macOS의 시동 보안
시동 보안 정책으로 Mac을 시동할 수 있는 사람과 시동에 사용될 수 있는 기기를 제한할 수 있습니다.
Apple Silicon이 탑재된 Mac의 시동 디스크 보안 정책 제어
Intel 기반 Mac 컴퓨터의 보안 정책과 달리, Apple Silicon이 탑재된 Mac의 보안 정책은 설치된 각각의 운영 체제를 대상으로 지원됩니다. 즉, 설치된 여러 macOS 인스턴스의 버전과 보안 정책이 서로 달라도 동일한 기기에서 존재할 수 있는 것입니다. 이러한 이유로 시동 보안 유틸리티에 운영 체제 선택 기능이 추가되었습니다.
Apple Silicon이 탑재된 Mac에서 시동 보안 유틸리티는 KEXT 시동 또는 SIP(시스템 무결성 보호) 구성과 같은 macOS 사용자 구성 보안의 전반적인 상태를 나타냅니다. 보안 설정 변경 시 보안이 크게 악화되거나 시스템이 쉽게 손상될 수 있는 경우, 변경을 위해 전원 버튼을 길게 눌러 복구용 OS로 재시동해야 합니다(악성 소프트웨어가 신호를 발생시키지 못하도록 하고 물리적 접근 권한이 있는 사람만 신호를 발생시킬 수 있도록 함). 이러한 이유로 Apple Silicon이 탑재된 Mac은 펌웨어 암호를 요구하거나 지원하지 않습니다. 모든 중요한 변경 사항은 사용자 승인을 통해 제어됩니다. SIP에 관한 자세한 정보는 Apple 플랫폼 보안의 시스템 무결성 보호를 참조하십시오.
그러나 조직은 macOS 11.5 이상에서 지원되는 복구용 OS 암호를 사용하여 시동 옵션 화면을 포함한 복구용 OS 환경에 대한 접근을 차단할 수 있습니다. 자세한 정보는 아래 복구용 OS 암호 섹션을 참조하십시오.
보안 정책
Apple Silicon이 탑재된 Mac에는 다음의 세 가지 보안 정책이 있습니다.
완전 보안: 이 시스템은 iOS 및 iPadOS와 같이 작동하며, 설치 시 지원되는 가장 최신 소프트웨어의 시동만을 허용합니다.
부분 보안: 이러한 정책 수준으로 시스템은 더 오래된 버전의 macOS를 실행할 수 있습니다. 이전 macOS 버전은 불가피하게 패치되지 않은 취약성을 내포하며, 이 모드가 부분 보안으로 설명되는 것도 이와 같은 이유에서입니다. Apple School Manager, Apple Business Manager 또는 Apple Business Essential에서 MDM(모바일 기기 관리) 솔루션 및 자동 기기 등록을 사용하지 않고 커널 확장 프로그램(kexts) 부팅을 지원하기 위해 수동으로 구성해야 하는 정책 수준입니다.
최소 보안: 이 정책 수준은 사용자가 자신의 사용자 설정 XNU 커널을 빌드하고, 서명하고, 시동할 수 있도록 지원합니다. SIP(시스템 무결성 보호)는 최소 보안 모드를 활성화하기 전에 비활성화되어야 합니다. 자세한 정보는 Apple 플랫폼 보안의 시스템 무결성 보호를 참조하십시오.
보안 정책에 관한 자세한 정보는 Apple 플랫폼 보안의 Apple Silicon이 탑재된 Mac의 시동 디스크 보안 정책 제어를 참조하십시오.
복구용 OS 암호
macOS 11.5 이상을 사용하는 Apple Silicon이 탑재된 Mac은 SetRecoveryLock 명령을 사용하여 MDM을 통해 복구용 OS 암호를 설정하도록 지원합니다. 복구용 OS 암호를 입력하지 않으면 사용자는 시동 옵션 화면을 포함한 복구 환경에 접근하는 것이 차단됩니다. 복구용 OS 암호는 MDM을 사용해서만 설정할 수 있으며, MDM이 기존 암호를 업데이트하거나 제거하려면 현재 암호 역시 입력해야 합니다. 복구용 OS 암호는 MDM을 통해서만 설정, 업데이트 또는 제거할 수 있으므로, 복구용 OS 암호를 설정한 MDM에서 Mac 컴퓨터를 등록 해제하면 암호도 제거됩니다. MDM 관리자는 또한 VerifyRecoveryLock 명령을 사용하여 올바른 복구용 OS 암호가 설정되었는지 확인할 수도 있습니다.
참고: 복구용 OS 암호를 설정해도 Apple Configurator를 사용하여 DFU 모드를 통해 Apple Silicon이 탑재된 Mac 컴퓨터의 복원을 방해하지 않으며, Mac의 이전 데이터를 암호화하여 접근할 수 없게 됩니다.
시동 보안 유틸리티
Apple T2 보안 칩이 탑재된 Intel 기반 Mac 컴퓨터의 경우 시동 보안 유틸리티가 많은 보안 정책 설정을 처리합니다. 이 유틸리티에 접근하려면 복구용 OS로 시동하고 유틸리티 메뉴에서 시동 보안 유틸리티를 선택합니다. 이 유틸리티는 지원되는 보안 설정을 보호하여 공격자가 쉽게 조작하지 못하도록 합니다.
보안 시동 정책은 다음 세 가지 설정 중 하나로 구성할 수 있습니다. 전체 보안, 중간 보안 및 보안 없음. 보안 없음을 선택하면 Intel 프로세서에 대한 보안 시동 평가를 완전히 비활성화하고 사용자가 원하는 볼륨으로 시동할 수 있도록 허용합니다.
보안 정책에 관한 자세한 정보는 Apple 플랫폼 보안의 Apple T2 보안 칩이 탑재된 Mac의 시동 보안 유틸리티를 참조하십시오.
펌웨어 암호 유틸리티
Apple Silicon이 탑재되지 않은 Mac 컴퓨터는 특정 Mac에서 의도하지 않은 펌웨어 설정 변경을 방지하기 위해 펌웨어 패스워드 사용을 지원합니다. 펌웨어 암호는 복구용 OS 또는 단일 사용자 모드로 시동하거나 승인되지 않은 볼륨으로 시동하거나 대상 디스크 모드로 시동하는 등의 사용자가 대체 시동 모드를 선택하는 것을 방지하는 데 사용됩니다. 펌웨어 암호는 firmwarepasswd 명령어 라인 도구, 펌웨어 암호 유틸리티 또는 MDM을 사용하여 설정, 업데이트 또는 제거할 수 있습니다. MDM이 펌웨어 암호를 업데이트하거나 지우려면 먼저 기존 암호(있는 경우)를 알고 있어야 합니다.
참고: 펌웨어 암호를 설정해도 Apple Configurator를 사용하여 DFU 모드를 통해 Apple T2 보안 칩 펌웨어의 복원을 방해하지 않습니다. Mac이 복원되면 기기에 설정된 모든 펌웨어 암호가 제거되고 내부 저장 공간의 데이터가 안전하게 지워집니다.