Mac 컴퓨터의 주변기기 프로세서 보안
현대 컴퓨팅 시스템에는 네트워킹, 그래픽, 전원 관리 등과 같은 작업을 전담하는 다양한 내장 주변기기 프로세서가 있습니다. 일반적으로 이러한 주변기기 프로세서는 단일 목적으로 구성되며, 기본 CPU보다 훨씬 덜 강력합니다. 충분한 보안을 구현하지 않는 내장 주변 기기는 공격자가 더욱 쉽게 악용할 수 있는 대상이 되며, 공격자는 이를 통해 계속하여 운영 체제를 감염시킬 수 있습니다. 주변기기 프로세서 펌웨어를 감염시킨 후 공격자는 기본 CPU의 소프트웨어를 공격 대상으로 삼거나 중요한 데이터를 직접 캡처할 수 있습니다(예: 이더넷 기기는 암호화되지 않은 패킷의 콘텐츠를 볼 수 있음).
가능한 경우 Apple은 필요한 주변기기 프로세서 수를 줄이고 펌웨어가 필요한 설계를 피하고자 노력합니다. 하지만 자체 펌웨어와 함께 별도의 프로세서가 필요한 경우에는 공격자가 해당 프로세서를 계속 감염시킬 수 없도록 조치하고 있습니다. 이는 다음 두 가지 중 하나의 방법으로 프로세서를 검증하여 가능합니다.
시동 시 기본 CPU에서 확인된 펌웨어를 다운로드하도록 프로세서 실행하기
Mac 시동 시마다 주변 기기 프로세서 펌웨어를 검증하기 위해 주변 기기 프로세서가 자체 보안 시동 체인을 구현하도록 하기
Apple은 공급 업체와 협력하여 구현을 검사하고 다음과 같은 원하는 속성을 포함하도록 설계를 개선합니다.
최소 암호화 강도 보장
알려진 불량 펌웨어의 강력한 폐기 보장
디버그 인터페이스 비활성화
Apple이 제어하는 HSM(하드웨어 보안 모듈)에 저장된 암호화 키를 사용하여 펌웨어에 서명하기
최근 몇 년 동안 Apple은 일부 외부 공급업체와 협력하여 Apple Silicon에서 사용하는 것과 동일한 ‘Image4’ 데이터 구조, 확인 코드 및 서명 인프라를 적용했습니다.
저장 장치가 필요 없는 작업이나 저장 장치 + 보안 시동이 모두 옵션이 아닌 경우, 영구 저장 장치를 업데이트하기 전에 펌웨어 업데이트를 암호화하여 서명하고 검증해야 합니다.