2018.11.27

자체 설계 보안 칩 T2, 애플에 또 한 번의 기회인 이유

Ryan Faas | Computerworld
애플의 T2 보안 칩에 대한 관심이 끊이지 않는데, 특히 애플이 승인하지 않는 수리를 제한한 것을 두고 논란이 많다. 쟁점의 중심은 매립형 SSD드라이브를 교환하는 것 같은 사양 변경 시에 필수적인 애플 유틸리티다. 전반적으로, 논쟁은 수리할 권리를 위한 투쟁으로 귀결된다. 하드웨어 소유자가 자신의 장치를 변경할 수 있어야 한다는 것이다.

기업에도 영향을 주는 문제다. 회사의 맥 컴퓨터에서 드라이브를 교체하거나, 고장난 맥에서 드라이브를 꺼내 콘텐츠를 회수하는 것이 더 이상 가능하지 않기 때문이다. 

시스템 이미징도 영향을 받는다. 시스템 이미지는 기업과 학교에서 오랫동안 사용한 기능으로써, 디스크 이미지를 복사해 새로운 구성으로 시스템을 구성하고, 배포하고, 복구한다. 그래서 맥OS 버전에서 앱, 네트워크 설정, 기타 구성에 이르기까지 모든 맥 컴퓨터가 일률적 구성을 갖출 수 있다. 문제 해결 규모를 키우지 않고 좋은 평가를 받은 양호한 이미지를 맥에 넣고 난해한 컴퓨터 문제를 간단하게 해결하기도 한다. 지난달 JAMF 이용자 컨퍼런스에서 다양한 참가자가 말한 바와 같이, 이미징은 끝났다(그렇지만, 공정하게 말하자면, 애플은 다른 배포 메커니즘을 선택하도록 여러 해에 걸쳐 기업에 권유해왔다).

이와 더불어, T2 안전 부팅 기술은 맥 컴퓨터에서 맥OS나 윈도우 10 대신 리눅스를 부팅하고 시행할 경우에도 영향을 준다. 

논쟁의 대부분은 T2를 통해 없어지는 것들에 집중되어 있다. 그 와중에 잊혀진 것은 T2가 IT 분야에 가져오는 혜택, 그리고 자사 디바이스용 칩을 자체적으로 설계하는 애플의 역량 강화가 어떤 의미를 갖느냐다. 사실 T2는 칭찬받아 마땅하고, 애플이 맥에 더욱 많은 자체 칩을 집어넣고, 궁극적으로 자체 칩만으로 맥을 구동하려는 노력에 대한 명확한 징표로 받아들여져야 하는 파격적 진보다.
 

칩 설계자로서의 애플  

필자가 애플이 에어팟을 발표했던 2년 전에 언급했듯, 애플은 칩 설계 업체로서 학습하고 성장하고 있다. 아울러 이 지식을 전체 제품군에서 경쟁 우위로 이용하고 있다. 애플의 현재 판매 제품을 보면 iOS 다바이스, 애플 워치, 최신 맥의 대부분에 자체 칩이 들어가 있다. 

애플이 맥 제품군에서 인텔 프로세서를 완전히 빼려는 계획을 진행한다는 소문은 끊임없이 있었다. 심지어 부팅 프로세스에서 “애플리케이션 (인텔) 프로세서”라고 언급하는 T2 보안 백서에는 인텔 칩이 없는 맥이 이미 진행 중임을 시사하는 대목도 있다. 이러한 용어 변경은 이 문서의 미래 버전에서 (그리고 맥 제품군에서) 비-인텔 프로세서가 “애플리케이션” 프로세서로 지정될 것임을 의미하고도 남는다. 

A 시리즈 프로세서로 맥OS를 실행할 수 있다고 말하는 사람도 많지만, 필자는 개인적으로 현재 추세대로라면 애플이 맥 전용 프로세서를 개발할 것이라는 생각이 든다. 그렇게 되면 애플 프로세서로의 앱 및 OS 마이그레이션이 더 쉬워진다. 

