macOS에서의 악성 코드로부터 보호
Apple은 악성 코드를 빠르게 발견하고 차단하기 위해 위협 인텔리전스 프로세스를 운영합니다.
3중 방어 체계
악성 코드 방어 체계는 다음 세 계층으로 구성되어 있습니다.
1. 악성 코드의 설치 또는 실행 방지: App Store 또는 Notarization과 결합한 Gatekeeper
2. 고객 시스템에서 악성 코드가 실행되지 않도록 차단: Gatekeeper, Notarization 및 XProtect
3. 이미 실행된 악성 코드에 대한 치료: XProtect
첫 번째 방어 계층은 악성 코드의 배포를 막고 한 번도 실행되지 않도록 설계되었습니다. 이는 App Store 및 Notarization과 결합한 Gatekeeper가 지향하는 목표입니다.
다음 방어 계층은 악성 코드가 Mac에 나타나면 빠르게 식별하고 차단하여 확산을 막고 이미 악성 코드가 자리 잡은 Mac 시스템을 치료하는 것입니다. XProtect는 Gatekeeper 및 Notarization과 함께 이러한 방어 체계를 추가합니다.
마지막으로 XProtect 는 실행에 성공한 악성 코드를 치료하는 역할을 합니다.
아래에 설명된 이러한 보호 기능을 결합하여 바이러스 및 악성 코드에 대해 가장 적합한 보호를 지원합니다. 특히 Apple Silicon이 탑재된 Mac에는 실행 가능한 악성 코드로 인한 잠재적 손상을 제한하기 위한 추가 보호 기능이 있습니다. macOS가 악성 코드로부터 사용자 데이터를 보호하는 방법은 사용자 데이터에 대한 앱 접근 방지를 참조하고, macOS에서 악성코드가 시스템에서 수행할 수 있는 작업을 제한하는 방법은 운영 체제 무결성을 참조하십시오.
Notarization
Notarization은 Apple이 제공하는 악성 코드 스캔 서비스입니다. App Store 외부에서 macOS용 앱을 배포하려는 개발자는 배포 프로세스의 일부로서 앱을 스캔하여 제출합니다. Apple은 이 소프트웨어에서 알려진 악성 코드를 스캔하고 악성 코드가 발견되지 않는 경우 Notarization 티켓을 발행합니다. 일반적으로 개발자는 Gatekeeper가 오프라인에서도 앱을 확인하고 실행할 수 있도록 이 티켓을 앱에 고정합니다.
또한 Apple은 이전에 공증을 받았더라도 악성으로 알려진 앱에 대해 해지 티켓을 발행할 수 있습니다. macOS는 새로운 해지 티켓을 정기적으로 확인하여 Gatekeeper가 최신 정보를 보유하고 이러한 파일의 실행을 차단할 수 있도록 합니다. 이 프로세스는 새로운 XProtect 서명을 푸시하는 백그라운드 업데이트보다 백그라운드에서 업데이트가 훨씬 더 자주 발생하기 때문에 악성 앱을 매우 빠르게 차단할 수 있습니다. 또한 이 보호 기능은 이전에 공증을 받은 앱과 그렇지 않은 앱에 모두 적용할 수 있습니다.
XProtect
macOS는 악성 코드의 서명 기반 감지 및 제거를 위한 내장 안티바이러스 기술인 XProtect를 포함하고 있습니다. 해당 시스템에서는 서명 기반 악성 코드 감지를 수행하는 도구인 YARA 서명을 사용하며, Apple은 이를 주기적으로 업데이트합니다. Apple은 새로운 악성 코드 감염 및 변종을 모니터링하고, 시스템 업데이트와는 별개로 서명을 자동으로 업데이트하여 Mac을 악성 코드 감염에서 보호합니다. XProtect는 알려진 악성 코드의 실행을 자동으로 감지하고 차단합니다. macOS 10.15 이상에서 XProtect는 다음과 같은 경우 알려진 악성 콘텐츠를 검사합니다.
앱이 처음 실행된 경우
앱이 파일 시스템에서 변경된 경우
XProtect 서명이 업데이트된 경우
XProtect가 알려진 악성 코드를 감지하면 소프트웨어가 차단되고 사용자에게 이를 알리며, 해당 소프트웨어를 휴지통으로 이동하는 옵션을 표시합니다.
참고: 공증은 알려진 파일(또는 파일 해시)에 대해 효과적이며 이전에 실행된 앱에서 사용할 수 있습니다. XProtect의 서명 기반 규칙은 특정 파일 해시보다 더 일반적이어서 Apple이 보지 못한 변종을 찾을 수 있습니다. XProtect는 변경된 앱이나 처음 실행하는 앱만 스캔합니다.
XProtect에는 악성 코드가 Mac에 침투하는 경우 감염을 치료하는 기술도 있습니다. 예를 들어, 이 기능은 보안 업데이트 및 시스템 데이터 파일의 자동 업데이트의 일부로서 Apple에서 자동으로 제공되는 업데이트를 기반으로 감염을 치료하는 엔진을 포함합니다. 이 시스템은 업데이트된 정보를 받으면 악성 코드를 제거하고 주기적으로 계속 감염되었는지 확인합니다. 그러나 XProtect는 Mac을 자동으로 재시동하지 않습니다. 또한, XProtect에는 행위 분석을 기반으로 알 수 없는 악성 코드를 감지하는 고급 엔진이 포함됩니다. 이 엔진이 감지한 악성 코드에 대한 정보(어떤 소프트웨어가 다운로드했는지에 대한 정보 포함)는 XProtect 서명과 macOS 보안을 개선하는 데 사용됩니다.
자동 XProtect 보안 업데이트
Apple은 최신 위협 인텔리전스를 기반으로 XProtect 업데이트를 자동으로 배포합니다. macOS는 기본적으로 업데이트를 매일 확인합니다. CloudKit 동기화를 통해 배포되는 공증 업데이트는 훨씬 더 자주 발생합니다.
Apple이 새로 발견된 악성 코드에 대처하는 방법
새로운 악성 코드가 발견되면 다음과 같은 여러 단계를 수행할 수 있습니다.
연관된 모든 개발자 ID 인증서는 제거됩니다.
모든 파일(앱 및 관련 파일)에 대해 공증 해지 티켓이 발급됩니다.
XProtect 서명이 개발되고 공개됩니다.
이러한 서명은 또한 이전에 공증을 받은 소프트웨어에 소급적으로 적용되며, 새로 악성 코드가 감지될 경우, 하나 이상의 이전의 조치가 이루어질 수 있습니다.
궁극적으로 악성 코드 감지는 Mac 사용자에게 가능한 최고의 보호 기능을 전파하기 위해 다음에 이어지는 몇 초, 몇 시간 및 며칠 단위로 일련의 단계를 시작합니다.