iOS / 개발자 / 보안

"애플의 보안 철학을 담은" 기업용 보안 툴 2가지

Ryan Faas | Computerworld 2022.06.21
WWDC는 애플의 다양한 신제품과 함께 애플이 가지고 있는 기술 철학도 엿볼 수 있는 행사다. 올해도 다양한 애플의 개발 도구가 쏟아져 나온 가운데, 특히 보안 관련 발표에서 주목할 만한 기술이 있었다. 관리형 장치 증명(Managed Device Attestation)과 엔드포인트 보안과 관련된 내용이다. 두 기술 모두 일반 사용자나 인프라 관리자보다, 기기 관리와 보안 솔루션을 다루는 개발자에게 도움이 될 만한 내용을 담고 있다. 
 
ⓒ Getty Images Bank

복잡한 기기 인증을 쉽게, 관리형 장치 증명

일단 관리형 장치 증명부터 알아보자. 이 기능을 이용하면 서버와 온프레미스 및 클라우드 서비스가 어떤 리소스 접근 요청을 허용해야 하는지 파악하기 쉽다. 

사실 지난 10년 동안 클라우드와 모바일 기기 사용이 기하급수적으로 늘면서 기업 내 보안 환경은 크게 바뀌었다. 10년 전만 하더라도 기업 보안 관점에서 중요한 것은 VPN으로 대표되는 원격 액세스 도구를 이용해 접근할 수 있는 네트워크 경계를 만들고 그 안에서 기업 데이터와 네트워크를 보호하는 것이었다. 

하지만 오늘날의 보안은 훨씬 복잡하다. 많은 리소스가 기업 네트워크 밖에 존재하며, 광범위한 로컬, 원격, 클라우드 서비스에서 들어온 요청을 신뢰할 수 있는지 먼저 평가해야 한다. 이런 평가를 대신해주는 서비스는 많은데, 보통 꽤 복잡한 인증이나 권한 부여 기술을 제공한다.

예를 들어 액세스 요청이 유효한지 확인하기 위해서는 사용자 ID, 장치 ID, 위치 정보, 연결 상태, 날짜 및 시간, 장치 관리 상태 같은 데이터가 기준으로 활용된다. 얼마나 민감한 데이터 혹은 시스템에 접근하느냐에 따라 단순한 정보만 가지고 진행할 수 있지만, 어떤 경우는 앞서 언급한 모든 기준을 다 확인해야 할 만큼 까다롭게 검증 과정이 필요할 수 있다. 

여러 기준 중에서도 가장 활용하기 좋은 것이 장치 ID다. 장치 ID를 이용하면 보안 관리자는 모든 기업 시스템(MDM 서비스 포함)과 리소스에 접근하는 사용자의 정보를 알고, 누구를 신뢰해야 할지 파악할 수 있다. 현재 애플 기기에서 알 수 있는 정보는 애플 자체 MDM 프로토콜로 부여되는 기기 고유 번호, MDM 기기 정보 쿼리에서 반환되는 값(보통 일련번호, IMEI 등이 포함), 사전에 부여된 보안 인증서 정보 등이 있다.  

애플은 장치의 보안성을 높이기 위해 iOS, 아이패드OS, tvOS를 위한 장치 ID 기술을 새로 만들고 있다. 바로 장치 증명이란 기능이다. 말 그대로 장치를 믿을 수 있는지 증명해주는 기술로, 애플은 자체 증명 서버를 사용해 필요한 정보 검증을 도와줄 예정이다. 애플은 이 과정에서 장치의 시큐어 엔클레이브(Secure Enclave, 애플의 보안 시스템), 제조 기록, 운영체제 정보 등을 활용한다. 

증명 과정에서는 OS나 앱이 아니라 장치 자체를 살펴본다. 그래서 장치가 망가진다고 해도 여전히 애플은 장치를 증명할 수 있다. 시큐어 엔클레이브에 이상이 없다면 장치가 유효한지 검증할 수 있는 것이다. (MDM 서비스는 별도로 OS의 무결성을 검증할 수 있다.)

