2020.12.17

'드러나지 않지만 더 안전하게' 애플의 최신 프라이버시 노력 3가지

Dan Moren | Macworld
애플은 다른 ‘빅 테크’ 경쟁사와 차별화를 시도하면서, 보안 및 프라이버시와 관련된 노력을 홍보하는 데 많은 시간을 투자한다. 앱 스토어부터 홈키트까지 애플은, 사용자 데이터는 사용자의 것이며 이를 빈틈없이 챙기고 있다는 이야기를 반복해 강조한다.
 
ⓒ Getty Images Bank

당연한 소리로 들릴 수도 있다. 오늘날 우리는 삶의 가장 개인적인 부분까지 전자기기를 믿고 맡겨야 한다. 여기에 더해, 우리 삶에서 온라인과 관련된 부분이 계속 증가하는 추세이기도 하다. 강력한 비밀번호, 이중인증 등 보안이 중요한 장소에 활용할 수 있는 명백한 방법이 필요한 이유다. 그러나 이런 데도 여러 많은 방법을 통해 개인 데이터가 유출될 수 있다.

때론 보통 사용자에게 쉽게 설명할 수 없는, 보통 사용자는 쉽게 이해하지 못하는 작은 변화가 장기적으로 여러 중요한 혜택을 제공할 수도 있다. 예를 들어 애플은 보통 사용자는 생각하지 못할 수도 있는 방식으로 보안을 개선하는 데 도움을 주는 몇 가지 조처를 했다. 다만 유감스럽게도 1~2가지는 의도했던 도움을 주지는 못했다.
 

신뢰하지만 확인한다

지난 2월, 애플은 9월부터 사파리는 13개월이 지난 HTTPS 인증서를 인정하지 않는다고 발표했다. 이런 조치의 의미가 무엇인지 즉시 이해하지 못할 수도 있지만, 사실은 매우 중요한 조치다. HTTPS 인증서는 웹사이트가 이름, 연락처, 신용카드 번호 등 사용자 정보를 계속 암호화해 안전하게 유지한다는 것을 보장하는 암호화 메커니즘이다. 브라우저 주소창에 작은 자물쇠로 표시가 된다.

그렇다면 이런 인증서가 특정 기간만 유효해야 하는 이유는 무엇일까? 운전 면허증을 생각해보자. 10년이나 20년마다 운전 면허증을 갱신한다면, 아마 그 운전 면허증은 현재 상태를 반영하지 못할 것이다. 사진이 지금 얼굴과 다르거나, 주소가 옛날 주소일 수 있다. 지금은 안경을 쓰는데, 이것이 반영되어 있지 않을 수도 있다. 심지어 그 운전 면허증을 입수한 사람이 원래 운전 면허증 소지자 행세를 할 수도 있다.

브라우저는 인증서를 더 자주 갱신하도록 요구하는 방식으로 모든 것을 안전한 상태로 유지할 수 있다. 많은 기업이 테스트나 개발을 위해, 자신의 통제 아래 여러 사이트를 대상으로 인증서를 만든다. 그런데 때때로 이런 사이트에서 목적을 달성했을 때 인증서를 방치하는 경우가 있다. 하지만 이때 만든 증명서가 오랜 기간 유지될 수 있고, 결과적으로 악의적인 공격자에게 악용될 위험이 있다.

좋은 소식은 사용자는 이를 알아차리지 못했다고 해도 이미 이런 변화가 발생했다는 것이다. 여기에 더해, 구글도 크롬에 같은 방식을 도입했다. 사용자는 아무런 일도 하지 않았지만, 브라우저는 이미 훨씬 더 안전해졌다.
 

공유하지 않는다

애플은 다른 부분에서도 인터넷 보안을 강화하려 시도했다. 최근 애플은 더 안전하게 DNS를 요청하는 방법을 개발하기 위해 웹 인프라 및 보안 업체인 클라우드플레어와 협력 계약을 체결했다고 발표했다.

DNS(Domain Name System)는 기본적으로 인터넷 ‘전화번호부’다. 이는 사용자가 자신의 브라우저에 ‘apple.com’을 입력했을 때 ‘17.253.144.10’이라는 IP 주소를 가진(실제는 사용자 환경에 따라 IP 주소가 다름) 웹사이트를 방문하려 한다는 것을 컴퓨터가 파악하는 방법이다.

DNS 시스템은 분산돼 있다. 이런 정보가 저장된 여러 서버가 있다는 의미다. 이런 서버는 정기적으로 서로 정보를 동기화한다. 대부분 인터넷 사용자는 자신의 ISP가 제공하는 DNS 서버를 사용한다. 그런데 여기에 문제가 있다. 기본적으로 DNS 요청은 암호화되지 않은 일반 텍스트로 전송이 된다. 따라서 ISP(또는 서버를 관리하는 기관)는 사용자가 요청한 모든 사이트를 파악할 수 있다. 이런 정보를 바탕으로 사용자를 파악해 광고 등의 목적으로 사용하거나, 요청을 가로채서 가짜 웹사이트로 보낼 수 있다는 의미이다.

