2019.06.19

iOS 13의 핵심 '개인정보 단속 강화' A부터 Z까지

Jason Cross | Macworld
오는 가을 iOS 13 출시와 더불어 아이폰과 아이패드가 다양한 기능과 성능 향상으로 대폭 업그레이드될 예정이다. 다크 모드, 시리 업데이트 등이 많은 관심을 받고 있지만 사실 iOS 13에서 가장 중요한 부분은 사용자의 개인정보 보호다.
 
애플은 앱 스토어 정책을 엄격하게 업데이트하는 데 그치지 않았다. iOS 13부터는 개인정보 보호가 가장 우선시된다. 사용자는 불필요한 개인 정보를 수집하거나 웹 및 실제 활동을 추적하는 앱과 사이트에서 더 철저히 보호되며 악의적인 활동에 대해 지속적으로 알림을 받게 된다.
 
iOS 13에서 가장 중요한, 새 개인정보 보호 기능을 살펴보자.
 

애플 ID로 로그인하는 새로운 방법

구글과 페이스북의 싱글사인온(SSO) 기능은 광범위하게 사용된다. 새로 사용하는 앱마다 귀찮게 정보를 입력할 필요 없이 구글 또는 페이스북 계정으로 로그인할 수 있게 해주는 버튼이 바로 SSO다. 그러나 이 기능은 사용자에 대한 많은 정보를 해당 앱과 공유할 수 있으며 앱 역시 구글 또는 페이스북과 사용자 데이터를 공유할 수 있다.
 
애플은 애플로 로그인(Sign in with Apple)이라는 자체 SSO 솔루션을 준비하고 있다. 모든 애플 플랫폼과 웹에서 애플 ID를 사용해 로그인할 수 있으며(지원되는 디바이스에서 터치 ID 또는 페이스ID 사용 가능), 이때 앱이 받는 데이터는 사용자의 성과 이름이 전부다.
 


앱이 이메일 주소를 요구하는 경우 애플 ID와 연결된 이메일 주소를 제공할 수도 있고, 해당 앱에만 연결되는 중간 이메일 포워딩 주소를 무작위로 자동 생성해 제공할 수도 있다. 앱을 그만 사용하려는 경우 이 포워딩 주소를 삭제해도 다른 서비스는 영향을 받지 않는다.
 
애플은 다른 SSO 옵션을 허용한다면 애플로 로그인하기도 의무적으로 포함하도록 앱 스토어 정책을 업데이트하고 있다. 따라서 향후 애플로 로그인하기는 광범위한 앱에서 지원될 것이다.
 

앱과 위치

iOS 12에서는 앱이 사용자의 위치를 사용하려고 할 때 허용하거나 거부하는 옵션이 제한적이다. 많은 앱이 사용 중일 때만이 아니라 항상 위치를 사용하도록 허용할 것을 요청한다. 사용하지 않을 때는 사실 위치를 추적할 필요가 없음에도 항상 위치를 추적하려고 하는데, 이 데이터로 도대체 무엇을 하는지는 아무도 모른다.
 
iOS 13에서도 앱은 상시 위치 추적을 요청할 수 있지만 사용자에게 표시되는 선택 옵션은 모든 앱에 걸쳐 한 가지 종류로 통일된다. 사용 중일 때 허용하기, 한 번만 허용하기(새로 추가됨), 그리고 허용 안 함이다. 한 번만 허용하기를 선택하면 앱은 다음에 실행될 때 다시 사용자에게 허락을 받아야 한다.
 


기본적으로 iOS 13에는 앱이 백그라운드에서 사용자 위치에 접근할 수 있는 권한을 바로 부여할 방법이 없다. 앱이 이 권한을 원하는 경우에는 어떻게 될까? 앱이 사용 중이 아닌 상황에서 사용자의 위치에 실제 접근하려고 시도하면 iOS 13은 사용자에게 ‘사용 중일 때 허용하기’ 옵션을 그대로 유지할지, 아니면 ‘항상 허용’으로 바꿀지를 묻는다.
 


이 변화 하나만으로도 앱에 필요 이상의 위치 추적 권한을 부여할 일이 대폭 줄어들게 되고, 결국 불필요한 범위까지 사용자 위치를 추적하려는 행태 자체가 차차 줄어들게 될 것이다. 사용자를 귀찮게 하는 앱으로 인식될 수 있기 때문이다.
 
