Mac 공증 서비스 팀과의 Q&A
2024년 03월 07일
보안은 모든 Apple 플랫폼의 핵심입니다. 이 Q&A에서는 Apple 보안 엔지니어링 및 아키텍처에 속한 Mac 공증 서비스 팀이 Mac 개발자들이 쾌적한 경험을 누리고 사용자를 보호할 수 있도록 앱 배포 및 계정 보안에 대한 팁을 공유합니다.
공증을 위해 새로운 앱을 언제 제출해야 하나요?
앱은 공증을 받는 시점에 대부분 완성된 상태여야 합니다. 기능이 미완성 상태인 앱은 공증을 받을 필요가 없습니다.
공증을 위해 앱을 얼마나 자주 제출해야 하나요?
베타 버전을 포함하여 배포하려는 모든 버전을 제출해야 합니다. Apple은 각 개발자의 앱을 다른 개발자의 앱 또는 멀웨어와 구별하기 위해 개발자의 고유한 소프트웨어 프로파일을 빌드합니다. 이러한 프로파일은 Apple이 추후 멀웨어 차단을 위한 서명을 새로 릴리즈할 때 이미 공증을 받은 소프트웨어가 영향을 받지 않도록 보호합니다.
앱이 추가 분석 대상으로 선택되면 어떻게 해야 하나요?
공증 서비스에 업로드하는 일부 소프트웨어는 추가 평가가 필요합니다. 업로드한 앱이 이러한 카테고리에 해당하는 경우 평소보다 시간이 더 걸릴 수 있지만, 담당 팀이 파일을 받아 분석을 완료할 것이므로 안심하세요. 추가로 이전 업로드의 처리가 지연되는 동안 앱에 변경 사항을 적용하신 경우 새로운 빌드를 업로드하셔도 좋습니다.
앱이 거부된 경우 어떻게 해야 하나요?
내용이 없는 앱이나 다른 사람의 컴퓨터를 손상시킬 수 있는 앱(예를 들어 소유자에게 알리지 않고 중요한 시스템 설정을 변경하는 경우)은 악성 소프트웨어가 아니더라도 거부될 수 있습니다. 앱이 거부된 경우 앱에 멀웨어가 포함되지 않았는지 확인하세요. 그런 다음 비공개 배포(예: MDM을 통한 회사 내부 전용 배포)의 필요성을 고려해 보세요.
비즈니스에 변경 사항이 있으면 어떻게 해야 하나요?
업체 이름, 연락처 정보, 주소, 계약서 등 개발자 계정 정보를 최신 상태로 유지해야 합니다. 계정 활동 또는 공증한 소프트웨어에 갑자기 변경 사항이 발생하면 계정 또는 인증서의 보안이 침해되었다는 신호일 수 있습니다. Apple에서 이러한 유형의 활동을 탐지하는 경우 추가 조사를 진행하는 동안 개발자의 계정을 정지할 수 있습니다.
협력업자로서 책임 있게 개발하고 있는지 스스로 확인할 수 있는 방법은 무엇인가요?
다음과 같은 요청을 받으면 각별히 주의하시기 바랍니다.
- 직접 개발하지 않은 바이너리를 서명, 공증, 배포해달라는 요청.
- 기존 소프트웨어를 복제하는 것으로 보이는 소프트웨어를 개발해 달라는 요청.
- 의뢰인이 직원으로 고용되어 있지 않은 회사의 기업용 내부 애플리케이션으로 보이는 소프트웨어를 개발해 달라는 요청.
- VPN, 시스템 유틸리티, 금융, 감시 앱 등 리스크가 높은 카테고리의 소프트웨어를 개발해 달라는 요청. 이러한 카테고리의 소프트웨어는 개인정보에 접근할 수 있는 권한을 가지므로 사용자의 리스크가 증가합니다.
의뢰인 정보를 확인하고 빌드 및/또는 서명하는 모든 소프트웨어의 기능을 파악하는 책임은 개발자에게 있습니다.
개발자 계정을 안전하게 유지하는 방법에는 무엇이 있나요?
멀웨어 개발자들은 자신의 활동을 숨기기 위해 정상 개발자 계정을 탈취하려고 시도할 수 있습니다. 따라서 이중 인증을 반드시 활성화하세요. 또한 악성 해커들은 컨설턴트 또는 직원으로 가장하여 자신을 개발자의 팀에 추가해 달라고 요청해 올 수 있습니다. 해결책은 간단합니다. 바로 계정에 대한 접근 권한을 공유하지 않는 것입니다.
더 이상 우리 팀이 아닌 개발자들의 계정 접근 권한을 삭제해야 할까요?
네. 아울러 Apple은 이러한 개발자 계정의 보안 침해가 의심되는 경우 직접 Developer ID 인증서를 취소할 수 있습니다.
공증에 대해 더 알아보기
Notarizing macOS software before distribution