증명은 2가지 방면으로 유용하다. 첫 번째, MDM 서비스 이용 과정에서 장치 증명을 활용할 수 있다. 두 번째는 리소스 접근 과정의 보안성을 높일 수 있다. 두 번째의 경우 별도의 ACME(Automatic Certificate Management Environment) 서버 또는 서비스를 설치해야 한다. 이를 통해 SCEP(Simple Certificate Enrollment Protocol)와 유사한 방식으로 클라이언트 인증서를 구성할 수 있다.

ACME 서버가 증명 결과를 수신하면, 리소스 액세스를 허용하는 인증서가 발행된다. 증명 인증서는 장치 ID, 장치 속성, 하드웨어별 ID 키(시큐어 엔클레이브와 관련됨)를 포함하며 결과적으로 장치가 진짜 애플 하드웨어라는 것을 확인해준다. 

애플은 다양한 이유로 증명이 실패할 수 있으나 네트워크 문제 또는 기업 내 증명 서버 문제 같은 일부 상황으로는 보안성이 크게 위협받지 않는다고 설명한다. 하지만 향후 문제를 키울 수 있는 특정 상황도 있다. 대표적으로 ▲개조된 장치 하드웨어 ▲인식되지 않거나 수정된 소프트웨어 ▲장치가 진짜 애플 장치가 아닌 상황이 발견돼 증명에 실패한 경우, 조사나 해결이 꼭 필요하다.

장치 증명은 장치 ID 검증을 하는 데 매우 유용한 기술이다. ACME 서비스를 구성하는 데 관심이 없더라도 MDM 솔루션과 이용하기 좋다. 하지만 정확한 기능은 MDM 전문 업체가 기능을 구현하는 방식에 따라 달라질 수 있다. 앞으로 ACME 서비스를 MDM 시스템에 넣어서 장치 증명 기능을 보다 쉽게 지원하게 만드는 업체가 나타날 수 있다. 

맥 사용자를 위한 보안 툴, 시큐어 엔드포인트 API

애플은 올해 WWDC에서 엔드포인트 보안을 높이는 Secure Endpoint API를 공개했다. 주로 맥 OS 사용자가 활용하기 좋은 보안 툴이다. 이번 API에선 새로운 이벤트 타입을 지원하는 데 크게 인증(Authentication), 로그인/로그아웃, X프로텍트(XProtect)/게이트키퍼(Gatekeeper) 이벤트가 포함됐다. 
 
  • 인증 : Secure Endpoint API에 액세스할 수 있는 인증 이벤트에는 비밀번호 인증, 터치 ID(Touch ID), 암호화 토큰 발행, 애플 워치를 사용한 자동 잠금 해제(Auto Unlock)가 포함된다. 개발자는 이를 활용해 의심스러운 (성공 또는 실패한) 액세스 시도의 패턴을 찾고 단순한 경고부터 추가적인 조치까지 다양한 방식으로 대응할 수 있다.
  • 로그인/로그아웃 : Secure Endpoint API를 사용하면 로그인 창(키보드를 사용해 맥에 직접 로그인하는 방식), 화면 공유를 통한 로그인, SSH 연결, 커맨드라인 로그인 같은 다양한 유형의 로그인/로그아웃을 검사할 수 있다. 의심스러운 로그인 활동 또는 시도를 찾을 수 있다는 점에서 가치가 있다. 
  • X프로텍트/게이트키퍼 : X프로텍트/게이트키퍼를 이용하면 악성 소프트웨어가 감지된 것을 파악하고 정보에 바로 접근할 수 있다. 문제가 해결됐을 때도 이를 활용할 수 있으며 자동 혹은 수동으로 그 과정을 처리할 수 있다. 
앞서 언급한 두 기술은 모두 인프라 관리 지원보단 개발자를 위한 것이었지만 동시에 기업 및 보안 업체를 위한 기술이기도 하다. 이를 통해 기업 보안 시장의 변화를 이해하고 보안 강화를 위해 필요한 도구를 제공하겠다는 애플의 의지를 엿볼 수 있다.
editor@itworld.co.kr
 Tags 애플 WWDC

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.