가이드: GrapheneOS 설치 후 및 강화

*상태: 고위험 엔드포인트 방어

대상: 고도화된 포렌식 착취의 표적*

[!CAUTION] 작전 보안(OPSEC) 및 법적 고지 이 가이드는 합법적이고 방어적이며 교육적인 목적으로만 작성되었습니다. 맞춤형 모바일 운영 체제 강화는 승인되지 않은 물리적 및 디지털 포렌식 착취에 대한 방어 메커니즘입니다.

• 항상 영숫자 비밀번호를 기억하십시오; 기기를 재부팅하거나 잠금(lockdown) 모드로 전환하면 생체 인식 재설정이 비활성화됩니다.
• 절대 합법적인 법 집행 활동을 우회하기 위해 GrapheneOS를 사용하지 마십시오.
• 항상 기기의 부트로더 잠금 상태를 확인하십시오.

GrapheneOS는 프라이버시를 존중하고 안전한 모바일 운영 체제입니다. 이것은 Android 오픈 소스 프로젝트(AOSP)의 강화된 포크(fork)입니다. 그러나 기본 설치만으로는 현대적인 포렌식 추출 도구(예: Cellebrite Premium, GrayKey)를 갖춘 T3/T4 적대자의 물리적 압수에 맞서기에 불충분합니다.

이 가이드는 초기 안전한 설치부터 설치 후 강화에 이르기까지 전체 수명 주기에 초점을 맞춰 기기가 물리적 압수를 견뎌내고 착취 불가능한 상태를 유지하도록 보장합니다.

---

0. 안전한 설치 가이드

GrapheneOS 설치는 공식 WebUSB 설치 프로그램 덕분에 놀랍도록 간단하지만, 하드웨어 보안 모델을 유지하려면 프로세스를 엄격하게 준수해야 합니다.

0.1 요구 사항

• 하드웨어: 공식적으로 지원되는 Google Pixel 기기 (섹션 9 참조). 통신사 잠금 기기(예: 미국 Verizon)는 절대 구입하지 마십시오; 부트로더를 잠금 해제할 수 없습니다.
• 호스트 컴퓨터: Windows, macOS, Linux 또는 ChromeOS.
• 브라우저: WebUSB를 지원하는 Chromium 기반 브라우저(Google Chrome, Microsoft Edge, Brave 또는 Chromium)를 반드시 사용해야 합니다. Firefox와 Safari는 작동하지 않습니다.
• 케이블: 고품질 데이터 케이블 (휴대폰과 함께 제공된 케이블 권장).

0.2 설치 과정

1. OEM 잠금 해제 활성화: Pixel에서 설정 > 휴대전화 정보로 이동합니다. “빌드 번호”를 7번 탭하여 개발자 옵션을 활성화합니다. 설정 > 시스템 > 개발자 옵션으로 돌아가서 OEM 잠금 해제를 활성화합니다.
2. Fastboot로 부팅: 휴대폰 전원을 끄고 Fastboot 메뉴가 나타날 때까지 볼륨 작게 버튼을 누른 상태에서 전원 버튼을 누릅니다. 휴대폰을 컴퓨터에 연결합니다.
3. 웹 설치 프로그램 사용: Chromium 브라우저에서 grapheneos.org/install/web으로 이동합니다.
4. 부트로더 잠금 해제: 웹 페이지에서 “Unlock bootloader” 버튼을 클릭합니다. 휴대폰에 프롬프트가 나타나면 볼륨 키를 사용하여 “Unlock the bootloader”를 선택하고 전원 버튼을 눌러 확인합니다.
5. OS 플래시: 웹 페이지에서 “Download release”를 클릭하고 다운로드가 완료될 때까지 기다린 다음 “Flash release”를 클릭합니다. 이 과정 중에는 기기나 케이블을 건드리지 마십시오.
6. 부트로더 다시 잠금 (CRITICAL): 플래싱이 완료되면 웹 페이지에서 “Lock bootloader”를 클릭합니다. 휴대폰 화면의 프롬프트를 확인합니다. 부트로더를 잠그지 않으면 물리적 보안이 없는 것과 같습니다. 잠금 해제된 부트로더는 사소한 조작도 허용합니다.
7. OEM 잠금 해제 비활성화: GrapheneOS로 부팅하고 초기에 Wi-Fi 설정을 건너뛴 다음 개발자 옵션으로 이동하여 “OEM 잠금 해제”를 비활성화합니다. 마지막으로 개발자 옵션을 완전히 비활성화합니다.

