밀번호를 잊었을 때 데이터를 영구적으로 잃는다. Apple도 도와줄 수 없다.

한 가지 명심할 것 — 이 기능은 “내 데이터를 누구도 못 보게 한다”는 의미인 동시에, “내가 복구 수단을 잃으면 나도 못 본다”는 의미다. 복구 키를 종이에 적어서 안전한 곳에 보관하라.

7. 앱 추적 투명성(App Tracking Transparency) 끄기

🟢 일반 사용자 필수

iOS 14.5부터 도입된 기능이다. 앱이 다른 앱이나 웹사이트에서의 활동을 추적하려면 사용자 동의를 받아야 한다. 문제는 앱을 처음 열 때 “추적 허용” 팝업이 뜨면, 별 생각 없이 “허용”을 누르는 사람이 많다는 거다.

설정 → 개인정보 보호 및 보안 → 추적 → "앱에 추적 요청 허용" 끄기

이걸 끄면 앱이 추적 동의 팝업 자체를 띄울 수 없고, 모든 앱의 추적이 자동으로 거부된다. 광고 플랫폼(Meta, Google 등)이 내 행동 데이터를 수집해서 프로필을 만드는 걸 근본적으로 차단하는 설정이다.

이미 허용해버린 앱이 있다면 같은 화면에서 개별적으로 꺼줄 수 있다.

8. 위치 서비스 앱별 정리

🟢 일반 사용자 필수

위치 서비스를 통째로 끌 필요는 없다. 지도, 날씨 같은 앱은 위치가 필요하니까. 문제는 위치가 전혀 필요 없는 앱까지 “항상 허용”으로 돼 있는 경우다.

설정 → 개인정보 보호 및 보안 → 위치 서비스

앱 목록을 하나씩 훑으면서 이 기준으로 정리하라.

• 지도, 날씨, 택시 앱 → “앱을 사용하는 동안”
• SNS, 쇼핑, 게임 → “안 함”
• 카메라 → 사진에 위치 태그를 남기고 싶으면 “앱을 사용하는 동안”, 아니면 “안 함”

맨 아래에 있는 “시스템 서비스”도 들어가 보라. “중요한 위치 및 경로”라는 항목이 있는데, 이건 내가 자주 가는 장소와 이동 경로를 아이폰이 자동으로 기록하는 기능이다. 끄려면 시스템 서비스 → 중요한 위치 및 경로 → 끄기.

9. 도난 기기 보호(Stolen Device Protection) 켜기

🟢 일반 사용자 필수

iOS 17.3에서 추가된 기능이다. 아이폰이 집이나 직장 같은 익숙한 장소가 아닌 곳에 있을 때, 민감한 작업에 추가 보안을 건다.

구체적으로 — 저장된 비밀번호 열람, 신용카드 정보 접근 같은 작업에 Face ID 인증이 필수가 된다. 비밀번호로 대체할 수 없다. Apple ID 비밀번호 변경 같은 치명적 작업에는 1시간 보안 지연까지 걸린다.

설정 → Face ID 및 암호 → 도난 기기 보호 → 켜기

카페에서 어깨너머로 비밀번호를 훔쳐본 다음 폰을 낚아채는 수법이 실제로 있다. 비밀번호를 알아도 Face ID 없이는 핵심 설정을 건드릴 수 없게 만드는 장치다.

“보안 지연” 옵션을 “항상”으로 바꾸면, 익숙한 장소에서도 1시간 지연이 적용된다. 보안을 더 강화하고 싶으면 이 옵션까지 켜라.

10. 차단모드 — 대부분은 안 켜도 된다

🔴 OPSEC 필요한 경우만

차단모드(Lockdown Mode)는 Apple이 “극소수의 사용자”를 위해 만든 기능이라고 직접 명시한 기능이다. Pegasus 같은 국가 수준 스파이웨어의 표적이 될 수 있는 기자, 인권활동가, 정치인, 외교관 — 이런 사람들 대상이다.

켜면 iMessage 첨부파일 대부분 차단, 웹 브라우저 기능 제한, 모르는 번호의 FaceTime 차단 등 공격 표면이 대폭 줄어든다. 대신 일상 편의성도 같이 줄어든다.

일반 사용자가 켤 필요는 없다. 위의 1~9번을 다 적용했으면, 일상 수준의 위협에는 충분하다.

내 상황에 맞게 판단하기

10가지를 전부 나열했지만, 전부가 모든 사람에게 필요한 건 아니다.

🟢 일반 사용자 — 1, 2, 3, 5, 7, 8, 9번. 이 7개만 하면 대부분의 일상 위협은 막힌다. 10분이면 끝난다.

🟡 민감한 상황 (이직 준비 중 회사 폰 쓰는 경우, 이혼 소송 중 배우자와 Apple ID 공유했던 경우, 정신건강 상담을 온라인으로 받고 있는 경우) — 위 7개에 4번(USB 제한)과 6번(iCloud 고급 데이터 보호)까지 추가하라. 특히 Apple ID를 누군가와 공유했던 적이 있다면, 비밀번호 변경 + 신뢰할 수 있는 기기 목록 정리부터 하라.

🔴 OPSEC 필요 (기자, 내부고발자, 인권활동가 등 국가 수준 위협 대상) — 10번 차단모드까지 포함해서 전부 켜라. 여기에 해당하는 사람은 이 글보다 깊은 수준의 보안이 필요하다.

설정은 한 번이다. 습관은 매일이다.

설정을 바꾸는 건 15분이면 끝난다. 하지만 설정만으로 모든 게 해결되는 건 아니다.

의심스러운 링크를 누르지 않는 것, 공용 Wi-Fi에서 민감한 작업을 하지 않는 것, iOS 업데이트를 미루지 않는 것 — 이런 기본적인 습관이 설정보다 더 큰 보안이다.

아이폰의 보안은 Apple이 만들어주는 게 아니다. Apple이 도구를 줬고, 그걸 켜는 건 내 몫이다. 15분 투자하라. 그게 이 글에서 할 수 있는 전부다.