그러나 애플은 여기서 그치지 않는다! 항상 위치에 접근하도록 설정된 앱이 있는 경우 iOS는 주기적으로 작은 팝업 창을 띄워 왜 사용자의 위치가 필요한지에 대한 앱의 설명을 보여준다. 이 팝업 창에서 접근을 계속 허용하도록 선택할 수도 있고 “사용 중일 때만” 허용하도록 바꿀 수도 있다. 게다가 이 팝업에는 그동안 해당 앱이 기록한 모든 위치가 표시된 작은 지도도 표시된다.
 
iOS 13에서 애플은 과도한 위치 데이터를 요구하는 앱을 그야말로 샅샅이 해부해 보여준다.
 

와이파이와 블루투스 잠그기

아주 교활한 앱도 있다. 앱의 기본적인 동작에 사용자의 위치가 필요 없음을 알면서도 제 3자에게 팔기 위해, 또는 표적 광고 등의 목적으로 위치를 기록하려 드는 앱이다. 이러한 앱은 사용자에게 묻지 않고 알려진 와이파이 핫스팟 및 블루투스 비컨을 기준으로 거리를 계산해 대략적인 위치를 추정한다.
 
애플은 iOS 13에서 이 구멍을 막는다. 본래의 기능을 위해 블루투스를 사용하고자 하는 앱이 있는 경우 iOS는 사용자에게 이를 허용할지 여부를 묻는다. 혹시 블루투스 헤드폰을 사용하고자 하는 모든 오디오 앱에서 이 메시지가 표시되지 않을까 걱정하는 사람도 있을 텐데, 걱정할 필요 없다. 블루투스 오디오의 경우 앱 자체가 아니라 OS에서 자동으로 처리된다.
 

연락처 메모의 민감한 정보

많은 앱이 사용자의 연락처에 대한 접근 권한을 요청한다. 타당한 이유도 있다. 메시지와 이메일을 주고받거나 정보를 공유할 만한 사람들 목록을 만들기 위해, 또는 소셜 앱에서 손쉽게 친구를 찾을 수 있도록 하기 위해서다.
 
그러나 이 경우 앱에 단순한 연락처 정보(이름, 주소, 전화번호 또는 이메일) 이상의 데이터에 대한 접근 권한을 부여할 수 있다. 사람들은 연락처의 “메모” 부분에 주민등록번호, 은행 계좌번호, 경보기 보안 코드 등 민감한 정보를 저장하는 경우가 많기 때문이다.
 
친구 목록을 만들기 위해 사용자의 연락처 목록을 원하는 앱이 이러한 종류의 정보까지 봐야 할 이유는 없다. 그래서 iOS 13에서는 이 정보가 공유되지 않는다. 연락처 접근 권한이 부여된 앱은 더 이상 메모 필드의 내용을 볼 수 없다. 이 정보를 봐야 할 타당한 근거가 있다고 생각하는 앱은(예를 들어 중복된 정보를 병합하는 기능을 제공하는 연락처 관리자 앱 등) 예외 요청을 제출할 수 있다.
 

암호화된 가정용 보안 카메라 

링(Ring) 도어벨이나 네스트(Nest) 카메라 또는 기타 가정용 보안 카메라를 사용하는 경우 대부분은 영상이 암호화되지 않은 상태로 서버로 전송된다. 서버에서는 AI 알고리즘이(더 나쁜 경우 사람이 직접!) 이 영상을 스캔해서 문제의 모션이 실제 사람의 접근인지 그냥 지나쳐 가는 그림자인지를 확인한다.
  
애플은 네타트모(Netatmo), 유파이(Eufy), 로지텍(Logitech)과 같은 카메라 제조사와 협력해서 홈킷 시큐어 비디오(HomeKit Secure Video) 카메라를 만들고 있다. 이러한 카메라는 홈 허브(연결된 아이패드, 홈팟 또는 애플 TV)로 비디오를 전송하며 허브에서 AI 기능이 수행되므로 영상이 클라우드로 전송되지 않는다.
 


물론 영상은 여전히 클라우드에 백업된다. 200GB 아이클라우드 요금제에서는 카메라 1대에 대한 10일 분량의 백업이 제공되며 2TB 요금제에서는 5대의 카메라가 지원된다. 카메라 영상은 아이클라우드 스토리지에 업로드되기 전에 홈 디바이스에서 암호화된다(또한 이 영상은 아이클라우드 스토리지 사용 용량에 포함되지 않음).
 
따라서 사용자 본인 외에는 누구도 가정용 카메라 영상을 볼 수 없고, 누군가 원한다 해도 애플이 암호화를 해독할 방법도 없다.
 