암호화된 DNS 요청이 보편화되기 시작한 가운데, 애플과 클라우드플레어는 추가적인 보안 조치를 제안했다. DNS 쿼리를 암호화하는 것에 더해, 프록시 서버를 경유하게 해 ISP 등이 요청을 인식하지 못하게 만드는 것이다. 사용자 컴퓨터와 DNS 서버에 위치한 컴퓨터를 경유하게 만든다는 의미이다. 요청 내용을 인코딩하는 것 외에도, DNS 서버는 요청을 한 사람과 장소를 알 수 없다.

표준 관련 기관이 이 방식을 아직 공식적으로 수용을 한 상태는 아니지만, 최소한 애플은 이를 구현하려 시도하는 것으로 보인다. 향후 1~2년 후를 지켜볼 필요가 있다.
 

애플의 방화벽 문제

애플의 보안 강화 조치가 모두 성공을 거둔 것은 아니다. 예를 들어 최근 드러난 사실에 따르면, 맥OS 빅 서(Big Sur)는 특정 트래픽이 시스템 방화벽을 통과하는 것에 대해 예외를 부여하고 있다. 바로 애플 앱의 트래픽이다.

언뜻 보기에는 일리가 있어 보인다. 애플은 자신의 앱에 문제가 없다는 것을 알고 있기 때문이다. 그런데 정말 그럴까? 이런 승인된 앱 가운데 하나의 보안 취약점을 악용하는 것이 그렇게 어렵지 않다는 것이 문제다. ‘확인’ 없이 데이터가 방화벽을 통과하는 앱이다. 현재까지 애플은 아직 지적에 답을 하지 않고 있고 어떤 조처도 하지 않았다. 애플이 향후 OS 업데이트에서 이 문제를 해결하기 기대한다.

애플은 항상 편의성과 보안 사이의 균형점을 찾으려 노력한다. DNS가 인식을 못 하도록 만든 조치, HTTPS 인증서의 ‘수명’을 줄인 조치의 경우, 애플은 누구도 하지 못했던 성과를 일궈낼 수 있다. 애플이 대부분 사용자가 눈치채지 못하는 경우까지 포함해 항상 보안을 개선하려 노력하는 것은 충분히 평가할 만하다. editor@itworld.co.kr


2020.12.17

'드러나지 않지만 더 안전하게' 애플의 최신 프라이버시 노력 3가지

Dan Moren | Macworld
애플은 다른 ‘빅 테크’ 경쟁사와 차별화를 시도하면서, 보안 및 프라이버시와 관련된 노력을 홍보하는 데 많은 시간을 투자한다. 앱 스토어부터 홈키트까지 애플은, 사용자 데이터는 사용자의 것이며 이를 빈틈없이 챙기고 있다는 이야기를 반복해 강조한다.
 
ⓒ Getty Images Bank

당연한 소리로 들릴 수도 있다. 오늘날 우리는 삶의 가장 개인적인 부분까지 전자기기를 믿고 맡겨야 한다. 여기에 더해, 우리 삶에서 온라인과 관련된 부분이 계속 증가하는 추세이기도 하다. 강력한 비밀번호, 이중인증 등 보안이 중요한 장소에 활용할 수 있는 명백한 방법이 필요한 이유다. 그러나 이런 데도 여러 많은 방법을 통해 개인 데이터가 유출될 수 있다.

때론 보통 사용자에게 쉽게 설명할 수 없는, 보통 사용자는 쉽게 이해하지 못하는 작은 변화가 장기적으로 여러 중요한 혜택을 제공할 수도 있다. 예를 들어 애플은 보통 사용자는 생각하지 못할 수도 있는 방식으로 보안을 개선하는 데 도움을 주는 몇 가지 조처를 했다. 다만 유감스럽게도 1~2가지는 의도했던 도움을 주지는 못했다.
 

신뢰하지만 확인한다

지난 2월, 애플은 9월부터 사파리는 13개월이 지난 HTTPS 인증서를 인정하지 않는다고 발표했다. 이런 조치의 의미가 무엇인지 즉시 이해하지 못할 수도 있지만, 사실은 매우 중요한 조치다. HTTPS 인증서는 웹사이트가 이름, 연락처, 신용카드 번호 등 사용자 정보를 계속 암호화해 안전하게 유지한다는 것을 보장하는 암호화 메커니즘이다. 브라우저 주소창에 작은 자물쇠로 표시가 된다.