물론, 애플은 과거 맥에 사용된 프로세서 설계에서도 일정한 역할을 했다. 1990년대 G3 칩은 IBM과 모토롤러에 의해 공동 설계되었고, 전통적인 맥 OS를 구동하도록 만들어졌다. 또한, 애플은 프로세서 종류 변화를 이행한 경험도 가지고 있다. 즉, 모토롤러의 680x0 프로세서로부터 파워 PC로 이동한 적이 있고, 2005년경에는 파워 PC 프로세서를 인텔로 교체한 적이 있다.

만약 애플이 정말 이런 전환을 계획하고 있다면 T2나 후속 프로세서가 상당한 역할을 할 것이다. 예를 들어 일부 처리 기능을 코프로세서로 이전할 수 있을 것이다(보안 기능을 T2로 이전한 것과 같이). 그렇다면 인텔 및 애플 하드웨어가 조합된 맥 세대라는 과도기를 거친 후 애플 칩이 전면적으로 도입될 가능성이 크다.
 

현재 T2의 기능은 무엇인가? 

T2의 가장 분명한 역할은 맥에 터치ID를 가져온다는 것이다(그리고 향후 페이스ID 도입 가능성이 있다). 안전한 iOS 하드웨어 기능을 맥으로 가져오는 일종의 편익이다. 그러나 T2는 사실 훨씬 더 많은 것을 한다. 안전한 부팅 프로세스 역시 가능하게 한다. iOS 디바이스에서와 마찬가지로, 칩에 직접 구축될 수 있는 각종 암호화 기능은 물론이고, 기밀 데이터를 저장하는 시큐어 엔클레이브(Secure Enclave)를 포함한다. 대부분의 맥OS 암호 작업은 T2를 이용하고, 전체 부팅 프로세스에 대한 승인이 있은 후 인텔 프로세서가 부팅을 시작한다.

애플은 T2 백서의 안전 부팅 항목 중 T2는 “안전 부팅을 위한 하드웨어적 신뢰의 근본”이라고 말한다. “안전 부팅은 소프트웨어의 최하위 수준이 무단으로 변경되지 않고, 신뢰성 있는 운영체제 소프트웨어만이 시작 시에 로드 되는 것을 보장한다.”

애플의 백서에 따르면, 안전한 스토리지를 위해 T2는 다음의 4가지 목표와 함께 설계된다. 

•    복호화를 위해 이용자 암호 요구
•    맥에서 제거된 저장 매체에 대해 직접 가해지는 무차별 대입 공격으로부터 시스템을 보호
•    필수 암호 자료의 삭제를 통해 콘텐츠를 소거하는 신속하고 안전한 방식을 제공
•    전체 볼륨의 재암호화를 요하지 않으면서 이용자가 암호를 (그리고 이용자의 파일을 보호하는데 쓰이는 암호 키를) 변경할 수 있도록 허용

따라서, T2는 신속하고 안전한 삭제 문제 또한 훌륭하게 해결한다. 내부 드라이브 상의 모든 데이터는 T2의 시큐어 엔클레이브에 의한 서명을 거치기 때문에, 단순히 암호 키 데이터만 삭제하면 드라이브의 콘텐츠는 복구 불능이 된다. 이 선택지는 하드 드라이브 및 여타 자기 기록 매체에 적용된 멀티 패스 암호 삭제 프로세스와 비교할 때 플래시 미디어가 데이터를 저장하는 방식과 더 잘 어울린다.

이렇게 되면 맥은 단순히 더 안전해지는 것 이상의 효과를 본다. 오늘날의 스토리지 기술의 보안에 대한 구상을 제시하고, 엔터프라이즈 보안 및 데이터 프라이버시 분야에서 애플이 중요 업체로 부각될 수 있다. 여러 가지 면에서 언제나의 iOS처럼 맥OS도 더 강력한 보안을 제공하는 것이다.
 



