2026년, Apple Business Manager 관리자 계정은 연동 인증 대신 불안정한 SMS 2단계 인증에 의존합니다. 이는 SIM 스와핑 등의 공격에 취약하며, 기업 보안에 심각한 위협이 됩니다. 애플의 즉각적인 개선이 필요합니다.
2026년 애플 플랫폼 보안의 그림자
애플은 늘 ‘보안’을 핵심 가치로 내세웠습니다. 2026년 현재, 그들의 플랫폼은 여전히 강력한 보안 기능을 자랑하지만, Apple Business Manager(ABM)의 관리자 인증 방식에는 치명적인 허점이 존재합니다. 이는 기업 IT 관리자들에게 예측 불가능한 공격 벡터를 제공하며, 즉각적인 개선이 필요합니다.
ABM 관리자 연동 인증의 부재
현재 ABM의 관리자 및 인력 관리자 계정은 연동 인증(Federated Authentication)을 사용할 수 없습니다. 이들은 수많은 사용자 계정의 연동 인증을 관리함에도 불구하고, 정작 자신들은 비연동 Apple 계정과 애플의 2단계 인증(SMS 또는 음성 통화)에 의존해야 합니다. 2026년에도 이 방식은 여전히 불안합니다.
SMS 인증의 위험성
SMS 기반 2단계 인증은 이미 여러 공격 경로에 노출되어 있습니다. 첫째, SIM 스와핑 공격은 공격자가 통신사를 속여 SIM을 탈취하고 SMS 코드를 가로챕니다. 둘째, 피싱 공격은 가짜 로그인 페이지를 통해 SMS 코드를 탈취합니다. 셋째, 정교한 국가 지원 해킹 그룹은 SMS 전송 취약점을 악용할 수 있습니다.
공격 성공 시의 치명적 결과
ABM 관리자 계정이 탈취된다면 그 결과는 참혹합니다. 공격자는 등록된 기기를 자신들이 통제하는 MDM 서버로 재할당하거나, 기기를 원격으로 초기화하고, 악성 앱이나 프로파일을 배포할 수 있습니다. 이는 기업의 데이터 보안과 운영에 심각한 위협이 됩니다. 수많은 기기가 위험에 노출되는 것입니다.
소수의 관리자가 지닌 거대한 권한
애플 시스템은 기업 규모와 상관없이 ABM 관리자 수를 소수로 제한합니다. 이 때문에 수만 명의 사용자를 가진 기업이라도 공격자는 몇 안 되는 관리자를 표적으로 삼아 앞서 언급된 공격을 시도할 수 있습니다. 이는 ABM 보안의 아킬레스건이며, 애플이 방치해서는 안 될 문제입니다.
기업이 당장 취할 수 있는 보호 조치
당장 기업은 ABM 관리자 보호를 위해 몇 가지 조치를 취할 수 있습니다. 첫째, 관리자는 ABM 전용 전화번호를 사용하고, 해당 번호에 SIM 스와핑 방지 조치를 적용해야 합니다. 통신사에 연락하여 이 기능을 설정할 수 있습니다. 둘째, 활성 관리자 계정 수를 최소한으로 제한하여 공격 노출 면적을 줄여야 합니다.
애플에 요구되는 근본적인 개선
애플은 이 보안 허점을 하루빨리 개선해야 합니다. 다행히 대부분의 해결책은 이미 애플 생태계 내 다른 곳에 적용되어 있습니다. 인증 앱 지원 확대, 패스키 도입, FIDO2 하드웨어 보안 키 지원, 조건부 액세스 적용, 생체 데이터를 활용한 ‘Apple로 로그인’ 도입 등이 시급합니다.
기존 기술로 가능한 즉각적 해결
이러한 보호 기능들은 이미 애플 생태계 전반에 걸쳐 사용 가능합니다. 애플은 ABM에 이 기술들을 적용하는 데 필요한 연구 개발 자원을 투자하기만 하면 됩니다. IT 관리자 커뮤니티는 이 변화를 크게 환영할 것입니다. 애플 비즈니스 팀 역시 이 개선을 위해 노력하고 있을 것으로 예상됩니다.