0.3 검증된 부팅(Verified Boot) 확인

GrapheneOS는 Android 검증된 부팅(Verified Boot)을 지원하여 OS가 변조되지 않았음을 보장합니다. 휴대폰을 부팅할 때 부트로더가 커스텀 OS를 로드하고 있다는 내용의 노란색 경고 화면이 잠깐 표시되어야 합니다. 이것은 정상이며 부트로더가 잠겨 있지만 GrapheneOS 서명 키를 인식하고 있음을 증명합니다.

---

1. 최초 잠금 해제 전(BFU) 우위 달성

기기의 전원이 켜져 있지만 PIN/비밀번호로 아직 잠금 해제되지 않은 상태를 “최초 잠금 해제 전(BFU, Before-First-Unlock)” 상태라고 합니다. BFU 상태에서는 암호화 키가 Titan M2 하드웨어 칩에 안전하게 암호화된 채로 유지됩니다. 최신 포렌식 도구라도 기기가 BFU 상태에 있는 동안 강력한 영숫자 비밀번호를 무차별 대입(brute-force) 공격으로 뚫는 것은 실질적으로 불가능합니다.

잠금 해제된 상태에서 기기가 압수되거나 한 번 잠금 해제된 후(AFU, After-First-Unlock)에는 암호화 키가 기기의 RAM에 상주하여 추출이 수월해집니다. 당신의 목표는 기기를 사용하지 않을 때 기기가 가능한 한 빨리 BFU 상태로 돌아가도록 보장하는 것입니다.

자동 재부팅 구성

짧은 시간 비활성 상태가 지나면 기기가 강제로 BFU 상태로 돌아가도록 설정합니다.

1. 설정 > 보안 > 자동 재부팅(Auto reboot)으로 이동합니다.
2. 타이머를 10분으로 설정합니다 (작전상 필요한 경우 최대 30분).
3. 경고: 기본 비밀번호를 반드시 외워야 합니다. 만약 구금되어 기기가 자동 재부팅되면 생체 인식 잠금 해제(지문)는 비활성화됩니다.

PIN 레이아웃 무작위화 구현

“스머지 공격(smudge attacks)”(포렌식이 화면의 지문 기름기를 매핑하는 것)과 시각적 어깨 너머 훔쳐보기를 무력화합니다.

1. 설정 > 보안 > 화면 잠금 (톱니바퀴 아이콘)으로 이동합니다.
2. PIN 레이아웃 섞기(Scramble PIN layout)를 켜기(ON)로 전환합니다.
3. 화면 잠금이 최소 6자리 무작위 PIN인지 확인하십시오 (가장 이상적인 것은 12자 영숫자 암호입니다).

---

2. 고급 구획화: 저장소 범위 및 프로필

어떤 애플리케이션(특히 메시징 또는 소셜 미디어 클라이언트)에도 전역 저장소 권한을 부여하지 마십시오.

저장소 범위(Storage Scopes) 강제

“모든 파일에 대한 접근 허용”을 부여하는 대신, GrapheneOS 저장소 범위를 활용하여 애플리케이션에 매우 제한된 가짜 파일 시스템을 제공하십시오.

