Apple 플랫폼 보안 (용어집)

용어집

고급 암호화 표준(AES). 

데이터를 비공개로 유지하기 위해 암호화하는 데 사용되는 글로벌 암호화 표준.

 

권한 설정 프로파일

iOS 또는 iPadOS 기기에 앱을 설치하고 테스트하도록 허용하는 권한과 항목 세트를 포함하는 Apple이 서명한 .plist 파일(프로퍼티 리스트). 개발 권한 설정 프로파일은 개발자가 임시 배포를 위해 선택한 기기의 목록을 표시합니다. 배포 권한 설정 프로파일은 기업이 개발한 앱의 앱 ID를 포함합니다.

 

데이터 보호

지원되는 Apple 기기용 파일 및 키체인 보호 메커니즘. 앱이 파일과 키체인 항목을 보호하는 데 사용하는 API를 지칭하기도 합니다.

 

메모리 컨트롤러

SoC(system on chip)와 SoC(system on chip)의 주 메모리 간의 인터페이스를 제어하는 SoC(system on chip)의 보조 시스템.

 

미디어 키

안전하고 즉각적인 삭제 기능을 제공하는 암호화 키 계층의 일부. iOS, iPadOS, tvOS, watchOS에서 미디어 키는 데이터 볼륨의 메타데이터를 래핑합니다(따라서 미디어 키가 없으면 파일별 키에 접근할 수 없어 데이터 보호를 통해 보호되는 파일에 액세스할 수 없음). macOS에서 미디어 키는 키 재료, 모든 메타데이터, FileVault로 보호된 볼륨의 데이터를 래핑합니다. 어느 쪽이든 미디어 키를 삭제하면 암호화된 데이터에 액세스할 수 없게 됩니다.

 

보안 저장 장치 구성 요소

변경이 불가능한 RO 코드, 하드웨어 난수 발생기, 암호화 엔진 및 물리적 변형 감지 기능을 사용하여 설계된 칩입니다. 지원되는 기기의 경우, Secure Enclave가 재전송 방지 nonce 저장 장치의 보안 저장 장치 구성요소와 연결됩니다. nonce를 읽고 업데이트하기 위해 Secure Enclave 및 저장 장치 칩이 해당 nonce에 단독으로 접근하는 보안 프로토콜을 사용합니다. 이 기술에는 보안 보장이 다른 여러 세대가 있습니다.

 

복구 모드

사용자의 기기를 인식하지 못하는 경우에 여러 Apple 기기를 복원하기 위해 사용하는 모드로서 사용자가 운영 체제를 다시 설치할 수 있도록 합니다.

 

봉인 키 보호(SKP)

시스템 소프트웨어의 측정값 및 하드웨어에만 있는 키(예: Secure Enclave의 UID)로 암호화 키를 보호하거나 또는 봉인하는 데이터 보호 기술.

 

삭제할 수 있는 저장 장치(Effaceable Storage)

NAND 저장 공간의 전용 영역, 암호화 키를 저장하는 데 사용되며 직접 주소를 지정하고 안전하게 삭제됩니다. 공격자가 기기를 물리적으로 소유하는 경우에 보호를 제공하지는 않지만 삭제할 수 있는 저장 장치(Effaceable Storage)에 보관된 키를 키 계층의 부분으로 사용하여 빠른 삭제를 진행하여 전방향 안전성을 제공합니다.

 

소프트웨어 시드 비트

UID에서 키를 생성할 때 UID에 추가되는 Secure Enclave AES 엔진의 전용 비트. 각 소프트웨어 시드 비트는 그에 해당하는 잠금 비트가 있습니다. 해당하는 잠금 비트가 설정되어 있지 않은 경우 Secure Enclave Boot ROM 및 운영 체제가 독립적으로 각 소프트웨어 시드 비트의 값을 변경합니다. 잠금 비트가 설정되면 소프트웨어 시드 비트와 잠금 비트 모두 수정할 수 없습니다. Secure Enclave가 재시동되면 소프트웨어 시드 비트와 그에 해당하는 잠금이 재설정됩니다.

 

시스템 보조 프로세서 무결성 보호(SCIP)

보조 프로세서 펌웨어의 변경을 방지하기 위해 설계된 Apple이 사용하는 메커니즘.

