watchOS의 시스템 보안
Apple Watch는 iOS 및 iPadOS에서 사용하는 것과 동일한 하드웨어 기반 플랫폼 보안 기술을 다수 사용합니다. 예를 들어, Apple Watch에서는 다음과 같은 보안 기술을 제공합니다:
보안 시동 및 보안 소프트웨어 업데이트 수행
운영 체제 무결성 유지
데이터 보안(기기 내 데이터 및 페어링된 iPhone과의 통신 또는 인터넷 통신에서의 데이터 모두)
지원되는 기술에는 시스템 보안(예: KIP, SKP 및 SCIP)에 나열된 기술뿐만 아니라 데이터 보호, 키체인 및 네트워크 기술이 포함됩니다.
watchOS 업데이트하기
watchOS를 밤사이 업데이트하도록 구성할 수 있습니다. Apple Watch 암호가 저장되고 업데이트 도중 사용되는 방식에 대한 자세한 내용은 Keybag을 참조하십시오.
손목 인식
손목 인식이 켜져 있는 경우, 해당 기기를 손목에서 제거하면 잠시 후에 자동으로 잠깁니다. 손목 인식이 꺼져 있는 경우, 제어 센터는 Apple Watch 잠금 옵션을 제공합니다. Apple Watch가 잠기면 Apple Watch에 암호를 입력해야만 Apple Pay를 사용할 수 있습니다. 손목 인식은 iPhone의 Watch 앱을 사용해 끌 수 있습니다. 이 설정은 또한 기기 관리 서비스를 사용해 강제로 적용할 수 있습니다.
활성화 잠금
iPhone의 나의 찾기가 켜져 있는 경우 해당 iPhone과 페어링된 Apple Watch도 활성화 잠금을 사용할 수 있습니다. 활성화 잠금은 Apple Watch를 분실 또는 도난당했을 때 다른 사람이 사용하거나 판매하기 어렵게 만듭니다. 활성화 잠금은 페어링된 Apple Watch를 연결 해제, 삭제, 재활성화할 경우 사용자의 Apple 계정 및 암호를 요구합니다. 자세한 내용은 활성화 잠금 보안의 내용을 참조하십시오.
iPhone의 보안 페어링
Apple Watch는 동시에 하나의 iPhone과만 페어링할 수 있습니다. Apple Watch의 페어링이 해제되면 iPhone은 해당 Apple Watch에서 모든 콘텐츠와 설정을 지우라는 명령을 전달합니다.
Apple Watch를 iPhone과 페어링하는 기능은 iPhone의 카메라를 사용해 캡처할 수 있는 Apple Watch의 움직이는 패턴에 인코딩된 비밀을 사용하여 보안됩니다. 필요한 경우, 6자리 PIN을 폴백 페어링 방식으로 사용할 수도 있습니다. 비밀 또는 PIN을 사용하는 방식은 Apple Watch 및 iPhone에서 실행 중인 운영 체제 버전에 따라 다릅니다.
watchOS 26 이상이 설치된 Apple Watch를 iOS 26 이상이 설치된 iPhone과 페어링하면 보안 IKEv2 연결을 통해 키를 교환하여 페어링을 수행합니다. 이 연결은 움직이는 패턴에 인코딩된 비밀을 사용하는 표준 PSK 인증으로 인증되거나, SPAKE2+를 사용하여 PIN으로부터 파생된 연결별 비밀을 사용하여 인증됩니다. ML-KEM-1024는 타원 곡선 Diffie-Hellman이 제공하는 보안 외에도 양자 보안을 제공하기 위해 사용됩니다.
연결이 설정되면 각 기기에서 임의의 Ed25519 공개-개인 키 페어를 생성하고 공개 키는 교환됩니다. 개인 키는 Apple Watch의 Secure Enclave에 있습니다. 이는 동일한 iPhone에 iCloud 백업을 복원하는 사용자가 마이그레이션하지 않고 기존 Apple Watch 페어링을 유지하므로 iPhone에서는 불가능합니다. 각 기기에서 BLE 4.1 대역 외 페어링에 대한 비밀을 생성하고 교환합니다.
Apple Watch 및 iPhone이 이전 버전의 소프트웨어를 실행 중인 경우, 움직이는 패턴에 인코딩된 비밀은 BLE 4.1 대역 외 페어링에 사용되며, 6자리 PIN은 표준 BLE 패스키 엔트리를 페어링하는 데 사용됩니다. BLE 세션이 구축되어 Bluetooth 핵심 표준에서 지원하는 강력한 보안 프로토콜로 암호화되고 나면 iPhone 및 Apple Watch는 다음을 통해 키를 교환합니다.
iMessage 보안 개요에서 설명한 바와 같이 Apple IDS(Identity Service)에서 채택한 프로세스를 사용합니다.
