2020.08.24

'느려지지 않을까?' 신형 맥의 '파일볼트+T2 칩' 작동 방식의 이해

Glenn Fleishman | Macworld
신형 맥에는 T2 보안 칩이 들어갔다. 자체 시큐어 인클레이브가 포함돼 있고 변조에 대한 저항력이 있어 아이폰, 아이패드만큼 강력한 보안 수준을 제공한다. 터치 ID를 처리하고 노트북의 애플 페이에 쓰이는 것은 물론 전체 디스크 암호화 같은 여러 가지 작업을 처리한다. T2 칩은 2017년형 아이맥 프로부터 맥에 사용되기 시작했다. 현재 사용하고 있는 제품에 T2 칩이 들어갔는지 확인하려면 애플 웹사이트를 참고하면 된다.
 
© iFixit

T2 이전 제품에서는 맥OS가 소프트웨어와 하드웨어 가속 기능을 조합해 파일볼트로 디스크 전체 데이터를 암호화했다(보안 및 개인 정보 보호 설정의 파일볼트 항목에서 켜고 끌 수 있다). 이전까지는 최초로 드라이브 전체를 암호화하는 데 매우 긴 시간이 소요됐고, 암호화는 진행하는 도중에는 시스템 전체가 마치 수렁에 빠진 것 같았다. 그러나 T2 칩이 들어간 제품에서는 데이터를 암호화하지 않은 것과 거의 같은 속도로 실시간으로 읽기, 쓰기가 가능하다.

파일볼트는 전원이 들어오지 않은 상태에서 디스크에서 데이터를 빼내지 못 하도록 막는 역할을 한다. 맥에 전원을 넣고 정상적으로 로그인해야만 데이터에 접근할 수 있다. 키에 대한 접근 권한이 없으면 단지 디지털 잡동사니 뭉치처럼 보이고, 이 키는 맥의 파일볼트 연결 계정의 암호 없이는 얻을 수 없다. 맥을 켰을 때 입력하는 암호로 이를 통해 드라이브 잠금 상태를 해제하게 된다.
 
최신 27인치 아이맥에는 T2 보안 칩이 들어갔다. © IDG/Roman Loyola

T2 칩이 암호화를 관리한다면 파일볼트의 역할은 무엇일까? T2 칩을 내장한 맥에서 파일볼트 기능을 껐다고 가정하면 차이가 쉽게 보인다. 즉, T2 칩을 내장한 맥에서는 드라이브를 추출해도 해당 콘텐츠에 접근할 수 없다. T2  칩이 없는 기존 맥에서는 파일볼트로 보호되지 않는 콘텐츠는 드라이브를 추출하면 바로 읽을 수 있었다. T2 칩을 통해 개선된 점으로, 맥의 기본적인 보안이 향상됐음을 알 수 있다.

결과적으로 T2 칩이 장착된 맥은 파일볼트를 활성화하지 않아도 '내 기기 찾기'에서 '이 기기 삭제' 명령을 사용해 즉시 내용을 지울 수 있다(암호화 키를 삭제해 드라이브의 콘텐츠를 영구적으로 복구할 수 없도록 한다). T2 칩이 없는 맥에서 파일볼트를 활성화해야 사용할 수 있었던 기능이다.

차이는 또 있다. T2 칩이 없는 구형 맥에서 파일볼트를 비활성화하면, 전체 디스크 암호화 없이 부팅 과정을 시작한다. 부팅 과정에서 악의적인 부품으로 맥OS를 오염시키거나 드라이브를 마운트해 실행한 후 데이터에 접근하는 하드웨어적 방법을 사용하면 데이터가 유출될 수 있다(자동 로그인 옵션을 켜지 않았다고 해도 마찬가지다).

반면 T2가 장착된 맥에서 파일볼트를 켜면 소프트웨어로 디스크 암호화를 다루는 것처럼 부팅 작업을 시작한다. 즉, 맥OS를 직접 로딩하는 대신 복구 파티션에서 특수 모드로 부팅된 후 파일볼트 사용이 허용된 계정의 암호 입력을 요구한다. 이 암호가 입력되기 전에는 마치 전원이 들어오지 않은 것처럼 디스크 콘텐츠가 여전히 암호화된 상태를 유지한다.