 

시스템 소프트웨어 승인

하드웨어에 내장된 암호화 키와 온라인 서비스를 결합하여, 업그레이드 시 지원되는 기기에 맞는 합법적 Apple 소프트웨어만 제공 및 설치되도록 확인하는 프로세스.

 

암호 파생 키(PDK)

사용자 암호와 장기 SKP 키 및 Secure Enclave의 UID를 연결하여 파생된 암호화 키.

 

융선 흐름 각도 매핑

지문의 일부에서 추출한 융선의 방향과 너비의 수학적 표현.

 

저레벨 부트로더(LLB)

2단계 부트 아키텍처를 사용하는 Mac 컴퓨터에서 Boot ROM이 호출하고 차례로 보안 시동 체인의 부분으로 iBoot를 로드하는 LLB에 포함된 코드.

 

키 래핑

한 키를 다른 키로 암호화하는 방법. iOS 및 iPadOS는 RFC 3394와 같이 NIST AES 키 래핑을 사용함.

 

키체인

암호, 키 및 기타 민감한 자격 증명 정보를 저장하고 검색하기 위해 Apple 운영 체제와 타사 앱이 사용하는 인프라와 API 세트.

 

탱글링

사용자의 암호가 암호화 키로 전환되어 기기의 UID로 강화되는 과정. 이 과정은 무작위 대입 공격은 정해진 기기에서 수행되므로 속도가 제한되어 탱글링과 동시에 수행될 수 없음을 보장합니다. 탱글링 알고리즘은 PBKDF2입니다. PBKDF2는 PRF(의사 난수 함수)로서 각 반복에 대해 기기 UID와 키로 연결된 AES를 사용합니다.

 

파일 시스템 키

클래스 키를 포함하여 각 파일의 메타데이터를 암호화하는 키. 삭제할 수 있는 저장 장치(Effaceable Storage)에 보관되어 기밀성 유지보다는 빠른 삭제를 진행할 수 있습니다.

 

파일별 키

파일 시스템에서 파일을 암호화하기 위해 데이터 보호가 사용하는 키. 파일별 키는 클래스 키로 래핑되고 파일의 메타데이터에 저장됨.

 

AES 암호화 엔진

AES를 구현하는 전용 하드웨어 구성 요소.

 

AES-XTS

저장 매체를 암호화하는 작업을 의미하는 AES 모드(IEEE 1619-2007에 정의됨).

 

APNS(Apple 푸시 알림 서비스)

푸시 알림을 Apple 기기에 전달하는 Apple이 제공하는 전 세계적인 서비스.

 

Apple 보안 포상금

최신 출시 운영 시스템 및 최신 하드웨어(관련이 있는 경우)에 영향을 미치는 취약점을 보고한 연구원에게 Apple에서 주는 보상.

 

Apple 파일 시스템(APFS).

iOS, iPadOS, tvOS, watchOS 및 macOS 10.13 이상을 사용하는 Mac 컴퓨터용 기본 파일 시스템. APFS는 강력한 암호화, 공간 공유, 스냅샷, 빠른 디렉토리 크기 조정 및 향상된 파일 시스템 기본 기능을 제공합니다.

 

Apple Business Manager

간편한 웹 기반의 IT 관리자용 포털로, Apple이나 프로그램에 참여하는 Apple 공인 대리점 또는 이동통신사를 통해 조직이 직접 구입한 Apple 기기를 빠르고 능률적으로 배포할 수 있는 방법을 제공합니다. 사용자에게 기기를 할당하기 전에 조직은 기기를 직접 조작하거나 먼저 준비할 필요 없이 자동으로 MDM(Mobile Device Management) 솔루션에 기기를 등록할 수 있습니다.

 

Apple IDS(Identity Service)

키와 기기 주소를 찾는 데 사용되는 iMessage 공개 키, APNS 주소, 전화번호 및 이메일 주소가 포함된 Apple 디렉토리.

