무슨 일이 있었나요?
Apple이 공식적으로 밝혔어요. 잠금 모드(Lockdown Mode)를 활성화한 사용자 중 스파이웨어에 감염된 사례가 단 한 건도 없다고요. 잠금 모드는 2022년 iOS 16에서 처음 도입된 기능인데요, 국가 차원의 고도화된 해킹 공격 — 이른바 용병 스파이웨어(mercenary spyware) — 의 표적이 될 수 있는 사용자들을 보호하기 위해 만들어진 극단적인 보안 모드예요.
"극단적"이라고 표현한 이유가 있어요. 잠금 모드를 켜면 iPhone의 상당히 많은 기능이 제한되거든요. 편의성을 대폭 희생하는 대신 공격 표면(attack surface)을 최소화하는 방식이에요. 그런데 이 전략이 실제로 효과가 있다는 걸 Apple이 데이터로 확인해준 건 이번이 처음이에요.
잠금 모드가 정확히 뭘 하는 건가요?
잠금 모드가 하는 일을 이해하려면 먼저 "공격 표면"이라는 개념을 알아야 해요. 이게 뭐냐면, 해커가 시스템에 침투할 수 있는 모든 경로를 통틀어 말하는 거예요. 현관문, 뒷문, 창문, 환기구 — 집에 들어올 수 있는 모든 통로를 생각하면 돼요. 소프트웨어에서는 웹 브라우저, 메시지 앱, 파일 미리보기 같은 기능 하나하나가 다 잠재적인 침입구가 될 수 있어요.
잠금 모드는 이 통로들을 과감하게 틀어막아요. 구체적으로 보면, 메시지 앱에서 이미지를 제외한 대부분의 첨부파일이 차단돼요. 웹 브라우저에서 JIT(Just-In-Time) 컴파일러가 비활성화되는데, JIT 컴파일러라는 건 자바스크립트 코드를 실행 시점에 기계어로 변환해서 속도를 높이는 기술이에요. 성능은 좋아지지만 그만큼 복잡한 코드가 실행되니까 취약점이 생길 여지도 커지거든요. 이걸 꺼버리면 웹 브라우징이 좀 느려지지만, 브라우저를 통한 제로클릭 공격(사용자가 아무것도 클릭하지 않아도 감염되는 공격)을 막을 수 있어요.
또한 알 수 없는 발신자의 FaceTime 통화가 차단되고, USB 연결도 잠긴 상태에서는 데이터 전송이 불가능해져요. 배포 프로파일(configuration profile) 설치도 막히고요. 하나하나 보면 "이것도 안 되고 저것도 안 되네" 싶지만, 실제로 NSO 그룹의 Pegasus 같은 고급 스파이웨어가 사용한 공격 벡터를 정확히 겨냥한 조치들이에요.
왜 이게 중요한 발표인가요?
보안 기능이 "이론적으로 안전하다"는 것과 "실제로 뚫린 사례가 없다"는 것은 완전히 다른 차원의 이야기예요. 특히 상대가 수백만 달러의 예산을 들여 제로데이 취약점을 개발하는 국가급 해킹 조직이라면 더욱 그렇죠.
Pegasus로 유명한 NSO 그룹은 과거 iMessage의 제로클릭 취약점을 이용해서 iPhone에 침투한 적이 있어요. 사용자가 메시지를 열어보지 않아도, 메시지가 도착하는 것만으로 감염이 되는 방식이었죠. 이런 수준의 공격을 잠금 모드가 실제로 막아냈다는 건, Apple의 "공격 표면 축소" 전략이 유효하다는 강력한 증거예요.
보안 업계에서는 이런 접근을 "기능 축소를 통한 보안(security through reduction)"이라고 부르기도 해요. 보통 보안은 기능 위에 방어 레이어를 덧씌우는 방식인데, 잠금 모드는 반대로 기능 자체를 줄여서 방어하는 거예요. 새로운 접근은 아니지만, 소비자 기기에서 이 정도로 과감하게 적용한 건 Apple이 거의 처음이에요.
비슷한 시도들과 비교하면
Google도 Android에 비슷한 개념의 보호 기능을 도입하고 있어요. Advanced Protection Program이라는 건데, 주로 계정 보안에 초점을 맞추고 있어서 디바이스 레벨의 공격 표면 축소와는 성격이 좀 달라요. Samsung의 Knox도 기업용 보안에 강하지만, 잠금 모드처럼 개인 사용자가 간단히 켤 수 있는 형태는 아니에요.
GrapheneOS 같은 보안 특화 커스텀 Android ROM도 있는데, 이쪽은 기술에 능숙한 사용자를 위한 솔루션이라 일반 사용자 접근성은 떨어져요. Apple의 잠금 모드는 설정 앱에서 토글 하나로 켤 수 있다는 점에서 접근성이 훨씬 높죠.
개발자 관점에서 생각해볼 것들
앱을 개발하는 입장에서 잠금 모드는 신경 써야 할 부분이에요. 잠금 모드가 켜진 기기에서는 여러분의 앱이 평소와 다르게 동작할 수 있거든요. 예를 들어 웹뷰에서 JIT이 꺼져 있으면 자바스크립트 성능이 크게 떨어질 수 있고, 특정 폰트나 미디어 타입이 차단될 수 있어요. Apple은 개발자 문서에서 잠금 모드 환경에서의 테스트를 권장하고 있는데, 실제로 이걸 챙기는 팀은 많지 않은 것 같아요.
더 넓은 관점에서 보면, 이 사례는 소프트웨어 설계 철학에 대한 좋은 교훈이에요. "기능을 추가해서 문제를 해결한다"는 일반적인 접근 대신, "기능을 빼서 문제를 해결한다"는 역발상이 실제로 효과적일 수 있다는 걸 보여주니까요. API 설계를 할 때도, 꼭 필요하지 않은 엔드포인트를 열어두면 그만큼 보안 리스크가 늘어나는 것과 같은 원리예요.
정리하면
"기능을 줄이는 것이 곧 보안이다" — Apple 잠금 모드가 증명한 단순하지만 강력한 원칙이에요. 여러분이 만드는 서비스에서도 "이 기능, 정말 필요한 건가?"라고 한 번 더 질문해보는 건 어떨까요?
🔗 출처: Hacker News
TTJ 코딩클래스 정규반
월급 외 수입,
코딩으로 만들 수 있습니다
17가지 수익 모델을 직접 실습하고, 1,300만원 상당의 자동화 도구와 소스코드를 받아가세요.
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공