IKEv2/IPSec를 통한 키 교환을 사용합니다. 최초의 키 교환은 Bluetooth 세션 키(페어링 시나리오의 경우) 또는 IDS 키(운영 체제 업데이트 시나리오의 경우)로 인증됩니다. 각 기기는 Ed25519의 공개 및 개인 키 페어를 생성하며, 최초 키 교환 프로세스에서는 공개 키가 교환됩니다. watchOS 10 이상이 설치된 Apple Watch가 처음 페어링되면 개인 키는 Secure Enclave에 루팅됩니다.
iCloud 백업을 동일한 iPhone에 복구하는 사용자는 마이그레이션하지 않아도 기존 Apple Watch 페어링을 보존하기 때문에 iOS 17 이상이 설치된 iPhone에서 개인 키는 Secure Enclave에 루팅되지 않습니다.
참고: 키 교환 및 암호화에 사용되는 메커니즘은 iPhone 및 Apple Watch의 운영 체제 버전에 따라 다릅니다. iOS 13 이상이 설치된 iPhone이 watchOS 6 이상이 설치된 Apple Watch와 페어링된 경우, IKEv2/IPsec만을 사용하여 키를 교환하고 암호화합니다.
키가 교환되면 다음이 이루어집니다.
Bluetooth 세션 키가 폐기되고, iPhone 및 Apple Watch 간 모든 통신이 앞서 나열된 방법(별도의 암호화 단계를 제공하는 암호화된 Bluetooth, Wi-Fi 및 셀룰러 링크) 중 하나를 통해 암호화됩니다.
또한 BLE 기기 주소는 누군가가 영구 식별자를 브로드캐스트하는 경우 기기가 로컬로 추적되는 위험을 줄이기 위해 15분 간격으로 교체됩니다.
(IKEv2/IPsec에만 해당) 시스템 키체인에 키가 저장되어 향후 기기 간 IKEv2/IPsec 세션을 인증할 때 사용됩니다. 기기 간 암호화는 하드웨어 및 운영 체제에 따라 다릅니다.
iOS 26 이상이 설치된 iPhone이 watchOS 26 이상이 설치된 Apple Watch와 페어링된 경우, 타원 곡선 Diffie-Hellman이 제공하는 보안 외에도 ML-KEM-768를 양자 보안에 활용합니다.
iOS 15 이상이 설치된 iPhone이 watchOS 8 이상이 설치된 Apple Watch Series 4 또는 이후 모델과 페어링된 경우, 통신은 AES-256-GCM을 통해 암호화되며 무결성이 보호됩니다.
이전 기기 또는 이전 운영 체제 버전의 256비트 키가 포함된 ChaCha20-Poly1305.
스트리밍 데이터가 필요한 앱을 지원하기 위해 FaceTime 보안에 설명된 방식을 통해 암호화가 제공됩니다. 암호화는 인터넷에 직접 연결하거나 페어링된 iPhone에서 제공하는 Apple IDS(Identity Service)를 이용합니다.
Apple Watch는 파일 및 키체인 항목의 하드웨어 암호화된 저장 장치 및 클래스 기반 보호를 구현합니다. 또한, 키체인 항목에 대해서는 접근이 제어되는 Keybag이 사용됩니다. Apple Watch와 iPhone 간의 통신에 사용되는 키 역시 클래스 기반의 보호를 사용합니다. 자세한 내용은 데이터 보호용 Keybag의 내용을 참조하십시오.
macOS에서 Apple Watch를 통한 승인
Apple Watch에서 자동 잠금 해제가 활성화되면 Apple Watch는 단독으로 또는 Touch ID와 함께 다음으로부터 승인 및 인증 메시지를 승인할 수 있습니다.
인증을 요청한 macOS 및 Apple 앱
인증을 요청한 타사 앱
저장된 Safari 암호
보안 메모
Wi-Fi, 셀룰러, iCloud 및 Gmail의 안전한 사용
Apple Watch가 Bluetooth 범위 안에 있지 않다면 Wi-Fi 또는 셀룰러를 대신 사용할 수 있습니다. Apple Watch는 페어링된 iPhone에서 이전에 접속한 Wi-Fi 네트워크에 자동으로 연결되며 해당 네트워크의 자격 증명은 두 기기가 범위 내에 있는 동안 Apple Watch에 동기화됩니다. 그런 다음 이 자동 연결 동작은 Apple Watch 설정 앱의 Wi-Fi 섹션에 있는 각 네트워크를 기반으로 구성됩니다. 두 기기에서 이전에 연결된 적이 없는 Wi-Fi 네트워크는 Apple Watch 설정 앱의 Wi-Fi 섹션에서 수동으로 연결할 수 있습니다.
Apple Watch 및 iPhone이 서로 범위 밖에 있는 경우 페어링된 iPhone과 인터넷으로 메일 데이터를 동기화하지 않고 Apple Watch가 iCloud 및 Gmail 서버에 직접 연결하여 메일을 가져옵니다. Gmail 계정의 경우 사용자는 iPhone에서 Watch 앱을 열고 Mail 섹션에서 Google에 인증해야 합니다. Google에서 받은 OAuth 토큰은 Apple IDS(Identity Service)를 통해 암호화 포맷으로 Apple Watch로 전송되기 때문에 메일을 가져오는 데 사용할 수 있습니다. 이 OAuth 토큰은 연결된 iPhone에서 Gmail 서버에 연결하는 데 사용되지 않습니다.