홈킷 지원 라우터

홈킷은 가정용 보안 카메라 이상으로 영역을 확장 중이다. 곧 라우터에도 들어간다. 홈킷 지원 라우터는 스마트 홈 기기 사이에 방화벽을 설치해서 하나가 맬웨어에 감염되더라도 다른 기기(또는 네트워크에 연결된 컴퓨터나 모바일 디바이스)로 전염되지 않도록 해준다. 
 
홈 앱을 사용해서 홈 네트워크와 인터넷에서 홈킷 액세서리가 통신할 수 있는 디바이스와 서비스를 제어할 수 있다. 애플에 따르면 링크시스(Linksys), 이로(Eero), 케이블 업체인 스펙트럼(Spectrum) 등이 홈킷 지원 라우터를 출시할 예정이다.
 

사파리 브라우저의 보호 기능 강화

사파리는 지난 2년 동안 웹 추적 차단의 선봉에 서왔다. iOS 13에서도 여러 가지 좋은 기능이 새로 추가되지만 개인정보 보호 역시 더욱 강화된다.
 
일부 사이트와 서비스는 디지털 지문 채취 기술을 사용해서 사용자의 고유한 식별자를 생성한다. 설정, 브라우저 플러그인 및 기타 대부분의 브라우저가 웹사이트 방문 시 자동으로 전송하는 정보를 살펴본 다음 이 정보를 사용해서 꽤 정확한 사용자의 고유 식별자를 생성할 수 있다. 쿠키를 비활성화하고 브라우저의 프라이빗 창을 사용하면 신원을 숨길 수 있다고 생각하겠지만 이 방법은 새로운 형태의 디지털 지문 채취로부터 사용자를 보호하지 못한다.
 
애플은 작년부터 사파리에서 이러한 종류의 추적에 대처하기 시작했으며 올해 들어 지문 채취 방지 기술을 확대하고 있다.
 
애플은 또한 클라우드 동기화 보안도 강화 중이다. 브라우저 탭을 열면 브라우징 내역이 아이클라우드로 동기화되므로 맥과 아이패드, 아이폰의 사파리에서 손쉽게 이 내역에 액세스할 수 있다. iOS 13과 맥OS 카탈리나에서는 이 과정이 처음부터 끝까지 암호화된다. editor@itworld.co.kr 


/ ios / iOS13
2019.06.19

iOS 13의 핵심 '개인정보 단속 강화' A부터 Z까지

Jason Cross | Macworld
오는 가을 iOS 13 출시와 더불어 아이폰과 아이패드가 다양한 기능과 성능 향상으로 대폭 업그레이드될 예정이다. 다크 모드, 시리 업데이트 등이 많은 관심을 받고 있지만 사실 iOS 13에서 가장 중요한 부분은 사용자의 개인정보 보호다.
 
애플은 앱 스토어 정책을 엄격하게 업데이트하는 데 그치지 않았다. iOS 13부터는 개인정보 보호가 가장 우선시된다. 사용자는 불필요한 개인 정보를 수집하거나 웹 및 실제 활동을 추적하는 앱과 사이트에서 더 철저히 보호되며 악의적인 활동에 대해 지속적으로 알림을 받게 된다.
 
iOS 13에서 가장 중요한, 새 개인정보 보호 기능을 살펴보자.
 

애플 ID로 로그인하는 새로운 방법

구글과 페이스북의 싱글사인온(SSO) 기능은 광범위하게 사용된다. 새로 사용하는 앱마다 귀찮게 정보를 입력할 필요 없이 구글 또는 페이스북 계정으로 로그인할 수 있게 해주는 버튼이 바로 SSO다. 그러나 이 기능은 사용자에 대한 많은 정보를 해당 앱과 공유할 수 있으며 앱 역시 구글 또는 페이스북과 사용자 데이터를 공유할 수 있다.
 
애플은 애플로 로그인(Sign in with Apple)이라는 자체 SSO 솔루션을 준비하고 있다. 모든 애플 플랫폼과 웹에서 애플 ID를 사용해 로그인할 수 있으며(지원되는 디바이스에서 터치 ID 또는 페이스ID 사용 가능), 이때 앱이 받는 데이터는 사용자의 성과 이름이 전부다.
 


앱이 이메일 주소를 요구하는 경우 애플 ID와 연결된 이메일 주소를 제공할 수도 있고, 해당 앱에만 연결되는 중간 이메일 포워딩 주소를 무작위로 자동 생성해 제공할 수도 있다. 앱을 그만 사용하려는 경우 이 포워딩 주소를 삭제해도 다른 서비스는 영향을 받지 않는다.
 