1. 앱의 앱 정보 페이지 > 권한 > 사진 및 동영상으로 이동합니다.
2. 저장소 범위 구성(Configure Storage Scopes)을 선택합니다.
3. 파일 추가(Add file) 또는 폴더 추가(Add folder)를 탭하여 앱이 기능하는 데 필요한 특정 미디어만 명시적으로 화이트리스트에 추가합니다. 앱은 전체 저장소 액세스 권한이 있다고 믿게 되지만, 범위 밖의 어떤 것도 암호화적으로 볼 수 없습니다.

격리를 위한 다중 사용자 프로필

하드웨어 수준의 사용자 프로필을 사용하여 별개의 작전 페르소나를 분리하십시오.

1. 설정 > 시스템 > 다중 사용자(Multiple users)로 이동합니다.
2. 별도의 프로필(“통신”, “OSINT”, “물류” 등)을 만듭니다.
3. 중요: 프로필 간에 메타데이터가 새는 것을 방지하기 위해 현재 사용자에게 알림 보내기를 끄기(OFF)로 전환합니다.
4. 프로필은 별도의 암호화 키를 활용합니다. 보조 프로필이 활성화되지 않은 경우 해당 데이터는 유휴 상태(BFU)에 놓입니다.

---

3. 샌드박스 처리된 Google Play 구현

일부 작전에는 푸시 알림을 위해 Google Play 서비스에 의존하는 독점 애플리케이션(예: 특정 암호화된 VoIP 플랫폼)이 필요합니다. GrapheneOS는 Play 서비스를 표준적이고 권한 없는 앱으로 실행할 수 있도록 허용합니다.

무권한(Zero-Privilege) 설치

1. GrapheneOS 홈 화면에서 기본 Apps 저장소를 엽니다.
2. Google Play services, Google Play Store, Google Services Framework를 설치합니다.
3. 설정 > 앱 > Google Play services > 권한으로 이동합니다.
4. 모든 권한(위치, 연락처, 네트워크 등)을 취소합니다.
5. 프레임워크가 자이로스코프/가속도계 데이터를 폴링하여 물리적인 생활 패턴(pattern-of-life) 프로필을 구축하는 것을 방지하려면 센서(Sensors)를 끄기(OFF)로 전환합니다.

---

4. 네트워크 및 연결 강화

IMSI 캐처 또는 군중 모니터링 비컨을 통한 활성 추적을 방지하기 위해 기기의 RF(주파수) 방출을 제한합니다.

레거시 및 백그라운드 방출 비활성화

1. 설정 > 네트워크 및 인터넷 > 인터넷 > [귀하의 통신사] (톱니바퀴 아이콘)으로 이동합니다.
2. 표준 Stingray 다운그레이드 공격을 무력화하기 위해 2G 허용(Allow 2G)을 끄기(OFF)로 전환합니다.
3. 설정 > 위치 > 위치 서비스로 이동합니다.
4. Wi-Fi 스캐닝과 블루투스 스캐닝을 끄기(OFF)로 전환합니다. (이렇게 하면 Wi-Fi/블루투스가 비활성화된 경우에도 OS가 주변 액세스 포인트를 지속적으로 스캔하는 것을 방지합니다.)
5. 설정 > 네트워크 및 인터넷으로 이동합니다. 자동으로 Wi-Fi 끄기와 자동으로 블루투스 끄기를 가능한 가장 짧은 기간으로 전환합니다.

연결 섞기(Scrambling) 및 MAC 무작위화

기본적으로 GrapheneOS는 연결당 강력한 MAC 주소 무작위화를 구현합니다. 활성화되어 있는지 확인하십시오:

1. 설정 > 네트워크 및 인터넷 > 인터넷으로 이동합니다.
2. 저장된 Wi-Fi 네트워크의 톱니바퀴 아이콘을 탭하고 개인정보 보호(Privacy)로 이동하여 무작위 MAC 사용(Use randomized MAC)으로 설정되어 있는지 확인합니다.
3. 참고: GrapheneOS는 AOSP보다 더 나아가 DHCP 익명성을 구현하여 로컬 네트워크로 기기의 호스트 이름이 유출되는 것을 방지합니다.