 

Apple School Manager

간편한 웹 기반의 IT 관리자용 포털로, Apple이나 프로그램에 참여하는 Apple 공인 대리점 또는 이동통신사를 통해 조직이 직접 구입한 Apple 기기를 빠르고 능률적으로 배포할 수 있는 방법을 제공합니다. 사용자에게 기기를 할당하기 전에 조직은 기기를 직접 조작하거나 먼저 준비할 필요 없이 자동으로 MDM(Mobile Device Management) 솔루션에 기기를 등록할 수 있습니다.

 

ASLR(Address Space Layout Randomization)

소프트웨어 버그가 공격하기 어렵도록 만드는 운영 체제에 채용된 기술. 메모리 주소와 오프셋을 예측할 수 없게 하여 악성 코드가 이 값을 하드 코드할 수 없습니다.

 

Boot Camp

지원되는 Mac 컴퓨터에서 Microsoft Windows의 설치를 지원하는 Mac 유틸리티.

 

Boot ROM

기기가 처음 시동될 때 기기의 프로세서가 실행하는 최초의 코드. 프로세서의 필수불가결한 부분으로서 Apple이나 공격자가 변경할 수 없습니다.

 

BPR(Boot Progress Register)

소프트웨어가 기기의 부트 모드(DFU(기기 펌웨어 업데이트) 모드 및 복구 모드 등)를 확인하는 데 사용되는 SoC(system on chip) 하드웨어 플래그 세트. BPR 플래그가 설정되면 지울 수 없습니다. 이 플래그는 이후에 소프트웨어가 신뢰할 수 있는 시스템 상태 표시기로 사용됩니다.

 

CKRecord

CloudKit에 저장되거나 CloudKit에서 가져온 데이터가 들어 있는 키 값 쌍의 사전.

 

Data Vault

요청된 앱 자체가 샌드박스되어 있는지와 관계 없이, 데이터에 대한 무단 접근으로부터 보호하기 위해 커널로 강화된 메커니즘.

 

DFU(기기 펌웨어 업그레이드) 모드

기기의 Boot ROM 코드가 USB를 통해 복구되도록 대기하는 모드. DFU 모드에서는 화면이 검은색으로 표시되지만 iTunes 또는 Finder를 실행 중인 컴퓨터에 연결하는 즉시 다음 메시지가 표시됩니다. ‘iTunes(또는 Finder)가 복구 모드에 있는 (iPad, iPhone 또는 iPod touch)를 발견했습니다. iTunes(또는 Finder)와 함께 사용하기 전에 이 (iPad, iPhone 또는 iPod touch)를 복원해야 합니다.’

 

DMA(직접 메모리 접근)

하드웨어 하위 시스템이 CPU를 우회하여 주 메모리에 직접 접근할 수 있는 기능.

 

ECDHE(Elliptic Curve Diffie-Hellman Exchange Ephemeral)

타원 곡선 기반 키 교환 메커니즘. ECDHE는 비밀 키가 두 당사자 간의 메시지를 엿보는 사람에게 노출되지 않도록 차단하는 방식으로 두 당사자가 비밀 키에 대해 동의할 수 있도록 합니다.

 

ECDSA(Elliptic Curve Digital Signature Algorithm)

타원 곡선 암호화 기반 디지털 서명 알고리즘.

 

ECID(Exclusive Chip Identification)

각 iOS 및 iPadOS 기기의 프로세서별로 고유한 64비트 식별자. 한 기기에서 전화를 받는 경우 가까이에 있는 iCloud로 연결된 기기의 벨소리가 BLE(Bluetooth Low Energy) 4.0 알림을 받아 바로 꺼집니다. 알림 바이트는 Handoff 알림과 같은 방식을 통하여 암호화됩니다. 개인 맞춤화 프로세스의 일부로 사용되며 비밀 정보로 처리되지 않습니다.

 

eSPI(Enhanced Serial Peripheral Interface)

동기식 직렬 통신용으로 설계된 일체형 버스.

 

Gatekeeper

macOS에서 신뢰하는 소프트웨어만이 사용자의 Mac에서 실행되도록 보장하는 기술입니다.

 

GID(그룹 ID)

UID와 비슷하지만 한 클래스의 모든 프로세서에 공통입니다.

 

HMAC

암호화 해시 기능을 사용한 해시 기반 메시지 인증 코드입니다.