/ T2
2018.11.27

자체 설계 보안 칩 T2, 애플에 또 한 번의 기회인 이유

Ryan Faas | Computerworld
애플의 T2 보안 칩에 대한 관심이 끊이지 않는데, 특히 애플이 승인하지 않는 수리를 제한한 것을 두고 논란이 많다. 쟁점의 중심은 매립형 SSD드라이브를 교환하는 것 같은 사양 변경 시에 필수적인 애플 유틸리티다. 전반적으로, 논쟁은 수리할 권리를 위한 투쟁으로 귀결된다. 하드웨어 소유자가 자신의 장치를 변경할 수 있어야 한다는 것이다.

기업에도 영향을 주는 문제다. 회사의 맥 컴퓨터에서 드라이브를 교체하거나, 고장난 맥에서 드라이브를 꺼내 콘텐츠를 회수하는 것이 더 이상 가능하지 않기 때문이다. 

시스템 이미징도 영향을 받는다. 시스템 이미지는 기업과 학교에서 오랫동안 사용한 기능으로써, 디스크 이미지를 복사해 새로운 구성으로 시스템을 구성하고, 배포하고, 복구한다. 그래서 맥OS 버전에서 앱, 네트워크 설정, 기타 구성에 이르기까지 모든 맥 컴퓨터가 일률적 구성을 갖출 수 있다. 문제 해결 규모를 키우지 않고 좋은 평가를 받은 양호한 이미지를 맥에 넣고 난해한 컴퓨터 문제를 간단하게 해결하기도 한다. 지난달 JAMF 이용자 컨퍼런스에서 다양한 참가자가 말한 바와 같이, 이미징은 끝났다(그렇지만, 공정하게 말하자면, 애플은 다른 배포 메커니즘을 선택하도록 여러 해에 걸쳐 기업에 권유해왔다).

이와 더불어, T2 안전 부팅 기술은 맥 컴퓨터에서 맥OS나 윈도우 10 대신 리눅스를 부팅하고 시행할 경우에도 영향을 준다. 

논쟁의 대부분은 T2를 통해 없어지는 것들에 집중되어 있다. 그 와중에 잊혀진 것은 T2가 IT 분야에 가져오는 혜택, 그리고 자사 디바이스용 칩을 자체적으로 설계하는 애플의 역량 강화가 어떤 의미를 갖느냐다. 사실 T2는 칭찬받아 마땅하고, 애플이 맥에 더욱 많은 자체 칩을 집어넣고, 궁극적으로 자체 칩만으로 맥을 구동하려는 노력에 대한 명확한 징표로 받아들여져야 하는 파격적 진보다.
 

칩 설계자로서의 애플  

필자가 애플이 에어팟을 발표했던 2년 전에 언급했듯, 애플은 칩 설계 업체로서 학습하고 성장하고 있다. 아울러 이 지식을 전체 제품군에서 경쟁 우위로 이용하고 있다. 애플의 현재 판매 제품을 보면 iOS 다바이스, 애플 워치, 최신 맥의 대부분에 자체 칩이 들어가 있다. 

애플이 맥 제품군에서 인텔 프로세서를 완전히 빼려는 계획을 진행한다는 소문은 끊임없이 있었다. 심지어 부팅 프로세스에서 “애플리케이션 (인텔) 프로세서”라고 언급하는 T2 보안 백서에는 인텔 칩이 없는 맥이 이미 진행 중임을 시사하는 대목도 있다. 이러한 용어 변경은 이 문서의 미래 버전에서 (그리고 맥 제품군에서) 비-인텔 프로세서가 “애플리케이션” 프로세서로 지정될 것임을 의미하고도 남는다. 

A 시리즈 프로세서로 맥OS를 실행할 수 있다고 말하는 사람도 많지만, 필자는 개인적으로 현재 추세대로라면 애플이 맥 전용 프로세서를 개발할 것이라는 생각이 든다. 그렇게 되면 애플 프로세서로의 앱 및 OS 마이그레이션이 더 쉬워진다. 