---

5. 카메라 및 마이크 표시기

GrapheneOS에는 하드웨어 지원 프라이버시 표시기가 포함되어 있어 애플리케이션이 몰래 녹음을 시도할 경우 즉시 경고합니다.

• 앱이 마이크나 카메라에 접근할 때마다 상태 표시줄 오른쪽 상단에 녹색 점이나 아이콘이 지속적으로 나타납니다.
• 센서 토글: 빠른 설정 드롭다운 타일을 통해 전역적으로 카메라와 마이크를 비활성화할 수 있습니다. 이는 OS 수준에서 접근을 차단하므로 다시 켤 때까지 시스템 앱조차도 센서에 접근할 수 없음을 의미합니다.
• 접근 감사(Audit Access): 지난 24시간 동안 정확히 어떤 앱이 위치, 카메라 또는 마이크 접근을 요청했는지 연대기적 타임라인을 보려면 설정 > 개인정보 보호 > 개인정보 보호 대시보드(Privacy dashboard)로 이동하십시오.

---

6. 익스플로잇 보호 기능

GrapheneOS는 제로데이(zero-day) 공격의 성공을 막아주는 방대한 이면의 익스플로잇 완화 기능을 통합하고 있습니다. 이것들은 기본적으로 활성화되어 있으므로 구성할 필요가 없습니다.

• 강화된 Malloc (Hardened Malloc): GrapheneOS는 메모리 손상 취약점(예: 버퍼 오버플로)이 촉발될 경우 애플리케이션을 즉시 충돌(crash)시키도록 설계된 강화된 버전으로 표준 Android 메모리 할당자를 대체합니다. 이는 심각한 원격 코드 실행(RCE) 익스플로잇을 무해한 앱 충돌로 전환합니다.
• Exec 스포닝 (Exec Spawning): 중앙 “Zygote”에서 새 프로세스를 포크하는(동일한 메모리 레이아웃 공간을 공유하여 익스플로잇을 쉽게 만드는) 표준 Android와 달리, GrapheneOS는 강력한 주소 공간 배치 난수화(ASLR)를 보장하기 위해 새로운 프로세스를 별도로 생성(spawn)합니다.
• MTE (Memory Tagging Extension): Pixel 8 이상의 기기에서 GrapheneOS는 하드웨어 가속 ARM MTE를 지원합니다. 이는 실시간으로 CPU 하드웨어 수준에서 메모리 안전 버그를 감지하고 차단하여 심각한 성능 저하 없이 전체 클래스의 메모리 손상 익스플로잇을 효과적으로 무력화합니다.

---

7. 권장 앱 설정

Google Play 스토어를 직접 사용하지 않을 가능성이 높으므로 안전한 오픈소스 저장소에 의존해야 합니다.

F-Droid 및 대체 저장소

1. fdroid.org에서 F-Droid APK를 다운로드합니다.
2. 신뢰할 수 있는 타사 저장소를 추가합니다:
   • DivestOS 저장소: 널리 쓰이는 앱의 강화된 포크 버전 제공 (예: Mull 브라우저).
   • Guardian Project 저장소: Orbot 및 기타 고위험 통신 도구 유지 관리.

권장 도구 스택

• 브라우저: Vanadium (GrapheneOS에 내장). 엄격한 사이트 격리를 구현하는 강화된 Chromium 포크입니다. Android용 Firefox는 사이트별 프로세스 격리가 없으므로 사용하지 마십시오.
• 통신: Signal (signal.org에서 직접 APK를 다운로드하거나 샌드박스 Play 스토어를 사용하여 적시에 업데이트를 받으십시오).
• 익명성: Orbot (Tor 프록시), 특정 앱을 Tor 네트워크를 통해 라우팅.
• 내비게이션: OsmAnd~ (F-Droid 경유) 오프라인, 추적 없는 지도. Wi-Fi를 통해 해당 지역의 지도 데이터를 다운로드하십시오.
• 2FA 및 비밀번호: TOTP 토큰용 Aegis Authenticator 및 비밀번호 관리용 KeePassDX.
• 카메라: 기본 GrapheneOS 카메라 앱은 사진 및 비디오에서 모든 EXIF 메타데이터(GPS, 기기 정보, 타임스탬프)를 기본적으로 제거합니다. 모든 작전용 사진 촬영에 이것을 사용하십시오.