 

HSM(하드웨어 보안 모듈)

디지털 키 보호 및 관리에 전문화된 변경 방지 컴퓨터.

 

iBoot

모든 Apple 기기에서 사용 가능한 Stage 2 부트로더. 보안 시동 체인의 부분으로 XNU를 로드하는 코드. SoC(system on chip) 생성에 따라 iBoot는 저레벨 부트로더로 로드되거나 Boot ROM에서 직접 로드될 수 있습니다.

 

IC(집적 회로)

마이크로칩으로 알려짐.

 

IOMMU(입력/출력 메모리 관리 유닛)

입력/출력 메모리 관리 유닛. 다른 입력/출력 기기 및 주변 기기의 주소 공간에 대한 접근을 제어하는 통합 칩의 하위 시스템.

 

JTAG(Joint Test Action Group)

프로그래머와 회로 개발자들이 사용하는 표준 하드웨어 디버깅 도구.

 

keybag

클래스 키의 모음을 저장하는 데 사용되는 데이터 구조. 각 유형(User, Device, System, Backup, Escrow 및 iCloud 백업)에는 다음과 같은 동일한 포맷이 있습니다.

헤더에 포함된 내용: 버전(iOS 12 이상에서 4로 설정), 유형(시스템, 백업, 에스크로 또는 iCloud 백업), Keybag UUID, HMAC(Keybag이 서명된 경우), 클래스 키를 래핑하는 데 사용되는 방법(솔트 및 반복 횟수에 따라 UID 또는 PBKDF2를 사용하여 탱글링)

클래스 키의 목록: 키 UUID, 클래스(파일 또는 키체인 데이터 보호), 래핑 유형(UID 파생 키 전용, UID 파생 키와 암호 파생 키), 래핑된 클래스 키, 비대칭 클래스의 공개 키

 

MDM(Mobile Device Management)

관리자가 등록된 기기를 원격으로 관리할 수 있는 서비스. 기기가 등록되면 관리자는 네트워크를 통해 MDM 서비스를 사용하여 설정을 구성하고 사용자 상호 작용 없이 기기에서 다른 작업을 수행할 수 있습니다.

 

NAND

비휘발성 플래시 메모리.

 

nonce

다양한 보안 프로토콜에서 사용되는 고유한 일회성 숫자.

 

sepOS

L4 마이크로커널의 Apple 맞춤형 버전을 기반으로 하는 Secure Enclave 펌웨어.

 

SoC(system on chip)

여러 구성요소를 단일 칩으로 통합한 집적 회로(IC). 응용 프로그램 프로세서, Secure Enclave 및 기타 보조 프로세서는 SoC의 구성요소입니다.

 

SSD 컨트롤러

저장 매체(SSD)를 관리하는 하드웨어 보조 시스템.

 

UEFi(Unified Extensible Firmware Interface) 펌웨어

펌웨어와 컴퓨터의 운영 체제를 연결하는 BIOS 대체 기술.

 

UID(고유 ID)

제조 시 각 프로세서에 각인되는 256비트 AES 키. 펌웨어나 소프트웨어가 읽을 수 없고 프로세서의 하드웨어 AES 엔진만 사용할 수 있습니다. 실제 키를 받기 위해 공격자는 프로세서의 실리콘에 대해 매우 복잡하고 고가의 물리적 공격을 마운트해야 합니다. UID는 UDID 뿐만 아니라 기기의 모든 식별자와 관련이 없습니다.

 

URI(Uniform Resource Identifier)

웹 기반의 리소스를 식별하는 문자 스트링.

 

xART

eXtended Anti-Replay Technology의 약자. 물리적 저장 장치 아키텍처를 기반으로 하는 재전송 방지 기능을 통해 Secure Enclave에 대해 암호화되고 인증된 영구 저장 장치를 제공하는 서비스 집합입니다. 보안 저장 장치 구성 요소를 참조하십시오.

 

XNU

Apple 운영 체제의 핵심 커널. 신뢰받는 것으로 간주되어 코드 서명, 샌드박스, 권한 검사 및 ASLR(Address Space Layout Randomization) 같은 보안책을 시행합니다.

 

XProtect

macOS의 서명 기반 악성 코드 탐지 및 제거용 내장 안티바이러스 기술.