2019.01.08

애플, "비규격 USB-C 케이블 인증 프로그램 개발" 사용자 보호 나서

Jonny Evans | Macworld
애플이 저렴한 USB-C 케이블 사용에 제동을 걸었다. 사용자 보호가 이유다.
 

위험한 USB-C 케이블

케이블은 복잡하다. 많은 사람들이 검증되지 않은 저렴한 USB-C 케이블과 기기를 연결하지 말라고 조언하는 이유가 여기에 있다. 그런데 곧, 이런 저렴한 USB-C 케이블을 사용한 연결 자체가 불가능해질 전망이다.

애플은 사용자에게 몇 년째 품질 낮은 주변기기를 사용하지 말라고 경고해왔다. 2016년, 아마존에서 애플이 제조한 제품으로 판매되고 있던 수백 대의 충전기가 실제는 위험한 가짜 제품인 것이 드러났다.

이 가짜 충전기는 통상 전력 서지(급격한 전류) 등 높은 전압에 노출되었을 때, 전기 쇼크나 폭발로 인한 화재를 유발할 수 있다.

저렴한 케이블은 품질이 조악할뿐더러, 장치를 손상시키거나 화재를 초래할 수 있다. 이것이 다가 아니다. 또 다른 위험도 있다.

해커가 장치에 맬웨어를 심는 도구로 악용하기 위해 케이블을 개조하는 경우도 있다. 또 USB를 사용하는 시스템 중 데이터 보안 체계를 뚫고 사용자의 데이터를 훔치는 시스템도 있으며, USB 플래시 드라이브가 핵심 인프라를 표적으로 하는 조직적인 공격의 익스플로잇 도구로 사용되기도 한다.

우리가 사용하는 장치에는 수 많은 기업 데이터, 개인 데이터가 저장되어 있다. 합리적인 사고를 할 줄 아는 사람은 이런 위협으로부터 스스로를 보호하고 싶을 것이다.
제조업체도 마찬가지이다. 애플을 비롯한 USB-IF(USB Implementer’s Forum) 회원사는 이런 위험으로부터 스스로를 보호하는 USB-C 인증 프로그램 도입을 계획 중이라고 발표했다.
 

USB 타입-C 인증의 ‘작동 원리’

USB 타입-C 인증 프로그램은 컴퓨터, 스마트폰, 기타 ‘호스트 시스템’이 등급을 충족하지 못하는 USB-C 케이블을 인식할 수 있는 ‘체계’이다.
이 프로그램은 다음과 같이 ‘작동’할 것이다.

•    장치에 케이블을 연결한다.
•    시스템이 케이블을 스캔, 체계의 요구 및 제한 사항을 준수하는지 확인한다.
•    이를 준수하지 않은 케이블은 작동이 되지 않는다. 케이블과 호스트 시스템 간 데이터가 전송되지 않는다는 의미이다.
•    전력은 공급되지만, 데이터는 전송되지 않을 수도 있다. 전력의 경우에도, (예를 들면)인증되지 않은 충전 시스템을 사용하면 과열로부터 시스템을 보호하기 위해 더 낮은 전력이 공급된다.
•    인증을 통해 케이블, 연결된 장치, 충전기 등 다양한 주변 기기를 보호할 수 있다.

정말 중요한 것은 전력이나 데이터가 교환되기 이전에 시스템이나 데이터를 보호할 수 있는 체계라는 부분이다. 인증 기관은 DigiCert이다.

불량 USB-C 인증 프로그램, 기업에는 어떤 의미를 갖는가
기업 사용자는 자사 데이터가 위험에 노출되어 있다는 것을 잘 알고 있다.

데이터 스택이 인프라의 원동력으로 작용하는 시대에 기업이 독자적으로 수집한 데이터가 미래의 비즈니스 기회를 견인할 것은 자명하다. 그런데 최근 일어난 일련의 사고는 이런 정보가 악용되어 커다란 문제를 초래할 수 있다는 점을 보여줬다.

이런 정보를 보관 및 관리하는 것은 아주 ‘중요한 일’이다. 핵심 데이터에 액세스해 악용될 수 있는 공격 말단을 정리하면 다음과 같다. 공격자는 이런 기기에 멀웨어를 주입해 데이터를 수집해 다시 중앙 명령 서버로 보내거나, 다른 방법으로 장치 보안을 침해할 수 있다.

•    공항을 비롯한 공공 장소의 USB 전원 공급 및 충전 시설
•    USB 플래시 카드 같은 USB 장치
•    장치에 저장된 데이터에 접근하는 경로로 악용될 수 있는 USB

USB-F는 이런 유형의 공격들로 인해 값진 기업 데이터가 유출되고, 손상되고, 랜섬웨어의 표적이 되는 것을 막는 데 큰 도움을 줄 결정이다.

