시스템 무결성 보호

시스템 무결성 보호
	현 macOS의 보안 레이어
개발자	애플
운영 체제	macOS
상태	가동 중
웹사이트	developer.apple.com/library/content/documentation/Security/Conceptual/System_Integrity_Protection_Guide/Introduction/Introduction.html

시스템 무결성 보호(System Integrity Protection, SIP^[1], 종종 '루트리스'(rootless)로 불린다^[2]^[3])는 OS X 엘카피탠에서 처음 선보인 애플의 macOS 보안 기능이다. 시스템 무결성 보호는 커널의 여러 메커니즘으로 움직인다. 시스템 무결성 보호의 주요 특징은 시스템이 소유한 시스템 파일과 시스템 디렉터리를 특정한 자격 없이 수정할 수 없게 보호하는 것이다. 심지어, 슈퍼유저거나 혹은 sudo 명령어를 받아서라도 말이다. 이로 인해서 루트리스란 별칭이 붙게 되었다.

애플측은 루트 유저가 시스템 보안에 있어서 충분한 위험 요인이 있다고 설명하고 있다. 특히, 한 사용자 계정이 관리자 계정도 점유하는 경우에 특히 그렇다는 것이다. 시스템 무결성 보호는 기본으로 설정되어 있으나, 복구 모드에서 끌 수 있다.^[4]^[5]

기능

시스템 무결성 보호는 다음과 같은 메커니즘으로 이뤄진다:

시스템 파일과 디렉터리의 컨텐츠 보호와 더불어 파일 시스템 권한 보호
코드 인젝션으로부터 프로세스 보호, 실시간 결합(디버깅 같이) 및 DTrace
서명되지 않은 커널 모듈(*.kext)로부터의 보호

시스템 무결성 보호는 플래그가 붙은 시스템 파일과 디렉터리를 보호한다. 이는 또한 확장 파일 속성을 파일 혹은 디렉터리, /System/Library/Security/rootless.conf 혹은 양쪽 다 붙인다. 여기에 포함되는 보호받는 디렉터리는 다음과 같다: /System, /bin, /sbin, /usr (예외로 /usr/local은 제외된다.).^[6] /etc, /tmp and /var to /private/etc, /private/tmp and /private/var 로부터의 심볼릭 링크도 또한 보호받으나, 목표 디렉터리는 보호받지 않는다. 또한 /Applications 폴더에 미리 설치된 애플 소프트웨어도 포함된다.^[1]

설정

시스템 무결성 보호는 시스템 파티션 바깥에서 부분적이나 혹은 전체적으로 해제할 수 있다. 이를 위해 애플에서는 csrutil 콘솔 명령어를 맥의 복구 영역 혹은 부팅 인수를 추가한 NVRAM의 부팅가능한 macOS 부팅 미디어의 터미널에서 실행하도록 해놓았다. 이 설정은 엘 케피탄과 macOS 시에라가 설치된 맥에서 설정 가능하다.^[4]

같이 보기

각주

↑ ^가 ^나 Cunningham, Andrew; Hutchinson, Lee (2015년 9월 29일). “OS X 10.11 El Capitan: The Ars Technica Review”. 《Ars Technica》. 2015년 9월 29일에 확인함.
↑ Cunningham, Andrew (2015년 6월 17일). “First look: OS X El Capitan brings a little Snow Leopard to Yosemite”. 《Ars Technica》. 2015년 6월 18일에 확인함.
↑ Slivka, Eric (2015년 6월 12일). “OS X El Capitan Opens Door to TRIM Support on Third-Party SSDs for Improved Performance”. 《MacRumors》. 2015년 6월 18일에 확인함.
↑ ^가 ^나 Martel, Pierre-Olivier (June 2015). “Security and Your Apps” (PDF). 《Apple Developer》. 8–54쪽. 2016년 4월 23일에 원본 문서 (PDF)에서 보존된 문서. 2016년 9월 30일에 확인함.
↑ “Configuring System Integrity Protection”. 《Mac Developer Library》. Apple. 2015년 9월 16일. 2016년 8월 17일에 원본 문서에서 보존된 문서. 2016년 9월 30일에 확인함.
↑ “About System Integrity Protection on your Mac”. 《Apple Support》. 2016년 5월 30일. 2016년 3월 20일에 원본 문서에서 보존된 문서. 2016년 9월 30일에 확인함.