따라서 필자는 T2 칩을 사용한 맥 사용자라면 파일볼트를 활성화할 것을 추천한다. 가장 높은 수준의 보안을 구현하고 마음의 평화를 얻을 수 있다. 보너스도 있다. T2 칩은 이미 드라이브를 암호화했으므로, 오버헤드도 없고 딜레이도 없다. T2 칩이 달린 제품을 사용하고 있다면 파일볼트를 즉시 활성화하자. editor@itworld.co.kr


2020.08.24

'느려지지 않을까?' 신형 맥의 '파일볼트+T2 칩' 작동 방식의 이해

Glenn Fleishman | Macworld
신형 맥에는 T2 보안 칩이 들어갔다. 자체 시큐어 인클레이브가 포함돼 있고 변조에 대한 저항력이 있어 아이폰, 아이패드만큼 강력한 보안 수준을 제공한다. 터치 ID를 처리하고 노트북의 애플 페이에 쓰이는 것은 물론 전체 디스크 암호화 같은 여러 가지 작업을 처리한다. T2 칩은 2017년형 아이맥 프로부터 맥에 사용되기 시작했다. 현재 사용하고 있는 제품에 T2 칩이 들어갔는지 확인하려면 애플 웹사이트를 참고하면 된다.
 
© iFixit

T2 이전 제품에서는 맥OS가 소프트웨어와 하드웨어 가속 기능을 조합해 파일볼트로 디스크 전체 데이터를 암호화했다(보안 및 개인 정보 보호 설정의 파일볼트 항목에서 켜고 끌 수 있다). 이전까지는 최초로 드라이브 전체를 암호화하는 데 매우 긴 시간이 소요됐고, 암호화는 진행하는 도중에는 시스템 전체가 마치 수렁에 빠진 것 같았다. 그러나 T2 칩이 들어간 제품에서는 데이터를 암호화하지 않은 것과 거의 같은 속도로 실시간으로 읽기, 쓰기가 가능하다.

파일볼트는 전원이 들어오지 않은 상태에서 디스크에서 데이터를 빼내지 못 하도록 막는 역할을 한다. 맥에 전원을 넣고 정상적으로 로그인해야만 데이터에 접근할 수 있다. 키에 대한 접근 권한이 없으면 단지 디지털 잡동사니 뭉치처럼 보이고, 이 키는 맥의 파일볼트 연결 계정의 암호 없이는 얻을 수 없다. 맥을 켰을 때 입력하는 암호로 이를 통해 드라이브 잠금 상태를 해제하게 된다.
 
최신 27인치 아이맥에는 T2 보안 칩이 들어갔다. © IDG/Roman Loyola

T2 칩이 암호화를 관리한다면 파일볼트의 역할은 무엇일까? T2 칩을 내장한 맥에서 파일볼트 기능을 껐다고 가정하면 차이가 쉽게 보인다. 즉, T2 칩을 내장한 맥에서는 드라이브를 추출해도 해당 콘텐츠에 접근할 수 없다. T2  칩이 없는 기존 맥에서는 파일볼트로 보호되지 않는 콘텐츠는 드라이브를 추출하면 바로 읽을 수 있었다. T2 칩을 통해 개선된 점으로, 맥의 기본적인 보안이 향상됐음을 알 수 있다.

결과적으로 T2 칩이 장착된 맥은 파일볼트를 활성화하지 않아도 '내 기기 찾기'에서 '이 기기 삭제' 명령을 사용해 즉시 내용을 지울 수 있다(암호화 키를 삭제해 드라이브의 콘텐츠를 영구적으로 복구할 수 없도록 한다). T2 칩이 없는 맥에서 파일볼트를 활성화해야 사용할 수 있었던 기능이다.

차이는 또 있다. T2 칩이 없는 구형 맥에서 파일볼트를 비활성화하면, 전체 디스크 암호화 없이 부팅 과정을 시작한다. 부팅 과정에서 악의적인 부품으로 맥OS를 오염시키거나 드라이브를 마운트해 실행한 후 데이터에 접근하는 하드웨어적 방법을 사용하면 데이터가 유출될 수 있다(자동 로그인 옵션을 켜지 않았다고 해도 마찬가지다).

반면 T2가 장착된 맥에서 파일볼트를 켜면 소프트웨어로 디스크 암호화를 다루는 것처럼 부팅 작업을 시작한다. 즉, 맥OS를 직접 로딩하는 대신 복구 파티션에서 특수 모드로 부팅된 후 파일볼트 사용이 허용된 계정의 암호 입력을 요구한다. 이 암호가 입력되기 전에는 마치 전원이 들어오지 않은 것처럼 디스크 콘텐츠가 여전히 암호화된 상태를 유지한다.

따라서 필자는 T2 칩을 사용한 맥 사용자라면 파일볼트를 활성화할 것을 추천한다. 가장 높은 수준의 보안을 구현하고 마음의 평화를 얻을 수 있다. 보너스도 있다. T2 칩은 이미 드라이브를 암호화했으므로, 오버헤드도 없고 딜레이도 없다. T2 칩이 달린 제품을 사용하고 있다면 파일볼트를 즉시 활성화하자. editor@itworld.co.kr


X