애플은 이미 이런 작업에 나선 상태다.

예를 들어, 애플은 iOS 12를 출시하면서 USB 제한 모드(USB Restricted Mode)라는 새로운 기능을 추가했다. 설정 > 페이스 ID 및 패스코드 항목에서는 ‘’잠금 화면에서 액세스 허용(Allow Access When Locked)” > USB 액세서리에서 이 기능을 제어할 수 있다.

애플이 이런 통제책을 도입하기로 결정한 부분적인 이유는 모두가 연결된 시대에 프라이버시(개인 정보 보호)에 전념하고 있기 때문이다.

엣지, 즉 장치에서 작동하는 AI 솔루션을 개발하는 것도 같은 맥락이다.

동시에, 품질 낮은 저렴한 충전 시스템 때문에 시스템이 손상되고, 일부 경우 화재까지 나는 등 여러 사고가 일어나는 상황도 이유일 것이다.

안전하지 않은 전원 어댑터를 사용해 충전하는 바람에 화제가 나고, 인명과 재산에 피해가 발생하면서, 여기에 책임이 있는 회사로 인식되고 싶어하는 제조업체는 없을 것이다.
 

‘현상 유지’로의 뒷걸음

이렇게 전체 업계가 추진하는 이니셔티브에 흥미로운 점이 한 가지 있다. 어느 산업이든 일정 시간이 지나면 기존의 경계선을 안전하기 유지하기 위해 리소스를 확대할 수밖에 없는 상황에 놓인다. 목적은 단순하다. ‘현상 유지’다. 이런 점이 얼마나 반영되어 있는지 엿볼 수 있다는 점에서 흥미롭다.

이것은 대부분의 ‘제국’에 적용되는 ‘원리’다. 다시 말해, 더 이상 확장에 필요한 재원을 충당하고 관리해 나갈 수 없는 지점에 도달할 만큼 규모가 커진 것이다. 다음 단계는 ‘수축’이 될 것이다. 역사는 지금까지 이런 식으로 진행되어 왔다.

한편으로 이런 이니셔티브는 대다수 사용자에게 제품이 더 안전하다는 인식을 심어주는 데 도움을 준다. IT 기업이 사용자 데이터 안전에 투자하고 있다고 여길 만한 방식이기도 하다. 물론 안전을 중시하지 않는 기업에 관심을 쏟을 필요는 없을 것이다. editor@itworld.co.kr 


2019.01.08

애플, "비규격 USB-C 케이블 인증 프로그램 개발" 사용자 보호 나서

Jonny Evans | Macworld
애플이 저렴한 USB-C 케이블 사용에 제동을 걸었다. 사용자 보호가 이유다.
 

위험한 USB-C 케이블

케이블은 복잡하다. 많은 사람들이 검증되지 않은 저렴한 USB-C 케이블과 기기를 연결하지 말라고 조언하는 이유가 여기에 있다. 그런데 곧, 이런 저렴한 USB-C 케이블을 사용한 연결 자체가 불가능해질 전망이다.

애플은 사용자에게 몇 년째 품질 낮은 주변기기를 사용하지 말라고 경고해왔다. 2016년, 아마존에서 애플이 제조한 제품으로 판매되고 있던 수백 대의 충전기가 실제는 위험한 가짜 제품인 것이 드러났다.

이 가짜 충전기는 통상 전력 서지(급격한 전류) 등 높은 전압에 노출되었을 때, 전기 쇼크나 폭발로 인한 화재를 유발할 수 있다.

저렴한 케이블은 품질이 조악할뿐더러, 장치를 손상시키거나 화재를 초래할 수 있다. 이것이 다가 아니다. 또 다른 위험도 있다.

해커가 장치에 맬웨어를 심는 도구로 악용하기 위해 케이블을 개조하는 경우도 있다. 또 USB를 사용하는 시스템 중 데이터 보안 체계를 뚫고 사용자의 데이터를 훔치는 시스템도 있으며, USB 플래시 드라이브가 핵심 인프라를 표적으로 하는 조직적인 공격의 익스플로잇 도구로 사용되기도 한다.

우리가 사용하는 장치에는 수 많은 기업 데이터, 개인 데이터가 저장되어 있다. 합리적인 사고를 할 줄 아는 사람은 이런 위협으로부터 스스로를 보호하고 싶을 것이다.
제조업체도 마찬가지이다. 애플을 비롯한 USB-IF(USB Implementer’s Forum) 회원사는 이런 위험으로부터 스스로를 보호하는 USB-C 인증 프로그램 도입을 계획 중이라고 발표했다.
 

USB 타입-C 인증의 ‘작동 원리’

USB 타입-C 인증 프로그램은 컴퓨터, 스마트폰, 기타 ‘호스트 시스템’이 등급을 충족하지 못하는 USB-C 케이블을 인식할 수 있는 ‘체계’이다.
이 프로그램은 다음과 같이 ‘작동’할 것이다.