외부 링크

System Integrity Protection Guide in Apple's Mac Developer Library - 공식 웹사이트

[:2-1] 가 ^나 Cunningham, Andrew; Hutchinson, Lee (2015년 9월 29일). “OS X 10.11 El Capitan: The Ars Technica Review”. 《Ars Technica》. 2015년 9월 29일에 확인함.

[:0-2] Cunningham, Andrew (2015년 6월 17일). “First look: OS X El Capitan brings a little Snow Leopard to Yosemite”. 《Ars Technica》. 2015년 6월 18일에 확인함.

[3] Slivka, Eric (2015년 6월 12일). “OS X El Capitan Opens Door to TRIM Support on Third-Party SSDs for Improved Performance”. 《MacRumors》. 2015년 6월 18일에 확인함.

[:1-4] 가 ^나 Martel, Pierre-Olivier (June 2015). “Security and Your Apps” (PDF). 《Apple Developer》. 8–54쪽. 2016년 4월 23일에 원본 문서 (PDF)에서 보존된 문서. 2016년 9월 30일에 확인함.

[5] “Configuring System Integrity Protection”. 《Mac Developer Library》. Apple. 2015년 9월 16일. 2016년 8월 17일에 원본 문서에서 보존된 문서. 2016년 9월 30일에 확인함.

[6] “About System Integrity Protection on your Mac”. 《Apple Support》. 2016년 5월 30일. 2016년 3월 20일에 원본 문서에서 보존된 문서. 2016년 9월 30일에 확인함.

[1]

[2]

[3]

[4]

[5]

[6]

v t e macOS
버전	서버 1.0 헤라 공개 베타 10.0 치타 10.1 퓨마 10.2 재규어 10.3 팬서 10.4 타이거 10.5 레퍼드 10.6 스노 레퍼드 10.7 라이언 10.8 마운틴 라이언 10.9 매버릭스 10.10 요세미티 10.11 엘카피탠 10.12 시에라 10.13 하이 시에라 10.14 모하비 10.15 카탈리나 11.0 빅서 12.0 몬터레이 13.0 벤투라 14.0 소노마 15.0 세쿼이아
응용 프로그램	주소록 오토메이터 계산기 체스 대시보드 사전 DVD 플레이어 페이스타임 파인더 프론트로 그래퍼 캘린더 아이챗 아이싱크 아이튠즈 (버전 역사) 맥 앱 스토어 메일 포토 부스 프리뷰 퀵타임 사파리 (버전 역사) 스티키스 텍스트에디트 미리보기
유틸리티	액티비티 모니터 에어포트 유틸리티 아카이브 유틸리티 오디오 미디 설정 블루투스 파일 교환 컬러싱크 콘솔 충돌 보고자 디지털컬러 미터 디렉터리 유틸리티 디스크이미지마운터 디스크 유틸리티 폰트 북 Grab 도움말 뷰어 이미지 캡처 인스톨러 키체인 액세스 마이그레이션 어시스턴트 네트워크 유틸리티 ODBC 관리자 리모트 인스톨 맥 OS X 화면 공유 소프트웨어 업데이트 시스템 환경 설정 시스템 프로파일러 터미널 유니버설 액세스 보이스오버 X11.app
기술 및 사용자 인터페이스	게이트키퍼 에어드롭 커맨드 키 옵션 키 애플 메뉴 애플 푸시 통보 서비스 애플스크립트 아쿠아 오디오 유닛 봉주르 부트 캠프 BootX 브러시드 메탈 카본 코코아 컬러싱크 코어 애니메이션 코어 오디오 코어 데이터 코어 파운데이션 코어 이미지 코어 OpenGL 코어 텍스트 코어 비디오 CUPS 커버 플로 다윈 독 미션 컨트롤 파일볼트 그랜드 센트럴 디스패치 icns 잉크웰 I/O 키트 커널 패닉 키체인 launchd 런치패드 Mach-O 맥루비 메뉴 엑스트라 OpenCL 환경 설정 틀 프로퍼티 리스트 쿼츠 퀵타임 퀵 룩 로제타(레거시) 스마트 폴더 번들 시스템 무결성 보호 스페이스 스피커블 아이템스 스포트라이트 스택스 타임 머신 UTI 유니버설 바이너리 웹키트 Xgrid XNU