애플은 다른 SSO 옵션을 허용한다면 애플로 로그인하기도 의무적으로 포함하도록 앱 스토어 정책을 업데이트하고 있다. 따라서 향후 애플로 로그인하기는 광범위한 앱에서 지원될 것이다.
 

앱과 위치

iOS 12에서는 앱이 사용자의 위치를 사용하려고 할 때 허용하거나 거부하는 옵션이 제한적이다. 많은 앱이 사용 중일 때만이 아니라 항상 위치를 사용하도록 허용할 것을 요청한다. 사용하지 않을 때는 사실 위치를 추적할 필요가 없음에도 항상 위치를 추적하려고 하는데, 이 데이터로 도대체 무엇을 하는지는 아무도 모른다.
 
iOS 13에서도 앱은 상시 위치 추적을 요청할 수 있지만 사용자에게 표시되는 선택 옵션은 모든 앱에 걸쳐 한 가지 종류로 통일된다. 사용 중일 때 허용하기, 한 번만 허용하기(새로 추가됨), 그리고 허용 안 함이다. 한 번만 허용하기를 선택하면 앱은 다음에 실행될 때 다시 사용자에게 허락을 받아야 한다.
 


기본적으로 iOS 13에는 앱이 백그라운드에서 사용자 위치에 접근할 수 있는 권한을 바로 부여할 방법이 없다. 앱이 이 권한을 원하는 경우에는 어떻게 될까? 앱이 사용 중이 아닌 상황에서 사용자의 위치에 실제 접근하려고 시도하면 iOS 13은 사용자에게 ‘사용 중일 때 허용하기’ 옵션을 그대로 유지할지, 아니면 ‘항상 허용’으로 바꿀지를 묻는다.
 


이 변화 하나만으로도 앱에 필요 이상의 위치 추적 권한을 부여할 일이 대폭 줄어들게 되고, 결국 불필요한 범위까지 사용자 위치를 추적하려는 행태 자체가 차차 줄어들게 될 것이다. 사용자를 귀찮게 하는 앱으로 인식될 수 있기 때문이다.
 
그러나 애플은 여기서 그치지 않는다! 항상 위치에 접근하도록 설정된 앱이 있는 경우 iOS는 주기적으로 작은 팝업 창을 띄워 왜 사용자의 위치가 필요한지에 대한 앱의 설명을 보여준다. 이 팝업 창에서 접근을 계속 허용하도록 선택할 수도 있고 “사용 중일 때만” 허용하도록 바꿀 수도 있다. 게다가 이 팝업에는 그동안 해당 앱이 기록한 모든 위치가 표시된 작은 지도도 표시된다.
 
iOS 13에서 애플은 과도한 위치 데이터를 요구하는 앱을 그야말로 샅샅이 해부해 보여준다.
 

와이파이와 블루투스 잠그기

아주 교활한 앱도 있다. 앱의 기본적인 동작에 사용자의 위치가 필요 없음을 알면서도 제 3자에게 팔기 위해, 또는 표적 광고 등의 목적으로 위치를 기록하려 드는 앱이다. 이러한 앱은 사용자에게 묻지 않고 알려진 와이파이 핫스팟 및 블루투스 비컨을 기준으로 거리를 계산해 대략적인 위치를 추정한다.
 
애플은 iOS 13에서 이 구멍을 막는다. 본래의 기능을 위해 블루투스를 사용하고자 하는 앱이 있는 경우 iOS는 사용자에게 이를 허용할지 여부를 묻는다. 혹시 블루투스 헤드폰을 사용하고자 하는 모든 오디오 앱에서 이 메시지가 표시되지 않을까 걱정하는 사람도 있을 텐데, 걱정할 필요 없다. 블루투스 오디오의 경우 앱 자체가 아니라 OS에서 자동으로 처리된다.
 

연락처 메모의 민감한 정보

많은 앱이 사용자의 연락처에 대한 접근 권한을 요청한다. 타당한 이유도 있다. 메시지와 이메일을 주고받거나 정보를 공유할 만한 사람들 목록을 만들기 위해, 또는 소셜 앱에서 손쉽게 친구를 찾을 수 있도록 하기 위해서다.
 
그러나 이 경우 앱에 단순한 연락처 정보(이름, 주소, 전화번호 또는 이메일) 이상의 데이터에 대한 접근 권한을 부여할 수 있다. 사람들은 연락처의 “메모” 부분에 주민등록번호, 은행 계좌번호, 경보기 보안 코드 등 민감한 정보를 저장하는 경우가 많기 때문이다.
 
