새로운 맥 운영체제 등장과 함께 애플의 앱 관리 정책에 변화가 있을 예정입니다.
애플이 macOS 시에라의 보안 설정에서 게이트키퍼를 완전히 끄는 옵션을 제거했습니다.
게이트키퍼(Gatekeeper)는 검증되지 않은 앱이 맥에 설치되는 것을 차단하는 기능으로, 그동안 악성코드나 바이러스가 침투하는 것을 막는 역할을 해왔습니다. 게이트키퍼가 켜진 상태에서 애플에 등록하지 않은 개발자가 만든 앱을 실행하려고 하면 "확인되지 않은 개발자가 배포했기 때문에 열수 없습니다."라는 경고문이 나타납니다. (아래 사진) 맥을 쓰는 분들은 최소한 한 번쯤 보셨을 듯합니다.
물론 웹에서 내려받은 앱이라고 해서 무조건 악성코드라고 할 수는 없습니다.
그래서 그 동안은 사용자에 결정권을 남겨놨는데요. 시스템 환경설정 > 보안 및 개인 정보 보호 메뉴로 들어가 ‘일반’ 탭을 누르면 ‘다음에서 다운로드한 응용프로그램 허용’ 옵션을 변경할 수 있습니다. 기본 설정은 ‘맥 앱스토어 및 확인된 개발자’인데 이를 ‘모든 곳’으로 변경하면 어떤 경로를 통해서 얻은 앱도 모두 실행할 수 있습니다.
하지만 macOS 시에라에선 해당 옵션이 없어졌기 때문에 맥 앱스토어와 확인된 개발자가 만든 앱이 아닌 경우 실행이 차단됩니다. 최소한 선택권이 있었던 이전 운영체보다 규제가 훨씬 강화된 것입니다. 애플이 보안을 아주 심각하게 받아들이기 시작한 징조인 셈이죠. 그럼 무조건 앱 스토어나 애플에 등록한 개발자가 만든 앱만 받아야 하는거야라고 반문하는 분도 계실 텐데요.
다행히 규제는 하되, 우회 통로는 열어놓았습니다.
macOS 시에라에서도 확인되지 않은 개발자의 앱을 게이트키퍼에서 제외하는 방법을 계속 사용할 수 있습니다. 아래 사진처럼 Finder에서 실행하고자 하는 앱을 마우스 오른쪽 키로 클릭한 뒤 단축 메뉴에서 '열기'를 선택하면 보안 설정을 무시하고 해당 앱을 실행할 수 있습니다. 앱을 실행할 때 매번 이렇게 할 필요는 없고, 앱을 처음 실행할 때 한 번만 하면 됩니다. 게이트키퍼가 맥 운영체제에 처음 도입된 마운틴 라이언 시절부터 많은 분들이 사용하는 방법입니다.
터미널 명령어를 이용해 게이트키퍼를 완전히 끄는 방법도 여전히 유효합니다. 원래대로 복구하고 싶을 때는 명령어 끝에 있는 '-disable'을 '-enable'로 바꿔 입력하면 됩니다.
sudo spctl --master-disable
그리고 게이트키퍼 정책 변경 외에도 맥 운영체제 보안과 관련해 사용자의 눈에 보이지 않는 변화가 하나 더 있습니다. 애플이 WWDC 2016 보안 세션을 통해 발표한 통칭 '게이트키퍼 경로 임의화(Gatekeeper Path Randomization)'라는 기술입니다. 기본적으로 디지털 서명을 포함하지 않은 앱을 응용 프로그램 폴더에 저장하면, 겉보기로는 앱이 응용 프로그램에 있는 것 같지만 실체는 임의의 경로에 저장하여 다른 응용 프로그램이나 시스템 리소스에 접근하는 공격(repackaging attacks)을 차단한다고 합니다.
WWDC 2016 보안 세션(What 's New in Security)에서 위 두 가지 보안 기술이 심도 깊게 다뤄졌으니 관심 있는 분은 참고하시기 바랍니다.
참조
• Apple - OS X: Gatekeeper에 관하여
• Apple - iOS 10 & macOS: What 's New in Security (PDF)
관련 글
• OS X 마운틴 라이언에서 응용 프로그램이 실행되지 않는 문제
• 애플 맥 사용자 목표로 한 첫 랜섬웨어 등장
• 맥용 안티바이러스 제품 13종 2015 AV-Test 결과
• 애플, 차세대 맥 운영체제 'macOS Sierra' 발표