하드웨어 보안 개요
소프트웨어의 보안을 유지하려면 보안 기능이 내장된 하드웨어에 소프트웨어를 설치해야 합니다. 이것이 iOS, iPadOS, macOS, tvOS 및 watchOS를 실행하는 Apple 기기에 보안 기능이 담긴 실리콘 칩을 탑재한 이유입니다. 이러한 기능에는 시스템 보안 특성을 제공하는 CPU와 보안 기능을 제공하는 전용 실리콘 칩이 추가로 포함됩니다. 보안 중심 하드웨어는 공격 표면을 최소화하기 위해 제한적이며 별도로 정의된 기능을 지원하는 원칙을 따릅니다. 이러한 구성 요소에는 보안 시동을 위한 하드웨어 신뢰 루트를 형성하는 Boot ROM, 효율적이고 안전한 암호화 및 암호화 해제를 위한 전용 AES 엔진 및 Secure Enclave가 포함됩니다. Secure Enclave는 Apple SoC(System on Chip)의 구성 요소로, 최신 iPhone, iPad, Apple Watch, Apple TV, HomePod 기기와 Apple Silicon이 탑재된 Mac 및 Apple T2 보안 칩이 탑재된 Mac에 포함됩니다. Secure Enclave 자체는 SoC와 동일한 설계 원리를 따르며 별도의 Boot ROM 및 AES 엔진을 포함합니다. 또한 Secure Enclave는 유휴 데이터를 암호화하는 데 필요한 키를 안전하게 생성하고 저장하기 위한 기반을 제공하며 Face ID 및 Touch ID의 생체 인증 데이터를 보호하고 평가합니다.
저장 공간 암호화는 빠르고 효율적이어야 합니다. 이와 동시에 암호화 키 관계를 구축하는 데 사용하는 데이터(또는 키 재료)를 유출해서는 안 됩니다. AES 하드웨어 엔진은 파일을 쓰거나 읽을 때 빠른 인라인 암호화 및 암호화 해제를 수행하여 이 문제를 해결합니다. Secure Enclave의 특수 채널은 이 정보를 응용 프로그램 프로세서(또는 CPU) 또는 전체 운영 체제에 노출하지 않고 AES 엔진에 필요한 키 재료를 제공합니다. 이를 통해 Apple의 데이터 보호와 FileVault 기술이 장기간 사용한 암호화 키를 노출하지 않고 사용자의 파일을 보호할 수 있습니다.
Apple은 보안 시동이 소프트웨어의 최하위 구조가 조작되는 것을 방지하고, 시동 시 Apple에서 신뢰하는 운영 체제 소프트웨어만 로드하도록 설계했습니다. 보안 시동은 Boot ROM이라는 변경 불가능 코드가 보안성의 기반을 이룹니다. 이는 Apple SoC 제조 단계에서 구현되며 하드웨어 신뢰 루트로 알려져 있습니다. T2 칩이 탑재된 Mac 컴퓨터에서는 T2가 신뢰할 수 있는 macOS 보안 시동의 기반입니다. (T2 칩과 Secure Enclave는 모두 자체적으로 별도의 Boot ROM을 사용하여 자체 보안 시동 프로세스를 실행합니다. 이는 A 시리즈, M1 및 M2 칩이 안전하게 시동되는 방식과 정확히 일치합니다.)
또한 Secure Enclave는 Apple 기기에서 Face ID 및 Touch ID 센서의 얼굴과 지문 데이터를 처리합니다. Secure Enclave는 사용자의 생체 인증 데이터를 노출의 염려 없이 안전하게 보호하면서 보안 인증을 제공합니다. 또한 이를 통해 사용자에게 더 길고 복잡한 암호로 강력한 보안이 제공되며, 접근 또는 구매 시 인증을 신속하게 처리하여 이용이 더 편리해집니다.