친구 목록을 만들기 위해 사용자의 연락처 목록을 원하는 앱이 이러한 종류의 정보까지 봐야 할 이유는 없다. 그래서 iOS 13에서는 이 정보가 공유되지 않는다. 연락처 접근 권한이 부여된 앱은 더 이상 메모 필드의 내용을 볼 수 없다. 이 정보를 봐야 할 타당한 근거가 있다고 생각하는 앱은(예를 들어 중복된 정보를 병합하는 기능을 제공하는 연락처 관리자 앱 등) 예외 요청을 제출할 수 있다.
 

암호화된 가정용 보안 카메라 

링(Ring) 도어벨이나 네스트(Nest) 카메라 또는 기타 가정용 보안 카메라를 사용하는 경우 대부분은 영상이 암호화되지 않은 상태로 서버로 전송된다. 서버에서는 AI 알고리즘이(더 나쁜 경우 사람이 직접!) 이 영상을 스캔해서 문제의 모션이 실제 사람의 접근인지 그냥 지나쳐 가는 그림자인지를 확인한다.
  
애플은 네타트모(Netatmo), 유파이(Eufy), 로지텍(Logitech)과 같은 카메라 제조사와 협력해서 홈킷 시큐어 비디오(HomeKit Secure Video) 카메라를 만들고 있다. 이러한 카메라는 홈 허브(연결된 아이패드, 홈팟 또는 애플 TV)로 비디오를 전송하며 허브에서 AI 기능이 수행되므로 영상이 클라우드로 전송되지 않는다.
 


물론 영상은 여전히 클라우드에 백업된다. 200GB 아이클라우드 요금제에서는 카메라 1대에 대한 10일 분량의 백업이 제공되며 2TB 요금제에서는 5대의 카메라가 지원된다. 카메라 영상은 아이클라우드 스토리지에 업로드되기 전에 홈 디바이스에서 암호화된다(또한 이 영상은 아이클라우드 스토리지 사용 용량에 포함되지 않음).
 
따라서 사용자 본인 외에는 누구도 가정용 카메라 영상을 볼 수 없고, 누군가 원한다 해도 애플이 암호화를 해독할 방법도 없다.
 

홈킷 지원 라우터

홈킷은 가정용 보안 카메라 이상으로 영역을 확장 중이다. 곧 라우터에도 들어간다. 홈킷 지원 라우터는 스마트 홈 기기 사이에 방화벽을 설치해서 하나가 맬웨어에 감염되더라도 다른 기기(또는 네트워크에 연결된 컴퓨터나 모바일 디바이스)로 전염되지 않도록 해준다. 
 
홈 앱을 사용해서 홈 네트워크와 인터넷에서 홈킷 액세서리가 통신할 수 있는 디바이스와 서비스를 제어할 수 있다. 애플에 따르면 링크시스(Linksys), 이로(Eero), 케이블 업체인 스펙트럼(Spectrum) 등이 홈킷 지원 라우터를 출시할 예정이다.
 

사파리 브라우저의 보호 기능 강화

사파리는 지난 2년 동안 웹 추적 차단의 선봉에 서왔다. iOS 13에서도 여러 가지 좋은 기능이 새로 추가되지만 개인정보 보호 역시 더욱 강화된다.
 
일부 사이트와 서비스는 디지털 지문 채취 기술을 사용해서 사용자의 고유한 식별자를 생성한다. 설정, 브라우저 플러그인 및 기타 대부분의 브라우저가 웹사이트 방문 시 자동으로 전송하는 정보를 살펴본 다음 이 정보를 사용해서 꽤 정확한 사용자의 고유 식별자를 생성할 수 있다. 쿠키를 비활성화하고 브라우저의 프라이빗 창을 사용하면 신원을 숨길 수 있다고 생각하겠지만 이 방법은 새로운 형태의 디지털 지문 채취로부터 사용자를 보호하지 못한다.
 
애플은 작년부터 사파리에서 이러한 종류의 추적에 대처하기 시작했으며 올해 들어 지문 채취 방지 기술을 확대하고 있다.
 
애플은 또한 클라우드 동기화 보안도 강화 중이다. 브라우저 탭을 열면 브라우징 내역이 아이클라우드로 동기화되므로 맥과 아이패드, 아이폰의 사파리에서 손쉽게 이 내역에 액세스할 수 있다. iOS 13과 맥OS 카탈리나에서는 이 과정이 처음부터 끝까지 암호화된다. editor@itworld.co.kr 


/ ios / iOS13
X