1. 공장초기화는 스마트폰 메모리 자체를 공장 출하 당시의 상태로 되돌리는 겁니다. 즉, 데이터가 남지 않습니다. 남는 데이터는 이용자가 업데이트한 보안, 운영체제만 남습니다. 흔히 공장초기화하고 복구됬다라는 것은 구글 계정으로 로그인하여 계정에 남아있는 데이터와 연동되어 백업된 데이터가 다시 다운로드되어 복구가 가능한 것입니다.


2. 안드로이드는 기본적으로 채팅로그, 휴대전화 통화 로그 등 중요 설정파일이 저장되어 있는 root 폴더는 루팅하지 않는 이상 접근 자체가 불가능합니다. 특히 카카오톡 채팅 로그가 남아있는 DB 파일은 root 폴더에 존재합니다. 스마트폰의 소유자도 루팅하지 않는 이상 접근이 불가능합니다.

3. 아이폰은 안드로이드와 다르게 각 어플별로 root 경로를 가지고 있습니다. 이 또한 일반적 방식으로는 접근이 안됩니다. 탈옥을 통해서 권한 상승을 통한 접근이 필요합니다. FBI나 검찰 포렌식팀에서 아이폰의 비밀번호를 해제하는 방식은 생각보다 단순합니다.
1） 포렌식 장비를 통해서 아이폰의 이미지 파일을 뜹니다.
2） 해당 이미지에 일정 횟수의 패스워드를 프로그램을 통해 입력합니다.
3） 일정 횟수 도달되면 다시 이미지를 올려 다시 패스워드를 입력합니다.
4） 찾을때까지 반복합니다.
숫자로 이루어진 패스워드는 0000~9999까지 입력하는데 20분 도 안걸립니다. 000000~999999도 마찬가집니다. 알파벳이 섞여 있으면 조금 더 소요됩니다. 특수문자가 있으면 더욱더 시간이 소요되지만, 이미지 하나씩 돌린다고 생각하지 마세요. 수십개의 이미지를 한번에 이용합니다.
5） 패스워드를 찾으면 다시 이미지 파일을 만들어 쓰기 방지 및 해시값을 떠서 법에서 규정한 포렌식 방법에 따라 포렌식을 수행합니다.

4. 공장초기화에 파일이 복구되던 시절은 안드로이드 초기 3~4 시절입니다. 지금 절대 다수가 사용하는 9,10,11은 초기화하면 싹 날라갑니다. 구글계정으로 다시 로그인하면 백업한 정보를 다시 가져다 줍니다. sd카드에 저장된 데이터는 공장초기화 대상에 포함되지 않습니다.

5. 즉, 공장초기화하고 구글계정에 다시 로그인하는 행위, 초기화한다 해놓고 sd카드는 그냥 냅두는 경우에는 당연 백업된 데이터양에 따라 복구가 됩니다.

==============================================================================

어떻게 아냐고요?
현직 기업 보안 담당자로 재직중이고, 디지털 포렌식 관련 석사과정 4학기 재학 중 입니다.
잘못된 정보가 마치 현재 기술의 팩트인것 처럼 퍼지는게 짜증나서 퇴근하자마자 글 씁니다.

물론 경찰의 사.수.대 / 대검찰청 포렌식팀 / 국정원에서 사용하는 포렌식 장비나 프로그램은 일반인이 상상하기 힘든 수준의 기능을 가지고 있습니다.
클릭 한번에 파일 유형별, 날짜별 등등 원하는 기준으로 나누어 정리하여 주는 기능도 존재합니다. 프로그램 하나의 가격도 어마무시합니다.
미국 한 기업에서 개발한 가상화폐 추적 프로그램은 추적 1회 이용료가 수천만원 ~ 억원에 달합니다. 추적 성공율 80% 이상입니다.

범죄 안저질르고, 제조사, 개발사, KISA에서 하지말라는 행위만 안하면 악성 어플 설치될 일도 없고, 포렌식 당할 일도 없습니다.
석사 공부하면서 아이폰 ios 6~10까지 루팅/ 포렌식 해보고, 안드로이드 6~11까지 전부 루팅/ 포렌식 해봤고, 초기화 전후 비교한 과제도 수행해봤지만
초기화했는데 데이터가 복구됬다는건 세상 첨 듣습니다.