AI 요약
이 기사는 macOS의 '개인정보 보호 및 보안' 설정이 실제 앱의 권한 상태를 정확히 반영하지 못하는 심각한 보안 취약점을 다룹니다. 저자는 직접 제작한 테스트용 앱 'Insent'를 활용하여, macOS Tahoe 26.4 및 macOS 13.5 이상 버전에서 시스템 설정의 접근 차단 기능이 어떻게 무력화되는지 시연합니다. 핵심 문제는 사용자가 시스템 설정에서 특정 폴더에 대한 앱의 접근 권한을 '꺼짐'으로 설정하더라도, 앱 내부에서 '열기' 패널을 통해 해당 폴더를 한 번이라도 선택하면 TCC(Transparency, Consent, and Control) 시스템이 이를 사용자의 명시적 의도로 간주하여 권한을 영구적으로 복구시킨다는 점입니다. 이 과정에서 시스템 설정의 토글 스위치는 여전히 '비활성' 상태로 남아 있어 사용자는 보안이 유지되고 있다고 오해하게 됩니다. 이는 macOS 보안 UI가 사용자에게 잘못된 안전감을 줄 수 있음을 시사합니다.
핵심 인사이트
- OS 버전 및 앱: 실험은 macOS Tahoe 26.4에서 수행되었으며, macOS 13.5 이상의 모든 버전에서 'Insent' 앱을 통해 동일한 보안 허점이 재현될 가능성이 높습니다.
- TCC 로직의 결함: macOS의 보안 시스템인 TCC는 사용자가 파일 패널에서 폴더를 선택하는 행위를 '사용자 의도(Intent)'로 해석하여, 설정창의 차단 상태를 무시하고 접근을 허용합니다.
- 설정 UI 불일치: 시스템 설정의 '파일 및 폴더' 섹션에서 접근 권한을 비활성화하더라도, 앱이 '사용자 의도'로 권한을 재획득하면 설정창의 표시 내용과 실제 접근 가능 여부가 일치하지 않게 됩니다.
주요 디테일
- Insent 앱의 두 가지 모드: 'Open by consent' 버튼은 TCC 동의 프롬프트를 띄우고, 'Open from folder' 버튼은 사용자가 직접 폴더를 선택하도록 하여 TCC를 우회합니다.
- 보안 설정 무력화 과정: 설정에서 Insent의 '문서(Documents)' 폴더 접근을 끈 후에도, 앱 내 파일 패널로 해당 폴더를 한 번 선택하면 그 이후부터는 설정과 무관하게 폴더 내 텍스트 파일 내용을 자유롭게 읽어올 수 있습니다.
- 초기화의 어려움: 일반적인 UI 설정으로는 이 권한 획득 상태를 되돌릴 수 없으며, 반드시 터미널에서
tccutil reset All co.eclecticlight.Insent명령어를 실행한 후 맥을 재시동해야만 권한이 기본값으로 돌아갑니다. - 기술적 시사점: 이는 샌드박싱된 앱이 사용자 모르게 권한을 영구적으로 보유할 수 있는 루트를 제공하며, 애플의 개인정보 보호 메커니즘에 투명성이 결여되어 있음을 보여줍니다.
향후 전망
- 보안 패치 예상: 애플은 시스템 설정 UI와 실제 TCC 권한 데이터베이스 간의 동기화 오류를 해결하기 위한 업데이트를 진행해야 할 것으로 보입니다.
- 사용자 주의 필요: 중요한 데이터를 다루는 사용자들은 시스템 설정의 토글 스위치만 맹신하지 말고, 신뢰할 수 없는 앱의 파일 접근 이력을 관리하기 위해 터미널 명령어를 활용한 정기적인 권한 초기화가 필요할 수 있습니다.