•    장치에 케이블을 연결한다.
•    시스템이 케이블을 스캔, 체계의 요구 및 제한 사항을 준수하는지 확인한다.
•    이를 준수하지 않은 케이블은 작동이 되지 않는다. 케이블과 호스트 시스템 간 데이터가 전송되지 않는다는 의미이다.
•    전력은 공급되지만, 데이터는 전송되지 않을 수도 있다. 전력의 경우에도, (예를 들면)인증되지 않은 충전 시스템을 사용하면 과열로부터 시스템을 보호하기 위해 더 낮은 전력이 공급된다.
•    인증을 통해 케이블, 연결된 장치, 충전기 등 다양한 주변 기기를 보호할 수 있다.

정말 중요한 것은 전력이나 데이터가 교환되기 이전에 시스템이나 데이터를 보호할 수 있는 체계라는 부분이다. 인증 기관은 DigiCert이다.

불량 USB-C 인증 프로그램, 기업에는 어떤 의미를 갖는가
기업 사용자는 자사 데이터가 위험에 노출되어 있다는 것을 잘 알고 있다.

데이터 스택이 인프라의 원동력으로 작용하는 시대에 기업이 독자적으로 수집한 데이터가 미래의 비즈니스 기회를 견인할 것은 자명하다. 그런데 최근 일어난 일련의 사고는 이런 정보가 악용되어 커다란 문제를 초래할 수 있다는 점을 보여줬다.

이런 정보를 보관 및 관리하는 것은 아주 ‘중요한 일’이다. 핵심 데이터에 액세스해 악용될 수 있는 공격 말단을 정리하면 다음과 같다. 공격자는 이런 기기에 멀웨어를 주입해 데이터를 수집해 다시 중앙 명령 서버로 보내거나, 다른 방법으로 장치 보안을 침해할 수 있다.

•    공항을 비롯한 공공 장소의 USB 전원 공급 및 충전 시설
•    USB 플래시 카드 같은 USB 장치
•    장치에 저장된 데이터에 접근하는 경로로 악용될 수 있는 USB

USB-F는 이런 유형의 공격들로 인해 값진 기업 데이터가 유출되고, 손상되고, 랜섬웨어의 표적이 되는 것을 막는 데 큰 도움을 줄 결정이다.

애플은 이미 이런 작업에 나선 상태다.

예를 들어, 애플은 iOS 12를 출시하면서 USB 제한 모드(USB Restricted Mode)라는 새로운 기능을 추가했다. 설정 > 페이스 ID 및 패스코드 항목에서는 ‘’잠금 화면에서 액세스 허용(Allow Access When Locked)” > USB 액세서리에서 이 기능을 제어할 수 있다.

애플이 이런 통제책을 도입하기로 결정한 부분적인 이유는 모두가 연결된 시대에 프라이버시(개인 정보 보호)에 전념하고 있기 때문이다.

엣지, 즉 장치에서 작동하는 AI 솔루션을 개발하는 것도 같은 맥락이다.

동시에, 품질 낮은 저렴한 충전 시스템 때문에 시스템이 손상되고, 일부 경우 화재까지 나는 등 여러 사고가 일어나는 상황도 이유일 것이다.

안전하지 않은 전원 어댑터를 사용해 충전하는 바람에 화제가 나고, 인명과 재산에 피해가 발생하면서, 여기에 책임이 있는 회사로 인식되고 싶어하는 제조업체는 없을 것이다.
 

‘현상 유지’로의 뒷걸음

이렇게 전체 업계가 추진하는 이니셔티브에 흥미로운 점이 한 가지 있다. 어느 산업이든 일정 시간이 지나면 기존의 경계선을 안전하기 유지하기 위해 리소스를 확대할 수밖에 없는 상황에 놓인다. 목적은 단순하다. ‘현상 유지’다. 이런 점이 얼마나 반영되어 있는지 엿볼 수 있다는 점에서 흥미롭다.

이것은 대부분의 ‘제국’에 적용되는 ‘원리’다. 다시 말해, 더 이상 확장에 필요한 재원을 충당하고 관리해 나갈 수 없는 지점에 도달할 만큼 규모가 커진 것이다. 다음 단계는 ‘수축’이 될 것이다. 역사는 지금까지 이런 식으로 진행되어 왔다.

한편으로 이런 이니셔티브는 대다수 사용자에게 제품이 더 안전하다는 인식을 심어주는 데 도움을 준다. IT 기업이 사용자 데이터 안전에 투자하고 있다고 여길 만한 방식이기도 하다. 물론 안전을 중시하지 않는 기업에 관심을 쏟을 필요는 없을 것이다. editor@itworld.co.kr 


X