그렇다면 이런 인증서가 특정 기간만 유효해야 하는 이유는 무엇일까? 운전 면허증을 생각해보자. 10년이나 20년마다 운전 면허증을 갱신한다면, 아마 그 운전 면허증은 현재 상태를 반영하지 못할 것이다. 사진이 지금 얼굴과 다르거나, 주소가 옛날 주소일 수 있다. 지금은 안경을 쓰는데, 이것이 반영되어 있지 않을 수도 있다. 심지어 그 운전 면허증을 입수한 사람이 원래 운전 면허증 소지자 행세를 할 수도 있다.

브라우저는 인증서를 더 자주 갱신하도록 요구하는 방식으로 모든 것을 안전한 상태로 유지할 수 있다. 많은 기업이 테스트나 개발을 위해, 자신의 통제 아래 여러 사이트를 대상으로 인증서를 만든다. 그런데 때때로 이런 사이트에서 목적을 달성했을 때 인증서를 방치하는 경우가 있다. 하지만 이때 만든 증명서가 오랜 기간 유지될 수 있고, 결과적으로 악의적인 공격자에게 악용될 위험이 있다.

좋은 소식은 사용자는 이를 알아차리지 못했다고 해도 이미 이런 변화가 발생했다는 것이다. 여기에 더해, 구글도 크롬에 같은 방식을 도입했다. 사용자는 아무런 일도 하지 않았지만, 브라우저는 이미 훨씬 더 안전해졌다.
 

공유하지 않는다

애플은 다른 부분에서도 인터넷 보안을 강화하려 시도했다. 최근 애플은 더 안전하게 DNS를 요청하는 방법을 개발하기 위해 웹 인프라 및 보안 업체인 클라우드플레어와 협력 계약을 체결했다고 발표했다.

DNS(Domain Name System)는 기본적으로 인터넷 ‘전화번호부’다. 이는 사용자가 자신의 브라우저에 ‘apple.com’을 입력했을 때 ‘17.253.144.10’이라는 IP 주소를 가진(실제는 사용자 환경에 따라 IP 주소가 다름) 웹사이트를 방문하려 한다는 것을 컴퓨터가 파악하는 방법이다.

DNS 시스템은 분산돼 있다. 이런 정보가 저장된 여러 서버가 있다는 의미다. 이런 서버는 정기적으로 서로 정보를 동기화한다. 대부분 인터넷 사용자는 자신의 ISP가 제공하는 DNS 서버를 사용한다. 그런데 여기에 문제가 있다. 기본적으로 DNS 요청은 암호화되지 않은 일반 텍스트로 전송이 된다. 따라서 ISP(또는 서버를 관리하는 기관)는 사용자가 요청한 모든 사이트를 파악할 수 있다. 이런 정보를 바탕으로 사용자를 파악해 광고 등의 목적으로 사용하거나, 요청을 가로채서 가짜 웹사이트로 보낼 수 있다는 의미이다.

암호화된 DNS 요청이 보편화되기 시작한 가운데, 애플과 클라우드플레어는 추가적인 보안 조치를 제안했다. DNS 쿼리를 암호화하는 것에 더해, 프록시 서버를 경유하게 해 ISP 등이 요청을 인식하지 못하게 만드는 것이다. 사용자 컴퓨터와 DNS 서버에 위치한 컴퓨터를 경유하게 만든다는 의미이다. 요청 내용을 인코딩하는 것 외에도, DNS 서버는 요청을 한 사람과 장소를 알 수 없다.

표준 관련 기관이 이 방식을 아직 공식적으로 수용을 한 상태는 아니지만, 최소한 애플은 이를 구현하려 시도하는 것으로 보인다. 향후 1~2년 후를 지켜볼 필요가 있다.
 

애플의 방화벽 문제

애플의 보안 강화 조치가 모두 성공을 거둔 것은 아니다. 예를 들어 최근 드러난 사실에 따르면, 맥OS 빅 서(Big Sur)는 특정 트래픽이 시스템 방화벽을 통과하는 것에 대해 예외를 부여하고 있다. 바로 애플 앱의 트래픽이다.

언뜻 보기에는 일리가 있어 보인다. 애플은 자신의 앱에 문제가 없다는 것을 알고 있기 때문이다. 그런데 정말 그럴까? 이런 승인된 앱 가운데 하나의 보안 취약점을 악용하는 것이 그렇게 어렵지 않다는 것이 문제다. ‘확인’ 없이 데이터가 방화벽을 통과하는 앱이다. 현재까지 애플은 아직 지적에 답을 하지 않고 있고 어떤 조처도 하지 않았다. 애플이 향후 OS 업데이트에서 이 문제를 해결하기 기대한다.

애플은 항상 편의성과 보안 사이의 균형점을 찾으려 노력한다. DNS가 인식을 못 하도록 만든 조치, HTTPS 인증서의 ‘수명’을 줄인 조치의 경우, 애플은 누구도 하지 못했던 성과를 일궈낼 수 있다. 애플이 대부분 사용자가 눈치채지 못하는 경우까지 포함해 항상 보안을 개선하려 노력하는 것은 충분히 평가할 만하다. editor@itworld.co.kr


X