---

8. GrapheneOS vs. CalyxOS 결정 가이드

두 운영 체제 모두 훌륭하지만 다른 위협 모델에 적합합니다.

기능	GrapheneOS	CalyxOS
주요 초점	절대적 보안, 익스플로잇 완화, 샌드박싱	프라이버시, 탈-Google, 폭넓은 앱 사용성
Google 서비스	샌드박스 처리된 Play 서비스 (권한 없는 일반 앱으로 실행)	microG (Google 서비스의 오픈소스 재구현)
위협 모델	국가 행위자의 표적, 고위험 탐사 언론인 (T3/T4)	상업적 감시를 피하려는 프라이버시 옹호자 및 일반 조직가 (T2/T3)
익스플로잇 방어	업계 최고 수준 (Hardened Malloc, MTE, Exec Spawning)	표준 AOSP 수준
사용 편의성	마찰이 큼 (일부 주류 앱은 제대로 작동하지 않음)	마찰이 적음 (microG가 대부분의 앱을 정상 작동하는 것처럼 속임)
지원 기기	오직 Google Pixels	Pixels, Fairphone, 일부 Motorola
평결	귀하의 생명이나 자유가 기기 무결성에 달려 있다면 이것을 선택하십시오.	일상적인 편의성을 희생하지 않고 프라이버시를 극대화하려면 이것을 선택하십시오.

---

9. 지원되는 기기 및 기기 수명 주기 (2026년 5월 기준)

GrapheneOS는 안전한 하드웨어 영역(Titan M2), 하드웨어 기반 원격 증명, 하드웨어 메모리 태깅(MTE)에 대한 요구 사항을 포함하여 매우 엄격한 하드웨어 보안 표준을 가지고 있습니다. 결과적으로 Google Pixel 기기만 공식적으로 지원합니다.

2026년 5월 현재 공식 지원 기기 목록:

• Pixel 10 시리즈: Pixel 10, Pixel 10 Pro, Pixel 10 Pro XL, Pixel 10 Pro Fold, Pixel 10a
• Pixel 9 시리즈: Pixel 9, Pixel 9 Pro, Pixel 9 Pro XL, Pixel 9 Pro Fold, Pixel 9a
• Pixel 8 시리즈: Pixel 8, Pixel 8 Pro, Pixel 8a
• Pixel 7 시리즈: Pixel 7, Pixel 7 Pro, Pixel 7a
• Pixel 6 시리즈 (치명적 EOL 경고): Pixel 6, Pixel 6 Pro, Pixel 6a
• 기타 폼팩터: Pixel Fold, Pixel Tablet

[!WARNING] Pixel 6 시리즈 EOL 경고 (2026년 10월) Pixel 6, 6 Pro 및 6a에 대한 Google의 보장된 소프트웨어 및 펌웨어 보안 업데이트는 2026년 10월에 종료됩니다. 이 날짜 이후에 GrapheneOS는 해당 기기에 대한 치명적인 독점 공급업체 펌웨어 패치(blobs)를 더 이상 받을 수 없으므로 Pixel 6 시리즈는 GrapheneOS에서 수명 종료(EOL)에 도달합니다. 안전한 고위험 작전을 위해서는 2026년 10월 이전에 Pixel 7 이상의 하드웨어로 마이그레이션하십시오.

기기를 구입하기 전에 항상 공식 GrapheneOS 릴리스 페이지에서 모델을 확인하십시오.

← 목차로 돌아가기