물론, 애플은 과거 맥에 사용된 프로세서 설계에서도 일정한 역할을 했다. 1990년대 G3 칩은 IBM과 모토롤러에 의해 공동 설계되었고, 전통적인 맥 OS를 구동하도록 만들어졌다. 또한, 애플은 프로세서 종류 변화를 이행한 경험도 가지고 있다. 즉, 모토롤러의 680x0 프로세서로부터 파워 PC로 이동한 적이 있고, 2005년경에는 파워 PC 프로세서를 인텔로 교체한 적이 있다.

만약 애플이 정말 이런 전환을 계획하고 있다면 T2나 후속 프로세서가 상당한 역할을 할 것이다. 예를 들어 일부 처리 기능을 코프로세서로 이전할 수 있을 것이다(보안 기능을 T2로 이전한 것과 같이). 그렇다면 인텔 및 애플 하드웨어가 조합된 맥 세대라는 과도기를 거친 후 애플 칩이 전면적으로 도입될 가능성이 크다.
 

현재 T2의 기능은 무엇인가? 

T2의 가장 분명한 역할은 맥에 터치ID를 가져온다는 것이다(그리고 향후 페이스ID 도입 가능성이 있다). 안전한 iOS 하드웨어 기능을 맥으로 가져오는 일종의 편익이다. 그러나 T2는 사실 훨씬 더 많은 것을 한다. 안전한 부팅 프로세스 역시 가능하게 한다. iOS 디바이스에서와 마찬가지로, 칩에 직접 구축될 수 있는 각종 암호화 기능은 물론이고, 기밀 데이터를 저장하는 시큐어 엔클레이브(Secure Enclave)를 포함한다. 대부분의 맥OS 암호 작업은 T2를 이용하고, 전체 부팅 프로세스에 대한 승인이 있은 후 인텔 프로세서가 부팅을 시작한다.

애플은 T2 백서의 안전 부팅 항목 중 T2는 “안전 부팅을 위한 하드웨어적 신뢰의 근본”이라고 말한다. “안전 부팅은 소프트웨어의 최하위 수준이 무단으로 변경되지 않고, 신뢰성 있는 운영체제 소프트웨어만이 시작 시에 로드 되는 것을 보장한다.”

애플의 백서에 따르면, 안전한 스토리지를 위해 T2는 다음의 4가지 목표와 함께 설계된다. 

•    복호화를 위해 이용자 암호 요구
•    맥에서 제거된 저장 매체에 대해 직접 가해지는 무차별 대입 공격으로부터 시스템을 보호
•    필수 암호 자료의 삭제를 통해 콘텐츠를 소거하는 신속하고 안전한 방식을 제공
•    전체 볼륨의 재암호화를 요하지 않으면서 이용자가 암호를 (그리고 이용자의 파일을 보호하는데 쓰이는 암호 키를) 변경할 수 있도록 허용

따라서, T2는 신속하고 안전한 삭제 문제 또한 훌륭하게 해결한다. 내부 드라이브 상의 모든 데이터는 T2의 시큐어 엔클레이브에 의한 서명을 거치기 때문에, 단순히 암호 키 데이터만 삭제하면 드라이브의 콘텐츠는 복구 불능이 된다. 이 선택지는 하드 드라이브 및 여타 자기 기록 매체에 적용된 멀티 패스 암호 삭제 프로세스와 비교할 때 플래시 미디어가 데이터를 저장하는 방식과 더 잘 어울린다.

이렇게 되면 맥은 단순히 더 안전해지는 것 이상의 효과를 본다. 오늘날의 스토리지 기술의 보안에 대한 구상을 제시하고, 엔터프라이즈 보안 및 데이터 프라이버시 분야에서 애플이 중요 업체로 부각될 수 있다. 여러 가지 면에서 언제나의 iOS처럼 맥OS도 더 강력한 보안을 제공하는 것이다.
 



/ T2
X